Menu principal
Les entreprises sont de plus en plus claires sur le fait que les outils technologiques, y compris l’intelligence artificielle générative, permettent une utilisation efficace du temps, en particulier dans les tâches plus fastidieuses qui nécessitent plus de compétences en gestion que de capacité créative ou de vision innovante. Mais que se passe-t-il lorsqu’un travailleur prend l’initiative d’utiliser lui-même une application sous licence libre, telle que ChatGPT ou d’autres applications similaires ? Les risques de fuite de données ou de stockage non autorisé d’informations augmentent, tout comme le risque de responsabilité légale. S’il n’est pas bien réglementé, des pratiques connues sous le nom de shadow IT, c’est-à-dire l’utilisation de systèmes technologiques non autorisés en secret, peuvent se produire.
L’utilisation de la technologie Shadow, sans supervision ni autorisation de l’entreprise : c’est ainsi que le concept de Shadow IT peut être facilement défini. Il s’agit d’une pratique à laquelle les avocats d’entreprise et les conseils juridiques ainsi que les responsables informatiques doivent prêter attention car elle comporte de graves risques pour les entreprises.
Le Shadow IT implique non seulement l’utilisation de logiciels, d’applications ou d’innovations non autorisés ou librement accessibles, mais aussi l’exécution de leurs tâches par le biais d’appareils personnels, tels que des ordinateurs portables, des mobiles, des plateformes de stockage USB ou des plateformes de stockage cloud externes. Ces pratiques ouvrent la porte à des fuites de données, des accès par des cybercriminels ou encore des vols d’informations. En bref, c’est le terreau des redoutables failles de sécurité que les départements technologiques des entreprises s’efforcent d’éviter ou d’atténuer.
Dans de nombreux cas, derrière ce comportement se cache la motivation à améliorer l’efficacité et l’utilisation du temps par les employés qui, pour tenter d’atteindre leurs objectifs plus rapidement, recherchent des solutions technologiques pour effectuer leurs tâches quotidiennes dans les plus brefs délais. Cet empressement à réduire les heures consacrées à l’exécution de certaines fonctions peut être une bonne chose, mais ce ne sera pas le cas si l’équation coûts/avantages augmente les risques pour la sécurité et l’intégrité des systèmes informatiques de l’organisation.
Risques et conséquences du Shadow IT
Pourquoi l’entreprise devrait-elle faire comprendre à ses employés qu’ils ne peuvent pas utiliser des programmes ou des applications seuls, en dehors de l’environnement de l’entreprise, et encore moins partager des données dans ceux-ci ? Car si l’on utilise des outils hors du contrôle des responsables informatiques, en cas de faille de sécurité, les difficultés seront nombreuses. D’une part, les techniciens ne seront pas au courant de l’utilisation de ces programmes et il est fort probable qu’ils ne disposent pas de mécanismes d’intervention adéquats pour arrêter ou atténuer une éventuelle fuite ou un accès inapproprié aux systèmes de l’entreprise. C’est-à-dire qu’ils ne seront pas en mesure de réagir efficacement à une menace.
En revanche, tous ces outils, qui peuvent être positionnés comme une solution facile et immédiate à une surcharge de travail, ne sont pas conformes à la réglementation en vigueur. Dans plus de cas que prévu, ils ne respectent pas les règles de confidentialité ou de protection de la vie privée.
Le risque augmente lorsque l’on considère que ces applications ne sont pas toujours à jour en termes de sécurité ou ne disposent pas des correctifs appropriés. De cette façon, s’il y a une vulnérabilité en eux, les cybercriminels seront à l’affût pour détecter toute voie d’entrée possible qui leur permet d’accéder à des données confidentielles, des informations précieuses qui peuvent être très bien récompensées sur le dark web.
Politiques et informations claires
Comment empêcher les travailleurs de s’engager dans des pratiques liées au shadow IT ? La première étape consiste à disposer de politiques solides et de procédures bien définies pour l’utilisation des outils technologiques dans l’environnement corporatif.
Ils doivent définir les normes de sécurité, les mesures de protection des données personnelles que l’entreprise gère et exécuter des mesures de conformité. Il faut également établir la nécessité pour les travailleurs d’informer le département technologique de toute nouvelle application qu’ils souhaitent utiliser, y compris celles proposées par les fournisseurs de services pour développer certains projets. Si, après analyse, l’équipe technique conclut qu’il n’est pas compatible avec les politiques de sécurité de l’entreprise ou que le risque est trop élevé, des solutions alternatives peuvent être recherchées afin de présenter les garanties nécessaires.
L’information, c’est le pouvoir. Par conséquent, être conscient des risques liés à l’utilisation abusive d’une application non autorisée est le meilleur outil pour que les employés ne se laissent pas emporter par la tentation d’utiliser ces outils dans l’ombre. Cela souligne l’importance pour les entreprises de mettre en place des plans de formation et des campagnes de sensibilisation périodiques sur les effets de ces usages.
Si l’entreprise fait faillite en raison d’un accès inapproprié, d’une attaque informatique ou d’une fuite de données sensibles, les conséquences peuvent être désastreuses et aller au-delà des amendes et des pénalités. Le Règlement général sur la protection des données (RGPD) (LOI 6637/2016) définit les données personnelles sensibles comme celles qui « révèlent l’origine ethnique ou raciale, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, et le traitement de données génétiques, les données biométriques visant à identifier de manière unique une personne physique, les données relatives à la santé ou les données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne physique ».
Si l’utilisation de ces outils externes ouvre la porte à l’accès et au chiffrement des systèmes informatiques de l’entreprise, l’activité peut être paralysée et, par conséquent, la stabilité de l’emploi de l’ensemble du personnel est mise en péril. Les travailleurs doivent être conscients des politiques et des risques associés à la non-conformité. De plus, les techniciens devront également effectuer des audits pour détecter toute utilisation abusive potentielle d’applications externes susceptibles d’être utilisées dans l’ombre.