MS solution Partner
Upper-Link est depuis plus de 10 ans un partenaire de Microsoft. Découvrez nos certifications.
Shadow IT et télétravail

Shadow IT et télétravail : un modèle prometteur

Toutes les entreprises ne fournissent pas des PC portables à leurs salariés pour la pratique du télétravail. Résultat : une recrudescence du Shadow IT, pour les terminaux comme pour les logiciels. Ces usages doivent être encadrés par des mesures de sécurité

Table des matières

La sensibilisation à la sécurité pour réduire les risques

Le Shadow IT peut ainsi amener les collaborateurs à contourner les politiques de sécurité, accroissant les risques sécuritaires. D’après une étude de NinjaRMM auprès de 800 télétravailleurs de la zone EMEA, 36 % d’entre eux se sont ainsi équipés à leurs frais en matériel et outils numériques.

En outre, ils sont 41 % à reconnaître devoir contourner les politiques de sécurité de leur entreprise pour faire leur travail. Enfin, 18 % des salariés sondés déclarent un usage personnel de leurs outils professionnels. Autant d’usages susceptibles d’exposer l’entreprise à une attaque. Faut-il dès lors proscrire le Shadow IT ?

Si les salariés ne disposent que de leurs terminaux personnels pour travailler, c’est inenvisageable. Il convient dès lors de sécuriser autant que possible cette pratique. Cela passe notamment par de la formation et de la sensibilisation à la sécurité – valables aussi pour un parc de PC d’entreprise.

Pour aider TPE et PME, l’Anssi, l’agence de sécurité de l’Etat, met à disposition des employeurs de nombreuses ressources, dont des guides et des vidéos. Cette boîte à outils leur permettra d’informer sur les enjeux de la sécurité numérique ainsi que les premiers gestes à acquérir, y compris à la maison.

Des salariés informés des risques adopteront des comportements plus sûrs. Ils doivent ainsi être sensibilisés sur la nécessité de mettre à jour leurs applications, réduisant les risques de compromission du terminal, puis du réseau de l’entreprise par ricochet.

Renforcer le contrôle d’accès sur le BYOD

La formation à la sécurité est une étape incontournable, mais pas suffisante. Elle se double de mesures de protection supplémentaires. Le déploiement de l’authentification forte constitue de plus en plus un impératif, y compris pour l’accès en Shadow IT à des services cloud comme du stockage de fichiers. Et cette authentification pourra être renforcée lors de l’accès depuis un terminal personnel – comme elle s’applique dans une démarche zero trust.

La compromission de données clients hébergées sur un tel service représenterait une infraction au RGPD. Même si cet usage échappe au contrôle de l’entreprise, elle en demeure responsable. Il est cependant préférable de conserver les données sur un espace unique maîtrisé par la DSI, pour des raisons de sécurité, mais aussi de sauvegarde. Dans les deux cas, l’authentification forte réduira les risques de fuites de donnés.

Autre mesure à mettre en œuvre : cloisonner professionnel et personnel au travers d’une bulle de sécurité. Plus les usages et les utilisateurs d’un même ordinateur personnel se multiplient, plus les risques s’accroissent. Le salarié devra, si possible, limiter les usages sur l’ordinateur utilisé pour le travail. Ce n’est pas toujours possible. De préférence, le collaborateur se connectera à un poste de travail virtuel ou un bureau distant.

Pour réduire les risques, la connexion à distance sera en outre conditionnée à du contrôle d’accès, une analyse de la conformité du terminal (OS à jour, antivirus activé, etc.), ou à la mise en place du chiffrement des communications (VPN). La CNIL préconise dans tous les cas de « subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur ».

En imposant cette information préalable, l’IT disposera d’une visibilité sur les terminaux se connectant au réseau et à ses ressources. Les appareils personnels pourront de cette façon être gouvernés via une solution de MDM (Mobile Device Management), permettant d’appliquer des politiques de sécurité.

Le mot d’Upper-Link

« Le shadow IT ce n’est pas une affaire d’informaticien ! Il est indispensable d’impliquer les métiers eux-mêmes dans la politique de gestion de la donnée. Les métiers mais aussi les fonctions transverses comme la communication, le contrôle de gestion et même les RH. Le shadow IT est bien une préoccupation d’entreprise où chacun doit concourir à en limiter les cas d’usage. » nous confie René Louis Adda.

Pour Upper-Link il est évident que les collaborateurs n’ont pas conscience des risques qu’ils font courir à l’entreprise. C’est pourquoi il est essentiel de les sensibiliser et de leur montrer l’importance de ces risques. Dans cette optique, l’élaboration et la diffusion d’une charte informatique constitue un bon levier afin de minimiser les risques et de promouvoir les bonnes pratiques. Un chapitre doit notamment être consacré à la gouvernance des données dans le cloud. Chez Upper-Link, Ariane Adda se charge de cette sensibilisation auprès des nouveaux collaborateurs.

Pour elle « Les salariés doivent développer les bons réflexes numériques et rester vigilants dès leur arrivé. Que ce soit à titre professionnel ou personnel, avant chaque téléchargement, il faut se renseigner sur le logiciel et son éditeur. »

Lisez aussi…

IA et apprentissage automatique : définition et fonctionnement

L’apprentissage automatique est basé sur des algorithmes et permet d’améliorer les performances décisionnelles et prédictives des entreprises. …
actualité - sauvegarde de data

Comment sauvegarder ses données ?

Prévenez les pertes de données dues aux bugs, virus, vols, ou pannes en protégeant vos fichiers critiques grâce aux méthodes de sauvegarde. …
Comment l'IA Copilot peut booster votre productivité

Comment l’IA Copilot peut booster votre productivité ?

Explorez comment l’assistant IA Copilot intégré à Microsoft 365 révolutionne la productivité professionnelle avec des fonctionnalités innovantes. …
Norme ISO 42001

Norme ISO 42001: un pilier pour la gestion de l’IA

La norme ISO 42001 deviendra un pilier pour la gestion de l’IA, en offrant un cadre pour son utilisation éthique et transparente …
Découvrez chatGPT, un ami à surveiller

ChatGPT : un ami à surveiller !

ChatGPT, ce modèle de langage avancé a intégré notre quotidien personnel comme professionnel. …
Directive NIS2

Directive NIS2, quels impacts?

NIIS2, directive européenne destinée à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union Européenne. …

Nos événements

[Petit Dej’] Démonstration de la puissance de Copilot 365 dans vos solutions Microsoft

Petit dej'
29/05/2024

[WEBINAR] Avez-vous pensé à sauvegarder vos données Office 365 ?

Webinars
23/05/2024

[WEBINAR] Microsoft Fabric, la plateforme Data tout-en-un

Webinars
14/05/2024