Selon une étude récente conduite par Kaspersky, dans un contexte où le personnel des entreprises est de moins en moins centralisé, les entreprises s’exposent de plus en plus à des cyberincidents liés à l'utilisation de l'informatique fantôme (Shadow IT) par leurs employés. Selon l’étude, 81 % des entreprises françaises ont été la cible de cyberincidents au cours des deux dernières années, et 10 % d'entre eux ont été causés par le recours au Shadow IT.
Une étude[1] récente de Kaspersky a montré qu'au cours des deux dernières années, 10 % des entreprises françaises ont subi des cyberincidents causés par l'utilisation de ressources informatiques non autorisées par leurs employés. Qu'il s'agisse de fuite de données confidentielles ou de dommages tangibles pour l'entreprise, l’informatique fantôme peut représenter des risques aggravés pour toute organisation, et ses conséquences potentielles ne doivent pas être négligées.
Qu'est-ce que l'informatique fantôme ?
L'informatique fantôme est la partie de l'infrastructure informatique de l'entreprise qui n'est ni du ressort des services informatiques ni du service de sécurité de l'information : les applications, les appareils, les services publics du cloud, etc. Le déploiement et l'exploitation du Shadow IT peuvent avoir de graves conséquences pour les entreprises. Les experts de Kaspersky ont révélé que le secteur des transports et de la logistique avait été le plus affecté par le problème en Europe, subissant 15 % des cyberincidents imputés à l’informatique fantôme en 2022 et 2023, suivi par l’industrie manufacturière (12,5 %) et les entreprises de technologie de l’information (11,5 %). A noter qu’en Europe, les infrastructures critiques sont nettement moins concernées par les attaques liées au Shadow IT (3,5 %) que la moyenne globale (13 %).
Récemment, l’entreprise Okta a subi une attaque qui illustre bien les dangers que peuvent causer le recours à l'informatique fantôme. En septembre 2023, un employé utilisant un compte Google personnel sur un appareil appartenant à l'entreprise a involontairement permis à des acteurs malveillants d'obtenir un accès non autorisé au système de service client d'Okta. Ils ont ainsi pu détourner des fichiers contenant des identifiants de session qui pouvaient être utilisés pour mener des attaques. Selon le rapport publié par l’entreprise, cet incident a duré 20 jours et touché 134 de ses clients.
Comment s’en protéger ?
De quoi faut-il être vigilant lorsque l’on souhaite se parer contre le Shadow IT ? Il peut s'agir d'applications non autorisées installées sur les ordinateurs des employés, de clés USB non fournies par l’entreprise, de téléphones mobiles, d'ordinateurs portables, etc. Mais il peut aussi y avoir des vecteurs moins évidents, comme le matériel d’entreprise devenu obsolète après la mise à niveau ou la réorganisation de l'infrastructure informatique. Il peut être utilisé en douce par d'autres collaborateurs et générer des vulnérabilités qui, tôt ou tard, viendront fragiliser l'infrastructure informatique de l'entreprise.
Il arrive par ailleurs que les informaticiens et les programmeurs créent eux-mêmes des programmes sur mesure pour optimiser le flux de travail au sein d'une équipe ou d'un service, ou encore pour résoudre des problèmes en interne. Cependant, ces programmes peuvent parfois être utilisés sans l’aval du service de sécurité informatique, ce qui peut avoir des conséquences désastreuses.
« Les employés qui utilisent des applications, des appareils ou des services cloud qui ne sont pas approuvés par le département informatique estiment que, si ces ressources proviennent de fournisseurs dignes de confiance, ils devraient être protégés et sûrs. Cependant, dans les "conditions générales", les fournisseurs en réfèrent à ce que l'on appelle le "modèle de responsabilité partagée". Ce modèle stipule qu'en cochant "J'accepte", les utilisateurs s’engagent à effectuer des mises à jour régulières de ce logiciel et qu'ils assument la responsabilité des incidents liés à son utilisation (y compris les fuites de données d'entreprise). En fin de compte, les entreprises ont toujours besoin d'outils pour contrôler l’utilisation que les employés font du Shadow IT. Kaspersky Endpoint Security for Business et Kaspersky Endpoint Security Cloud mettent à disposition des fonctions de surveillance des applications, du web et des périphériques qui limitent les utilisations non autorisées. Le SOC doit bien entendu continuer à effectuer en parallèle des analyses régulières du réseau interne de l'entreprise afin d'éviter l'utilisation de matériel, de services et d'applications non contrôlés et non sûrs », commente Alexey Vovk, responsable de la sécurité de l'information chez Kaspersky.
