Comment protéger son entreprise des dangers du shadow IT ?
Les RSSI doivent protéger un grand nombre d'ordinateurs, de machines, d'identités employés et d'objets connectés. Mais comment protéger ce qui nous est inconnu ? La réponse est simple, on ne peut pas. C'est pour cela que le shadow IT est une grande menace pour la cybersécurité d'une entreprise. Cette appellation désigne l'ensemble des applications et matériels dont le département IT ignore l'existence, mais qui sont connectés au réseau de la compagnie.
Tous ces matériels et applications créent des failles béantes dans la défense des systèmes d'information des entreprises, explique Elie El Hayek, sales engineer chez BeyondTrust : "Le fait est que le département IT ne connait pas l'existence de ces éléments et qu'il n'a pas la main dessus. Par conséquent, la politique de sécurité de l'entreprise sur l'ensemble de ces devices n'est pas appliquée."
En effet, les systèmes de protection comme les EDRs, XDR ou autres NDR scannent régulièrement les machines et applications, mais uniquement celles référencées par la compagnie. Or tous les ordinateurs et logiciels sous shadow IT ne le sont pas, et les cybercriminels peuvent donc les cibler pour réussir à pénétrer dans les systèmes discrètement. A noter que le shadow IT peut rendre caduque une cyber assurance. Si, après sinistre, l'assureur mène une enquête et découvre la présence de shadow IT et que ce dernier a bien servi de porte d'entrée aux attaquants, cela peut casser le contrat. Car l'assurance pourra reprocher à la compagnie de ne pas avoir bien protégé ses systèmes et/ou de les avoir mal managés.
Il faut donc que les entreprises luttent contre le shadow IT et pour ce faire, elles doivent se concentrer sur ses origines. Deux facteurs créent du shadow IT, rappelle Elie El Hayek : "Pour commencer, il y a le cas du rachat d'entreprise par une autre. Au début, la compagnie rachetée garde son réseau et progressivement, on va la faire intégrer celui de l'entreprise acheteuse. Mais au cours de ce processus, certains éléments du réseau de l'entreprise rachetée peuvent être oubliés et non désactivés."
Le deuxième facteur, ce sont les employés. Pour augmenter leur productivité, certains vont installer des applications, et chez eux ils peuvent par exemple connecter leur ordinateur professionnel à une imprimante familiale. Ils vont mener ces actions sans forcément se renseigner sur la bonne sécurisation de ces applis ou de ces objets, ce qui va créer des failles de sécurité.
Mais comment peut-on combattre le shadow IT ? En ce qui concerne les réseaux oubliés, un passage par un cabinet d'audit est obligatoire, comme nous l'explique Olivier Chantalou, consultant sécurité senior pour Oppida, filiale du groupe APAVE : "Tout d'abord on installe un EDR chez le client. Il va scanner l'ensemble des équipements, les serveurs, les ordinateurs, les applications. Grâce à ces scans, on va pouvoir détecter des mouvements étranges et enquêter, ce qui permettra de révéler du shadow IT venant d'un réseau oublié ou des employés. Pour lutter contre le shadow IT émanant des employés, on peut leur retirer les droits d'administrateur, c'est le choix que nous recommandons à nos clients officiant dans des secteurs sensibles. Pour les autres secteurs, c'est plus au cas par cas."
Autre solution pour contrer le shadow IT lié aux employés, le dialogue, estime Elie El Hayek : "On ne peut pas totalement éliminer le shadow IT. Il faut plutôt avoir une attitude positive qui va créer un compromis entre le département IT et les autres équipes, et créer une harmonie entre la politique de sécurité et les besoins des collaborateurs en termes de devices et d'applications."
L'entreprise doit donc mener des campagnes de sensibilisation auprès de ses employés et accepter qu'ils fassent certains écarts en termes d'applications. Pour commencer, faites un sondage auprès d'eux. Demandez-leur s'ils utilisent des applications pour améliorer leur productivité, pour l'orthographe, compléter les Excel, la traduction de textes étrangers. Puis demandez-leur si, en télétravail, ils jumelent leur ordinateur personnel avec des imprimantes ou autres objets connectés. Après avoir collecté ces informations, triez-les et renseignez-vous sur les applications et machines citées par vos employés, pour voir leur niveau de sécurité. Puis posez-vous les questions suivantes : la société est-elle dans un secteur sensible ? Certains employés ont-ils accès à des données importantes ? Si oui, lesquelles ? Après y avoir répondu, vous pourrez mieux définir votre politique pour contrer le shadow IT.