Qu’est-ce que le Shadow IT ?
Le Shadow IT est un type unique de vulnérabilité dans la mesure où il n’y a pas d’attaquant explicite. Et les risques que comporte le shadow IT sont pour la plupart involontaires. Mais cela ne rend pas la situation moins préoccupante ; L'un des risques les plus courants concerne les fuites de données sensibles, qui peuvent être dévastatrices pour une organisation.
Cet article examine ce qu'est le shadow IT, les risques qu'il présente et comment vous pouvez atténuer ces risques.
Qu’est-ce que le Shadow IT ?
Le Shadow IT se produit lorsque les membres d’une organisation commencent à utiliser des systèmes informatiques (appareils, logiciels, services) sans l’approbation ou la connaissance du service informatique de l’organisation. Avec l’essor des applications basées sur le cloud, le shadow IT est devenu beaucoup plus courant.
Le Shadow IT n’est pas une attaque en soi et peut même avoir l’avantage d’améliorer la productivité des employés. Mais cela introduit néanmoins de graves vulnérabilités au sein de l’organisation, telles que des fuites de données et de potentielles violations de conformité, entre autres.
Qu’est-ce qui motive le shadow IT ?
Cela semblerait se résumer à trois facteurs principaux :
- Le désir des employés de travailler plus efficacement et de faire avancer les choses
- Le grand nombre d’appareils, d’applications et de services facilement accessibles aujourd’hui, en particulier les applications basées sur le cloud.
- La hausse des Apportez votre propre matériel Politiques (BYOD) sur le lieu de travail moderne
De nombreux employés estiment qu’ils doivent contourner les politiques de sécurité strictes de leur organisation pour faire leur travail. Ils connaissent peut-être une application de partage de fichiers plus pratique que l'application de partage de fichiers approuvée par le service informatique. Une fois qu’ils commencent à utiliser l’application non approuvée, son utilisation pourrait se propager au sein de l’organisation, créant un angle mort pour le service informatique, qui n’a aucune visibilité sur son utilisation.
De plus, nous n’utilisons plus beaucoup de logiciels packagés. De nos jours, vous pouvez télécharger presque tout en quelques clics. Les risques du shadow IT n’ont donc jamais été aussi grands.
Ajoutez à cela le fait que de nombreuses organisations autorisent leurs employés à apporter leurs propres appareils et à les utiliser à des fins professionnelles, et vous constaterez que la porte du shadow IT est assez grande ouverte dans la plupart des lieux de travail.
Exemples de shadow IT
- Comme mentionné ci-dessus, il peut s'agir d'un individu ou d'un service (le shadow IT a tendance à se développer une fois introduit) au sein d'une organisation qui adopte une solution de partage de fichiers différente de celle que le reste de l'organisation utilise pour une raison quelconque (fonctionnalités, facilité d'utilisation, disponibilité, etc.).
- Un membre de l'équipe marketing utilise un outil de conception graphique en ligne pour créer des graphiques personnalisés pour une nouvelle campagne.
- Employés échangeant des informations exclusives en utilisant leurs comptes de messagerie personnels, WhatsApp ou Telegram.
Points de connexion du Shadow IT
Un problème majeur lié à l'utilisation d'applications non autorisées à des fins professionnelles est que les employés n'utilisent pas ces systèmes pour leur propre plaisir : ils les utilisent pour des tâches professionnelles. Il y aura donc toujours un moment où des données devront être échangées. entre les applications non autorisées et le système de l'entreprise. Par exemple, les tâches effectuées sur ces systèmes externes nécessiteront, à un moment donné, l’entrée des données de l’entreprise ou la sortie de ces applications dans le système de l’entreprise.
Les points de connexion entre le système informatique et les applications non autorisées créent des vulnérabilités majeures. Les autorisations d’application, accordées de manière informelle, permettent à ces applications non autorisées d’accéder aux ressources de l’entreprise. Cela permet à des applications mal examinées de divulguer des données, soit par intention malveillante, soit en raison d'une mauvaise sécurité au sein de l'application. Ces connexions peuvent laisser sortir des données et laisser entrer des virus.
Heureusement, ces points de connexion donnent aux administrateurs système la possibilité de suivre les applications non autorisées. En examinant l’accès aux systèmes SaaS et sur site autorisés, il est possible de repérer où des logiciels tiers non approuvés se connectent aux services de l’entreprise.
SpinOne (ESSAI GRATUIT)
SpinOnedepuisspin.aiest un exemple de détecteur shadow IT. Cet outil intervient dans un nouveau domaine de la cybersécurité qui n’est devenu une nécessité que récemment, en raison de l’émergence du shadow IT. Le Audit des applications SaaS Spin.ai Le module est un service d’atténuation du shadow IT. Il s'agit d'une plate-forme SaaS capable d'analyser les connexions des applications aux comptes SaaS de l'entreprise.
Le service d'audit produit un rapport sur l'utilisation de la plate-forme SaaS et déploie l'apprentissage automatique pour détecter de nouveaux vecteurs d'accès, ce qui permet aux administrateurs de repérer rapidement quels services ont été compromis et à quel compte utilisateur le système externe se connecte.
L'audit d'application SaaS n'est que l'un des services de cybersécurité de pointe proposés par Spin.ai. Le package sera attaché à un compte d'entreprise pour Salesforce, Office 365 ou Google G Suite (Google Workspace). La meilleure façon d’avoir un aperçu du fonctionnement de ces outils de protection, d’évaluation des risques et de conformité est d’accéder vous-même à la plateforme. Vous pouvez le faire gratuitement, grâce à unEssai gratuit de 15 jours.
SpinOne Accédez à un essai GRATUIT de 15 jours
Risques du shadow IT
En raison de la nature du shadow IT, les risques associés ne sont pas immédiatement évidents. La liste ci-dessous comprend les risques les plus courants liés au shadow IT.
Perte de contrôle et de visibilité
Plus vos données propriétaires transitent par des canaux informatiques fantômes, moins le service informatique de votre organisation peut exercer de contrôle et de visibilité. Cela peut entraîner une incapacité à mettre en œuvre des mesures de reprise après sinistre, un non-respect de la sécurité et des réglementations, ainsi qu'une perte de données. Si votre service informatique n’a pas de visibilité sur les flux de données de l’organisation, il peut avoir plus de mal à réagir correctement aux problèmes informatiques.
Perte de données
Comme mentionné ci-dessus, la perte de données est l’un des risques les plus courants associés au shadow IT. Votre organisation peut facilement perdre l’accès aux données basées sur le cloud fantôme, par exemple lorsqu’un employé quitte l’entreprise. Les employés peuvent utiliser leur compte Dropbox personnel pour stocker les contrats clients, les notes de réunion et les rapports sensibles de l'entreprise, la documentation du projet. Si l’un de ces employés quitte l’organisation, pour quelque raison que ce soit, il peut être difficile de retrouver l’accès à ces informations car elles sont stockées dans le compte personnel de cet utilisateur. Et les services cloud payants peuvent être rapidement résiliés une fois que les utilisateurs cessent de payer leurs factures.
Frais
Plus votre organisation utilise des ressources Shadow IT au quotidien, plus il est probable que ces composants Shadow IT deviennent un élément essentiel de vos projets. Une fois dans cette situation, supposons que vous ayez besoin d’augmenter ces ressources pour terminer le travail, le coût encouru par l’organisation pour continuer à utiliser le service pourrait bien être trop élevé pour être justifié. Il s’agit d’une préoccupation courante avec les applications SaaS (Software as a Service) telles que les services de stockage en ligne.
Inefficacités informatiques
Stocker et utiliser les données dans des silos différents et irresponsables au sein de votre organisation est inefficace. Si l'organisation n'est pas consciente de ses propres flux de données, le service informatique ne sera pas en mesure de planifier correctement la capacité, l'architecture système, la sécurité et les performances dans l'ensemble de l'organisation. L'analyse et le reporting deviennent plus complexes et moins fiables, ce qui peut faire perdre du temps et de l'argent à votre organisation.