En général, le contrôle de l'utilisation de l'informatique fantôme est compliqué par l’absence de sanction à l’encontre des employés qui ne respectent pas les politiques en vigueur. C’est d’autant plus problématique que l’on estime que l'informatique fantôme pourrait devenir l'une des principales menaces pour la cybersécurité des entreprises d'ici à 2025. Il faut toutefois noter que les employés n'utilisent pas toujours le Shadow IT à des fins malveillantes, bien au contraire : dans de nombreux cas, les employés exploitent les options offertes par l’informatique fantôme pour augmenter les capacités des produits qu’ils utilisent, car ils estiment que le panel des logiciels autorisés est insuffisant, ou parce qu'ils sont plus habitués au fonctionnement de leur ordinateur personnel.
Pour atténuer les risques liés à l'utilisation de l'informatique fantôme dans une organisation, Kaspersky fait les recommandations suivantes :
● Afin de créer de nouveaux services informatiques et d'améliorer les services existants des entreprises, il faut assurer la coopération entre les services commerciaux et informatiques pour discuter des nouveaux besoins commerciaux et obtenir des feedbacks sur les services informatiques utilisés.
● Réalisez régulièrement un inventaire des actifs informatiques et analysez votre réseau interne pour éviter l'apparition de matériel et de services non contrôlés.
● En ce qui concerne les appareils personnels des employés, il est préférable de donner aux utilisateurs un accès limité aux ressources dont ils ont besoin pour faire leur travail. Utilisez un système de contrôle d'accès qui n'autorise que les appareils autorisés à pénétrer dans le réseau.
●
Proposez des formations pour améliorer les connaissances des
employés en matière de sécurité informatique. Pour sensibiliser les employés à
la sécurité, formez-les avec le programme de formation Kaspersky Automated
Security Awareness Platform, qui vise à donner des bonnes pratiques
● Investissez dans des programmes de formation pertinents pour les spécialistes de la sécurité informatique. La formation en ligne de Kaspersky Cybersecurity for IT permet d’élaborer des pratiques simples mais efficaces en matière de sécurité informatique, ainsi que des outils de gestion de la sécurité. Kaspersky Expert Training permet à votre équipe de sécurité d'acquérir les connaissances et les compétences en matière de gestion afin d'atténuer les menaces.
● Utilisez des produits et des solutions qui vous permettent de contrôler l'utilisation de l'informatique fantôme au sein de votre organisation. Kaspersky Endpoint Security for Business et Kaspersky Endpoint Security Cloud offrent des contrôles d'applications, de sites Web et de périphériques qui limitent les utilisations non autorisées. Cela réduit ainsi les risques de cyberincident, même dans les cas où les employés utilisent l'informatique fantôme ou commettent des erreurs de cybersécurité.
● Procédez régulièrement à un inventaire des actifs informatiques afin d'éliminer l'apparition d'appareils abandonnés et de matériel obsolète.
● Organisez un processus centralisé de publication des solutions afin que les spécialistes de l'informatique et de la sécurité de l'information puissent en prendre connaissance en temps utile.
● Limitez le recours, par les employés, de services externes et, si possible, bloquez l'accès aux services de données cloud les plus populaires.
Le rapport complet et d'autres informations sur le facteur humain dans la cybersécurité sont disponibles ici.
[1] L'enquête a été menée dans 19 pays : Brésil, Chili, Chine, Colombie, France, Allemagne, Inde, Indonésie, Japon, Kazakhstan, Mexique, Russie, Arabie Saoudite, Afrique du Sud, Espagne, Turquie, EAU, Royaume-Uni et États-Unis.