Shadow IT et anciens utilisateurs : le cauchemar des DSI

François Poulet

|

Product Manager chez Youzer

10/2021

Articles
>
Cybersécurité
Repérer et endiguer le shadow IT en entreprise, que faire quand on est DSI ? 4 solutions pour maîtriser l'installation sauvage de logiciels dans son entreprise.

Sommaire

💡 : il est possible d'écouter cet article ! Retrouvez l'audio en bas de page 🎧

La menace fantôme : la revanche des opérationnels contre la DSI

Nous connaissons actuellement une évolution rapide du volume d’utilisation des logiciels dans le Cloud (Saas) comme Google Workspace, Microsoft 365, Teams, Slack etc… Et ce n’est pas prêt de s’arrêter, tant les logiciels en ligne deviennent performants, intelligents et redoutablement faciles d’accès.

C’est d’ailleurs ce dernier point qui pose problème : la facilité d’accès. Chaque collaborateur, chaque responsable de service, chaque manager peut souscrire à une offre de logiciel en ligne sans pour autant informer le département IT.

Prenons un exemple concret : le Directeur Commercial d’une entreprise a entendu parler de Salesforce. Il ne voit pas forcément l’intérêt d’en discuter avec la DSI car :

  1. “Je n’ai pas envie qu’ils mettent le nez dans mes chiffres de vente”
  2. “Si c’est pour nous mettre des bâtons dans les roues avec la compliance, c’est pas la peine ! »
  3. “Quel est le rapport entre la DSI et mon outil métier ?? ”

Mais ce Directeur Commercial veut mettre Salesforce en place, donc il souscrit et crée des comptes pour toute son équipe. Si la DSI est mise au courant, elle va lui proposer de mettre en place du SSO (Single Sign-On) pour faciliter l’accès au logiciel pour les utilisateurs et pour essayer “d’intégrer” Salesforce au périmètre de l’IT. C’est exactement ce que le Directeur Commercial va essayer d’éviter pour garder son indépendance, parce que, pour une fois, il peut gérer son logiciel en toute indépendance et sans être pénalisé par l’absence de réactivité de l’équipe IT.

Pour cela je vais vous donner 4 mesures clés pour rééquilibrer vos relations avec les utilisateurs et ainsi endiguer le shadow it .

En route pour le shadow it !

Qu’est-ce que le shadow it ? C’est la mise en place d’applications ou de logiciels par les collaborateurs sans passer par la DSI. Cela crée un no man’s land des logiciels et donc une brèche pour les cyberattaques !

Le ver est dans la pomme

Ça y est : un outil extérieur est entré dans l’entreprise, en dehors de tout contrôle de la DSI et entièrement géré par les opérationnels.

Salesforce est un bon exemple mais il y en a des quantités d’autres comme les logiciels du service marketing (Buffer, Mailchimp…), ou de la Direction Financière (Chart.io, Tableau…).

Mais alors quel est le problème ? Il n’y en a aucun, tant que les utilisateurs font partie de l’entreprise et que les managers gèrent correctement les droits d’accès.

C’est le turnover des collaborateurs qui va créer une faille de sécurité béante : les utilisateurs qui partent laissent derrière eux une myriade de comptes ouverts sur les outils métier, ce qu’on appelle les comptes fantômes.

Bien sûr, les processus sont plutôt bien établis à la DSI pour clôturer les comptes sur les systèmes piliers de l’IT : les comptes Active Directory, comptes mails et comptes de messagerie instantanée sont correctement clôturés. Mais il reste ces dizaines de comptes, répartis sur des dizaines d’outils qui restent ouverts pendant des mois, voire des années après le départ des collaborateurs auxquels ils appartenaient.

