De nombreux employés utilisent leur stockage en ligne privé au bureau ou leur propre logiciel pour échanger des données et communiquer. Si cela se produit sans le consentement du service informatique de l’entreprise, on parle de shadow IT. Et cela comporte des risques.
Ceux qui travaillent sur ordinateur ont des préférences pour certains services en ligne et applications. Il est compréhensible que quelqu’un veuille utiliser ces outils de travail pratiques et familiers partout, même sur le lieu de travail. Seul hic: avec chaque programme et chaque fichier que quelqu’un télécharge sur l’ordinateur de l’entreprise via des canaux privés, le risque d’attraper un virus ou des ransomwares augmente. Ces derniers peuvent alors attaquer le réseau interne et, dans le pire des cas, paralyser l’ensemble de l’infrastructure. L’entreprise est menacée de pannes et de pertes financières importantes.
Sécurité des données en danger
Ceux qui en font les frais sont les spécialistes informatiques de l’entreprise. Parce qu’ils doivent réparer les dégâts. Cela se complique encore davantage lorsque des équipes ou des départements entiers achètent et utilisent des logiciels ou s’abonnent à des services en ligne de leur propre initiative, sans respecter les réglementations de l’entreprise. Ces systèmes non autorisés et non contrôlés au sein de l’entreprise sont appelés «shadow IT».
«Cela se produit alors sans tests, validations ni licences», explique Reike Ramadani, spécialiste du cloud et ancienne supportrice informatique chez Ringier. Elle connaît bien cette problématique qu’elle vit au quotidien. «Les utilisateurs n’ont pas de mauvaises intentions, ils pensent simplement que ces outils leur facilitent le travail. Mais à un moment donné, ça déborde vers notre service informatique. Et nous devons tout réparer», explique Reike Ramadani.
«Tout ce que les gens font de leur propre chef et qui contourne les processus officiels pose problème», souligne Oliver Stampfli, Security Architect chez Swisscom. En effet: «Sur la voie officielle, les applications sont soigneusement contrôlées pour détecter les failles de sécurité et aussi pour déterminer la rapidité avec laquelle elles sont réparées. Les aspects juridiques sont également examinés. Or ce n’est pas le cas avec les canaux non officiels.» En outre, il existe des versions professionnelles de nombreux services qui ont déjà un niveau de sécurité plus élevé.
Les cas les plus problématiques
Selon Oliver Stampfli, les services dans le cloud tels que Dropbox, les services de traduction tels que DeepL ou les convertisseurs de PDF sont parmi les plus gros problèmes du shadow IT. En utilisant de telles offres gratuites, les données confidentielles peuvent sortir de l’entreprise sans que le devoir de discrétion et la sécurité des services cloud ne soient réglementés. «Il faut toujours lire les conditions générales de vente ou de protection des données pour savoir comment les données sont protégées et comment elles sont utilisées. Souvent, les droits sont même cédés aux entreprises respectives.»
«Un collaborateur quitte l’entreprise, mais les données restent sur son service de stockage en ligne.»
Oliver Stampfli, Security Architect chez Swisscom
Des données internes à l’entreprise atterrissent à des endroits où elles n’ont pas leur place et, dans le pire des cas, elles y restent pendant de nombreuses années. L’entreprise ne peut alors plus contrôler qui les consulte, quand et où. Même dans le cas d’un licenciement, la situation peut poser problème: «Le collaborateur quitte l’entreprise, mais les données de l’entreprise se trouvent toujours dans sa Dropbox.»
Reike Ramadani, du service d’assistance IT, vit ce problème au quotidien. «Les utilisateurs qui apportent leurs propres solutions sur leur lieu de travail achètent parfois des licences de leur propre initiative via leur adresse privée», explique-t-elle. «Cela entraîne des problèmes pour le travail quotidien.»
Le shadow IT entraîne également des coûts inutiles. D’une part, en raison des dommages qui peuvent être causés par des failles de sécurité. D’autre part parce qu’il existe des remises de volume pour les entreprises, par exemple pour les logiciels. «Une licence pour 2000 utilisateurs est moins chère que 40 licences pour 50 utilisateurs», explique Oliver Stampfli. «Pour les grandes entreprises, c’est rapidement rentable si tout est réglementé de façon centralisée.»
C’est nocif pour la collaboration
Un autre argument contre le shadow IT est qu’il peut rendre difficile la collaboration entre les équipes et les services. «L’équipe 1 utilise l’outil A, l’équipe 2 utilise l’outil B. Puis, soudain, les deux équipes doivent travailler ensemble. En d’autres termes: une équipe doit passer à l’autre outil ou bien on introduit l’outil C. Quoi qu’il en soit, l’entreprise devra engager des coûts supplémentaires», explique Oliver Stampfli.
La meilleure façon de procéder est que les employés communiquent aux spécialistes IT leurs préoccupations ou souhaits en matière de logiciels et d’ordinateurs. Ces derniers examinent les solutions, clarifient les questions juridiques et présentent ensuite des propositions qui tiennent compte de la sécurité de l’entreprise et des besoins des utilisateurs. Des solutions qui ont également un sens du point de vue des coûts et qui répondent aux conditions informatiques.
Collaborez en toute sécurité et facilement avec Microsoft 365
Le shadow IT peut être facilement évité: Microsoft 365 est une solution simple et efficace pour une collaboration sécurisée et facile via le cloud. Toutes les applications sont automatiquement mises à jour, les données sont sauvegardées et synchronisées de manière fiable sur tous les appareils. De plus, l’entreprise garde à tout moment le contrôle sur les données sensibles de l’entreprise et les applications des utilisateurs.
Les applications Office et les données peuvent être utilisées n’importe où et n’importe quand sur PC, tablette ou smartphone. Lors d’une réunion en ligne, les questions importantes sont clarifiées et les documents sont traités par plusieurs personnes en même temps. En plus des notes, on peut même partager l’écran avec les collègues.
Article mis à jour du novembre 2019.
