L’utilisation de services Web d’entreprise et non corporatifs est désormais une certitude dans les lieux de travail de toute taille, portée et secteur. Différents services cloud offrent différents avantages à divers services, et les nouveaux médias sociaux, le partage de fichiers et les outils SaaS ont fourni un moyen de plus en plus pratique pour les collègues de collaborer. La recherche suggère que cela se produit jusqu’à 89% dans les grandes entreprises et 92% dans les PME.
Bien entendu, le passage au travail à distance a aggravé l’acceptation croissante de ces pratiques, et cela commence à les consolider en tant que nouvelle norme. Le passage aux bureaux à domicile a laissé de nombreux employés à court de personnel informatique, ce qui signifie que les services Web et technologiques non professionnels sont devenus des solutions indispensables. Cela signifiait également que la frontière entre l’entreprise et le personnel s’est estompée, ce qui a conduit les employés à utiliser de plus en plus la technologie d’entreprise pour des questions personnelles – comme jouer à des jeux, diffuser des films ou même regarder du porno.
Avec tout cela se produisant à un rythme aussi rapide, de nombreuses entreprises n’ont pas encore reconnu l’importance de ces changements, et encore moins évaluer les risques potentiels associés à la prévalence croissante de l’informatique parallèle. Comme pour tous les nouveaux développements, nous devons prendre le temps d’explorer les risques, les avantages et les solutions possibles.
A propos de l’auteur
Alexander Moiseev est Chief Business Officer chez Kaspersky
Sommaire
Sécurité des données: quelles sont les principales préoccupations du shadow IT?
Les services d’entreprise autorisés pour la communication, la collaboration, le stockage et le partage de fichiers sont censés être correctement configurés par les équipes informatiques de l’entreprise et disposer du niveau requis de contrôle d’accès, de protection des données et de gestion des incidents. Cela signifie qu’une entreprise a un bon niveau de transparence et garantit que personne en dehors de l’entreprise ne peut accéder à l’espace de l’entreprise et à son contenu (du moins sans outils malveillants avancés).
En ce qui concerne les services non professionnels tels que les messageries, le partage de fichiers, le courrier électronique ou un CRM, il est difficile de savoir si les données que les employés partagent par leur intermédiaire sont en sécurité. Il y a des questions, telles que si les employés utilisent des mots de passe forts, comment ils accèdent au service et à partir de quels appareils, ou qui gère l’accès si les gens quittent l’entreprise.
C’est un facteur humain naturel qu’un employé peut simplement oublier de définir un mot de passe ou de limiter le cercle des lecteurs et des éditeurs pour un document partagé. Les applications peuvent également être exposées à des actions malveillantes. Les fraudeurs peuvent abuser ou même prendre le contrôle des comptes des utilisateurs par hameçonnage ou ingénierie sociale, comme en 2019 lorsque des acteurs malveillants ont abusé de la populaire plateforme de partage de fichiers WeTransfer. Ils ont envoyé des fichiers malveillants via WeTransfer qui, une fois téléchargés, redirigeaient les victimes vers une fausse page de connexion Microsoft Office 365 qui récupérait les informations de connexion si une victime les mettait dans le formulaire.
Lorsque le shadow IT reste inévitable, les entreprises doivent chercher à le gérer
Compte tenu du niveau de risque associé, une approche peut consister à tenter de réduire complètement le shadow IT et de bloquer l’accès à tous les services non d’entreprise. Cependant, ce n’est pas toujours une solution réaliste (ou populaire) pour chaque entreprise, en particulier dans les circonstances actuelles. Souvent, le shadow IT peut présenter des solutions uniques et flexibles pour les entreprises, donc l’interdire peut être contre-intuitif.
Par exemple, quelques années, une VP avait payé de sa propre poche un CRM, contournant le système autorisé suggéré par son équipe informatique. Lorsque l’entreprise a été informée, elle a fait face à des mesures disciplinaires, malgré que, grâce à ce CRM, elle ait pu augmenter le chiffre d’affaires de l’entreprise de 1 million de dollars par mois.
D’abord et avant tout, la sensibilisation du personnel à l’utilisation sécurisée des services numériques – de la messagerie d’entreprise au logiciel d’ingénierie dédié ou même à WhatsApp – est essentielle pour améliorer la cybersécurité au sein de l’entreprise. S’il existe une politique d’entreprise qui n’autorise pas les employés à partager des documents commerciaux via des applications non autorisées, ils doivent le savoir. Lors de la gestion des outils, les employés doivent être conscients des éléments de base, tels que la gestion des accès et des mots de passe. Ils doivent également apprendre les règles de sécurité de base, comme ne pas ouvrir les pièces jointes ou cliquer sur les liens dans les e-mails d’expéditeurs inconnus, ne pas télécharger de logiciel à partir de sources non officielles et toujours vérifier l’URL des pages Web qui demandent des informations de connexion.
Quand on parle de cybersécurité, il vaut mieux utiliser le bon ton de voix: ne pas punir mais éduquer, rappeler, tester et rappeler à nouveau. Expliquez à votre personnel pourquoi il est si important et comment il soutient l’entreprise et sa tranquillité d’esprit. L’équipe peut continuer à utiliser les services pour le travail, mais il est essentiel qu’elle respecte les règles et ne viole pas la politique de protection des données.
D’un autre côté, il est également crucial d’obtenir une visibilité ombragée de l’informatique, et les entreprises doivent rechercher activement des voies sûres pour l’intégration. A savoir, il existe déjà des outils dédiés qui permettent aux équipes de gérer l’accès aux clouds publics. Ces outils peuvent décrire quels services sont utilisés plus facilement, ainsi que mettre en évidence quels services offrent un potentiel de transfert / stockage de données et déterminer le degré de risque que cela représente. Cela peut fonctionner à la fois en tant que solution autonome ou lorsqu’il est intégré à une sécurité de point de terminaison. Par exemple, avec l’aide de la découverte du cloud, nous avons découvert que YouTube est l’application à laquelle les employés accèdent le plus sur les appareils de l’entreprise. YouTube ne propose pas d’options de partage de fichiers ou de traitement de données d’entreprise, le risque est donc minime.
Comme pour tous les autres aspects liés à la collaboration sur le lieu de travail, le succès repose souvent sur des processus clairs et une culture d’entreprise transparente. L’histoire mentionnée ci-dessus concernant un CRM «parallèle» pourrait se produire n’importe où. Dans de nombreux cas, les équipes informatiques peuvent ne pas être ouvertes à la prise en compte des demandes entrantes. Bien que cela puisse souvent être le résultat d’un manque de temps et de ressources, cela peut également refléter une culture d’entreprise qui n’est pas ouverte au changement. Des pratiques solides doivent être en place pour aider les employés à contacter les équipes de support. Même si un service d’assistance ne peut pas fournir ce qui est requis, les employés doivent toujours recevoir des conseils appropriés sur les solutions potentielles.
La raison pour laquelle le shadow IT est de plus en plus répandu est que le «chemin de moindre résistance» fait partie de notre ADN. Il est dans la nature humaine de rechercher le moyen le plus simple et le plus pratique de faire quelque chose, y compris notre travail. En tant que telles, les entreprises doivent non seulement trouver des moyens de gérer et d’éduquer leurs employés sur le shadow IT, mais elles doivent également mieux comprendre comment et pourquoi les employés y comptent. En ce sens, l’approche du shadow IT devrait être la même pour tous les autres problèmes de collaboration sur le lieu de travail, qui est une approche basée sur une communication positive et la confiance.