Pour la DSI, un autre aspect moins sécuritaire mais plus orienté coût entre en jeu : les dépenses logicielles non maîtrisées.
En effet, qu’est-ce que le directeur commercial a-t-il négocié ? Est-il conscient des enjeux de respect des licences ? Va-t-il maintenir à jour ses licences ? Et surtout quel est son engagement auprès du logiciel ?
Tout cela pèse dans la balance lorsque l’on sait que les dépenses liées aux licences et logiciels représentent 30 à 40% des coûts de l’informatique.
Il n’est pas rare de voir un collaborateur partir et sa licence continuer d’être facturée jusqu’à ce qu’un contrôleur de gestion ou une “revue de compte” révèle cette dépense inutile.

Envie de voir une démo instantanée de Youzer ?  
Voir la démo

Ces logiciels non répertoriés des DSI

La longue traîne

C’est cette longue traîne qui est difficile à gérer pour les DSI : 20% des outils représentent 80% des comptes, ce sont donc les 20% de comptes restants qui sont répartis sur de nombreux outils, dans différents services qui posent problème.

Pourtant, cette longue traîne représente un danger sur la sécurité informatique de plus en plus important. Un ancien collaborateur qui dispose toujours de ses accès à Salesforce a accès à la base de données à jour de prospects avec de nombreuses informations qualifiées et en fera bénéficier son actuelle entreprise (probablement un concurrent de son ancienne entreprise).

Un ancien stagiaire en marketing, s’il a toujours accès à Mailchimp (un outil d’emailing) peut envoyer un mailing aux 10.000 abonnés de votre newsletter avec le message qu’il souhaite. S’il est parti en mauvais termes, je vous laisse imaginer ce qu’il lui est possible de faire.

De même, en ayant toujours accès à la plateforme CMS du site web de l’entreprise, un ancien collaborateur peut modifier les pages de votre site web de manière imperceptible (en modifiant les liens, en ajoutant des pages profondes…) qui auront pour conséquence la dégradation de votre référencement, le détournement de trafic ou une détérioration de votre marque.

Comment se prémunir du shadow it ?

La meilleure méthode tient en 4 points :

1. Inventorier les logiciels et les comptes

Établir une liste des logiciels utilisés (et la tenir à jour). Lister les comptes pour chaque logiciel, et à une fréquence adaptée, lister les utilisateurs ayant un compte. Il existe des solutions pour obtenir une vue globale des outils en place dans l’entreprise et d’automatiser les attributions de licences comme celle de Youzer.
Il peut être judicieux d’utiliser des outils de scan de sécurité ou des “sniffers” (comme Kismet, Wireshark …) pour analyser les flux de logiciels inconnus dans l’entreprise.

Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?

Merci, nous avons bien reçu votre demande, vous allez recevoir le livre rapidement.
Oups! Un champ est mal rempli 😖

2. Rapprocher les comptes et les utilisateurs

Le point essentiel est de faire la réconciliation (en comptabilité on appelle ça le lettrage) entre les différents comptes et les utilisateurs issus des informations récentes RH. Cela permet d’identifier les utilisateurs qui sont partis mais qui ont encore un compte actif.
Cela vous fera nettement baisser vos dépenses logicielles et applications. Vous repérerez les comptes en double, les licences que l’on peut réattribuer à un nouvel utilisateur, les contrats mal négociés et même des applications ayant les mêmes fonctionnalités.

3. Accueillir le shadow IT

Toute réticence ou frein idéologique ou technique que vous exprimez devant les utilisateurs seront autant de raisons pour eux de ne pas vous informer de la mise en place du nouvel outil qu’ils ont découvert et qu’ils vont mettre en place de leur côté.

Ne blâmez pas non plus vos collaborateurs, ils n’ont pas voulu nuire volontairement à l’entreprise et ne critiquez pas leurs choix de logiciels, ils ont probablement leur raison.
Pour créer un cercle vertueux, sensibilisez-les sur les dangers d’une non-maîtrise des applications par la DSI. Pour l’achat, simplement regardez les termes du contrat, renégociez-le s’il cela est possible et discutez-en avec ceux qui l’ont mis en place pour trouver un point d’entente commun. Un service peut trouver une application qui leur fait gagner beaucoup de temps sur certaines tâches et vous, vous pouvez le promouvoir sur le reste de l’entreprise pour un gain en productivité. Cette démarche serait très valorisante pour tout le monde. Votre réaction positive et compréhensive engendra une bien meilleure relation à la prochaine acquisition d’applications.

