IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Le Shadow IT rend les organisations plus vulnérables aux cyberattaques


Sujet :

Sécurité

  1. #1
    Expert éminent

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2016
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : mai 2016
    Messages : 99
    Points : 6 684
    Points
    6 684
    Par défaut Le Shadow IT rend les organisations plus vulnérables aux cyberattaques
    Le Shadow IT rend les organisations plus vulnérables aux cyberattaques selon des DSI anglais et allemands
    Le niveau d'exposition n'étant pas maîtrisé

    Le Shadow IT est un concept utilisé pour désigner l'ensemble des outils ou logiciels utilisés par le métier à l'insu de la DSI. Or la mission principale de cette dernière est de fournir des solutions informatiques adaptées aux activités de l’organisation. D’après une étude réalisée en Allemagne et au Royaume-Uni par Tenable Network Security, un spécialiste en sécurité informatique, le Shadow IT exposerait davantage les organisations aux cyberattaques. Il n'est pas facile de maîtriser le niveau d'exposition quand le responsable de la sécurité n'est pas au courant de l'utilisation d'applications tierces par les utilisateurs.

    Tenable Network Security a réalisé un sondage auprès d’organisations en Allemagne et au Royaume-Uni. Plus de 50 % d’entre elles ont reconnu l'existence de Shadow IT au sein de leur organisation. Cependant, 88 % des DSI avouent que le Shadow IT rendait les organisations plus vulnérables aux cyberattaques. L’utilisation de ressources et d’applications inconnues aurait favorisé une cyberattaque au cours des 12 derniers mois, selon les déclarations de 65 % de DSI ayant participé à l’enquête en Allemagne. Le Shadow IT serait surtout présent au sein du département d’ingénierie, du département recherche et développement et du département des finances.

    Cela expose les organisations à davantage de cyberattaques dans la mesure où la base de la sécurité est d’avoir un aperçu de ce qui est utilisé sur le réseau. Or avec le Shadow IT, le service informatique ne connait pas toujours les applications tierces utilisées par les employés d’une entreprise. D’après cette enquête, 38 % des organisations au Royaume-Uni et 50 % en Allemagne s’attendraient à ce que le Shadow IT continue à augmenter l’année prochaine.

    Pour améliorer la performance d’une entreprise, le rôle de la DSI est de fournir aux utilisateurs des solutions informatiques. Cela représente un coût non négligeable pour l’organisation. Cependant, il arrive que ces derniers aient recours à des logiciels et outils tiers, et ce, à l’insu du service informatique. Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.

    Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.

    Source : Tenable Network Security

    Et vous ?

    Que pensez-vous de l’impact du Shadow IT sur la sécurité du réseau d’une organisation ?

    Voir aussi :

    Le Shadow IT est-il la réponse du métier à un manquement de la DSI ? Comment la DSI peut-elle en tirer parti pour améliorer son SLA ?

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 348
    Points
    9 348
    Par défaut
    Si on colle du shadow IT à la sortie de l'entreprise il est normal d'affaiblir la sécurité.
    Je peux comprendre son utilisation, mais je l'accepte mal dans ce contexte (internet VS réseau interne ou machine déconnectée du réseau).
    On est tous responsable de la sécurité de l'entreprise.

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  3. #3
    Membre chevronné

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    février 2004
    Messages
    730
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : février 2004
    Messages : 730
    Points : 1 889
    Points
    1 889
    Par défaut
    Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.
    Pas toujours vrai, souvent l'application en question est tellement adaptée, que le retour sur investissement, effectué par le service ou la division auquel elle est destinée, est bien meilleur qu'une application généraliste.

    Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.
    Pas toujours vrai non plus malheureusement, dans la plupart des grosses sociétés (>10000), le service informatique est déjà débordé et n'a souvent pas le temps de s'occuper de ca.

    Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.

  4. #4
    Expert éminent
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    juillet 2012
    Messages
    1 178
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 59
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : juillet 2012
    Messages : 1 178
    Points : 8 934
    Points
    8 934
    Par défaut
    Citation Envoyé par blbird Voir le message
    Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.
    Oui blbird, les DSI des grands groupes sont confrontées à des objectifs contradictoires à savoir :

    - gérer l'existant avec des moyens humains et financiers au meilleur rapport qualité/prix/délai, en régression constante à périmètre constant
    - gérer les prestataires de service du fait de l'externalisation croissante de la DSI
    - perte de la maîtrise globale du SI (Système d'Information)
    - pression des divisions "métiers" et de leurs fournisseurs
    etc ...

    Voir à ce propos, le secteur de la banque/assurance en France, par exemple, pour le Legacy, en français le système hérité qui représente (de mémoire) jusqu'à 70 % du chiffre d'affaire récurrent encore de nos jours.

    [Edit]
    Et le (la) RSSI (Responsable de la sécurité des systèmes d'information) de l'entreprise doit composer avec tous ces facteurs (politique, budget, juridique, technique ...)

