Le Clusif a publié en mars 2023 un nouveau guide : « Shadow IT à l’ère du cloud ». Nous remercions chaleureusement les membres du groupe de travail qui ont travaillé à sa rédaction, ainsi que l’ensemble de ses relecteurs. Ce guide est aujourd’hui en accès libre.
Selon le NIST (National Institute of Standards and Technology), le terme « Shadow IT » désigne l’utilisation de matériel, logiciels ou services SaaS (Software as a Service) dans le cadre du travail par un ou plusieurs membres du personnel, et ce, à l’insu du service informatique.
Un exemple typique de Shadow IT est l’utilisation, par un département de l’entreprise, d’une solution SaaS pour effectuer une tâche critique, une souscription réalisée sans accord au préalable du service informatique. La direction des systèmes d’information (DSI) ne se rend généralement compte de l’existence de ce système qu’au moment où l’accès au dit service est perdu ou encore s’il fait l’objet d’une violation, mettant ainsi en péril la mission critique.
Dans la même lignée, le « Bring Your Own Cloud » (BYOC) fait son apparition en suivant la même philosophie que le « Bring Your Own Device » (BYOD), mais cette fois en rapport au cloud. Celui-ci s’invite peu à peu dans l’entreprise à l’insu de la DSI, entraînant un problème de maîtrise du système d’information (SI).
Comme le confirme la cartographie des attaques majeures en 2021 éditée par l’ENISA, les menaces cyber actuelles visent tout particulièrement les utilisateurs. Or, dans un environnement cloud, garder le contrôle de leur comportement est encore plus difficile. Avec un cloud sans réelle limite entre vie personnelle et professionnelle, la maîtrise de ces comportements devient essentielle pour garantir la confidentialité, l’intégrité et la disponibilité des données de l’entreprise.
Ce document a pour but de faire le point sur le phénomène de Shadow IT dans le cloud en abordant le sujet de façon pragmatique, en commençant par un état des lieux, puis en donnant des éléments de réponse pour gérer cette problématique tant sur les aspects techniques et fonctionnels que de gouvernance.