Le Shadow IT – utilisation d’outils numériques sans l’accord du département IT – est aujourd’hui considéré comme une menace grandissante pour la sécurité informatique. Même s’il ne s’agit pas d’une pratique malveillante, le Shadow IT présente des risques en matière de cybersécurité, notamment du fait de la multiplication des points d’entrée et de l’augmentation de la surface d’attaque.
Quels sont les différents types de Shadow IT ? Quels outils de détection utiliser pour le repérer ? Comment réduire les risques liés au Shadow IT ? De la surveillance des réseaux à la sensibilisation des collaborateurs, OverSOC fait le tour du sujet.
Qu’est-ce que le Shadow IT ?
Shadow IT : définition
L’expression « Shadow IT » désigne l’utilisation par les collaborateurs d’outils et de technologies (logiciels, services, applications, appareils, etc.) sans l’approbation ni la supervision du département IT. Si cette pratique n’est généralement pas motivée par une intention malveillante, elle présente néanmoins des risques en matière de sécurité informatique. Le phénomène du Shadow IT s’est amplifié avec l’essor du cloud et le besoin de mobilité des collaborateurs.
Les types les plus courants de Shadow IT
Il existe différentes formes de Shadow IT. Les plus courantes concernent :
• Les services cloud de stockage et de partage de fichiers.
• Les applications mobiles (applications de tchat, par exemple).
• Les périphériques personnels (smartphone, clé USB, etc.) utilisés par les collaborateurs pour accéder aux ressources de l’organisation.
• Les outils gratuits en ligne (convertisseur de PDF, outil de retouche d’image, etc.).
• Les appareils connectés intelligents (Shadow IoT).
Quels sont les risques liés au Shadow IT ?
Extension de la surface d’attaque
La multiplication des solutions utilisées au sein d’une organisation a pour effet d’augmenter la surface d’attaque. Par définition, les équipes IT ignorent l’utilisation de ces outils, qui ne sont donc pas soumis aux évaluations et contrôles de sécurité en place. L’utilisation d’outils non supervisés augmente le nombre de points d’entrée du système d’information.
Sécurité des données
Partager des données en dehors de l’environnement de l’organisation présente également des risques : perte ou fuite de données sensibles, divulgation de données confidentielles et/ou stratégiques, etc. Et ces atteintes à la sécurité des données peuvent avoir de multiples conséquences, à la fois financières et juridiques.
Impact sur la conformité et risque de non-conformité
Par ailleurs, rien n’indique que les outils utilisés sans l’accord du département IT sont conformes aux différentes réglementations en matière de cybersécurité et de protection des données : norme ISO 27001, RGPD, etc. Les organisations étant juridiquement responsables de la sécurité des données qu’elles manipulent, le Shadow IT expose à des amendes et des sanctions.
Charge de travail supplémentaire pour les équipes IT
Alors que les collaborateurs cherchent à améliorer leur productivité en utilisant des outils non supervisés, ils alourdissent la charge de travail des équipes IT en introduisant des logiciels et programmes non supervisés au sein du réseau de l’entreprise. Ces pratiques augmentent le risque de cyberattaques et d’atteintes aux données. Les équipes IT sont contraintes de renforcer leur surveillance, ce qui a pour effet d’accroître leur charge de travail.
Comment identifier et réduire le Shadow IT avec des outils de détection ?
Surveillance des réseaux
L’identification du Shadow IT passe par une surveillance proactive des réseaux. Des outils de recherche (Nmap, MMS, etc.) permettent de détecter des équipements ou, a minima, de récupérer des faisceaux d’indices sur des équipements connectés aux réseaux de manière non autorisée (terminaux, objets connectés, etc.). Mettre en place des requêtes sur le réseau aide également à faire ressortir des actifs « cachés ».
Analyse des journaux d’accès
L’analyse des journaux d’accès (principalement les journaux des systèmes et des réseaux) constitue une autre brique importante pour identifier le Shadow IT. Un SIEM ou un puits de logs permettent par exemple d’agréger d’importantes quantités de données, mais encore faut-il savoir interroger efficacement ces données (via des requêtes) et générer des alertes pertinentes (événement système, découverte d’une nouvelle IP, etc.).
