Shadow IT et télétravail : un modèle potentiellement explosif
Les entreprises, notamment les TPE/PME, n’étaient pas toutes prêtes à basculer en télétravail lors du premier confinement. Nombre d’entre elles opéraient donc un rattrapage au cours des troisième et quatrième trimestres 2020, en fournissant des PC portables à leurs salariés.
Un tel investissement n’est pas indolore pour des trésoreries déjà mises à rude épreuve. En conséquence, le Shadow IT a pu se développer. Pour rappel, ce terme désigne l’usage de terminaux personnels et d’applications échappant à la gouvernance de la DSI.
La sensibilisation à la sécurité pour réduire les risques
Le Shadow IT peut ainsi amener les collaborateurs à contourner les politiques de sécurité, accroissant les risques sécuritaires. D’après une étude de NinjaRMM auprès de 800 télétravailleurs de la zone EMEA, 36 % d’entre eux se sont ainsi équipés à leurs frais en matériel et outils numériques.
En outre, ils sont 41 % à reconnaître devoir contourner les politiques de sécurité de leur entreprise pour faire leur travail. Enfin, 18 % des salariés sondés déclarent un usage personnel de leurs outils professionnels. Autant d’usages susceptibles d’exposer l’entreprise à une attaque. Faut-il dès lors proscrire le Shadow IT ?
Si les salariés ne disposent que de leurs terminaux personnels pour travailler, c’est inenvisageable. Il convient dès lors de sécuriser autant que possible cette pratique. Cela passe notamment par de la formation et de la sensibilisation à la sécurité – valables aussi pour un parc de PC d’entreprise.
Pour aider TPE et PME, l’Anssi, l’agence de sécurité de l’Etat, met à disposition des employeurs de nombreuses ressources, dont des guides et des vidéos. Cette boîte à outils leur permettra d’informer sur les enjeux de la sécurité numérique ainsi que les premiers gestes à acquérir, y compris à la maison.
Des salariés informés des risques adopteront des comportements plus sûrs. Ils doivent ainsi être sensibilisés sur la nécessité de mettre à jour leurs applications, réduisant les risques de compromission du terminal, puis du réseau de l’entreprise par ricochet.
Renforcer le contrôle d’accès sur le BYOD
La formation à la sécurité est une étape incontournable, mais pas suffisante. Elle se double de mesures de protection supplémentaires. Le déploiement de l’authentification forte constitue de plus en plus un impératif, y compris pour l’accès en Shadow IT à des services cloud comme du stockage de fichiers. Et cette authentification pourra être renforcée lors de l’accès depuis un terminal personnel – comme elle s’applique dans une démarche zero trust.
La compromission de données clients hébergées sur un tel service représenterait une infraction au RGPD. Même si cet usage échappe au contrôle de l’entreprise, elle en demeure responsable. Il est cependant préférable de conserver les données sur un espace unique maîtrisé par la DSI, pour des raisons de sécurité, mais aussi de sauvegarde. Dans les deux cas, l’authentification forte réduira les risques de fuites de donnés.
Autre mesure à mettre en œuvre : cloisonner professionnel et personnel au travers d’une bulle de sécurité. Plus les usages et les utilisateurs d’un même ordinateur personnel se multiplient, plus les risques s’accroissent. Le salarié devra, si possible, limiter les usages sur l’ordinateur utilisé pour le travail. Ce n’est pas toujours possible. De préférence, le collaborateur se connectera à un poste de travail virtuel ou un bureau distant.
Pour réduire les risques, la connexion à distance sera en outre conditionnée à du contrôle d’accès, une analyse de la conformité du terminal (OS à jour, antivirus activé, etc.), ou à la mise en place du chiffrement des communications (VPN). La CNIL préconise dans tous les cas de « subordonner l’utilisation des équipements personnels à une autorisation préalable de l’administrateur réseau et/ou de l’employeur ».
En imposant cette information préalable, l’IT disposera d’une visibilité sur les terminaux se connectant au réseau et à ses ressources. Les appareils personnels pourront de cette façon être gouvernés via une solution de MDM (Mobile Device Management), permettant d’appliquer des politiques de sécurité.
