AVIS D’EXPERT – Serge Niango, Head of Sale Engineering chez Citrix France, détaille les risques acrus du shadow IT liés l’augmentation du travail hybride et les solutions pour lutter contre ce problème.
Le monde est soudainement passé au télétravail à l’arrivée de la pandémie. En l’espace de quelques semaines, les entreprises ont déployé des outils et des technologies numériques afin de faciliter le travail à distance partout. Cette accessibilité a même été étendue pour permettre aux employés de travailler à partir de n’importe quel appareil, combinant souvent les appareils de l’entreprise et leurs propres appareils pour effectuer leurs tâches quotidiennes.
Ces technologies, qui visaient à garantir accessibilité et simplicité aux collaborateurs, présentent encore plusieurs défis pour les équipes IT, qui doivent veiller à mettre en place un cadre de sécurité solide couvrant un large éventail de terminaux privés et professionnels et les multiples programmes et applications utilisés par les salariés. Pour compliquer les choses, un nombre croissant d’applications sont transférées vers le Cloud et les charges de travail sont de plus en plus réparties entre des clouds publics et des logiciels SaaS.
Il devient donc difficile de sécuriser et d’administrer des environnements complexes, surtout au regard de l’expertise nécessaire pour gérer les complexités auxquelles sont aujourd’hui confrontées les équipes informatiques. Il est donc essentiel pour les entreprises de pallier au manque de connaissances de leurs effectifs en matière de cybersécurité et de gérer l’accélération numérique en investissant dans la cybersécurité pour renforcer la sécurité informatique de leur organisation.
L’essor du shadow IT
La prévalence du shadow IT, qui est l’utilisation non autorisée de systèmes, d’appareils et de logiciels, a augmenté de manière exponentielle avec le passage au télétravail. Les responsables informatiques sont de plus en plus inquiets quant à la sécurité de l’information, en raison de l’utilisation du shadow IT par les salariés. En effet, le nombre de collaborateurs installant des logiciels non autorisés a augmenté depuis le début de la pandémie.
Le shadow IT est un problème, car il expose les organisations à l’exfiltration de données, aux logiciels malveillants etc. Cette technique peut permettre aux hackers de voler l’identité des collaborateurs et des clients, ainsi que des données confidentielles de l’entreprise, faire échouer les audits de conformité ou conduire les entreprises à enfreindre la loi. Lorsque les salariés font tout pour contourner le service informatique, le Shadow It se révèle difficile à prévenir, à gérer et à contrôler. Avec le travail hybride et l’utilisation croissante d’appareils privés non gérés et facilement exploitables par les cybercriminels, les données sont plus que jamais menacées.
Comment lutter contre ce problème ?
Les entreprises doivent repenser leur stratégie de sécurité et faire en sorte que leurs collaborateurs puissent accéder aux applications en toute sécurité, n’importe où, à tout moment et depuis n’importe quel appareil.
Les collaborateurs ont tendance à avoir recours au shadow IT lorsqu’ils ont l’impression que leurs outils de travail ne sont pas assez rapides, pas assez précis ou trop complexes. Lorsqu’une application est trop lente, il n’est pas difficile de contourner les processus habituels et de souscrire à un service basé sur le cloud, sans impliquer les services IT.
Les terminaux gérés par l’entreprise garantissent généralement la sécurité la plus élevée pour les accès à distance, car les équipes informatiques maîtrisent mieux le processus. Par ailleurs, si les collaborateurs disposent d’applications, de données et de services attrayants, ils seront moins tentés d’avoir recours au shadow IT. Les équipes IT reprendront alors le contrôle et réduiront la complexité tout en améliorant la sécurité. L’expérience des collaborateurs est toutefois essentielle.
Un espace de travail virtuel géré, fourni par les équipes informatiques peut créer une bulle protectrice efficace permettant d’assurer la gestion centralisée et la sécurité des données et des applications de l’entreprise sans détériorer l’expérience des collaborateurs.
De cette manière, les salariés ont uniquement accès aux données critiques de l’entreprise par le biais d’applications et de postes de travail virtuels autorisés par l’entreprise. Cette approche permet de développer le cadre de sécurité Zero Trust, car les contrôles de sécurité imposent une vérification indépendamment du lieu et de l’appareil. Le modèle Zero Trust est plus facile à gérer, et il réduit surtout sensiblement les possibilités d’avoir recours au shadow IT.
Par exemple, le Desktop-as-a-Service (DaaS) permet aux collaborateurs autorisés d’accéder simplement et en toute sécurité à l’ensemble de leurs applications via des bureaux virtuels. Cette solution permet non seulement d’authentifier l’utilisateur lorsqu’il se connecte à l’espace de travail virtuel, mais aussi de surveiller le comportement de l’utilisateur, des applications et du réseau afin de garantir la sécurité des données de l’entreprise, quel que soit l’endroit où le travail est effectué.
La communication est essentielle
Une grande partie des salariés n’a pas pleinement conscience de la gravité des cyber-risques associés au télétravail. Les responsables informatiques peuvent toutefois mettre en œuvre quelques mesures simples pour réduire les risques liés au shadow IT.
Il convient tout d’abord de sensibiliser les collaborateurs aux risques et aux enjeux. Ce sont souvent les salariés les plus productifs qui achètent et utilisent le shadow IT pour accélérer leur travail. S’ils sont conscients des risques graves que comportent les technologies non autorisées et des conséquences que leur utilisation peut avoir sur leur réputation, leur vie privée et leur entreprise, ils y réfléchiront probablement à deux fois.
Ensuite, il faut veiller à ce que les équipes connaissent les formations et les mesures de sécurité les plus actuelles, comprennent les bonnes pratiques en dehors du bureau et veillent à ce que les patchs de sécurité et mises à jour soient installés sur leurs appareils avant de partir. Il incombe aux équipes informatiques d’expliquer aux collaborateurs comment repérer les invitations frauduleuses, les tentatives d’hameçonnage et bien d’autres formes d’escroquerie en ligne pendant leurs tâches quotidiennes.
Enfin, les responsables informatiques doivent encourager les collaborateurs à se manifester et à demander de l’aide s’ils souhaitent accomplir des tâches avec leurs appareils personnels ou via des applications non gérées par l’entreprise. Les équipes informatiques seront ainsi informées et alertées en cas d’activité suspecte. Communiquer efficacement les risques à tous les salariés de l’entreprise et leur fournir des conseils pratiques pour éviter les dangers permettra de réduire la charge de travail des équipes informatiques en matière de sécurité.
A l’écoute des collaborateurs
Aujourd’hui, les utilisateurs souhaitent des technologies simples, intuitives et faciles à utiliser. Toutefois, l’essor du travail hybride et l’utilisation accrue de divers appareils ont élargi les surfaces d’attaques. Si elles déploient un environnement de travail numérique homogène et sécurisé, les entreprises peuvent simplifier le travail et permettre à leurs collaborateurs d’utiliser les appareils de leur choix, tout en réduisant l’attrait du shadow IT et les risques associés aux technologies non autorisées.