+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Expert éminent

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2016
    Messages
    99
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : mai 2016
    Messages : 99
    Points : 6 678
    Points
    6 678

    Par défaut Le Shadow IT rend les organisations plus vulnérables aux cyberattaques

    Le Shadow IT rend les organisations plus vulnérables aux cyberattaques selon des DSI anglais et allemands
    Le niveau d'exposition n'étant pas maîtrisé

    Le Shadow IT est un concept utilisé pour désigner l'ensemble des outils ou logiciels utilisés par le métier à l'insu de la DSI. Or la mission principale de cette dernière est de fournir des solutions informatiques adaptées aux activités de l’organisation. D’après une étude réalisée en Allemagne et au Royaume-Uni par Tenable Network Security, un spécialiste en sécurité informatique, le Shadow IT exposerait davantage les organisations aux cyberattaques. Il n'est pas facile de maîtriser le niveau d'exposition quand le responsable de la sécurité n'est pas au courant de l'utilisation d'applications tierces par les utilisateurs.

    Tenable Network Security a réalisé un sondage auprès d’organisations en Allemagne et au Royaume-Uni. Plus de 50 % d’entre elles ont reconnu l'existence de Shadow IT au sein de leur organisation. Cependant, 88 % des DSI avouent que le Shadow IT rendait les organisations plus vulnérables aux cyberattaques. L’utilisation de ressources et d’applications inconnues aurait favorisé une cyberattaque au cours des 12 derniers mois, selon les déclarations de 65 % de DSI ayant participé à l’enquête en Allemagne. Le Shadow IT serait surtout présent au sein du département d’ingénierie, du département recherche et développement et du département des finances.

    Cela expose les organisations à davantage de cyberattaques dans la mesure où la base de la sécurité est d’avoir un aperçu de ce qui est utilisé sur le réseau. Or avec le Shadow IT, le service informatique ne connait pas toujours les applications tierces utilisées par les employés d’une entreprise. D’après cette enquête, 38 % des organisations au Royaume-Uni et 50 % en Allemagne s’attendraient à ce que le Shadow IT continue à augmenter l’année prochaine.

    Pour améliorer la performance d’une entreprise, le rôle de la DSI est de fournir aux utilisateurs des solutions informatiques. Cela représente un coût non négligeable pour l’organisation. Cependant, il arrive que ces derniers aient recours à des logiciels et outils tiers, et ce, à l’insu du service informatique. Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.

    Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.

    Source : Tenable Network Security

    Et vous ?

    Que pensez-vous de l’impact du Shadow IT sur la sécurité du réseau d’une organisation ?

    Voir aussi :

    Le Shadow IT est-il la réponse du métier à un manquement de la DSI ? Comment la DSI peut-elle en tirer parti pour améliorer son SLA ?

  2. #2
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    2 252
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 2 252
    Points : 6 110
    Points
    6 110

    Par défaut

    Si on colle du shadow IT à la sortie de l'entreprise il est normal d'affaiblir la sécurité.
    Je peux comprendre son utilisation, mais je l'accepte mal dans ce contexte (internet VS réseau interne ou machine déconnectée du réseau).
    On est tous responsable de la sécurité de l'entreprise.
    Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.

  3. #3
    Membre éclairé

    Profil pro
    Conseil - Consultant en systèmes d'information
    Inscrit en
    février 2004
    Messages
    449
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Conseil - Consultant en systèmes d'information

    Informations forums :
    Inscription : février 2004
    Messages : 449
    Points : 838
    Points
    838

    Par défaut

    Avec l’introduction du Shadow IT, l’entreprise peut ne pas bénéficier d’un retour sur investissement pour les applications et autres outils qu’elle a financés.
    Pas toujours vrai, souvent l'application en question est tellement adaptée, que le retour sur investissement, effectué par le service ou la division auquel elle est destinée, est bien meilleur qu'une application généraliste.

    Parfois, ces applications non connues par la DSI peuvent être plus efficaces et plus innovantes que les solutions proposées par le service informatique. Cependant, elles peuvent être une porte d’entrée pour les hackers. Il n’est pas possible pour un utilisateur lambda de déceler les failles et les vulnérabilités d’une application. Ce rôle revient à la DSI, elle est en mesure d’évaluer et de déterminer si une application est adaptée ou non aux besoins des utilisateurs, surtout en termes de sécurité.
    Pas toujours vrai non plus malheureusement, dans la plupart des grosses sociétés (>10000), le service informatique est déjà débordé et n'a souvent pas le temps de s'occuper de ca.

    Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.

  4. #4
    Membre expert
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système
    Inscrit en
    juillet 2012
    Messages
    708
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système

    Informations forums :
    Inscription : juillet 2012
    Messages : 708
    Points : 3 802
    Points
    3 802

    Par défaut

    Citation Envoyé par blbird Voir le message
    Je pense que le principal problème est un problème de moyens pour un divisione IT dans un groupe. Le Shadow IT n'en est qu'une conséquence.
    Oui blbird, les DSI des grands groupes sont confrontées à des objectifs contradictoires à savoir :

    - gérer l'existant avec des moyens humains et financiers au meilleur rapport qualité/prix/délai, en régression constante à périmètre constant
    - gérer les prestataires de service du fait de l'externalisation croissante de la DSI
    - perte de la maîtrise globale du SI (Système d'Information)
    - pression des divisions "métiers" et de leurs fournisseurs
    etc ...

