Gérez-vous vraiment les risques de l'informatique fantôme ?

EASM_CYBELANGEL

Vos employés utilisent-ils des lecteurs personnels pour stocker ou partager des données d'entreprise ? Transfèrent-ils des fichiers de l'entreprise vers leur messagerie électronique personnelle ?

Peut-être ont-ils créé des référentiels pour la collecte et le partage de documents dans le cadre d'un projet commun avec un fournisseur... ou installé une petite application ou extension pratique qu'ils ont trouvée en ligne... Si c'est le cas, félicitations : Vous disposez probablement d'un système informatique parallèle (shadow IT).

Qu'est-ce que l'informatique parallèle et pourquoi prolifère-t-elle ?

L'informatique fantôme désigne tout appareil ou service numérique qui n'est pas officiellement approuvé et pris en charge par le service de sécurité d'une organisation. Les actifs fantômes peuvent prendre de nombreuses formes : actifs non approuvés, services déclassés, produits vulnérables de partenaires, etc. Les technologies de l'information fantômes se manifestent à la fois par de grandes et de petites choses, et bien qu'elles puissent être accidentelles ou intentionnelles, elles ne sont généralement pas malveillantes - en fait, elles sont souvent le résultat d'initiatives bien intentionnées au niveau de l'organisation et de l'individu. Par exemple, les initiatives de transformation numérique "lift and shift" sont aujourd'hui un élément essentiel de la croissance des entreprises, mais elles peuvent également donner lieu à de vastes poches d'informatique parallèle. De même, les fusions-acquisitions complexes qui rassemblent plusieurs systèmes disparates peuvent introduire une part importante d'informatique parallèle. En ce qui concerne les aspects moins importants (mais omniprésents), les employés introduisent de l'informatique fantôme pour diverses raisons :

  • Ils ne sont pas au courant de tous les logiciels qui ont été acquis sous licence ou achetés.
  • Leur application préférée n'est pas approuvée par l'entreprise.
  • Ils estiment que la procédure d'approbation est trop lente ou qu'elle n'est pas nécessaire pour les logiciels libres.
  • Ils ne veulent pas imposer une charge supplémentaire aux services informatiques, surtout s'ils se sentent capables d'installer et d'utiliser les applications sans assistance technique.

Une cause plus récente de l'informatique fantôme est le passage au travail hybride/à distance et au BYOD (apportez vos propres appareils), qui a brouillé la frontière entre l'utilisation personnelle et professionnelle. La plupart des gens supposent qu'ils n'ont pas besoin d'autorisation pour installer une application sur leur téléphone ou leur ordinateur portable personnel parce que, eh bien, c'est personnel - ils ne reconnaissent pas que l'utilisation de l'appareil pour le travail signifie qu'il y a de nouvelles règles.

Quels sont les coûts de l'informatique parallèle ?

Le Shadow IT élargit considérablement la surface d'attaque d'une organisation, ce qui expose les entreprises à des pertes d'informations et à des violations de données. En fait, selon divers rapports de l'industrie, de 30% à 70% des cyberattaques commencent par la surface d'attaque externe d'une entreprise-et l'informatique parallèle est l'un des plus grands vecteurs d'attaque. Les attaquants considèrent les actifs externes comme des portes dérobées vers l'infrastructure d'une entreprise.

Les entreprises peuvent investir massivement dans la protection de leurs actifs connus, mais les actifs fantômes échappent à cette protection, ce qui les rend très vulnérables. Cela fait de l'informatique de l'ombre un point d'entrée commun pour les attaquants... et il leur suffit de réussir avec un seul actif pour pénétrer dans votre environnement informatique.

Mais même si vous avez la chance d'éviter une cyberattaque, l'informatique parallèle coûte de l'argent. Par exemple, si une équipe achète un abonnement SaaS pour un outil qu'elle préfère à celui dont les services informatiques ont acquis la licence pour l'entreprise, l'argent payé par les services informatiques est alors complètement gaspillé. En outre, l'outil acheté par l'équipe prend probablement des fonds budgétés à une autre partie de l'entreprise ou à un autre projet qui aurait pu en bénéficier. Les services déclassés ou les actifs oubliés peuvent également avoir un prix élevé. Pour reprendre l'exemple du SaaS, supposons que l'équipe déménage et que de nouveaux membres utilisent le logiciel approuvé par l'entreprise... mais que personne ne désactive l'abonnement non approuvé. Il peut s'écouler des années (voire jamais) avant que quelqu'un ne se rende compte que l'entreprise paie pour un service que personne n'utilise. Imaginez maintenant que ce scénario se répète continuellement dans toute l'entreprise. Pendant des décennies.

Pouvez-vous empêcher l'informatique fantôme ?

La prévention commence par l'éducation. Il existe des mesures que vous pouvez prendre pour sensibiliser vos employés à l'informatique parallèle et réduire le risque qu'ils l'introduisent :

  • Fournir des conseils clairs et précis sur l'informatique parallèle dans la politique de cybersécurité de votre organisation. Travaillez avec les RH et les cadres supérieurs pour former et informer tous les niveaux de l'organisation sur les risques de l'informatique parallèle.
  • Mettre en place une procédure d'approbation transparente.
    • Définir un calendrier pour les approbations (par exemple, 24, 48 ou 72 heures). Cela permettra de définir des attentes claires et de réduire le sentiment d'incertitude lié aux délais d'attente.
    • Fournir une visibilité totale sur les articles approuvés et rejetés, ainsi que sur les raisons du rejet. Cela encouragera les employés à rechercher des outils approuvés et réduira le nombre de demandes répétées. La réduction du nombre de demandes permet également de raccourcir les délais d'approbation.
  • Fournir une formation adéquate sur les outils afin que les employés soient à l'aise avec les outils approuvés par l'entreprise.

L'ETI est la première étape vers l'élimination

Les politiques et les mesures préventives sont essentielles, mais elles n'élimineront jamais complètement l'informatique parallèle. C'est pourquoi il est important d'adopter une approche proactive de la gestion des risques associés en adoptant une stratégie solide de renseignement sur les menaces externes.

Avoir une vue complète de tous vos actifs et points d'accès, qu'ils soient directement connectés à votre réseau ou non, est le seul moyen de protéger votre organisation contre les coûts et les risques associés à l'informatique parallèle. 

Dans le secteur de la cybersécurité, l'approche la plus courante consiste à identifier les actifs orientés vers l'extérieur par le biais de connexions à des actifs connus tels que le nom de domaine de l'entreprise. Il s'agit d'une approche simple et solide, et chaque entreprise devrait adopter une stratégie qui s'en inspire au minimum. CybelAngel va encore plus loin. CybelAngel ajoute un composant de correspondance de mots-clés pour identifier les actifs externes en se basant sur les mots-clés des certificats SSL et des bannières. Cette combinaison de méthodologies fournit une vue exhaustive de votre surface d'attaque externe afin que vous puissiez pleinement comprendre et traiter les vulnérabilités existantes.

Récemment, cette approche a permis à CybelAngel d'identifier une machine virtuelle déclassée dont l'hébergement sur Azure coûtait à l'organisation $50 000 par an-un coût que d'autres outils utilisés au cours des trois années précédentes n'avaient pas permis d'identifier. Si vous souhaitez en savoir plus, n'hésitez pas à nous contacter.