Ransomware, it services
L’informatique de l’ombre affecte probablement votre entreprise en ce moment. Devez-vous faire quelque chose à ce sujet?
L’informatique de l’ombre, l’apparition de technologie non approuvée, non documentée, non autorisée et non vérifiée sans la supervision de votre service informatique, se produit dans presque toutes les organisations. Il y a plusieurs années, l’ajout de technologie de l’informatique de l’ombre a créé des problèmes complexes pour gérer l’ajout de ressources inconnues d’équipement et de logiciels. Cependant, dans le monde d’aujourd’hui où l’ajout de technologies non approuvées peut être aussi simple qu’un clic sur le lien vers un site Web, gérer l’informatique de l’ombre peut devenir un problème quotidien; et un problème majeur.

Pourquoi un employé choisirait-il de télécharger de telles technologies? Et, si de tels téléchargements sont une partie inévitable du monde des affaires changeant d’aujourd’hui, quelles sont les façons les plus efficaces de protéger votre entreprise des dangers possibles?

Les racines de l’informatique de l’ombre

En parlant aux utilisateurs sur les raisons qui les poussent à mettre en place leurs propres technologies informatiques et à outrepasser le processus d’approbation, leurs réponses reviennent presque toujours à un des deux problèmes suivants : ils avaient besoin de quelque chose que l’équipe des TI ne pouvait ou ne voulait leur fournir ou ils sentaient qu’attendre que l’équipe des TI offre une solution créerait un délai inacceptable dans leur processus. À un niveau supérieur, cela souligne tout simplement le besoin pour l’équipe des TI et les unités d’affaires de s’assurer qu’ils sont sur la même longueur d’onde. Les directives unilatérales, d’un côté ou de l’autre, ne font qu’entraîner des problèmes comme les deux groupes finissent par se sentir mal servis et pas en mesure d’effectuer leur travail.
Une équipe des TI doit être accessible aux unités d’affaires afin qu’il y ait un libre-échange d’information. Les unités d’affaires qui ont des besoins précis qui dévient du plan actuel des TI doivent être en mesure d’exprimer ces besoins aux TI. De plus, les professionnels des TI doivent être préparés à recevoir de telles demandes et pouvoir formuler une réponse pondérée et réfléchie : pas seulement respecter les directives existantes qui pourraient ne pas couvrir la situation exacte. Une approche universelle peut grandement simplifier la charge de travail de l’équipe des TI, mais elle pourrait ne pas permettre aux unités d’affaires de fonctionner de la manière plus efficace et rentable que possible.

Prévention de l’informatique de l’ombre

Au niveau individuel ou du groupe, le fait d’offrir une bonne formation à propos des ressources informatiques et réseau peut aider à contrecarrer l’informatique de l’ombre et éviter à votre service TI de devoir verrouiller l’environnement informatique et ralentir la productivité. La formation des utilisateurs à propos des conséquences possibles de leurs actions par rapport à l’informatique de l’ombre pourrait les arrêter avant qu’ils tentent de contourner les politiques en vigueur, tout en faisant la promotion d’un sentiment de responsabilité partagée du réseau.
Par exemple, une des actions de l’informatique de l’ombre les plus fréquentes est de profiter de site Web de stockage simple pour stocker les fichiers auxquels ils souhaitent accéder depuis plusieurs endroits : un principe de base de la mobilité de l’information. Dropbox, OneDrive, Box et plusieurs autres offrent des interfaces simples pour la plupart des plateformes, autant pour l’ordinateur que mobiles, et permettent à n’importe quel utilisateur doté d’une connexion Internet d’accéder aux fichiers. Cependant, les problèmes qu’ils peuvent créer sont illimités.
Même si ces services de stockage dans le nuage rendent les fichiers accessibles aux utilisateurs où ils le veulent, ils viennent également avec la possibilité d’exposer ce qui pourrait être des informations d’affaires confidentielles à des utilisateurs non autorisés. Comme chaque copie des données a seulement les réglages de sécurité que l’utilisateur individuel a choisi d’appliquer, il n’y a aucune façon de savoir qui a accès aux données et qui pourrait les avoir rendues accessibles publiquement (souvent non intentionnellement).
Un service TI proactif pourrait contrer ce problème complètement en créant un compte professionnel sur un des services de stockage en nuage. Avec un compte professionnel, les utilisateurs ont accès à des fonctions additionnelles de sécurité et de gestion que plusieurs de ces fournisseurs de stockage n’offrent pas à leurs utilisateurs de base. Ainsi, le service est disponible aux utilisateurs qui en ont besoin, mais l’accès et le contrôle des comptes sont de retour dans les mains de l’équipe des TI et non dans celles des utilisateurs individuels.
Une réponse mesurée
Pour limiter l’impact de l’informatique de l’ombre, les services TI doivent penser en dehors du cadre. Les employés d’aujourd’hui (avec leurs appareils mobiles sur des réseaux existants, l’ajout de leurs propres points d’accès mobiles avec une sécurité limitée ou pas de sécurité ou l’utilisation des services Web pour stocker et manipuler les données d’affaires) peuvent facilement télécharger des programmes de l’informatique de l’ombre qui n’ont pas besoin de l’approbation ou du soutien de votre service TI.
Pour combattre cela, la première réaction des TI est habituellement de tout verrouiller. En contrôlant fermement l’accès au réseau, il est possible de prévenir l’utilisation de services Web publics, d’équipement réseau additionnel et la plupart de sources non officielles de services et d’applications. Cependant, cela ajoute beaucoup de tâches à la charge de travail de l’équipe des TI, autant pour gérer le confinement que les plaintes des utilisateurs. Pour les entreprises avec des ressources limitées, cela peut créer des problèmes importants en matière du maintien d’une solide posture de sécurité des données.
Une façon plus efficace de traiter l’informatique de l’ombre serait de faire en sorte que le service TI interne conserve une longueur d’avance. Pour offrir des services suffisants et des temps de réponse adéquats afin de répondre aux besoins des utilisateurs, les professionnels TI doivent s’adapter et devenir réceptifs aux employés qui autrement voudraient concevoir leurs propres solutions de technologie non approuvées. C’est là que le programme de vérification de l’état de santé des TI de Ricoh arrive! Il est conçu pour passer en revue votre environnement technologique et votre technologie existante l’utilise pour identifier les vulnérabilités potentielles qui pourraient exposer votre organisation à un risque d’interruption. Il recommande également des façons d’améliorer votre mobilité et de mieux exploiter votre infrastructure technologique existante.
Lisez-en davantage à propos de notre programme de vérification de l’état de santé des TI maintenant!