    Voir à ce propos, le secteur de la banque/assurance en France, par exemple, pour le Legacy, en français le système hérité qui représente (de mémoire) jusqu'à 70 % du chiffre d'affaire récurrent encore de nos jours.

    [Edit]
    Et le (la) RSSI (Responsable de la sécurité des systèmes d'information) de l'entreprise doit composer avec tous ces facteurs (politique, budget, juridique, technique ...)

    [Edit2]
    Et pour le Legacy aux Etats-Unis, voir également cette actualité de developpez:
    États-Unis : 75 % du budget IT consacré à la maintenance d'anciens systèmes durant l'année 2015

  5. #5
    Membre émérite
    Avatar de MarieKisSlaJoue
    Homme Profil pro
    Consultant Office 365
    Inscrit en
    mai 2012
    Messages
    691
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : Consultant Office 365
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2012
    Messages : 691
    Points : 2 845
    Points
    2 845
    Billets dans le blog
    20

    Par défaut

    En l'état bien sur que le Shadow IT est une vraie menace pour la sécurité de l'entreprise. Et ca ne vas être que croissant avec les IoT pour ne citer que ça. Maintenant encadrer correctement le phénomène devient beaucoup moins menaçant. La sécurité du SI passe bcp plus par la connaissance des éléments et acteur du SI que par des protocoles de sécurité.

    Ce qui manque aujourd'hui c'est une méthode efficace pour gérer le Shadow IT. Une méthode qui selon moi doit d'ailleurs plus être entre les mains du métier directement que entre celle de la DSI.

    Si on prend ITIL, ca fonctionne très bien pour gérer l'IT connu et donc convient parfaitement a la DSI. Mais quand est-ce que on va enfin se demandé quel solution le métier a pour gérer l'IT qu'elle ne confie pas a la DSI
    soit on offre des méthodes soit on surgonfle les effectifs de la DSI pour un résultat surement que très moyen. Je préfère donc plutôt miser sur de nouvelle méthode de gestion.

    Et puis n'oublions pas que la première défense contre les cyber attaque c'est l'éducation et sensibilisation des utilisateurs

  6. #6
    Membre expert

    Homme Profil pro
    Ingénieur Etudes et Développements Junior
    Inscrit en
    juillet 2009
    Messages
    918
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Etudes et Développements Junior
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juillet 2009
    Messages : 918
    Points : 3 660
    Points
    3 660

    Par défaut

    C'est sûr que la multiplication des applications "externes" est un facteur mathématique/possible de baisse de sécurité.

    Mais en même temps, ce n'est pas notre faute si on nous fournit des outils ne répondant pas à nos besoins et nous empêchant d'être productifs, voire épanouis dans notre travail ! Ou inversement en ne nous fournissant pas les outils nécessaires.
    Si on est développeurs, le shadow IT est plutôt à favoriser, sous un minimum de contrôle évidemment.

    Pour l'utilisateur lambda, à voir.

  7. #7
    Expert confirmé Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 203
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 203
    Points : 5 945
    Points
    5 945

    Par défaut

    bon je vais me faire un peu l'avocat du diable mais...
    • la majorité des attaques réussies proviendront de l'intérieur du SI, un collègue foireux, une clé usb ou un laptop branché(e) sauvagement, éventuellement par un manager
    • tandis que l'écrasante majorité des attaques est de nature automatisée, et les malwares divers ne prévoient en général que quelques vecteurs de propagation "grand public" qui excluent les connexions ssh chères aux administrateurs par exemple
    • quid du télétravail ?


    alors oui le "shadow IT" présente un risque évident, mais de mon point de vue c'est loin d'être la menace principale
    ça représente un risque important dans l'optique ou un attaquant cible explicitement le SI en question, mais dans ce cas là même venir à bout du shadow IT ne suffira pas à se prémunir efficacement
    par contre c'est un peu comme la lutte anti-terroriste ou anti-pédophilie, un bon marronnier pour justifier l'emprise grandissante de l'entreprise sur la moindre action du salarié, "un individu malveillant pourrait très bien cacher et/ou mettre au point des objets de nature à porter préjudice à l'intérieur même des toilettes, c'est pourquoi désormais on notera combien de fois vous allez pisser, quand et combien de temps vous y restez"
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

Discussions similaires

  1. Réponses: 6
    Dernier message: 16/06/2016, 17h24
  2. comment gérer les accès à mes pages selon des rôles ?
    Par spring.time dans le forum Développement Web en Java
    Réponses: 6
    Dernier message: 20/03/2014, 08h56
  3. Réponses: 4
    Dernier message: 04/04/2011, 16h09
  4. [Threads]Comment les organiser pour un jeu du serpent ?
    Par Pill_S dans le forum Général Algorithmique
    Réponses: 12
    Dernier message: 11/05/2004, 15h22
  5. [TDataModule] Intérêt de séparer les accès aux données?
    Par Cornell dans le forum Bases de données
    Réponses: 5
    Dernier message: 05/09/2003, 16h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo