Le Shadow IT, également appelé « informatique fantôme », a évolué : simple nuisance occasionnelle par le passé, il est aujourd’hui une problématique de sécurité invasive qui touche toutes les entreprises et les institutions. Ces applications, services et systèmes non autorisés qui échappent à la surveillance informatique créent des angles morts dans votre système de sécurité, que les hackers ciblent de plus en plus de nos jours.

Mais la réalité est que vos employés n’essaient absolument pas de compromettre la sécurité de l’entreprise. Ce qu’ils veulent, c’est résoudre des problèmes opérationnels à l’aide de ces outils, qui leur facilitent les choses (bien que cela crée involontairement de véritables migraines pour l’équipe informatique). La difficulté, pour les équipes de sécurité, est de parvenir à gagner en visibilité sur ces angles morts, et de gérer les actifs connus et non connus de l’entreprise sur leur surface d’attaque.

Qu’est-ce que le Shadow IT, au juste ?

Le Shadow IT, ou l’« informatique fantôme », englobe toutes les technologies utilisées dans une organisation sans l’aval explicite du service informatique. Cela couvre tout ce qui relève des services de stockage sur cloud et des plateformes de communication, ainsi que tous les périphériques personnels et les installations de logiciels non autorisées.

Loin de se limiter à de simples logiciels, le Shadow IT comprend :

• Les services de cloud et les plateformes de stockage non gérés
• Les périphériques personnels raccordés aux réseaux de l’entreprise (pratiques BYOD)
• Les intégrations d’API non autorisées entre applications sanctionnées
• Les comptes personnels sur les plateformes professionnelles
• Les extensions et les plug-ins de navigateur non autorisés
• Les services de tiers intégrés sans contrôle de sécurité

La difficulté technique ne réside pas simplement dans l’identification de ces ressources, il faut également comprendre leurs flux de données, les autorisations d’accès et les vecteurs d’attaque potentiels.

L’ampleur du problème du Shadow IT

D’après les chiffres, le Shadow IT a d’ores et déjà une grande emprise sur notre monde. Gartner prévoit que d’ici 2027, 75 % des employés acquerront, modifieront ou créeront des technologies qui échappent à la visibilité des équipes informatiques – un chiffre en hausse par rapport aux 41 % estimés en 2022. En général, les organisations découvrent qu’elles ont bien plus d’applications utilisées que ce qu’elles avaient estimé au départ, ce qui crée d’importants angles morts dans leurs infrastructures de sécurité.

Cette prolifération crée de multiples vecteurs d’attaque que les équipes de sécurité peinent à contrôler et à parer. Chaque application non autorisée représente un point d’entrée potentiel pour les acteurs malveillants ; or, nombreuses sont les organisations qui manquent de visibilité sur leur empreinte technologique réelle.

Vulnérabilités pour la sécurité liées au Shadow IT

Le Shadow IT crée trois catégories distinctes de vulnérabilités de sécurité qui, ensemble, se complètent et amplifient le risque organisationnel global.

Systèmes et applications non corrigés

Lorsque des employés installent des logiciels ou utilisent des services qui échappent à la surveillance de l’équipe informatique, ces ressources et leurs correctifs sont généralement peu ou mal gérés. Des mises à jour de sécurité critiques sont ignorées, ce qui fait que les vulnérabilités connues restent exposées pendant des périodes prolongées.

Pensez à une équipe marketing qui utilise un outil de gestion de projet non autorisé avec des privilèges d’administrateur permettant l’accès aux données de l’entreprise. Si cette application comporte une faille de sécurité connue, elle ne bénéficiera pas de la même gestion des correctifs que les logiciels approuvés. Les hackers ciblent spécifiquement ce type de scénario car ils savent que beaucoup d’entreprises peinent à gérer l’intégralité absolue de leurs actifs.

Le risque technique va au-delà de l’application en elle-même. Les logiciels non autorisés demandent souvent des autorisations excessives, manquent de contrôles adéquats des accès, et peuvent ne pas s’intégrer correctement avec les outils de contrôle de la sécurité existants. Cela crée des failles de contrôle dans lesquelles des activités malveillantes peuvent avoir lieu sans être détectées.

Exposition des données et manque de contrôle des accès

Les applications relevant du Shadow IT contournent souvent les politiques de gouvernance des données en place. Les employés peuvent stocker des informations sensibles sur des services de stockage sur cloud non autorisés, ou par exemple partager des documents confidentiels via des plateformes non approuvées.

Le problème fondamental concerne l’authentification et l’autorisation. Ces services passent souvent par des comptes personnels ou des contrôles des accès simplifiés qui ne concordent pas avec les politiques de sécurité de l’entreprise. L’authentification multifactorielle peut être désactivée, les politiques de gestion des mots de passe peuvent être faibles, et les journaux d’accès peuvent ne pas s’intégrer avec vos systèmes de gestion des informations et des événements de sécurité (SIEM).

