Pourquoi les comptes fantômes sont-ils dangereux ?

Mélanie Lebrun

|

Responsable marketing chez Youzer

12/2022

Articles
>
Les brèves de l'IAM
Le shadow it : son explication, ses causes et ses conséquences. Comprendre le problème des comptes non connus de la DSI.

Sommaire

Le shadow IT ou compte fantôme n’est pas un énième volet de la saga Star Wars mais un décalage entre l’utilisation d’applications SaaS dans l’entreprise et la connaissance de celles-ci par la DSI.

Les applications stockées dans le cloud sont très faciles à utiliser puisqu’il n’y a par définition aucune mise en place à réaliser. Les collaborateurs ayant besoin de nouveaux logiciels ne font plus appellent au service informatique mais décident directement d’utiliser cette nouvelle application.

La DSI n’est pas au courant des applications utilisées dans les différents services.

Cela implique des inconvénients majeurs :

  • la DSI est évincée dans la prise de décision d’une application, ce qui révèle de la méfiance envers elle
  • la sécurité n’est pas assurée, les applications sont mal paramétrées, il n’y a pas de cadre concernant la connexion, les données ne sont pas maîtrisées
  • c’est une porte d’entrée dans le SI qui est inconnue de la DSI
  • il n’y aura pas de suspension des comptes au départ des utilisateurs puisque ces derniers ne vont pas faire les démarches et personne d’autre n’est au courant de la présence des comptes

Pourquoi évincer le service informatique ?

Les deux raisons les plus évidentes sont un manque de réactivité et des procédures contraignantes.

Il n’y a pas une intention de nuire quand il y a compte fantôme mais plutôt une volonté d’aller vite dans un besoin ressenti par l’utilisateur.

Lorsqu’une demande est faite, la réponse du service informatique peut tarder à venir, cela peut parfois passer par des commissions, etc. C’est lent, beaucoup trop lent par rapport au besoin et à la notion de temps du collaborateur. Celui-ci agit, il se sent plus réactif.

Il y a ensuite, des procédures à respecter qui peuvent sembler être des entraves dans l’utilisation de l’application pour le collaborateur, celui-ci peut aussi vouloir éviter d’en parler pour ces raisons-là.

Malheureusement, ces procédures, aussi contraignantes soient-elles, sont indispensables pour assurer la sécurité à l’entreprise.

Les applications SaaS ont souvent des attributions de droits et d’accès par défaut qui sont très élevés, il relève à la DSI de minimiser ces droits et accès dans une logique du moindre privilège.

RDV sur notre page tarif !

Ou parler à un expert au

09.70.70.41.42

Vous avez une question ?

Merci, nous avons bien reçu votre question, nous y répondrons au plus vite. 
Pour toutes demandes sur nos offres, vous pouvez consulter notre page tarif ou nous contacter au 09.70.70.41.42.
À bientôt !
Oups! Un champ est mal rempli 😖

Quelles sont les conséquences sur l’entreprise ?

Les failles de sécurité commencent alors avec ces comptes ouverts qui ne sont pas répertoriés et monitorés.

Comme nous l’avons vu, cela entraîne des accès trop élevés avec un risque important si une prise de contrôle du compte par un tiers est réalisée lors d’une cyberattaque.

Les dépenses logicielles sont forcément mal maîtrisées, des négociations par lot ne peuvent pas se faire ou des paliers peuvent être dépassés.

La réalisation d’audit est dès lors non valable puisque des applications ne sont pas connues, elles ne peuvent ainsi pas être répertoriées.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

En cliquant sur "Accepter", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser son utilisation et de contribuer à nos efforts de marketing. Consulter notre politique de confidentialité pour plus d'informations.