Crédit : Shutterstock
Indépendamment des années d’initiatives de modernisation, les RSSI sont toujours aux prises avec un problème de la vieille école : shadow IT, innovation qui opère au sein d’une entreprise mais qui n’est pas officiellement sanctionnée – ou sur le radar – du service informatique.
Les applications logicielles, les services et les appareils non vérifiés peuvent être un casse-tête pour une équipe de sécurité, présentant éventuellement une foule cachée de vulnérabilités, de points d’entrée pour les mauvais acteurs et de logiciels malveillants.
En vérité , c’est un problème plus important que jamais et qui pourrait même s’aggraver. Considérez les chiffres de la société de recherche Gartner, qui a découvert que 41 % des travailleurs ont obtenu, modifié ou créé une technologie en dehors de la visibilité de l’informatique en 2022 et s’attend à ce que ce nombre atteigne 75 % d’ici 2027.
Pendant ce temps, l’étude de 2023 sur l’informatique fantôme et la gestion de projet de la plateforme d’examen technologique Capterra a révélé que 57 % des petites et moyennes entreprises ont déployé des efforts d’informatique fantôme à fort impact se déroulent en dehors de la compétence de leurs services informatiques.
Les spécialistes affirment qu’un changement dans ce qui constitue l’informatique fantôme et qui en est responsable est à l’origine de ces statistiques. Au début, le shadow IT était peut-être un serveur non autorisé qu’un développeur établissait pour des travaux de skunk. Plus tard, il s’agissait de systèmes exécutés par des responsables de système d’organisation sans la participation du service informatique, car ils favorisaient un fournisseur ou une application particulière par rapport à celui déployé et maintenu par le service informatique.
Ces formes antérieures de shadow IT développaient des risques, les principales préoccupations dans de tels exemples, il y avait du travail et des coûts supplémentaires que les systèmes supplémentaires incluaient dans les coûts d’innovation de l’organisation ainsi que l’absorption inévitable des systèmes fantômes dans le portefeuille principal du service informatique.
Aujourd’hui, l’informatique fantôme est plus large et plus omniprésente, et elle est introduite dans l’organisation par une variété croissante de travailleurs qui peuvent introduire rapidement et facilement des produits et services technologiques pour leur lieu de travail sans consulter l’informatique ou l’équipe de sécurité.
L’informatique fantôme ressemble aujourd’hui à « 10 000 fleurs épanouies »
« Shadow IT est de retour, et il est de retour en force. Mais c’est différent aujourd’hui. Ce sont des employés privés qui produisent, obtiennent et ajustent la technologie pour le travail. Ces personnes ont fini par devenir des technologues « , déclare Chris Mixter, vice-président de la recherche chez Gartner. « Maintenant, le shadow IT ressemble à 10 000 fleurs en fleurs. Et vous ne pouvez pas l’arrêter. Vous ne pouvez pas dire aux employés : ‘Arrêtez de faire ça’, car vous, en tant que sécurité, ne savez même pas ce qu’ils font. «
Un mélange de produits ou de services technologiques constitue aujourd’hui l’informatique fantôme. L’informatique peut toujours être composée de quelques serveurs non autorisés cachés quelque part, mais la facilité d’utilisation des applications logicielles contemporaines suggère qu’il est plus susceptible d’être composé de versions d’innovation plus importantes et omniprésentes. Les applications basées sur le cloud et les logiciels en tant que service établis par une unité organisationnelle ou même un seul employé prédominent.
« Le cloud a en fait rendu l’informatique fantôme beaucoup plus facile à exister car dans le passé, lorsque vous utilisiez d’avoir à acquérir du matériel et à comprendre comment obtenir une connexion réseau, il y avait une barrière à l’entrée. Le cloud a en fait réduit cette barrière », déclare Joe Nocera, responsable du Cyber Personal Privacy Development Institute de la société de services d’experts PwC.
Les interfaces IoT et les API non documentées augmentent le risque lié au shadow IT
Naturellement, le cloud n’est pas le seul facteur du shadow IT actuel. La facilité de déploiement des composants Web des objets (IoT) et d’autres gadgets de point de terminaison ajoute également au problème.
Les applications tierces non documentées et non suivies montrent que les interfaces utilisateur (API) sont un autre type d’informatique fantôme qui est devenu courant dans de nombreuses organisations. Un rapport de mai 2023 de l’entreprise technologique Cequence Security a découvert que 68 % des organisations analysées avaient effectivement exposé des API fantômes.
La facilité d’accès aux ressources cloud est certainement un aspect qui contribue à la prolifération de l’informatique fantôme aujourd’hui. « Vous avez toutes ces choses où tout ce dont vous avez besoin [pour les libérer] est une carte de paiement – ou pas, parfois elles sont tout simplement totalement gratuites », déclare Raffi Jamgotchian, PDG de Triada Networks, une société de services informatiques et de cybersécurité. Néanmoins, cette facilité d’accès dément les graves dangers que présente désormais l’informatique fantôme. à leur apporter pour les sécuriser. Pour aggraver les choses, ils placent fréquemment des informations sensibles dans ces applications pour faire leur travail.
En conséquence, ces travailleurs créent des points d’entrée que les pirates peuvent utiliser pour accéder à l’environnement informatique de l’entreprise afin de lancer toutes sortes d’attaques. Ils exposent également des informations exclusives à des fuites et à un éventuel vol. Et ce faisant, ils enfreignent potentiellement les exigences réglementaires en matière de sécurité des données et de confidentialité.
