Lutter contre le Shadow IT à l'ère de l'IA

Le Shadow IT, en entravant les protocoles de sécurité, pose des risques réels pour les organisations.

Sur un chantier, certains ouvriers peuvent entreprendre de construire un mur porteur sans instruments, en s’appuyant sur leur seule intuition ou des tutoriels trouvés en ligne, sans consulter le maître d’œuvre ni vérifier les règles en vigueur. Même si l’intention n’est pas mauvaise, la qualité de l’ouvrage ne peut être garantie, pas plus que sa conformité aux normes et codes applicables.

C’est un peu ce qui se produit au quotidien dans les entreprises touchées par le phénomène du Shadow IT, où les employés utilisent des outils ou des services non approuvés qui peuvent compromettre les capacités de contrôle des systèmes et leur sécurité. Selon le cabinet Gartner, 75 % d’entre eux auront acquis, modifié ou créé des technologies sans l’aval des services informatiques d’ici à 2027.

Ce phénomène est principalement dû au succès du cloud et à l’accessibilité de ses outils. Une autre étude réalisée par Microsoft et LinkedIn a constaté que 78 % des collaborateurs introduisent leurs propres outils d’IA au travail. Cependant, en entravant les protocoles de sécurité et en empêchant les services informatiques de contrôler les actions des utilisateurs, le Shadow IT pose des risques réels pour les organisations.

Les mille et un visages du Shadow IT

Tout programme ou appareil dans l’espace utilisateur qui n’est pas vérifié et explicitement approuvé par l’équipe informatique peut être considéré comme un cas de Shadow IT. Le cas le plus courant est celui des initiatives BYOD (bring-your-own-device) incitant les employés à utiliser des appareils personnels pour leurs tâches professionnelles. Mais le phénomène se décline également sous bien d’autres formes, notamment les services de stockage et de partage de fichiers dans le cloud, les applications SaaS, les applications de messagerie et de collaboration, les bibliothèques de programmation non approuvées et autres assistants IA. En outre, il arrive que des collaborateurs persistent à utiliser, en toute discrétion, des technologies interdites par le service informatique, comme Adobe Flash, autrefois très répandu, mais aujourd’hui reconnu comme un facteur de risque majeur dans les systèmes informatiques.

Il n’est pas toujours facile d’identifier des instances de Shadow IT, en particulier pour les personnes en télétravail. Si un contrôle d’accès solide n’a pas été mis en place, la seule option viable peut être un examen minutieux des rapports de dépenses des différents départements.

L’IA au service du Shadow IT

L’essor des outils d’IA accroît les risques associés à ces pratiques. Il ne s’agit pas nécessairement de l’utilisation de solutions non approuvées, car de nombreuses entreprises encouragent aujourd’hui leurs employés à booster leur productivité en recourant à des outils comme ChatGPT, Grok ou Microsoft 365 Copilot, qui peuvent s’avérer particulièrement utiles pour gagner du temps dans la conception de présentations PowerPoint ou d’autres documents, par exemple.

Cependant, ces outils sont parfois amenés à exploiter des données sensibles de l’organisation. Il est alors essentiel de savoir si ces dernières sont stockées après traitement par le LLM utilisé ou courent le moindre risque d’une divulgation externe. Entre mars 2023 et mars 2024, la quantité d’informations d’entreprise introduites dans les outils d’IA a bondi de﷟ 485 %, avec une part des données sensibles qui a presque triplé. Ceci soulève plusieurs questions, telles que :

·   Que se produit-il lorsqu‘un document est inséré dans Microsoft 365 Copilot ?

·   Les contenus sensibles collés dans ChatGPT ou Grok sont-ils utilisés pour entraîner des modèles ?

·   Faut-il redouter une fuite des données sensibles ou leur réapparition à un autre emplacement ?

La facilité d’accès aux outils d’IA amplifie le risque de perte de données, mettant à mal les stratégies traditionnelles de prévention des pertes de données (DLP). Il est alors essentiel de prendre les devants en combinant des politiques claires en matière d’utilisation de l’IA, une formation complète des collaborateurs et des outils DLP avancés.

Collaborer plutôt qu’interdire

Pourquoi tant d’utilisateurs recourent-ils à des appareils ou des logiciels non approuvés ? En général, ceux qui trouvent un outil qui les aidera à être plus efficaces et souhaitent l’utiliser au travail s’attendent généralement à un refus de la part du service informatique. Or, ce dernier gagnerait à favoriser une culture de collaboration afin de choisir la solution la plus adaptée pour toutes parties. 

Personne ne connaît mieux les besoins de son poste que les employés qui l’occupent, et personne ne connaît mieux la sécurité que l’équipe de sécurité informatique. Il est donc important que ces équipes travaillent en bonne intelligence avec les différents départements pour comprendre leurs besoins et les raisons pour lesquelles les outils actuellement approuvés sont perçus comme insatisfaisants. Elles doivent également identifier les objectifs de chaque service et se concerter pour trouver des solutions qui répondent à ces objectifs, tout en veillant à ce que leurs consignes de sécurité et leurs politiques soient bien respectées.

Au bout du compte, les responsables de la sécurité doivent miser sur une relation de partenariat pour le choix des outils informatiques afin de permettre à l’entreprise de bénéficier de tous les services où ils peuvent faire valoir leur expertise, depuis l’assistance à une sécurité renforcée, en passant par une simplification de la gestion des systèmes.

Une nouvelle façon de sensibiliser les employés

Beaucoup de spécialistes estiment que les utilisateurs sont toujours le maillon faible de la sécurité, ce qui est particulièrement vrai dans le cas du Shadow IT. En effet, ces derniers se trouvent en première ligne des dispositifs de protection de toute entreprise, et aucune initiative dans ce domaine ne peut être couronnée de succès sans leur implication.

Par conséquent, il est essentiel d’investir dans une formation de sensibilisation générale pour tous et d’y inclure des leçons sur le fonctionnement des modèles d’IA, leurs limites et l’importance de la confidentialité des données lors de l’interaction avec ces modèles. Ces formations doivent également insister sur le fait qu’il faut toujours vérifier l’exactitude des résultats de l’IA et s’assurer de leur plausibilité. Lorsque les utilisateurs comprennent leur rôle en matière de sécurité ainsi que les risques liés aux outils non approuvés, ils sont beaucoup plus enclins à collaborer avec l’équipe informatique.

Finalement, comme toute autre avancée technologique, l’utilisation de l’IA et des solutions SaaS associées crée à la fois des opportunités de croissance et des défis à relever. L’IA aide les entreprises à être plus rapides et plus flexibles, mais augmente les risques de sécurité, surtout en présence de Shadow IT. Les stratégies efficaces pour contrer ces risques consistent à collaborer avec d’autres équipes informatiques et à discuter avec les utilisateurs professionnels pour comprendre les outils dont ils ont besoin. Ceci permettra de fournir une meilleure formation de sensibilisation à la sécurité et de communiquer clairement avec les créateurs de solutions. En combinant ces principes avec des solutions de sécurité éprouvées, les entreprises peuvent protéger leurs données et systèmes sensibles contre les menaces tout en permettant à leurs équipes d’innover de façon responsable.