Aujourd’hui, 80 % des employés reconnaissent avoir recours à du matériel informatique ou des applications sans l’approbation de la DSI, tels que des outils personnels (téléphone, tablette, clé USB), applications (Skype, Gmail, Dropbox) ou logiciels (classeurs Excel avec macros). Ainsi, le rôle clé et la responsabilité des DSI sont de nouveau mis en exergue par la Shadow IT et le potentiel fléau qu’elle représente pour l’entreprise.

Par Cassandre Mariton, Avocat à la cour, PRD Société d’avocats

Le non-respect de la stratégie IT expose l’entreprise à de nombreux risques tels que des pertes de données, de confidentialité et autres cyberattaques, mais aussi à des sanctions financières à l’instar de JP Morgan qui a récemment écopé d’une amende de 125 M$ pour avoir laissé ses analystes financiers utiliser WhatsApp et leur adresse mail personnelle pour négocier des transactions officielles.

Afin d’éviter ces risques et les autres conséquences négatives de la Shadow IT, il appartient aux DSI de prévenir les risques, mais aussi de veiller au respect de la stratégie IT mise en place dans l’entreprise.

À cet égard, les utilisateurs soutiennent avoir recours à la Shadow IT au motif que la DSI ne répondrait pas assez aux besoins métiers. En effet, si la Shadow IT représente un risque de sécurité, elle est aussi un révélateur d’une stratégie IT inefficace ou qui ne recueille pas l’adhésion.
Ainsi, un audit régulier de ces nouveaux besoins et des outils « préférés » en parallèle par les utilisateurs est nécessaire pour identifier les risques, comprendre les besoins des utilisateurs et modifier en conséquence les outils (résilier, renégocier les conditions d’utilisation ou SLA des licences non utilisées, ou souscrire de nouvelles licences correspondant aux besoins et attentes des utilisateurs).

Au-delà de l’audit, il est aussi vertueux de mettre en place des process de co-construction entre directions (DSI, métiers, conformité, juridique). Ces méthodes et process peuvent être intégrés de manière formelle au sein de la gouvernance de l’entreprise afin que la responsabilité de leur mise en œuvre soit également comprise et partagée. Par ailleurs, afin d’éviter les dérives incontrôlées, un renforcement classique de la sécurité par le blocage d’installation d’applications ou de logiciels et de filtres web, et la mise en place d’une surveillance et des alertes liées à l’utilisation de Shadow IT est indispensable. Cette stratégie spécifique et outils CASB (Cloud access security broker) ou DLP (Data loss prevention) permettront d’identifier et de prévenir les failles, notamment de conformité, et de réagir rapidement en cas de défaut avec un plan de gestion de crise défini.

Enfin, la compréhension des enjeux de la sécurité numérique et l’intégration des premiers gestes à mettre en œuvre par les utilisateurs sont essentielles. Aussi, leur formation continue et information sont clés. Dans ce cadre, il est notamment recommandé de définir une politique unique pour l’entreprise relative à la Shadow IT. La politique doit notamment identifier les risques et bonnes pratiques en matière de l’utilisation d’outils ou d’applications IT, les éventuelles exceptions, les infractions et les sanctions RH applicables pouvant aller du simple rappel à l’ordre, en passant par l’avertissement jusqu’au licenciement pour faute grave.

Tous ces principes revêtent une importance d’autant plus grandissante qu’il est à présent acquis que le télétravail et le BYOD s’inscrivent comme des modes de fonctionnement durables au sein des entreprises à travers le monde.

 

>> Retrouvez toutes nos tribunes juridiques & IT  <<