Sécurité de l'information

L'informatique parallèle et son importance dans les environnements B2B modernes

Shadow IT est similaire à l'histoire des chevaux de Troie et des menaces internes dans un environnement B2B. Tout comme les actions involontaires des gardiens ouvrent la porte aux intrus, les employés peuvent ouvrir sans le savoir une porte aux cybercriminels.

Auteur
Dr. Kilian Schmidt
Date
Mis à jour le
4.5.2026
L'informatique parallèle et son importance dans les environnements B2B modernes
  • Le Shadow IT décrit l'utilisation de logiciels ou d'appareils non autorisés par les employés, ce qui entraîne des risques de sécurité et résulte souvent de la frustration liée à la lenteur des processus informatiques
  • Parmi les exemples de Shadow IT, citons les appareils privés (BYOD), les logiciels non autorisés tels que les gestionnaires de mots de passe ou les outils de collaboration, et les connexions OAuth non sécurisées
  • Les risques liés à l'informatique parallèle incluent les failles de sécurité, les problèmes de conformité et les difficultés d'intégration dans les systèmes informatiques existants, ce qui augmente la surface d'attaque des cybercriminels
  • Les stratégies d'atténuation incluent la formation des employés, la mise en place de politiques internes et d'outils tels que Kertos, qui rend l'informatique parallèle visible et minimisée grâce à la découverte des données et à la gestion des fournisseurs

Shadow IT : le cheval de Troie des entreprises modernes

Imaginez un château à l'abri des intrus en raison de sa construction complexe et de la présence de gardes qui interdisent l'entrée non autorisée. Ce verrou est fermement en place jusqu'à ce qu'un initié sabote la sécurité en ouvrant une porte de l'intérieur par erreur et à l'insu des gardiens.

Shadow IT est similaire à l'histoire des chevaux de Troie et des menaces internes dans un environnement B2B. Tout comme les actions involontaires des gardiens ouvrent la porte aux intrus, les employés peuvent ouvrir sans le savoir une porte aux cybercriminels en introduisant des vulnérabilités via des logiciels ou des appareils non autorisés.

Cette partie des technologies de l'information, que les employés utilisent par commodité à l'insu des administrateurs informatiques, est l'informatique parallèle. Il s'agit de l'utilisation de logiciels ou de ressources informatiques non autorisés sur un réseau d'entreprise qui n'ont pas été officiellement approuvés ou attribués par l'équipe informatique elle-même.

Bien que ce problème soit bien connu, le Shadow IT reste un facteur important de cybersécurité aujourd'hui. Étude menée par CISCO ont montré que seuls 8 % des entreprises Déterminez dans quelle mesure le Shadow IT est utilisé dans votre entreprise 80 % des utilisateurs finaux utiliser un logiciel qui n'a pas été approuvé par le service informatique, et 83 % des administrateurs du personnel informatique admettre qu'ils utilisent des logiciels ou des services non approuvés.

Le Shadow IT est susceptible de prendre de plus en plus d'importance dans les entreprises à mesure que les gens s'y connaissent de plus en plus en technologie. Bruyant Les prévisions des experts de Gartner D'ici 2027, il est probable 75 % des employés Acquérez, modifiez ou créez des technologies hors de portée du service informatique. Les risques étant nombreux, les entreprises doivent prendre des mesures pour contrôler le Shadow IT. Nous allons vous expliquer comment.

Les raisons du développement de l'informatique parallèle dans les entreprises

Le désir d'augmenter la productivité pousse souvent les employés à utiliser des outils non autorisés, ce qui contribue au développement du Shadow IT. L'objectif ici est efficacité, qui va de pair avec le téléchargement d'outils non officiels. Ce qui semble ouvrir la clé de la productivité pendant un certain temps pourrait bientôt exposer l'entreprise à des menaces de sécurité.

Le Shadow IT n'est pas toujours l'affaire des seuls employés ; parfois, les équipes sont également responsables de la mise en œuvre. Selon Gartner volonté 38 % des achats technologiques ne sont pas effectués par le service informatique mais par les directeurs généraux. Lorsque les équipes souhaitent introduire de nouveaux services cloud, des applications SaaS ou d'autres technologies, elles doivent suivre le processus d'approvisionnement effectué par le service informatique et le CIO.