Non-conformité
Si votre organisation doit respecter des exigences de conformité strictes, comme par exemple pour les sous-traitants gouvernementaux, les risques posés par le shadow IT peuvent avoir des conséquences de grande envergure. Le Shadow IT vous entraînera soit à une non-conformité, soit à la création de points d'audit supplémentaires pour lesquels votre organisation devra fournir une preuve de conformité. Supposons qu'un employé d'une organisation travaillant en tant que sous-traitant du gouvernement stocke des données gouvernementales sensibles dans son compte de stockage cloud personnel. Votre organisation pourrait très bien être tenue d’auditer, d’identifier et de divulguer la portée et l’impact de cette « violation » pour chaque point de données en question. En plus d’exposer potentiellement des informations sensibles à des cyberattaques, votre organisation peut également faire face à des poursuites judiciaires et à des amendes pour non-conformité, ce qui, en plus d’être coûteux, peut également nuire à la réputation de votre marque.
Attaques par déni de service distribué (DDoS)
Attaques DDoS impliquent généralement le détournement d’appareils connectés mal protégés. Il peut s’agir du smartphone BYOD d’un employé ou d’un appareil connecté à l’Internet des objets (IoT). Une fois l’appareil compromis, il est utilisé pour bombarder le réseau. Serveur de noms de domaine (DNS) avec des requêtes au point de provoquer un ralentissement important du traitement des requêtes, potentiellement au point de faire planter le réseau.
Les appareils non sécurisés sont sujets aux ransomwares et autres logiciels malveillants
Plus les appareils non sécurisés ont accès à votre réseau, plus le risque de toutes sortes de menaces en ligne sera élevé. Rançongiciel et autre malware qui se retrouve sur un appareil ayant accès au réseau de votre organisation, via une campagne de phishing ou un téléchargement accidentel, peut faire des ravages sur votre infrastructure et entraîner une perte de données critiques.
Élargir votre surface d'attaque
Plus les ressources du Shadow IT sont utilisées au sein de votre organisation, plus sa surface d’attaque s’agrandit. Les surfaces d’attaque organisationnelles augmentent avec le shadow IT, mais le service informatique de votre organisation ne saura pas quelle est son ampleur tant qu’il n’aura pas connaissance de chaque composant du shadow IT utilisé en interne. Le Shadow IT signifie disposer de référentiels de données non gérés en dehors des limites de sécurité de l’organisation. Et quelque chose d’aussi stupide que des informations d’identification faibles ou par défaut pourrait exposer ces actifs non gérés à Internet. En plus de cela, les tests d’intrusion, la détection des intrusions, informations de sécurité et gestion des événements (SIEM) ou la gestion des journaux de menaces ne seront pas en mesure de couvrir le shadow IT, vous exposant ainsi potentiellement.
Statistiques du Shadow IT
Voici quelques statistiques relatives au shadow IT de 2020 (source : track.g2.com ) :
- 80% des travailleurs déclarent utiliser des applications SaaS au travail sans l'autorisation du service informatique.
- Utilisation du cloud du Shadow IT est estimé à dix fois la taille de utilisation connue du cloud .
- L'entreprise moyenne compte environ 108 services cloud connus contre. 975 services cloud inconnus .
- 35% des employés affirment qu’ils doivent contourner la politique de sécurité de leur entreprise pour faire leur travail.
- Environ vingt-et-un% des organisations n’ont pas de politique relative à l’utilisation des nouvelles technologies.
- 67% des équipes utilisent leurs propres outils de collaboration au quotidien.
Comment atténuer les risques du shadow IT au sein de votre organisation
Les conseils suivants devraient vous aider à atténuer les risques du shadow IT. Vous devez vous efforcer d’en mettre en œuvre autant que possible.
- Avoir une politique explicite en place – Vous devez vous assurer que votre organisation dispose d’une politique informatique fantôme et qu’elle est correctement communiquée à l’ensemble du personnel. Votre première ligne de défense contre les risques du shadow IT devrait être la pleine conscience. Votre personnel doit comprendre les risques liés à l’utilisation de logiciels, de matériels et de services cloud non approuvés.