    [Edit2]
    Et pour le Legacy aux Etats-Unis, voir également cette actualité de developpez:
    États-Unis : 75 % du budget IT consacré à la maintenance d'anciens systèmes durant l'année 2015
    http://bhami.com/rosetta.html A Sysadmin's Unixersal Translator (ROSETTA STONE)
    AIX A/UX DG/UX FreeBSD HP-UX IRIX Linux Mac OS X NCR Unix NetBSD OpenBSD Reliant SCO OpenServer Solaris SunOS 4 Tru64 Ultrix UNICOS

    Club des professionnels en informatique Le plus important club en langue française pour les professionnels en informatique
    À qui s'adresse le Club ... La plus grande équipe de rédaction à votre service - Pourquoi pas de cotisations ?

  5. #5
    Membre expert
    Avatar de MarieKisSlaJoue
    Homme Profil pro
    Ingénieur Cloud
    Inscrit en
    mai 2012
    Messages
    1 142
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Roumanie

    Informations professionnelles :
    Activité : Ingénieur Cloud
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2012
    Messages : 1 142
    Points : 3 573
    Points
    3 573
    Billets dans le blog
    20
    Par défaut
    En l'état bien sur que le Shadow IT est une vraie menace pour la sécurité de l'entreprise. Et ca ne vas être que croissant avec les IoT pour ne citer que ça. Maintenant encadrer correctement le phénomène devient beaucoup moins menaçant. La sécurité du SI passe bcp plus par la connaissance des éléments et acteur du SI que par des protocoles de sécurité.

    Ce qui manque aujourd'hui c'est une méthode efficace pour gérer le Shadow IT. Une méthode qui selon moi doit d'ailleurs plus être entre les mains du métier directement que entre celle de la DSI.

    Si on prend ITIL, ca fonctionne très bien pour gérer l'IT connu et donc convient parfaitement a la DSI. Mais quand est-ce que on va enfin se demandé quel solution le métier a pour gérer l'IT qu'elle ne confie pas a la DSI
    soit on offre des méthodes soit on surgonfle les effectifs de la DSI pour un résultat surement que très moyen. Je préfère donc plutôt miser sur de nouvelle méthode de gestion.

    Et puis n'oublions pas que la première défense contre les cyber attaque c'est l'éducation et sensibilisation des utilisateurs
    Ce post à été écrit par un panda
    Apollo 11 - AGC revue de code
    -- qwerty keybord

  6. #6
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 030
    Points : 4 121
    Points
    4 121
    Par défaut
    C'est sûr que la multiplication des applications "externes" est un facteur mathématique/possible de baisse de sécurité.

    Mais en même temps, ce n'est pas notre faute si on nous fournit des outils ne répondant pas à nos besoins et nous empêchant d'être productifs, voire épanouis dans notre travail ! Ou inversement en ne nous fournissant pas les outils nécessaires.
    Si on est développeurs, le shadow IT est plutôt à favoriser, sous un minimum de contrôle évidemment.

    Pour l'utilisateur lambda, à voir.

  7. #7
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 999
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 999
    Points : 8 316
    Points
    8 316
    Par défaut
    bon je vais me faire un peu l'avocat du diable mais...
    • la majorité des attaques réussies proviendront de l'intérieur du SI, un collègue foireux, une clé usb ou un laptop branché(e) sauvagement, éventuellement par un manager
    • tandis que l'écrasante majorité des attaques est de nature automatisée, et les malwares divers ne prévoient en général que quelques vecteurs de propagation "grand public" qui excluent les connexions ssh chères aux administrateurs par exemple
    • quid du télétravail ?


    alors oui le "shadow IT" présente un risque évident, mais de mon point de vue c'est loin d'être la menace principale
    ça représente un risque important dans l'optique ou un attaquant cible explicitement le SI en question, mais dans ce cas là même venir à bout du shadow IT ne suffira pas à se prémunir efficacement
    par contre c'est un peu comme la lutte anti-terroriste ou anti-pédophilie, un bon marronnier pour justifier l'emprise grandissante de l'entreprise sur la moindre action du salarié, "un individu malveillant pourrait très bien cacher et/ou mettre au point des objets de nature à porter préjudice à l'intérieur même des toilettes, c'est pourquoi désormais on notera combien de fois vous allez pisser, quand et combien de temps vous y restez"

Discussions similaires

  1. Réponses: 6
    Dernier message: 16/06/2016, 18h24
  2. comment gérer les accès à mes pages selon des rôles ?
    Par spring.time dans le forum Développement Web en Java
    Réponses: 6
    Dernier message: 20/03/2014, 09h56
  3. Réponses: 4
    Dernier message: 04/04/2011, 17h09
  4. [Threads]Comment les organiser pour un jeu du serpent ?
    Par Pill_S dans le forum Algorithmes et structures de données
    Réponses: 12
    Dernier message: 11/05/2004, 16h22
  5. [TDataModule] Intérêt de séparer les accès aux données?
    Par Cornell dans le forum Bases de données
    Réponses: 5
    Dernier message: 05/09/2003, 17h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo