Réduire le shadow IT : par où commencer ?

À l’exception de quelques secteurs spécifiques comme la défense, la sécurité, ou le spatial, aucune entreprise n’est épargnée par le shadow IT. Pour de bonnes, ou de moins bonnes raisons, certains collaborateurs contournent les règles de la DSI pour accéder de manière non autorisée à des services Cloud, des applications SaaS, voire des outils d’IA générative. Pour contrer ces pratiques, la première action que doit prendre la DSI est de mesurer l’étendue des dommages avant de pouvoir déployer un programme de réduction du shadow IT. Mais par quel bout s’y prendre ? Conseils d’expert d’Edouard Dossot, co-fondateur de Beamy

Le shadow IT n’est-il que du côté obscur de la force ?

Le shadow IT, c’est-à-dire, l’utilisation par les employés d’outils et de services informatiques non approuvés par la DSI, est une pratique malheureusement courante dans la majorité des entreprises.

Soyons clair, du côté de la DSI, il s’agit d’une pratique très mal perçue pour plusieurs raisons. Pour n’en citer qu’une, utiliser des applications ou services shadow IT, c’est prendre le risque de déroger aux contraintes réglementaires et au RGPD. Ces outils peuvent exposer des données internes à des services SaaS ou des Clouds externes, souvent basés en dehors de l'Union européenne, augmentant ainsi les risques de cyberattaques.

Pour autant, du côté des métiers, le shadow IT est vu comme un moyen rapide d’accéder à des services que la DSI ne peut pas leur fournir en interne. Avec une simple carte bancaire, il est possible d’obtenir tout type d’application en ligne pour s’offrir une plus grande autonomie vis-à-vis des services achats et du département IT.

Face à cette réalité, il est difficile d'éliminer complètement le shadow IT, car ces outils non autorisés sont des moteurs de productivité pour les départements métiers. Pour endiguer le phénomène, la DSI doit faire preuve de patience et de pédagogie. Cela implique de sensibiliser les équipes aux risques encourus et de suivre des étapes clés pour, progressivement, remplacer les fonctionnalités obtenues via le shadow IT par des solutions sécurisées. Mais avant d'entamer toute action, la toute première chose à faire est d’en mesurer les usages et l'ampleur.

Avec quels outils mesurer le shadow IT ?

Pour construire une feuille de route solide et désamorcer le shadow IT sans brusquer les métiers, la première chose à faire est d’identifier les flux non autorisés. Sans surprise, l’analyse des flux réseaux, et plus particulièrement ceux relatifs au protocole HTTP et aux requêtes DNS, permet de détecter l’accès à des services cloud, ou à des applications SaaS non répertoriées dans le catalogue de services de la DSI.

Toutefois, analyser des milliers de logs à la main peut se révéler extrêmement fastidieux. La tâche se complique davantage si les accès au shadow IT se font via des VPN, rendant leur détection encore plus difficile. Vous devez alors séparer le bon grain de l’ivraie, comme l’explique Edouard Dossot, co-fondateur et COO de la société Beamy : « En fait, c'est assez simple de détecter du shadow IT. En revanche, c'est très compliqué de détecter le shadow IT utilisé à des fins professionnelles, et qui a vraiment de l'impact pour votre entreprise » .

Une fois les flux analysés, plusieurs solutions technologiques permettent de mesurer le phénomène, chacune offrant une perspective différente sur les points forts et les risques associés aux usages non autorisés. Le marché se divise principalement en trois grandes catégories de solutions :

• Les solutions CASB (Cloud Access Security Broker) génèrent un inventaire complet des services et applications Cloud utilisés par votre organisation. Les CASB sont d’abord conçus pour surveiller l’accès à des services cloud – comme leur nom l’indique – et sont donc moins adaptés pour suivre l’utilisation d’applications SaaS.
• En prenant le problème du côté des utilisateurs, vous pouvez vous appuyer sur des logiciels de type EDR (Endpoint Detection and Response) qui sont capables de détecter les applications ou les processus non autorisés qui s'exécutent sur le poste de travail de l’utilisateur.
• Enfin, parmi les solutions de mesure figurent les SaaS Management Platforms (SMP) qui permettent d’identifier toutes les applications utilisées (officiellement ou clandestinement).

CASB et SMP : des solutions complémentaires

Les solutions CASB et SMP sont complémentaires, et ne poursuivent pas les mêmes objectifs. Le CASB est un outil de cybersécurité qui a pour objectif de sécuriser les accès Cloud. La détection du shadow IT n'est qu'un des cas d’usage du CASB. De son côté, une solution SMP va monitorer les usages SaaS professionnels de manière beaucoup plus précise et organiser la gouvernance entre les équipes IT, SAM, cyber ou encore achats.

Passer de la détection à l’analyse des applications SaaS en shadow IT

La véritable complexité se révèle lorsque l’on passe de la simple détection des applications SaaS en shadow IT à leur analyse approfondie.

La détection est cruciale pour identifier les services les plus utilisés, déterminer la fréquence de leur usage, et distinguer les connexions professionnelles des utilisations personnelles par un même utilisateur. Cette étape inclut également l’évaluation des risques de sécurité et l'analyse de l’impact financier de ces utilisations clandestines.

C’est là qu’entrent en scène les outils SMP, comme celui de Beamy : « L'extension navigateur identifie en temps réel les applications SaaS à usage professionnel, grâce à la base de connaissance Beamy » , précise Edouard Dossot.

Pour assurer une détection complète, ces outils intègrent des sources de données complémentaires, telles que les référentiels applicatifs/SSO, les analyses CASB/DLP/SWG, ainsi que les commandes des achats et les transactions financières. L’objectif est d’identifier les connexions via des adresses e-mail professionnelles ou personnelles afin de différencier les visites occasionnelles des usages prolongés.

Chaque poste de travail remonte ces informations au serveur qui anonymise et produit une cartographie globale des applications shadow IT, incluant le nombre d’utilisateurs et la durée moyenne de connexion.

Une phase de détection et de mesure essentielle pour évaluer l’ampleur du shadow IT et mettre en place les actions appropriées. Une étape clé qu’Edouard Dossot illustre avec le cas d’un des clients Beamy du secteur banque-assurance : « en 2021, la DSI contrôlait l’utilisation de 45 services SaaS. Notre outil en a identifié 280. L’année suivante, nous avons détecté 340 applications SaaS, et jusqu’à 374 en 2023. »

Une fois la phase de détection achevée, vient le temps de l’analyse, rendue possible par les tableaux de bord qui classifient les accès shadow IT, suivent leur évolution dans le temps, et signalent l’utilisation de nouvelles applications SaaS ou des variations anormales dans leur durée d’utilisation. Une approche à coupler avecune évaluation des risques (de sécurité, de confidentialité des données et de conformité) pour rapidement prendre les mesures qui s’imposent.

Co-construire un plan de réduction du shadow IT

Sur la base des informations recueillies, vous allez pouvoir engager le dialogue avec les métiers afin d’élaborer la feuille de route visant à réduire le shadow IT par ordre de priorité, et en trois temps, selon les conseils d’experts d’Edouard Dossot :

1. « Concentrez-vous d’abord sur l’élimination des usages SaaS les plus risqués, ceux qui compromettent la sécurité de votre système d'information, la confidentialité de vos données critiques, ou qui enfreignent les réglementations en vigueur » .
2. « Une fois ces risques majeurs traités, vous pourrez vous concentrer sur la réduction des doublons, comme les outils de transfert de fichiers ou les plateformes collaboratives utilisées de manière informelle » .
3. « Enfin, un changement de paradigme s'impose. Plutôt que de continuellement se battre contre le shadow IT, la DSI, en collaboration avec les départements métiers, doit implémenter une nouvelle gouvernance, un nouvel état d'esprit... L'objectif est de faciliter l'initiative technologique des métiers sans compromettre le SI. Il faut trouver le bon équilibre entre agilité et sécurité » .

Réduire le shadow IT n’est pas un long fleuve tranquille, mais en suivant les bonnes étapes et en utilisant les outils appropriés, vous réussirez à atténuer ses impacts les plus nuisibles et à renforcer la culture de la sécurité au sein de votre système d'information.