L'importance du Shadow IT - Youzer

L’enjeu du « Shadow IT »

Le shadow IT, ce sont tous les systèmes informatiques utilisés à l’insu de la Direction Informatique (DSI). Ce sont des outils, des logiciels, des process qui n’ont pas été validés par la DSI mais utilisés directement par les collaborateur d’une entreprise car disponibles publiquement.

Comment se faufile le « Shadow IT » dans l’entreprise ?

C’est une des grandes spécificités du Shadow IT : il arrive à s’insérer dans l’IT de l’entreprise, sans que la DSI n’ait été consultée pour valider techniquement la solution ou pour l’intégrer. Comment fait-il ? Justement en étant disponible publiquement et généralement sans nécessité d’intégration.

Prenons l’exemple de DropBox qui a longtemps été la bête noire des DSI. Ouvrir un compte chez DropBox est réalisable par n’importe qui, en quelques minutes et avec un simple accès à internet. Au départ, il s’agit peut être d’un besoin ponctuel pour pouvoir synchroniser des fichiers avec son pc portable et pouvoir travailler pendant un déplacement, puis ce besoin est étendu à plusieurs collègues avec qui on peut partager des documents etc…

En quelques jours, des données de l’entreprises, traditionnellement sous la responsabilité de la DSI, se retrouvent dans le Cloud, avec un niveau de sécurité qui n’est peut être pas adapté  avec les standard requis pour que l’entreprise respecte telle ou telle certification liée à la protection des données personnelles.

Aujourd’hui avec l’essor des applications SaaS, ce sont des centaines d’applications disponibles pour chaque corps de métier et qui sont accessibles à n’importe quel service : comptabilité, RH, marketing, service commercial…

En quoi ce « Shadow IT » est-il un problème ?

Tout ce catalogue de nouveau produits/services en ligne permet une amélioration de la productivité dans la plupart des cas, car ce sont des outils très spécifiques et adaptés aux utilisations d’un service de l’entreprise.

Malheureusement, les utilisateurs qui souscrivent (gratuitement ou en payant) ces logiciels en ligne n’ont pas conscience de la sensibilité des données qu’ils exportent dans le Cloud, car c’est normalement la prérogative de la DSI.

Il y donc un double problème :

• La sensibilité des données mises dans le Cloud : prenons l’exemple de Google, qui stipule dans ses CGU que les données hébergées sur leurs infrastructures (gmail ou Google Drive par exemple) peuvent être analysées. S’il s’agit de données personnelles médicales, elles ne doivent donc pas être envoyées sur ce type de système de stockage partagé.

• L’attribution des accès à ces données : tout le monde crée des accès à Box, DropBox, Google, etc… car ils sont facile à créer et qu’ils peuvent être nécessaires pour le fonctionnement d’une équipe sur un projet… Mais lorsqu’il d’agit de clôturer les accès, par exemple lorsqu’un utilisateur quitte la société ou quitte le projet, peu de personnes le font, d’une part parce qu’ils n’y pensent pas, et d’autre part parce qu’ils n’ont pas conscience que cela constitue un réel enjeu de sécurité.

Comment l’identifier ?

C’est toute la dificulté du Shadow IT : la DSI a tendance naturellement à interdire ou restreindre et se fait donc déborder « en catimini » par les utilisateurs qui souscrivent sans consulter le service IT.Idéalement, la DSI devrait constituer un catalogue d’application SaaS et les catégoriser en fonction de la sensibilité des données et sur l’aspect sécurité des données.

Dans la pratique, pour identifier tous les logiciels utilisés, il faut inciter les utilisateurs à les signaler et à ne pas se cacher lorsqu’ils les utilisent. C’est donc la DSI qui doit se montrer ouverte à ces logiciels pour pouvoir les identifier et sensibiliser les utilisateurs, et idéalement les orienter vers telle ou telle solution sur des critères de prix, de fiabilité, de sécurité etc…

Comment s’en protéger ?

L’inventaire des utilisateurs de tous les logiciels SaaS est nécessaire. (Le sujet a été abordé ici) Vous pouvez utiliser un fichier Excel… Ou alors Youzer ?

Nous contacter

Tél : +33 9 71 180 100

contact@youzer.net

126 rue de Charenton, 75012 Paris

© 2019 Youzer