Discussion :

[Stéphane le calme]

Les employés avec le plus de pouvoir utilisent souvent du software/hardware qui n'est pas approuvé par la DSI,
pour faire leur travail

Le Shadow IT se rapporte aux matériels ou logiciels qui, dans une entreprise, ne sont pas pris en charge par le service informatique central. Bien que neutre en apparence, l'expression revêt souvent une connotation négative car elle implique que le service informatique n'a pas approuvé la technologie ou qu'il n'est même pas informé de son utilisation par les employés.

Le Shadow IT peut présenter des risques pour la sécurité à partir du moment où les équipements et logiciels non pris en charge ne sont pas soumis aux mêmes mesures de sécurité que les technologies "corporate".

Par ailleurs, les technologies qui opèrent à l'insu du service informatique peuvent perturber l'expérience utilisateur des autres employés, par exemple en consommant de la bande passante et en créant des situations dans lesquelles les protocoles du réseau ou des applications entrent en conflit.

Le Shadow IT peut également créer un problème de conformité quand, par exemple, les utilisateurs font appel à DropBox ou à d'autres services d'EFSS gratuits de stockage dans le Cloud pour y stocker des données d'entreprise.

Près de la moitié des employés concernés

Avec la « consumérisation » de l'informatique et la démocratisation du Cloud computing, le sens de l'expression s'est étendu aux appareils personnels que les employés utilisent sur leur lieu de travail (on parle également de politique BYOD pour « Bring Your Own Device »). Il concerne également les technologies de niche qui peuvent répondre aux besoins d'une division opérationnelle particulière, technologie qui peut de surcroît être prise en charge par un prestataire de services externe ou par un groupe interne, plutôt que par le service informatique de l'entreprise.

Selon une nouvelle étude de Snow Software, les employés sont fortement influencés par la technologie qu’ils utilisent tous les jours et investissent dans la technologie qu’ils utilisent tous les jours. Ces liens émotionnels peuvent les mettre en conflit avec les technologies de l’information et les intérêts de leur entreprise.

L’étude, réalisée auprès de 3 000 travailleurs dans le monde, a révélé que 46% des employés accédaient à des documents personnels sur leur appareil de travail sans la permission du service informatique. Étonnamment, 41% des employés dans le monde se procurent des logiciels et des applications professionnels sans consulter le service informatique. Cela fait en sorte que l'utilisation de votre propre technologie pour faire votre travail est la deuxième infraction informatique la plus courante, se plaçant juste derrière les accès à d'autres types de contenu personnel comme des applications, de la musique, des vidéos et des photos.

Les employés avec le plus de pouvoir sont ceux qui ont le plus recours au Shadow IT

Dans l’ensemble, les cadres (managers, directeurs, vice-présidents, les cadres dirigeants) ont presque deux fois plus de chances d’utiliser des logiciels et applications professionnels ou personnels non autorisés. Les vice-présidents et les cadres dirigeants (PDG, directeur financier, DSI, etc.) sont en tête ; ils utilisent des applications professionnelles (57%) et des applications personnelles (51%) sur leurs appareils de travail sans autorisation.

À l’opposée, les employés au bas de la pyramide des responsabilités sont ceux qui se comportent le mieux. Ils ne téléchargent que 25% de logiciels de travail ou d'applications sans autorisation. Cependant, ils sont également plus susceptibles de penser que cela n'a pas d'incidence négative sur l'entreprise.

Plus d’un cadre /stagiaire sur quatre estime ne pas avoir à demander la permission

Les cadres étaient également plus susceptibles d'indiquer que le fait de demander l'autorisation au service informatique pour obtenir des logiciels et des applications professionnels les ralentissait et avait un impact sur les délais (42%), ainsi que leur productivité (32%). Les gestionnaires étaient les plus susceptibles de signaler que demander l'autorisation leur donnait l’impression d’être surveillés (46%). Les employés au bas de la pyramide des responsabilités étaient presque deux fois plus susceptibles de dire que demander l'autorisation n'avait pas d'incidence sur leur travail (41%).

S'agissant de leur réaction émotionnelle, les cadres et, de manière surprenante, les stagiaires étaient beaucoup plus susceptibles d’estimer qu’il n’avait pas besoin de demander l'autorisation d'obtenir des logiciels et des applications pour faire leur travail, soit respectivement 34% et 33%. 19% des dirigeants ont admis ne pas avoir de réaction émotionnelle car ils ne demandent jamais la permission. Les gestionnaires ont déclaré se sentir plus nerveux (26%) et moins productifs (36%) lorsqu'ils avaient besoin d'une permission.

Toutefois, bien que 93% des dirigeants ont reconnu que cela posait problème, 57% d’entre eux contournent le service informatique pour accéder à des applications et à des logiciels professionnels. Et même si les employés au bas de la pyramide sont ceux qui se comportent le mieux, avec seulement 25% du téléchargement de logiciels ou d’applications de travail sans la permission du responsable informatique, ils étaient également plus susceptibles de penser que cela n’avait aucun impact négatif sur l’entreprise.

Cela devrait être particulièrement préoccupant compte tenu de l'accès des dirigeants aux informations et données sensibles.

Près de la moitié des employés disent que demander la permission leur donne l'impression d'être surveillés

40% des travailleurs ont affirmé que la nécessité d’obtenir la permission du personnel informatique afin d’obtenir des logiciels ou des applications pour faire leur travail leur donne l’impression d’être surveillés. 32% ont déclaré que cette nécessité les a ralenti dans leur travail et a eu un impact sur leurs délais de livraisons. 27% ont déclaré qu’elle les frustre et 26% ont réalisé qu’elle avait un impact négatif sur leur productivité. Seulement 25% ont déclaré que cela ne les affectait pas du tout.

De toute évidence, la ligne de démarcation entre nos vies professionnelle et personnelle est floue.

Outre l'accès à des fichiers personnels sur des périphériques de travail, la grande majorité des employés ont accédé à leurs actifs de travail via leurs périphériques personnels. Les documents de travail arrivent en tête avec 51%, suivis par les logiciels et applications de travail avec 38%, les photos ou vidéos de travail avec 34%. Par la suite l’étude note que les contrats de travail, les données clients et les données relatives aux employés arrivent à égalité avec 29%. Les documents financiers et les systèmes de facturation arrivent en dernier avec seulement 27%. Seuls 15% des employés ont déclaré n'avoir jamais accédé à ces actifs de travail sur leur ordinateur portable ou leur appareil mobile personnel.

« Un changement est en train de se produire en entreprise, impulsé par le passage rapide au cloud et par un accès presque illimité à la technologie », a déclaré Vishal Rao, président et chef de la direction de Snow. « Une partie de ce que nous voyons dans ces données est une évolution philosophique de l'avenir du travail. Le DSI et ses équipes sont désormais des partenaires commerciaux stratégiques qui ont le pouvoir de changer radicalement leurs organisations. Ce nouveau rôle nécessite l'autonomisation d'une nouvelle génération d’employés et permettant à l’entreprise d’être aussi efficace que possible tout en équilibrant les risques financiers, réglementaires et de conformité ».

Source : Snow Software

Et vous ?

Avez-vous déjà eu recours au Shadow IT ?
Quelles sont les raisons qui vous y ont poussé ?
Le referiez-vous ?
Comment pouvez-vous expliquer le constat selon lequel se sont les employés qui ont le plus de pouvoir qui ont recours au Shadow IT ?

Voir aussi :

Le CESIN publie les résultats d'une enquête sur les pratiques du Shadow IT en France, en collaboration avec Symantec
Le Shadow IT rend les organisations plus vulnérables aux cyberattaques selon des DSI anglais et allemands, le niveau d'exposition n'étant pas maîtrisé
Ma DSI est endeuillée : le Shadow IT serait-il un cauchemar pour les informaticiens en entreprise ? Un billet de MarieKisSlaJoue
Le Shadow IT pourrait permettre de connaitre les besoins non couverts des utilisateurs, et les solutions internes qui ne répondent pas à leurs besoins
Shadow IT : comment la DSI peut-elle réduire ses coûts technologiques en tirant parti des solutions développées par les utilisateurs à son insu ?

[Alexcouter]

D'expérience, j'ai toujours été admin sur ma machine au boulot, et pas de restrictions concernant l'installation de logiciels. Ça existe aussi par chez nous en dehors des grosses ESN et Banques ?
Ca m'a déjà sauvé, exemple, quand je vois Postgre, PgAdmin est devenu une version web pas ergonomique, encore heureux d'avoir pu installer Dbeaver..

[AoCannaille]

Ça existe aussi par chez nous en dehors des grosses ESN et Banques ?

N'importe quel grosse entreprise un peu sérieuse dans sa sécurité informatique à des règles strictes niveaux utilisateur.
ça devrait être la norme, et les utilisateur avancés tels que les développeurs devraient être l'exception quant à leurs droits admin.

Le meilleurs compromis sécurité/liberté que j'ai vu était à SAFRAN : les développeurs ont un compte admin local, s'ils veulent installer un logiciel, ils le téléchargent sur le net avec le compte normal, se reloguent en admin (le compte admin n'a pas accès à internet), installent le logiciel, se relogue en user et on accès à leur logiciel.

Cela règle 99% des pb de sécurité et permet d'accèder à 90% de la liberté d'installation : le seul problème restant étant les installeurs pouris qui demandent à se connecter sur le net. POur certains il faut sacrément fouiller pour trouver la version offline (oui, Visual Studio, c'est de toi que je parle!) et pour d'autre, c'est carrément impossible.
De toute façon avec les proxy en général, ces installateurs prennent une plombe! Chaque fichier qu'ils téléchargent passent par 1000 vérifications qui ralentissent tout....