Le lieu de stockage des données est également un autre problème. Les informations stockées sur des services cloud non autorisés peuvent être régies par différentes réglementations juridictionnelles, ou se trouver à des emplacements contraires aux obligations qui incombent à l’entreprise.

Failles de sécurité du réseau

Chaque ressource relevant du Shadow IT représente une opportunité potentielle de mouvement latéral pour les hackers. Les appareils non autorisés qui sont raccordés au réseau de l’entreprise peuvent ne pas disposer d’une protection adéquate, et les services cloud non approuvés créent d’autres chemins de réseau qui contournent les contrôles de sécurité.

Le problème est également intensifié par les intégrations d’API. Les employés raccordent souvent des services non autorisés à des applications approuvées par l’entreprise, ce qui crée des flux de données que les équipes de sécurité ne peuvent surveiller ni réguler. Un hacker qui obtient un accès au service non autorisé pourra alors pivoter vers des systèmes interdits via ces intégrations.

Les coûts cachés du Shadow IT

En plus des incidents de sécurité directs, le Shadow IT crée des risques financiers continus qui sont souvent sous-estimés par les entreprises. 

Gestion des violations et coûts de réparation

L’industrie pharmaceutique fait face à des coûts moyens de 5,04 millions $ liés à la conformité. Or, la réparation des incidents liés au Shadow IT s’avèrent souvent plus onéreuse. Le manque de visibilité fait que les incidents sont découverts plus tard, les dommages se propagent davantage, et les enquêtes se complexifient.

Les coûts de réparation grimpent lorsqu’il s’agit de services non autorisés. On peut ne pas avoir d’accès administratif aux systèmes touchés, certains contrats de support fournisseurs peuvent ne pas exister, et les solutions de récupération de données peuvent être limitées.

Pertes d’efficacité opérationnelle

Bien souvent, le Shadow IT conduit à des doublons de fonctionnalités, ce qui entraîne des coûts de licence superflus et à un gaspillage des ressources. Différentes équipes peuvent utiliser différents outils non autorisés qui assurent des fonctionnalités similaires, avec dans le même temps des solutions approuvées inutilisées.

L’impact sur la productivité touche les équipes informatiques, qui doivent faire preuve de réactivité face aux problématiques dues au Shadow IT au lieu de se concentrer sur des initiatives stratégiques. Les équipes de sécurité perdent du temps à enquêter sur des actifs inconnus, tandis que les ressources de l’assistance informatique sont consommées sur des applications non autorisées.

Violations réglementaires

Le Shadow IT crée d’importantes problématiques de conformité dans différents cadres réglementaires. La difficulté principale est que l’on ne peut protéger ni auditer adéquatement ce dont on ne connaît pas l’existence. Le RGPD, le California Consumer Privacy Act (loi de Californie sur la protection des consommateurs) et d’autres réglementations similaires sur la protection de la vie privée imposent aux organisations de conserver des registres détaillés des activités de traitement de données. Le Shadow IT rend cet objectif quasi inatteignable car des données peuvent être traitées par des services non autorisés qui n’apparaissent pas dans la documentation officielle.

Les industries réglementées, elles, sont confrontées à d’autres écueils. Les organisations du domaine de la santé qui passent par des plateformes de communication non autorisées peuvent violer leurs obligations de la loi américaine HIPAA (Health Insurance Portability and Accountability Act). Les cabinets de services financiers peuvent manquer à leurs obligations au titre de la loi américaine dite SOX (Sarbanes-Oxley Act) si des applications non autorisées compromettent les procédés de reporting financier.

La difficulté technique réside dans la cartographie des données. Les réglementations relatives à la protection de la vie privées exigent des organisations qu’elles sachent où sont stockées les données personnelles, comment elles sont traitées et qui y a accès. Les services relevant du Shadow IT opèrent souvent en dehors de ces processus cartographiés, ce qui crée des angles morts en matière de conformité réglementaire. Le risque est amplifié lorsque le Shadow IT comprend des services tiers qui n’ont pas fait l’objet d’analyse des risques fournisseurs. Votre entreprise devient responsable des violations de la conformité même lorsque la violation a eu lieu au niveau d’un prestataire non autorisé.

La dimension IA du Shadow IT

D’après IBM, 97 % des organisations compromises qui ont eu affaire à un incident de sécurité lié à une IA ont affirmé qu’elles ne disposaient pas de contrôles adéquats des accès liés à cette IA. De plus, parmi les 600 organisations étudiées par l’institut indépendant Ponemon Institute, 63 % ont révélé qu’elles ne disposaient d’aucune politique de gouvernance des IA en place pour gérer les IA ou empêcher leurs employés d’avoir recours à des IA non autorisées.

Dans leur rapport, l’institut notait que « Cette faille de contrôle des IA entraîne des coûts financiers et opérationnels importants. Le rapport démontre que lorsque les employés téléchargent ou ont beaucoup recours à des IA non autorisées, l’entreprise faisait face à 670 000 USD de plus sur la facture moyenne globale associée aux violations réglementaires. »

Les outils d’intelligence artificielle sont un sous-ensemble du Shadow IT qui connaît une croissance rapide et s’accompagne de risques spécifiques. Les employés ont de plus en plus recours à des applications basées sur des IA pour effectuer des tâches allant de la création de contenus à l’analyse de données, bien souvent sans tenir compte des implications en matière de sécurité.

Risques d’exposition des données

Les applications d’IA nécessitent généralement tout un tas de données pour fonctionner efficacement. Les employés peuvent confier des informations sensibles à des services d’IA non autorisés, entraînant accidentellement les modèles d’IA via des données confidentielles ou exposant des éléments de propriété intellectuelle.

Le risque technique porte également sur les politiques de conservation de données. Nombreux sont les services d’IA qui stockent les données d’entrée indéfiniment ou qui les utilisent pour entraîner des modèles. Cela crée des risques d’exposition à long terme qui subsistent bien après que les employés cessent d’utiliser le service non autorisé.

Manipulation des modèles et infiltration de requêtes

Les applications d’IA avancées font face à des vecteurs d’attaque spécifiques tels que l’infiltration de requêtes, qui consiste à manipuler le comportement d’une IA en injectant des données d’entrées malveillantes. Si les employés ont recours à des outils d’IA pour alimenter des processus décisionnels, ces attaques peuvent peser sur les résultats de l’entreprise.

Cette difficulté se complique lorsque des services d’IA non autorisés sont raccordés à des sources de données de l’entreprise. Les hackers peuvent cibler le service d’IA pour obtenir un accès indirect à des informations sensibles ou pour manipuler les informations fournies par l’IA pour éclairer les décisions opérationnelles.

Stratégies de détection : trouver les inconnues

Pour détecter efficacement les ressources relevant du Shadow IT, une approche à plusieurs niveaux doit être adoptée, alliant surveillance technique et application des politiques.

Analyse du trafic réseau

Dans les stratégies modernes de détection, on commence par assurer une surveillance complète du réseau pour identifier les schémas de communication non autorisés. Pour ce faire, il faut analyser les requêtes DNS, les métadonnées de trafic chiffrées, et les schémas de flux de données inhabituels susceptibles d’indiquer un recours au Shadow IT.

L’inspection profonde des paquets et l’analyse comportementale peuvent révéler un recours à des services cloud non autorisés même lorsque le trafic est chiffré. Recherchez les téléchargements de données réguliers vers des adresses IP inconnues, ou les signatures d’applications inconnues dans le trafic réseau.

Contrôle des terminaux

Déployez des outils de détection de terminaux qui recensent les logiciels installés et contrôlent l’exécution d’applications. Cette approche permet d’identifier les installations de logiciels non autorisés et les schémas d’utilisations que la surveillance réseau pourrait ne pas détecter.

La surveillance des extensions de navigateur occupe également une place particulièrement importante aujourd’hui, puisque de nombreux services du Shadow IT opèrent via des interfaces web. Les extensions demandent souvent des autorisations excessives et peuvent accéder à des données sensibles via différents sites.

Gestion de la surface d’attaque externe (EASM)

Les outils de gestion de la surface d’attaque externe permettent de mettre au jour les actifs en contact avec Internet qui peuvent ne pas apparaître dans les inventaires internes. Cela comprend les services relevant du Shadow IT qui créent des points d’accès externe ou des ressources cloud non autorisées fournies par des services particuliers.

L’EASM donne une perspective externe qui échappe souvent à la surveillance des outils de contrôle internes en identifiant les ressources du Shadow IT qui créent des vecteurs d’attaque externes.

Prendre le contrôle de votre surface d’attaque

Le Shadow IT va continuer d’évoluer en parallèle de l’émergence de nouvelles technologies et de l’évolution des besoins des entreprises. L’objectif n’est pas l’élimination complète : cet objectif n’est ni réaliste, ni avantageux pour la productivité de l’entreprise. Au lieu de cela, il faut centrer ses efforts sur l’obtention d’une visibilité complète et sur la mise en œuvre de contrôles basés sur les risques.

Comprendre votre empreinte numérique complète, avec les ressources du Shadow IT, vous permettra de prendre des décisions éclairées en matière de sécurité, et de réduire la surface d’attaque que peuvent exploiter vos adversaires. Une fois que vous savez quels actifs existent dans votre organisation, vous pouvez les sécuriser.

Prêts à découvrir le Shadow IT qui se cache dans votre environnement ? La solution Outpost24 de gestion de la surface d’attaque externe vous offre une visibilité complète sur les actifs inconnus qui se cachent dans votre infrastructure numérique. L’objectif ? Vous aider à identifier et à sécuriser les ressources technologiques dont vous ne connaissiez pas l’existence jusqu’ici. Réservez une démo en direct aujourd’hui.