Page d'accueil
Retour à l'aperçu

Shadow IT

Le Shadow IT désigne l'utilisation de logiciels, d'applications, de services cloud ou d'appareils dans un contexte professionnel, sans l'accord ou la connaissance du service informatique compétent. Les exemples typiques incluent le stockage de données professionnelles dans un compte cloud personnel, l'utilisation d'outils de communication non approuvés ou la connexion d'appareils personnels au réseau de l'entreprise sans intégration dans l'infrastructure informatique officielle. Le Shadow IT ne résulte dans la plupart des cas pas d'une mauvaise intention, mais du souhait de travailler de manière plus efficace ou plus pratique.

Le problème central du Shadow IT réside dans le manque de visibilité pour le service informatique. Ce qui n'est pas connu ne peut être ni contrôlé pour détecter des failles de sécurité, ni intégré dans les processus de conformité. Les applications non approuvées ne sont soumises à aucune politique interne de protection des données, ne reçoivent pas de mises à jour de sécurité et peuvent laisser fuiter des données personnelles ou confidentielles vers des systèmes non contrôlés. Pour les entreprises soumises à la directive NIS2 ou aux exigences du RGPD, le Shadow IT représente ainsi un risque de conformité immédiat.

Une collectivité scolaire mettant des iPads professionnels à disposition des enseignants est confrontée à un problème concret de Shadow IT lorsque ceux-ci utilisent des services de partage de fichiers personnels pour diffuser des supports aux élèves. Il en va de même pour les entreprises où les collaborateurs utilisent des groupes WhatsApp pour la communication interne, car la solution officielle est perçue comme contraignante. Dans les deux cas, des données sensibles quittent potentiellement l'environnement informatique contrôlé sans que les responsables informatiques en soient informés.

L'approche la plus efficace contre le Shadow IT combine des politiques claires avec des alternatives approuvées et attractives. Les interdictions seules mènent rarement au résultat souhaité, car elles ne suppriment pas la cause réelle. Des mesures techniques complémentaires, comme un MDM empêchant l'installation d'applications non approuvées sur les appareils gérés et conditionnant l'accès aux ressources de l'entreprise au respect de politiques de sécurité définies, s'avèrent particulièrement utiles.

Le Shadow IT ne peut être structurellement maîtrisé que si les politiques ne sont pas seulement communiquées mais aussi appliquées techniquement, et si la gestion centralisée des appareils et des applications garantit que les applications non approuvées ne peuvent tout simplement pas être installées.