Risques informatique cachée

Tous

1 Qu’est-ce que l’informatique cachée ?
2 Quels sont les risques liés à l’informatique cahée ?
3 Comment se protéger de l’informatique cachée ?
4 Comment optimiser la sécurité réseau ?

Les risques de l’informatique cachée ou Shadow IT

Il suffit en effet d’un seul salarié pour rendre une entreprise vulnérable.

L’informatique cachée est bien une réalité.

Une meilleure coopération entre clients, métiers et direction informatique, la mise en place de nouveaux outils et de nouveaux processus d’obtention de services informatiques (internes ou externes) est nécessaire pour éviter les débordements.

Le service informatique de l’organisation devrait être un vecteur d’innovation au service des utilisateurs. Il doit être en capacité de s’ouvrir vers de nouveaux modèles plus agiles et chercher avec le client des solutions acceptables.

Qu’est-ce que l’informatique cachée ?

L’informatique cachée regroupe les applications informatiques à disposition d’utilisateurs et qui ne sont pas gérées ni contrôlées par le service informatique de l'institution. Elles peuvent être nombreuses, que ce soit pour les besoins spécifiques ou courants.

Il faut bien constater que les services informatiques répondent généralement aux besoins des métiers avec des délais de plusieurs mois si pas d'années. Par ailleurs, les priorités institutionnelles ne peuvent intégrer toutes les demandes spécifiques, et cela se comprend aisément.

On constate, aussi dans l'université, l’existence d’une informatique 'shadow', c’est-à-dire une informatique locale, officiellement inconnue du service informatique, développée au sein de certains départements afin de répondre à des besoins informatiques. Ces applications sont essentiellement développées à l’aide d’outils informatiques simples ou développées ailleurs. Vu les technologies utilisées, ces applications ne peuvent habituellement pas être réutilisées ni généralisées pour d’autres utilisateurs dans l'institution. Elles sont aussi justifiées pour des besoins scientifiques.

L’informatique cachée recouvre également 2 autres situations :
► Usage de matériel privé au sein de l’infrastructure générale (smartphone, PC, imprimante, etc.) ou du matériel acquis pour des usages spécifiques (p.ex. matériel de recherche, outils d’analyse pour la recherche) et qui contient des logiciels particuliers et... connectés au réseau.
► Travailler sur son poste de travail avec les droits 'administrateur' ouvre la porte à bien de dérives possibles quant aux (manque de) pratiques utilisées (surtout en matière de sécurité). Les bénéfices de sécurité apportés par la suppression des droits administrateurs restent toujours plus importants que les considérations en tous genres tenant à justifier ce mode de fonctionnement.

Quels sont les risques liés à l’informatique cahée ?

Plusieurs risques apparaissent lorsque se répand l’usage de l’informatique cachée :

Quid des données institutionnelles manipulées sans accord ou contrôle institutionnel ?
Comment savoir si des documents et données d’une entreprise sont partagés avec des tiers ?
Risque d’usage d’identifiant et mot de passe simple, voire peut-être aussi le mot de passe de l'identifiant global de notre institution !
Risque accru pour la confidentialité de données au vu de failles de sécurité potentielles.

Développer et installer des solutions informatiques complémentaires ou parallèles et les mettre à la disposition des utilisateurs peut rapidement amener le chaos en induisant des effets collatéraux menant à des problèmes difficiles à résoudre et à de hauts risques sécuritaires. Comment l’utilisateur final fait-il la part des choses entre un service officiel et celui rendu par l’informatique cachée ? Comment le service informatique qui gère le SI de l’organisation peut-il prendre en charge la gestion des incidents, le support aux utilisateurs et la maintenance d’applications qui n’ont pas le ‘statut’ de logiciels institutionnels ?

L’informatique cachée peut de plus générer des coûts eux-mêmes cachés. Quel est encore le périmètre de la direction du SI et de la sécurité informatique de l'institution ?

Comment se protéger de l’informatique cachée ?

Interdire l’informatique cachée n’est pas la solution, mais l’accompagner est la démarche à préconiser.

Quelques idées pour anticiper cette réalité :

Recenser les outils utilisés et les outils nécessaires, répondant à des besoins.
Élaborer un code de conduite et engager le dialogue avec les utilisateurs pour comprendre leurs besoins.
Ne pas freiner l’innovation, mais inviter à travailler conjointement (ex. mode « open source », avec les bonnes pratiques sécuritaires) afin de permettre ensuite au service informatique de ‘reprendre’ l’outil, l’idée, le produit dans son « giron » et d’en assurer la maintenance nécessaire.
Accélérer les processus de décisions et être proactif avec les différents services internes de l’institution afin d’identifier des demandes ou besoins réels et de les inscrire dans un plan d'action.

Comment optimiser la sécurité réseau ?

Analyser de manière régulière les flux des données dans le réseau permet d’identifier les applications et appareils non autorisés, ainsi que ceux et celles qui provoquent des problèmes, des ralentissements, etc.
Agir le cas échéant en coupant le service problématique du réseau ou le placer sur un réseau confiné, empêche les nuisances.
Souscrire à une solution informatique externe de manière officielle permet d'en contrôler son usage et de responsabiliser les métiers/utilisateurs quant à leurs données. C’est aussi le cas pour des situations avec des sous-traitants.