Solutions de gestion des actifs informatiques
Réduire le Shadow IT nécessite d’avoir une solide gestion de ses actifs informatiques. Leur inventaire est chronophage, d’autant plus s’il est réalisé manuellement. L’inventaire, la gestion et la sécurisation des actifs (postes de travail, logiciels et comptes utilisateurs) sont pourtant essentiels pour comprendre ce qui se joue au sein du SI et savoir comment évolue la surface d’attaque d’une organisation.
Les solutions CAASM (Cyber Asset Attack Surface Management) permettent de réaliser un inventaire complet des actifs et de :
• Consolider les données et la priorisation du traitement des vulnérabilités.
• Contrôler les écarts entre les mesures réalisées par les outils de découverte existants et la réalité de la production (détection du Shadow IT), grâce à l’agrégation et la corrélation de différentes sources de données (EDR, antivirus, CMDB, résultats des scanners de vulnérabilités, etc.).
• Piloter la remédiation des risques majeurs.
• Aligner les pratiques de cybersécurité au sein des différents silos organisationnels et techniques.
• Avoir une vue holistique, un état exhaustif et à jour des actifs et des risques présents au sein de l’organisation.
Concrètement, les données sont agrégées via des API et des connecteurs qui facilitent l’intégration et l’échange d’informations avec les outils cyber déjà en place au sein de l’organisation. Adopter une solution CAASM comme le propose OverSOC ne consiste pas à ajouter un énième outil de sécurité, mais plutôt à optimiser le potentiel des investissements déjà effectués.
Promouvoir une culture de la sécurité informatique en s’appuyant sur un cadre
Entretenir une communication ouverte destinée à répondre aux besoins métiers
Le recours au Shadow IT peut être lié à une inadéquation entre les outils en place et les besoins des collaborateurs. Limiter le phénomène nécessite donc d’évaluer régulièrement les besoins, en impliquant les métiers et les fonctions transverses. Cela implique de se demander pourquoi les collaborateurs ont recours à des outils non autorisés, puis de juger s’il est effectivement nécessaire de faire évoluer les outils actuels à la lumière des besoins. Les organisations ont tout intérêt à accompagner, évaluer et sécuriser l’utilisation de nouveaux outils plutôt qu’à les interdire systématiquement. S’intéresser de près aux besoins métiers est une manière efficace de limiter le Shadow IT.
Créer des politiques internes d’approbation et de gestion des technologies
La méconnaissance des outils disponibles ou des politiques internes peuvent également contribuer au développement du Shadow IT. Les salariés doivent pouvoir exprimer simplement leurs besoins, qui sont ensuite étudiés par le département IT. Dans le cas où les demandes d’outils sont rejetées, des solutions équivalentes sont proposées aux collaborateurs. Le processus d’approbation de nouveaux outils doit être connu et simple (un formulaire avec les fonctionnalités attendues, par exemple).
Sensibilisation des collaborateurs et formation en sécurité
Les collaborateurs n’ont souvent pas conscience des risques qu’ils font courir à leur organisation en utilisant des outils sans avoir l’accord de leur département IT. Construire une démarche de sensibilisation et de formation à la sécurité informatique permet justement d’insister sur ces risques et de partager les bonnes pratiques à respecter.
Ce qu'il faut retenir
Surveiller son système d’information et rechercher les actifs informatiques « cachés » est indispensable pour détecter le Shadow IT et réduire les risques qui y sont associés. Les organisations ont également tout intérêt à aller au-delà d’une approche purement technique du Shadow IT. Sensibiliser les collaborateurs aux risques informatiques, évaluer leurs besoins et leur fournir un cadre d’approbation des nouveaux outils participent également à une prise en charge efficace du phénomène.
Vous aimeriez savoir comment OverSOC peut vous aider à révéler le Shadow IT au sein de votre organisation ? Contactez-nous.