4. Dialoguez, échangez et mettez en confiance

Ne vous fermez pas lorsqu’un utilisateur vous fait une demande de logiciels. S’il vous le demande, c’est qu’il en a le besoin. Si vous avez des doutes, discutez avec lui de l’intérêt dans son travail, sur d’autres outils déjà en place pour arriver à un consensus.
Si vous refusez d’emblée un logiciel sans discussion, il y a très, très fort à parier que l’utilisateur le mettra en place sans aucun contrôle de sécurité et de conformité.

C’est simple, voyez par vous-même :
Un utilisateur : « Bonjour, j’ai vu tel logiciel pour gérer ma compta, je le trouve super. »
Vous : « Y a déjà quelque chose en place, c’est très bien comme ça (et si je devais prendre tout ce qu’on me propose, je ne m’en sortirais pas…).
Résultat : l’utilisateur repart blessé et vous pouvez être sûr que le coup d’après il le prendra sans en parler.
Alternative, vous : « Intéressant, qu’est-ce qui te plait dans ce logiciel ? Tu sais que l’on a ….. en ce moment ? Qu’est-ce qui ne va pas ? On peut voir les pour et les contre des deux avant de faire un choix ? »
Résultat : vous l’avez valorisé et écouté dans sa proposition et vous savez quoi ? Ça se trouve, c'est même une super solution ce que l’utilisateur apporte !

Soyez à l’écoute

Vous souhaitez créer un climat de confiance ? Organisez des points réguliers avec les managers et décisionnaires afin de créer un dialogue. Vous pourrez les sensibiliser, leur exposer les conséquences de certaines actions et vos contraintes. Eux-mêmes seront plus compréhensifs, enclins à un échange ouvert.
Si durant ces réunions, il y a systématiquement une étude ouverte des différentes demandes logicielles, alors vos collaborateurs seront dans une démarche toute autre.

Tout ça s’applique aussi à d’autres domaines que les comptes d’accès : les badges de sécurité, les cartes bancaires de société confiés à des collaborateurs, les clés des locaux etc…

Existe-t-il des solutions qui vous faciliteraient ces 4 points ? Oui et non. 
Oui, il existe des solutions qui permettent une visualisation des licences en cours active, suspendue et non attribuée. Oui, vous pouvez avoir des remontées d'informations sur un compte actif d'un utilisateur parti avec des solutions de gestion des identités et des accès comme Youzer.
En revanche, il n'y a aucune solution pour établir une relation de confiance et de respect entre les employés et le service informatique. C'est à vous de créer cet espace de confiance.

Et vous, comment gérez-vous le shadow it dans votre entreprise ?

Si avoir une gestion simplifiée de vos licences et une remontée des anomalies comme un compte actif d’un utilisateur parti vous intéresse, je vous invite à vous planifier votre démo pour voir comment, sans aucune action de votre part, toutes ces informations sont disponibles dans votre dashboard.

Récap'IT la newsletter de la DSI

Recevez le meilleur des actus IT du mois.
Évolution du marché, tendances IT, les cyberattaques en France ... un condensé de l'actualité informatique du mois.

Nous n'avons pas pu confirmer votre inscription.
Votre inscription est confirmée ! Vous recevrez votre prochain Récap'IT à la fin du mois 😊

Articles recommandés

Découvrez Youzer, la première plateforme
pour gérer simplement vos utilisateurs et leurs accès

Hey ! Vous connaissez la chanson :) Nous utilisons des cookies d'analyse de données anonymes. En “Acceptant tous les cookies”, vous nous aidez à comprendre les pages vues (anonymes). En savoir plus sur notre politique de confidentialité.