Il est presque impossible de trouver des outils logiciels qui plaisent à tout le monde. Il y aura toujours au moins un employé qui connaît un service gratuit dix fois mieux que celui qu’a choisi l’entreprise. Si cette personne commence à utiliser et à recommander activement cette autre option à ses collègues, on assiste à un phénomène connu comme le Shadow IT. Parfois, cela aide vraiment l’entreprise à trouver une solution mieux adaptée à ses besoins mais, le plus souvent, ce n’est qu’une source de tracas.
Si les gens étaient plus malins, ils soumettraient d’abord leurs idées au département chargé de la sécurité. Mais nous ne vivons pas dans un monde parfait, et les employés utilisent souvent des services de partage de fichiers, des applications de messagerie électronique sur le web, des clients de réseautage social ou des services de messagerie sans réfléchir aux conséquences.
Le problème n’est pas nécessairement que l’outil soit une nouvelle messagerie instantanée gratuite bricolée sur le pouce. Il peut simplement s’agir d’un service bien établi. Le problème, c’est que ni les spécialistes de la sécurité, si votre entreprise en possède, ni le service informatique, ne savent ce qui se passe. Cela signifie que l’application non homologuée n’est pas prise en compte dans les modèles de menace des infrastructures, dans les diagrammes de flux de données et dans les décisions de planification de base. C’est la porte ouverte à tous les problèmes.
Probabilité de fuites
Qui sait quels pièges peut supposer l’utilisation d’outils tiers ? Toute application, qu’elle soit basée sur le Cloud ou hébergée localement, peut avoir de nombreux paramètres subtils qui contrôlent la confidentialité. De plus, tous les employés ne sont pas des pros de logiciels. Les cas d’employés qui laissent des tableaux contenant des données personnelles non sécurisées dans Google Documents sont nombreux, pour ne citer qu’un exemple évident.
D’autre part, les services peuvent présenter des vulnérabilités qui permettent à des tiers d’accéder à vos données. Leurs auteurs peuvent combler les failles rapidement, mais qui s’assurera que les employés installent tous les correctifs nécessaires pour les applications côté client ? Sans l’intervention du service informatique, vous ne pouvez même pas être sûr qu’ils recevront un mémo sur la mise à jour. En outre, il est rare que quelqu’un soit responsable de la gestion des droits d’accès aux applications et services non autorisés (par exemple, pour révoquer les privilèges après un licenciement), si cette fonctionnalité est disponible ! En résumé, personne n’est responsable de la sécurité des données transmises ou traitées par des services non approuvés par le service informatique ou votre équipe de sécurité.
Violation des exigences réglementaires
De nos jours, les pays du monde entier ont des lois qui indiquent aux entreprises comment elles doivent traiter les données personnelles. Il faut y ajouter les nombreuses normes industrielles sur ce même sujet. Les entreprises doivent se soumettre à des audits périodiques pour satisfaire aux exigences des différents organismes de réglementation. Si un audit découvrait soudainement que les données personnelles des clients et des employés étaient envoyées en utilisant des services peu fiables, sans que le service informatique ne le sache, l’entreprise pourrait devoir payer une amende substantielle. Autrement dit, une entreprise n’a pas besoin d’être victime d’une véritable violation des données pour se retrouver dans le pétrin.
Gaspillage du budget
Utiliser un outil alternatif au lieu de l’outil recommandé peut paraître anodin, mais pour l’entreprise, c’est un gaspillage d’argent, dans le meilleur des cas. Après tout, si le service informatique achète des licences pour chaque participant approuvé dans le flux de travail, mais que tout le monde n’utilise pas la sienne, il a jeté de l’argent par les fenêtres.
Que faire à propos du Shadow IT
Ce phénomène doit être géré, pas combattu. Si vous pouvez garder la situation sous contrôle, vous pouvez non seulement améliorer la sécurité des données dans votre entreprise, mais aussi trouver des outils réellement populaires et utiles qui peuvent être déployés dans toute l’entreprise.
En ce moment même, en pleine situation de pandémie et de télétravail, les risques liés à l’utilisation d’applications et de services non approuvés augmentent. Les employés sont obligés de s’adapter aux nouvelles conditions et ils essaient généralement de trouver de nouveaux outils qu’ils estiment mieux adaptés à leur télétravail. C’est pourquoi nous avons ajouté quelques fonctionnalités supplémentaires à la version mise à jour de Kaspersky Endpoint Security Cloud, pour détecter l’utilisation de services et d’applications Cloud non approuvés.
De plus, Kaspersky Endpoint Security Cloud Plus peut également bloquer l’utilisation de ces services et applications. Cette version de la solution donne également à l’entreprise l’accès à Kaspersky Security for Microsoft Office 365, qui fournit une couche de protection supplémentaire pour Exchange Online, OneDrive, SharePoint Online et Microsoft Teams.
Vous pouvez en savoir plus sur notre solution Kaspersky Endpoint Security Cloud et l’acheter sur notre site officiel.