Anecdote : pour télécharge VS sans savoir que la version offline existait, un collègue à fait appel à un mec du service IT pour lancer l'install avec un compe "Super admin" qui a accès au web. Vu le temps que ça prennait, le mec de l'IT s'est cassé en laissant son compte ouvert. Mon collègue c'est fait plaisir

[tanaka59]

Bonjour,

Déjà vu en entreprise ou notepad++ et pspad étaient interdits . Ironie du sort quand vous devez gérer de la data brut avec un vulgaire bloc note c'est pas très conviviale !

[deltree]

Je n'avais jamais entendu parler de ce terme, mais il y a une grosse différence entre installer de petits outils pratiques (analyse de disque de fichiers et autres) et installer tout un SI (éventuellement Excel) qui force ses collègues à changer sa méthode de travail, sans autorisation du SI.

Dans le cas particulier du développeur, rien de plus normal pour être efficace de mettre en place de nouvelles méthodes, éventuellement basée sur des outils, c'est notre métier!
Rien de plus pénible que ne même pas pouvoir utiliser Notepad++ (enfin pour ça il y a les version portables).

Pour moi, tant qu' je n'embête pas le restant de l'équipe avec mes outils, et que je reste productif (c'est le but) ça ne devrais pas poser de problèmes.

[el_slapper]

Un sujet supervaste, qui me rappelle bien des souvenirs, chez les grands comptes de la banque/assurance/finance.

Exemple 1 : j'ai fait(on m'a demandé de faire) une macro excel qui crée des fichiers plats, qu'ensuite on injecte à la main sur la machine MVS, ce qui est long et pénible. Un expert environnements créée une routine python pour faire l'injection en masse. Problème : Python n'est pas installé sur ma machine. Délai pour l'IT pour l'installer : 1 semaine. Délai pour que je rajoute une routine n'injection sur VBA Excel : 2 heures. C'était plus de charge(2 heures de charge de plus, en fait), mais vu qu'on était pressés.....

Exemple 2 : le service marketing a mis en place des postes isolés du SI, avec Windev(non validé par la DSI) installé dessus, et mis en place des solutions internes d'analyse à l'extérieur du SI. La DSI fait des pieds et des mains pour récupérer le bébé, sans succès.

Exemple 3 : un prestataire récupère un CD de démo avec plein de doc dessus, pour analyser un progiciel que le service est susceptible d'acheter(progiciel dont mon beau-frère est le lead développeur, mais je m'égare). Il copie bêtement le contenu du CD dans un répertoire pour avoir les .PDF sous la main. Manque de pot, il y avait un petit .exe pour qui voulait visionner les .PDF depuis le CD. La nuit, les scan tournent, et détectent un .exe non autorisé. A son arrivée au bureau le lendemain, il a vu deux malabars de la sécurité bancaire lui taper sur l'épaule et lui demander de désinstaller tout ça fissa. Il a effacé le répertoire. Une fois les malabars partis, il a tout recopié - sauf le .exe dont il n'avait pas besoin.

Exemple 4 : un éditeur de progiciel(toujours le même, chez une autre banque) fournit une disquette de mise à jour, avec un petit script qui remet d'équerre la structure des bases en 5 minutes. Les gens de la banque dissèquent le script, les refont à leur sauce, et font toutes les étapes à la main. Cout total : 17 jours. Pour s'assurer qu'aucun malware n'était présent.

C'est une gué-guerre permanente, qui ne se limite pas à l'informatique. J'ai vu, en 1997, dans une usine, des gens passer en contrebande des produits de nettoyage interdits(les vapeurs étaient toxiques) parce-que le produit validé(inoffensif pour leur santé, donc) sentait "mauvais". Une autre forme de sécurité, mais le même genre de contournements. Les gens sont là pour faire leur boulot, et si la sécurité est en travers de leur chemin...

[Alexcouter]

Le meilleurs compromis sécurité/liberté que j'ai vu était à SAFRAN : les développeurs ont un compte admin local, s'ils veulent installer un logiciel, ils le téléchargent sur le net avec le compte normal, se reloguent en admin (le compte admin n'a pas accès à internet), installent le logiciel, se relogue en user et on accès à leur logiciel.

En fait c'est ce système qui est utilisé dans mon entreprise. Sauf que pour les devs (5/6 personnes), on est direct admin avec accès internet.

[deltree]

J'ai eu les 2 cas
- la grosse banque entièrement bloqué, on n'est pas admin, internet est entièrement controlé derrière un proxy
- la PME ou on est en Linux avec droit sudo, c'est open-bar pour les appli et internet est en mode NAT non contrôlé

Pour le 2ème cas c'est une question de confiance, sans doute plus facile sur un service de 4 personnes ou on fait tous le même boulot. mais du coup, repasser à un système flicage total, c'est tout de suite plus lourd, je comprends qu'on aie envie de bypasser.

Niveau sécurité, on a le même niveau parce que les réseaux de Prod peuvent être isolés et réservés aux admins derrière des VPN, ça c'est un faux problème.