Toutes les entreprises ne fournissent pas des PC portables à leurs salariés pour la pratique du télétravail. Résultat : une recrudescence du Shadow IT, pour les terminaux comme pour les logiciels. Ces usages doivent être encadrés par des mesures de sécurité
Table des matières
La sensibilisation à la sécurité pour réduire les risques
Le Shadow IT peut ainsi amener les collaborateurs à contourner les politiques de sécurité, accroissant les risques sécuritaires. D’après une étude de NinjaRMM auprès de 800 télétravailleurs de la zone EMEA, 36 % d’entre eux se sont ainsi équipés à leurs frais en matériel et outils numériques.
En outre, ils sont 41 % à reconnaître devoir contourner les politiques de sécurité de leur entreprise pour faire leur travail. Enfin, 18 % des salariés sondés déclarent un usage personnel de leurs outils professionnels. Autant d’usages susceptibles d’exposer l’entreprise à une attaque. Faut-il dès lors proscrire le Shadow IT ?
Si les salariés ne disposent que de leurs terminaux personnels pour travailler, c’est inenvisageable. Il convient dès lors de sécuriser autant que possible cette pratique. Cela passe notamment par de la formation et de la sensibilisation à la sécurité – valables aussi pour un parc de PC d’entreprise.
Pour aider TPE et PME, l’Anssi, l’agence de sécurité de l’Etat, met à disposition des employeurs de nombreuses ressources, dont des guides et des vidéos. Cette boîte à outils leur permettra d’informer sur les enjeux de la sécurité numérique ainsi que les premiers gestes à acquérir, y compris à la maison.
Des salariés informés des risques adopteront des comportements plus sûrs. Ils doivent ainsi être sensibilisés sur la nécessité de mettre à jour leurs applications, réduisant les risques de compromission du terminal, puis du réseau de l’entreprise par ricochet.
Renforcer le contrôle d’accès sur le BYOD
La formation à la sécurité est une étape incontournable, mais pas suffisante. Elle se double de mesures de protection supplémentaires. Le déploiement de l’authentification forte constitue de plus en plus un impératif, y compris pour l’accès en Shadow IT à des services cloud comme du stockage de fichiers. Et cette authentification pourra être renforcée lors de l’accès depuis un terminal personnel – comme elle s’applique dans une démarche zero trust.
La compromission de données clients hébergées sur un tel service représenterait une infraction au RGPD. Même si cet usage échappe au contrôle de l’entreprise, elle en demeure responsable. Il est cependant préférable de conserver les données sur un espace unique maîtrisé par la DSI, pour des raisons de sécurité, mais aussi de sauvegarde. Dans les deux cas, l’authentification forte réduira les risques de fuites de donnés.
Autre mesure à mettre en œuvre : cloisonner professionnel et personnel au travers d’une bulle de sécurité. Plus les usages et les utilisateurs d’un même ordinateur personnel se multiplient, plus les risques s’accroissent. Le salarié devra, si possible, limiter les usages sur l’ordinateur utilisé pour le travail. Ce n’est pas toujours possible. De préférence, le collaborateur se connectera à un poste de travail virtuel ou un bureau distant.
Pour réduire les risques, la connexion à distance sera en outre conditionnée à du contrôle d’accès, une analyse de la conformité du terminal (OS à jour, antivirus activé, etc.), ou à la mise en place du chiffrement des communications (VPN). La CNIL préconise dans tous les cas de « subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur ».
En imposant cette information préalable, l’IT disposera d’une visibilité sur les terminaux se connectant au réseau et à ses ressources. Les appareils personnels pourront de cette façon être gouvernés via une solution de MDM (Mobile Device Management), permettant d’appliquer des politiques de sécurité.
Le mot d’Upper-Link
« Le shadow IT ce n’est pas une affaire d’informaticien ! Il est indispensable d’impliquer les métiers eux-mêmes dans la politique de gestion de la donnée. Les métiers mais aussi les fonctions transverses comme la communication, le contrôle de gestion et même les RH. Le shadow IT est bien une préoccupation d’entreprise où chacun doit concourir à en limiter les cas d’usage. » nous confie René Louis Adda.
Pour Upper-Link il est évident que les collaborateurs n’ont pas conscience des risques qu’ils font courir à l’entreprise. C’est pourquoi il est essentiel de les sensibiliser et de leur montrer l’importance de ces risques. Dans cette optique, l’élaboration et la diffusion d’une charte informatique constitue un bon levier afin de minimiser les risques et de promouvoir les bonnes pratiques. Un chapitre doit notamment être consacré à la gouvernance des données dans le cloud. Chez Upper-Link, Ariane Adda se charge de cette sensibilisation auprès des nouveaux collaborateurs.
Pour elle « Les salariés doivent développer les bons réflexes numériques et rester vigilants dès leur arrivé. Que ce soit à titre professionnel ou personnel, avant chaque téléchargement, il faut se renseigner sur le logiciel et son éditeur. »
