Discussion :

[Miary]

Le Shadow IT rend les organisations plus vulnérables aux cyberattaques selon des DSI anglais et allemands
Le niveau d'exposition n'étant pas maîtrisé

Le Shadow IT est un concept utilisé pour désigner l'ensemble des outils ou logiciels utilisés par le métier à l'insu de la DSI. Or la mission principale de cette dernière est de fournir des solutions informatiques adaptées aux activités de l’organisation. D’après une étude réalisée en Allemagne et au Royaume-Uni par Tenable Network Security, un spécialiste en sécurité informatique, le Shadow IT exposerait davantage les organisations aux cyberattaques. Il n'est pas facile de maîtriser le niveau d'exposition quand le responsable de la sécurité n'est pas au courant de l'utilisation d'applications tierces par les utilisateurs.

Tenable Network Security a réalisé un sondage auprès d’organisations en Allemagne et au Royaume-Uni. Plus de 50 % d’entre elles ont reconnu l'existence de Shadow IT au sein de leur organisation. Cependant, 88 % des DSI avouent que le Shadow IT rendait les organisations plus vulnérables aux cyberattaques. L’utilisation de ressources et d’applications inconnues aurait favorisé une cyberattaque au cours des 12 derniers mois, selon les déclarations de 65 % de DSI ayant participé à l’enquête en Allemagne. Le Shadow IT serait surtout présent au sein du département d’ingénierie, du département recherche et développement et du département des finances.

Cela expose les organisations à davantage de cyberattaques dans la mesure où la base de la sécurité est d’avoir un aperçu de ce qui est utilisé sur le réseau. Or avec le Shadow IT, le service informatique ne connait pas toujours les applications tierces utilisées par les employés d’une entreprise. D’après cette enquête, 38 % des organisations au Royaume-Uni et 50 % en Allemagne s’attendraient à ce que le Shadow IT continue à augmenter l’année prochaine.

Pour améliorer la performance d’une entreprise, le rôle de la DSI est de fournir aux utilisateurs des solutions informatiques. Cela représente un coût non négligeable pour l’organisation. Cependant, il arrive que ces derniers aient recours à des logiciels et outils tiers, et ce, à l’insu du service informatique. Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.

Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.

Source : Tenable Network Security

Et vous ?

Que pensez-vous de l’impact du Shadow IT sur la sécurité du réseau d’une organisation ?

Voir aussi :

Le Shadow IT est-il la réponse du métier à un manquement de la DSI ? Comment la DSI peut-elle en tirer parti pour améliorer son SLA ?

[transgohan]

Si on colle du shadow IT à la sortie de l'entreprise il est normal d'affaiblir la sécurité.
Je peux comprendre son utilisation, mais je l'accepte mal dans ce contexte (internet VS réseau interne ou machine déconnectée du réseau).
On est tous responsable de la sécurité de l'entreprise.

[blbird]

Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.

Pas toujours vrai, souvent l'application en question est tellement adaptée, que le retour sur investissement, effectué par le service ou la division auquel elle est destinée, est bien meilleur qu'une application généraliste.

Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.

Pas toujours vrai non plus malheureusement, dans la plupart des grosses sociétés (>10000), le service informatique est déjà débordé et n'a souvent pas le temps de s'occuper de ca.

Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.

[Escapetiger]

Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.

Oui blbird, les DSI des grands groupes sont confrontées à des objectifs contradictoires à savoir :

- gérer l'existant avec des moyens humains et financiers au meilleur rapport qualité/prix/délai, en régression constante à périmètre constant
- gérer les prestataires de service du fait de l'externalisation croissante de la DSI
- perte de la maîtrise globale du SI (Système d'Information)
- pression des divisions "métiers" et de leurs fournisseurs
etc ...

Voir à ce propos, le secteur de la banque/assurance en France, par exemple, pour le Legacy, en français le système hérité qui représente (de mémoire) jusqu'à 70 % du chiffre d'affaire récurrent encore de nos jours.

[Edit]
Et le (la) RSSI (Responsable de la sécurité des systèmes d'information) de l'entreprise doit composer avec tous ces facteurs (politique, budget, juridique, technique ...)

[Edit2]
Et pour le Legacy aux Etats-Unis, voir également cette actualité de developpez:
États-Unis : 75 % du budget IT consacré à la maintenance d'anciens systèmes durant l'année 2015

[MarieKisSlaJoue]

En l'état bien sur que le Shadow IT est une vraie menace pour la sécurité de l'entreprise. Et ca ne vas être que croissant avec les IoT pour ne citer que ça. Maintenant encadrer correctement le phénomène devient beaucoup moins menaçant. La sécurité du SI passe bcp plus par la connaissance des éléments et acteur du SI que par des protocoles de sécurité.

Ce qui manque aujourd'hui c'est une méthode efficace pour gérer le Shadow IT. Une méthode qui selon moi doit d'ailleurs plus être entre les mains du métier directement que entre celle de la DSI.

Si on prend ITIL, ca fonctionne très bien pour gérer l'IT connu et donc convient parfaitement a la DSI. Mais quand est-ce que on va enfin se demandé quel solution le métier a pour gérer l'IT qu'elle ne confie pas a la DSI
soit on offre des méthodes soit on surgonfle les effectifs de la DSI pour un résultat surement que très moyen. Je préfère donc plutôt miser sur de nouvelle méthode de gestion.

Et puis n'oublions pas que la première défense contre les cyber attaque c'est l'éducation et sensibilisation des utilisateurs

[LSMetag]

C'est sûr que la multiplication des applications "externes" est un facteur mathématique/possible de baisse de sécurité.

Mais en même temps, ce n'est pas notre faute si on nous fournit des outils ne répondant pas à nos besoins et nous empêchant d'être productifs, voire épanouis dans notre travail ! Ou inversement en ne nous fournissant pas les outils nécessaires.
Si on est développeurs, le shadow IT est plutôt à favoriser, sous un minimum de contrôle évidemment.

Pour l'utilisateur lambda, à voir.

[BufferBob]

bon je vais me faire un peu l'avocat du diable mais...

• la majorité des attaques réussies proviendront de l'intérieur du SI, un collègue foireux, une clé usb ou un laptop branché(e) sauvagement, éventuellement par un manager
• tandis que l'écrasante majorité des attaques est de nature automatisée, et les malwares divers ne prévoient en général que quelques vecteurs de propagation "grand public" qui excluent les connexions ssh chères aux administrateurs par exemple
• quid du télétravail ?

alors oui le "shadow IT" présente un risque évident, mais de mon point de vue c'est loin d'être la menace principale
ça représente un risque important dans l'optique ou un attaquant cible explicitement le SI en question, mais dans ce cas là même venir à bout du shadow IT ne suffira pas à se prémunir efficacement
par contre c'est un peu comme la lutte anti-terroriste ou anti-pédophilie, un bon marronnier pour justifier l'emprise grandissante de l'entreprise sur la moindre action du salarié, "un individu malveillant pourrait très bien cacher et/ou mettre au point des objets de nature à porter préjudice à l'intérieur même des toilettes, c'est pourquoi désormais on notera combien de fois vous allez pisser, quand et combien de temps vous y restez"