Ils contactent les équipes informatiques pour obtenir l'autorisation de se conformer aux politiques de l'entreprise. L'approbation de nouvelles applications dans l'infrastructure informatique d'une entreprise est souvent un processus long et laborieux. Cette lacune dans le traitement des demandes ou des plaintes des utilisateurs est source de frustration. Il encourage les employés ou les équipes à prendre des raccourcis et à effectuer eux-mêmes les processus administratifs. Dès qu'ils contournent les protocoles informatiques pour protéger le système, les attaquants accèdent à une surface d'attaque non contrôlée et non protégée.

Depuis la pandémie et la popularité croissante du travail à distance, la dépendance des employés à l'égard des appareils personnels s'est accrue. En outre, ayez Politiques relatives au BYOD (Bring Your Own Device) a permis aux employés de devenir une destination de choix. La présence de logiciels courants et non autorisés sur ces appareils permet aux attaquants d'accéder facilement au réseau d'entreprise plus sécurisé.

Quels sont quelques exemples de Shadow IT ?

matériel

Les appareils personnels des employés (ordinateurs portables, tablettes et ordinateurs) peuvent être surveillés par le service informatique pour des raisons de sécurité dans le cadre de la politique BYOD. Cependant, les employés apportent également divers appareils non surveillés dans les espaces de travail, notamment des appareils IoT, des périphériques USB, des montres intelligentes, des serveurs et des smartphones. Si ces appareils étaient précédemment connectés au réseau Wi-Fi de l'entreprise et sont de nouveau à portée, les paramètres du compte leur permettent de se reconnecter automatiquement. Le logiciel de sécurité de l'entreprise n'est pas installé sur ces appareils et le service informatique ne les surveille pas. Ils ont donc le potentiel de partager des données officielles sensibles avec des personnes non autorisées.

Logiciel Shadow

La distinction entre les logiciels approuvés par le service informatique et les logiciels parallèles réside dans Approbation et administration. Le logiciel fantôme est un terme générique désignant les applications logicielles utilisées au quotidien par les employés à l'insu du service informatique. Les exemples incluent des utilitaires tels que des gestionnaires de mots de passe, des clients VPN et des applications d'accès à distance, des applications de messagerie telles que WhatsApp et Telegram, et des outils de collaboration tels que Slack, Trello et Asana.

Ces applications deviennent Passerelle pour les attaquantssi l'équipe informatique responsable ne les installe pas et que les employés décident eux-mêmes d'installer des applications personnelles gratuites depuis Internet. Ces applications sont généralement sécurisées lorsqu'elles sont officiellement attribuées, mais elles deviennent risquées lorsqu'elles sont utilisées en dehors des canaux approuvés.

Protocole OAuth

Cadres d'autorisation tels que Protocole OAuth sont de plus en plus populaires car ils offrent aux utilisateurs Autoriser l'accès à des applications tierces sans avoir à partager leurs informations de connexion. Même si ces frameworks fournissent un contrôle d'accès granulaire, les fenêtres contextuelles répétées peuvent fatiguer les utilisateurs, qui les obligent à accorder des privilèges étendus, c'est-à-dire à se connecter à d'autres applications ou à approuver l'accès à celles-ci.

Cela permet à certaines applications tierces d'accéder aux ressources de l'entreprise et de les stocker, telles que le stockage dans le cloud, sans l'approbation de l'équipe informatique. Étant donné que la communication entre l'application tierce et le serveur de données (tel que les points de terminaison d'API) est cryptée, les systèmes DLP traditionnels ne peuvent pas détecter la perte de données sensibles. Ces comportements d'employés qui n'en sont pas conscients peuvent révéler involontairement des données sensibles sur les entreprises.

Risques associés au Shadow IT

Les défis de l'intégration

Le Shadow IT peut être dû à des différences entre les technologies, les protocoles ou les normes ne sont pas bien coordonnés avec l'infrastructure informatique homologuée. Les différences de formats de données, d'API ou de processus métier détruisent la compatibilité technique et entravent l'échange de données fluide entre les systèmes.

Les flux de travail qui prennent en compte les informations partagées au sein de l'infrastructure informatique afin d'obtenir une vue d'ensemble complète des processus de l'entreprise sont perturbés en conséquence. Les ressources informatiques parallèles deviennent non pris en compte dans le cadre du déploiement informatique pour un service spécifique.

Lorsque les équipes informatiques modifient le réseau ou les ressources du réseau, le manque de coordination avec l'infrastructure informatique approuvée peut entraîner Incohérences dans les données, duplication des efforts ou même failles de sécurité plomb.

Problèmes de conformité

Les entreprises qui traitent des données sensibles concernant des individus sont soumises à des réglementations de conformité strictes. Le Shadow IT augmente la probabilité que les produits et services et leurs fournisseurs échappent à toute obligation de diligence avant d'atteindre l'infrastructure informatique de l'entreprise.

Si les applications utilisées par les employés ne sécurisent pas et n'archivent pas les données de manière adéquate conformément aux exigences des lois sur la protection des données, ils vulnérable à l'examen réglementaire. Par exemple, lorsque les données des patients des utilisateurs informatiques d'un établissement de santé sont stockées dans des solutions de stockage Shadow IT, des preuves supplémentaires sont disponibles pour les audits.

Dans ce cas, ils peuvent être tenus de Examiner, identifier et divulguer la portée et l'impact de chaque incident. Cela expose non seulement les données sensibles à d'éventuelles violations, mais l'entreprise court également le risque de se heurter à des lois sur la protection des données telles que la HIPAA et la GDPR ne pas se conformer.

Violations de sécurité des données

Les entreprises qui n'ont pas connaissance de l'utilisation du Shadow IT ne sauront peut-être jamais si les attaquants ciblent l'un de leurs actifs. Le personnel de Centre des opérations de sécurité (SOC) Il se peut qu'ils ne voient aucun signe d'attaque échappant à leur contrôle.

Le Shadow IT ne relève pas de la compétence des équipes responsables des mises à jour et des correctifs. Cette invisibilité empêche le Shadow IT d'être capturé par les solutions de cybersécurité de l'entreprise, telles que Endpoint Detection and Response (EDR), l'antivirus de nouvelle génération (NGAV) ou les services de renseignement sur les menaces.

Une étude de Forbes Insights a révélé que tous les cinq les entreprises interrogées ont été victimes d'une cyberattaque due au Shadow IT. Les entreprises sont désemparées lorsque des acteurs malveillants parviennent à compromettre un système informatique parallèle. La suppression des applications ou des comptes compromis est coûteuse (selon IBM médian 4,45 millions de dollars par violation de données).

Stratégies et meilleures pratiques pour atténuer les risques liés à l'informatique parallèle

Faire face au Shadow IT est intimidant. Il est difficile de trouver une source lorsqu'il existe des centaines d'applications dont de petites quantités d'informations s'échappent. Voici quelques méthodes testées et éprouvées pour réduire les risques liés au Shadow IT.

Faites attention aux coûts qui indiquent une utilisation non autorisée de la technologie

Les RSSI devraient travailler avec l'équipe des achats et le service financier de l'entreprise pour identifier les dépenses qui pourraient indiquer l'utilisation du Shadow IT. Les demandes de remboursement des employés pour les dépenses personnelles sont la source idéale pour découvrir où le Shadow IT est utilisé.

Ces achats étant généralement de faible valeur, les entreprises peuvent utiliser des outils de surveillance automatisés dotés de filtres prédéfinis, tels que ceux provenant de fournisseurs spécifiques ou d'achats de technologies, pour détecter la propagation du Shadow IT.

Sensibiliser les employés aux risques liés à l'informatique parallèle

Les entreprises doivent savoir que l'intention des employés d'utiliser le Shadow IT n'est pas malveillante, mais Accroître la productivité sert. Il est important d'accroître leur expertise en matière de sécurité en plus des formations de sensibilisation.

Il n'est même pas pratique de penser à transformer chaque employé en spécialiste de la sécurité, mais il est essentiel de développer les compétences minimales qui lui permettent de déterminer ce qui représente une menace pour l'entreprise.

Selon un Étude Gartner Est-il probable que les employés qui reçoivent une formation soient axés sur leurs activités liées à la technologie 2,5 fois plus élevéqu'ils évitent d'introduire des cyberrisques et qu'ils soient deux fois plus productifs avec une informatique sanctionnée que les employés n'ayant pas cette formation.

Mettre en œuvre des politiques internes relatives au Shadow IT

Les employés considèrent souvent les politiques informatiques de l'entreprise comme un obstacle à leur efficacité au travail. Les organisations doivent comprendre leur frustration et expliquer les raisons qui motivent leurs politiques. La création de directives pour l'introduction de nouvelles technologies et l'information régulière des autres services à leur sujet permettent au service informatique de pour tester de nouvelles applications ou de nouveaux services avant leur lancement. Les directives devraient inclure des étapes concrètes pour l'intégration et la gestion de nouvelles applications et de nouveaux outils, ainsi qu'une définition claire des solutions technologiques non approuvées et la manière de signaler de tels cas au Shadow IT lorsqu'ils se produisent.

Shadow IT et ISO 27001 : qu'est-ce que cela signifie pour votre certification ?

Alors que le Shadow IT représente un défi pour la sécurité des informations d'une entreprise, décrit NORME ISO 27001 Meilleures pratiques permettant d'identifier et d'atténuer ces risques : la norme ISO 27001 ne mentionne aucune technologie spécifique, mais fournit aux entreprises un cadre pour développer leur propre technologie. système de gestion de la sécurité de l'information (ISMES).

Les avantages d'un ISMS incluent :

  • Par le biais du Promouvoir une communication ouverte entre les services informatiques et les unités commerciales L'écart de communication entre les employés et le service informatique est réduit. Le service informatique peut approuver rapidement les demandes relatives à de nouvelles applications s'il les juge utiles pour un usage général.
  • Le processus ISMS comprend les Identifier et analyser les risquesqui sont pertinents pour la sécurité de l'information. Cela inclut également la formulation de politiques informatiques qui décrivent les procédures d'approbation de nouveaux logiciels et les risques associés au Shadow IT.
  • L'ISMS promeut Formation et éducation des employés sur la sécurité de l'information et met en lumière les effets de l'utilisation du Shadow IT pour les entreprises. Lorsque les utilisateurs comprennent le risque, ils sont moins susceptibles de se fier à des services informatiques non autorisés.
  • La certification ISO 27001 Cela en dit long sur la solide culture de gestion de la sécurité de l'information d'une entreprise, ce qui se traduit par une plus grande confiance des clients et des avantages concurrentiels. La certification ISO 27001 permet de se conformer plus facilement à d'autres réglementations, telles que le RGPD et l'HIPPA, dont les exigences recoupent celles de la norme ISO 27001.

Comment Kertos vous aide-t-il à découvrir le Shadow IT risqué ?

Le manque de visibilité des actifs au-delà de ceux officiellement approuvés fait du Shadow IT un risque croissant pour les entreprises. Dans le monde numérique d'aujourd'hui, où les violations de données, les rançongiciels et les sanctions de conformité font chaque jour la une des journaux, il est grand temps pour les entreprises d'adopter une approche axée sur l'aversion au risque en matière d'informatique parallèle.

Kertos propose une gamme de solutions, qui sont axés sur les risques liés à la confidentialité et à la sécurité d'une organisation. Il s'agit d'un plateforme tout-en-un, qui a été développé spécifiquement pour aider les entreprises à abolir l'informatique parallèle. Les solutions de découverte des données, de gestion des fournisseurs et de gestion des politiques fonctionnent ensemble pour éliminer complètement l'informatique parallèle.

Grâce à une découverte approfondie des données, Kertos fournit aux entreprises des informations en temps réel sur les silos de données, les activités de traitement et l'infrastructure informatique. Il identifie la localisation des données sensibles, qu'elles se trouvent dans des appareils, des applications et des services approuvés ou non, et permet aux entreprises d'évaluer et d'atténuer les risques associés.

Avec une efficacité Gestion des fournisseurs aide les entreprises de Kertos à maintenir un inventaire complet des fournisseurs autorisés et de leurs applications. Pour réduire la dépendance à l'égard du Shadow IT, Kertos propose à ses employés des alternatives approuvées qui répondent aux normes de sécurité, de conformité et de performance requises.

Grâce à sa documentation intelligente et personnalisée, Kertos aide les entreprises à automatiser le ROPAS, le DIPAS et le TIA et rationalise les processus d'évaluation des nouvelles technologies. Kertos définit et met en œuvre des directives informatiques pour la sécurité des données, l'utilisation des logiciels et l'approvisionnement et établit ainsi des normes pour une utilisation acceptable de la technologie dans les entreprises.

Si vous souhaitez en savoir plus sur la manière dont Kertos peut contribuer à réduire les risques liés au Shadow IT dans votre organisation, organisez une Date pour une démonstration.

Le guide du fondateur à propos de NIS2 : Préparez votre entreprise maintenant

Protégez votre start-up : découvrez comment NIS2 peut avoir un impact sur votre activité et ce que vous devez prendre en compte dès maintenant. Lisez le livre blanc gratuit dès maintenant !

Der Founder-Guide zur NIS2: Bereite dein Unternehmen jetzt vor

Schütze dein Startup: Entdecke, wie sich NIS2 auf dein Unternehmen auswirken kann und was du jetzt beachten musst. Lies jetzt das kostenlose Whitepaper!

Jetzt downloaden
L'informatique parallèle et son importance dans les environnements B2B modernes
Bereit, deine Compliance auf Autopilot zu setzen?
Angebot anfordern
Dr Kilian Schmidt

Dr Kilian Schmidt

PDG et cofondateur de Kertos GmbH

Le Dr Kilian Schmidt a développé très tôt un vif intérêt pour les processus juridiques. Après des études de droit, il a commencé sa carrière en tant que conseiller juridique principal et responsable de la protection des données au sein du groupe Home24. Après avoir travaillé chez Freshfields Bruckhaus Deringer, il a rejoint TIER Mobility, où, en tant que directeur juridique, il a participé de manière significative à l'expansion du département juridique et des politiques publiques. L'entreprise est passée d'une à 65 villes et de 50 à 800 employés. Motivé par les avancées technologiques limitées dans le secteur juridique et inspiré par son travail de consultant chez Gorillas Technologies, il a cofondé Kertos pour développer la prochaine génération de technologies européennes de protection des données.

À propos de Kertos

Kertos est l'épine dorsale moderne des activités de protection des données et de conformité des entreprises en pleine expansion. Nous permettons à nos clients de mettre en œuvre des processus intégrés de protection des données et de sécurité des informations conformément au RGPD, à la norme ISO 27001, à la TISAX®, à la SOC2 et à de nombreuses autres normes rapidement et à moindre coût grâce à l'automatisation.

Prêts pour un allègement concernant le DSGVO ?

Demandez un devisDécouvrez la plateforme
CTA Image

ARTICLE

Autres articles

L'évolution des logiciels de conformité : quelle est la direction à prendre
Conformité
All
L'évolution des logiciels de conformité : quelle est la direction à prendre

Jetzt reinhören
Il ne s'agit pas simplement d'un concept juridique : créer un climat de confiance grâce à la protection des données
Protection des données
All
Il ne s'agit pas simplement d'un concept juridique : créer un climat de confiance grâce à la protection des données

Découvrez comment l'amélioration de la protection des données peut aider les entreprises à se conformer aux lois et réglementations et à améliorer leur réputation auprès de leurs clients.

Jetzt reinhören
Directive NIS2 : le bouclier de l'Europe contre les cyberattaques
All
Directive NIS2 : le bouclier de l'Europe contre les cyberattaques

Imaginez que le courant soit soudainement coupé : une cyberattaque a paralysé le réseau. C'est précisément de tels scénarios que la directive NIS2 vise à prévenir. C'est la réponse de l'Europe aux menaces numériques croissantes.

Jetzt reinhören

📅 Schedule Your 5min Compliance Check

Please enter your business email to continue. We require a company email address to ensure we can best serve your organization.

📞 5min Compliance Check