- Avoir un processus d'approbation simple pour les nouveaux outils – Décourager votre personnel d’expérimenter et de proposer de nouveaux et meilleurs outils pour accomplir le travail n’est pas une stratégie gagnante. Non seulement vous souhaitez que les contributions de votre personnel rendent vos opérations plus fluides et plus efficaces, mais cette rigidité pourrait également étouffer l’innovation au sein de votre organisation. La mise en œuvre d’un processus d’approbation clair et simple pour les nouveaux logiciels et outils est une meilleure option. De cette façon, les employés se sentiront à l’aise pour discuter de la possibilité d’utiliser de nouveaux outils auprès du service informatique, et le service informatique continuera à avoir une visibilité sur ce qui se passe et pourra sécuriser correctement l’infrastructure de l’organisation.
- Gérer les autorisations des utilisateurs – La gestion des autorisations des utilisateurs sur le réseau de votre organisation est quelque chose que vous devriez faire, quels que soient les risques liés au shadow IT. C’est une pratique qui peut vous éviter bien des ennuis si l’un des appareils de vos utilisateurs est compromis. La gestion des autorisations des utilisateurs compartimentera les dommages pouvant être causés en cas de violation. Dans un contexte de shadow IT, définir les autorisations des utilisateurs pour interdire l'installation de logiciels « étrangers » ou pour interdire aux appareils inconnus de se connecter au réseau est susceptible d'obliger vos utilisateurs à se rendre au service informatique et à discuter du problème. Couplé au point ci-dessus, cela conduirait à l’approbation officielle du logiciel, du service ou de l’appareil, préservant ainsi la capacité du service informatique à savoir ce qui se passe et à sécuriser le réseau.
- Mettre en place des mécanismes de protection et de surveillance des terminaux – L’une des principales raisons pour lesquelles le shadow IT est considéré comme une menace est que les points finaux sont une cible courante pour les acteurs malveillants. En mettant en place des mécanismes robustes de protection et de surveillance des points finaux, votre organisation sera en mesure d'identifier les activités suspectes et d'y réagir rapidement.
- Renforcer la sécurité DNS au niveau du réseau – La plupart des réseaux d'entreprise s'appuient fortement sur le DNS. Pour cette raison, les serveurs DNS sont une cible courante pour les acteurs malveillants, car ils peuvent contenir des informations précieuses sur le réseau. Les outils de sécurité courants, comme les pare-feu et les serveurs proxy, ne se concentrent généralement pas sur le DNS. Cependant, une fois sécurisé, le serveur DNS peut constituer votre première ligne de défense. En surveillant le DNS de votre réseau, le service informatique peut détecter les anomalies du réseau et obtenir une visibilité sur les appareils qui rejoignent ou quittent le réseau, permettant ainsi un temps de réponse plus court en cas de problème.
- Assurez-vous d'utiliser un courtier de sécurité d'accès au cloud (CASB) - UN CASB est un logiciel capable de surveiller l'activité entre les utilisateurs et les applications cloud et d'appliquer des politiques de sécurité. La plupart des logiciels CASB peuvent être intégrés aux systèmes de gestion des informations et des événements de sécurité (SIEM), rationalisant ainsi votre collecte de journaux et permettant à votre service informatique de corréler l'utilisation du cloud avec d'autres activités.
- Disposer d'un outil de gestion d'actifs automatisé – Cela permettra à votre service informatique de rechercher du matériel, des logiciels et des services non autorisés.
Conclusion
Alors voilà. Le Shadow IT est un type unique de vulnérabilité, basé sur le comportement humain. Les risques qui en découlent sont assez énormes, il est donc essentiel de garder le shadow IT à l’esprit lorsque vous essayez de sécuriser un réseau, même si ce n’est peut-être pas la première menace qui vous vient à l’esprit lorsque vous tentez de sécuriser votre infrastructure. Se défendre contre les risques du shadow IT nécessite un mélange de défenses politiques (comportement humain) et techniques (CASM, SIEB, protection des terminaux, etc.).
Espérons que ce qui précède vous aidera. Et avec un peu de chance, vous n’aurez peut-être jamais à faire face aux conséquences du Shadow IT.
Soyez prudent.