L’informatique fantôme peut accroître les problèmes de conformité et de réglementation
Jamgotchian a dû faire face à une entreprise condamnée à une amende par un organisme de réglementation parce que les applications utilisées par les employés n’étaient pas suffisamment sûres et sécurisées et n’archivaient pas les informations comme l’exige la loi ; Dans ce cas, le superviseur de l’entreprise avait donné aux employés l’autorisation tacite de télécharger et de travailler avec des applications en dehors de la vue de l’informatique (et, par conséquent, du service de sécurité), ce qui a conduit à la violation de la conformité.
Les experts disent que l’informatique fantôme augmente considérablement les possibilités que les articles et services ainsi que les fournisseurs qui les vendent soient exclus de tout examen de diligence raisonnable, car l’informatique et la sécurité sont exclues de la procédure de sélection. « Cela fait partie de l’obstacle lorsque des personnes utilisent ces applications sans demander si elles proviennent d’un fournisseur fiable », explique Joseph Nwankpa, professeur associé de systèmes d’information et d’analyse à la Farmer School of Company de l’université de Miami.
Les risques de cybersécurité qui en résultent sont importants. Prenez les conclusions d’un rapport de 2022 de Cequence Security qui gardait à l’esprit que 5 milliards des 16,7 milliards de requêtes nuisibles observées, soit 31 %, ciblaient des API non identifiées, non gérées et non protégées. L’étude de Capterra de 2023 a révélé que 76 % des petites et moyennes entreprises interrogées ont déclaré que les efforts de shadow IT présentaient des menaces de cybersécurité modérées à graves pour l’entreprise.
Le manque d’examen de la sécurité est le plus gros problème du shadow IT
Et Gartner a constaté que les technologues de l’entreprise, ces employés des unités commerciales qui produisent et apportent de nouvelles technologies, sont 1,8 fois plus susceptibles que les autres employés d’agir de manière non sécurisée dans tous les comportements.
« Le cloud a en fait a rendu très facile pour tout le monde d’obtenir les outils qu’il voulait, mais le problème, c’est qu’il n’y a pas d’évaluation de la sécurité, donc cela développe un danger incroyable pour de nombreux services, et beaucoup ne savent même pas que cela se produit », déclare Sweet Alexander , CISO chez NeuEon et président de l’Information Systems Security Association (ISSA) International.
Pour réduire les risques de shadow IT, les CISO doivent d’abord comprendre l’étendue de la situation au sein de leur entreprise. « Il faut savoir à quel point elle s’est propagée dans votre entreprise », explique Pierre-Martin Tardif, enseignant en cybersécurité à l’Université de Sherbrooke et membre du Groupe de travail sur les tendances émergentes de l’association d’experts en gouvernance des TI ISACA. Des technologies telles que les outils de gestion SaaS, les services d’évitement des pertes de données et les capacités d’analyse aident toutes à identifier les applications et les gadgets non autorisés au sein de l’entreprise.
Recherchez les coûts qui indiquent une utilisation non autorisée de la technologie
Jon France , RSSI chez (ISC)², un organisme de formation et de certification à but non lucratif, déclare qu’il conseille aux RSSI de traiter également avec l’équipe d’approvisionnement et le service financier de leur organisation pour repérer les coûts qui pourraient indiquer une surveillance informatique. Il déclare que la numérisation des rapports sur les coûts des employés est particulièrement utile pour découvrir l’informatique fantôme, car elle permet de découvrir une demande de compensation pour des coûts technologiques trop faibles pour passer par la procédure d’approvisionnement.
La France et d’autres déclarent que les RSSI font de même doivent informer les travailleurs des menaces de sécurité présentées par le shadow IT, mais tempérer les attentes quant à la capacité de cette formation de sensibilisation à les prévenir, déclare Mixter. Il dit que la plupart des employés connaissent les menaces de sécurité qu’ils créent, mais progressent quand même dans leurs stratégies : les recherches de Gartner montrent que 69 % des membres du personnel ont délibérément contourné l’assistance en matière de cybersécurité au cours des 12 derniers mois.
Éduquer les employés sur la manière de onboard new tech
Mixter affirme que les employés qui déploient l’informatique fantôme ne nuisent pas à leurs activités. Au contraire, ils essaient d’accomplir leur tâche plus efficacement et recherchent des outils pour les aider à atteindre cet objectif. C’est pourquoi, en plus de la formation de sensibilisation, les RSSI doivent s’efforcer de les responsabiliser en renforçant leurs compétences en matière de sécurité.
« Les RSSI doivent passer à la structure des compétences, pour ‘Laissez-moi vous aider à comprendre comment faites-le en toute sécurité », déclare Mixter. Selon Mixter, cela signifie :
- Développer une assistance ciblée sur les technologues d’entreprise.
- Offrir des options aux technologues d’entreprise pour protéger leur travail.
- Aider l’entreprise les technologues obtiennent les accréditations de sécurité pertinentes.
- Intégrer des options de cybersécurité dans les flux de travail des technologues d’entreprise.
- Élaborer des politiques qui couvrent clairement les activités des technologues de l’organisation.
« CISOs doivent découvrir à quel point ils ont besoin de compétences en matière de sécurité, en comprenant qu’ils ne peuvent pas transformer tout le monde en professionnels de la sécurité, ils doivent donc identifier les compétences minimales dont ils ont besoin », déclare Mixter.
Ce travail paie off, il comprend. Gartner a en fait constaté que ceux qui ont suivi une formation ciblée sur leurs activités liées à la technologie sont 2,5 fois plus susceptibles d’éviter de présenter une cybermenace supplémentaire et plus de deux fois plus susceptibles d’agir beaucoup plus rapidement que les technologues d’entreprise sans une telle formation.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur