Imaginez la situation suivante. Vous travaillez avec une agence qui vous aide à créer une collection de brochures que vous apporterez à un salon professionnel. L'imprimeur a besoin des fichiers demain, mais le lien que vous avez donné à l'agence vers votre zone de téléchargement sécurisée ne fonctionne pas. Le concepteur vous suggère de télécharger une application qui facilite le partage de fichiers volumineux. Sous la pression de la direction, vous téléchargez l'application parce que vous devez absolument... doit respecter le délai d'impression.
Cette situation vous semble familière ? Si cette situation n'est pas difficile à imaginer, c'est parce qu'elle se produit en permanence dans toutes les entreprises. Même si la plupart des gens admettraient rarement qu'ils contournent le service informatique de leur entreprise et installent des logiciels malveillants, c'est pourtant ce qu'ils font. Statistiquement, les 82% d'infractions impliquent un élément humain. Des erreurs telles que le téléchargement de logiciels à risque, le clic sur des liens d'hameçonnage ou une simple erreur humaine jouent un rôle majeur dans les incidents et les atteintes à la cybersécurité.
Le problème, c'est que bien souvent, il ne se passe rien lorsque les employés sont malhonnêtes. Le logiciel que vous avez utilisé pour partager ces brochures est légitime, votre fournisseur imprime les documents, vous n'introduisez pas de nouveaux risques et rien ne change. Pas d'inquiétude à avoir.
Mais d'autres fois, les employés n'ont pas cette chance. Qualifiés de shadow IT, Tout matériel ou logiciel qui n'est pas pris en charge par le service informatique de l'entreprise peut présenter un risque pour la sécurité.
Il suffit de télécharger un logiciel contenant des logiciels malveillants ou d'accéder à une application SaaS mal sécurisée pour infecter des systèmes critiques. Cependant, malgré ces risques omniprésents, la plupart des entreprises ne tiennent pas compte de l'informatique parallèle lorsqu'elles élaborent leurs stratégies de sécurité.
Pour limiter les risques, il est important de réfléchir aux raisons pour lesquelles les employés ont recours à l'informatique parallèle. Le plus souvent, l'informatique parallèle comble des lacunes que le matériel ou les logiciels approuvés par les services informatiques ne comblent pas ou ne font pas particulièrement bien. Il arrive aussi que les employés recourent à des solutions ad hoc parce qu'il est si long de faire approuver quoi que ce soit qu'ils ne se donnent pas la peine de le faire. Du point de vue de l'employé, il est beaucoup plus facile de charger un logiciel et d'éviter de se faire engueuler parce qu'il n'a pas respecté un délai que de se débattre avec la bureaucratie ou avec le service informatique au sujet de l'approvisionnement et des budgets.
Si les employés sont contraints de trouver leurs propres solutions aux problèmes informatiques, cela indique un problème plus important que celui d'une application ou d'une ressource informatique fantôme individuelle. Il s'agit plutôt d'un problème de communication entre le service informatique et les autres équipes de l'entreprise.
Le département informatique ne doit pas être l'ennemi. Les responsables doivent rechercher les goulets d'étranglement et encourager la communication entre les services informatiques et les utilisateurs. Au niveau de la direction, l'éducation des utilisateurs sur les risques associés à l'informatique parallèle doit également être une priorité. Pour les utilisateurs, l'acquisition des outils nécessaires à leur travail doit être transparente afin qu'ils ne se sentent pas obligés de trouver des solutions de contournement. N'oubliez jamais l'adage : la meilleure sécurité est celle que les gens utiliseront. La technologie évolue rapidement et les organisations devraient également établir des procédures pour rationaliser le processus d'évaluation de la sécurité et de mise en place rapide de nouvelles solutions technologiques.
Il est essentiel de savoir qui a accès à quoi, c'est pourquoi les organisations doivent s'assurer qu'elles ont mis en place une gouvernance. La sécurité commence par l'identité, et avec l'authentification moderne et les options sans mot de passe, prouver que vous êtes qui vous prétendez être ne devrait pas poser de problème. Les solutions d'identité doivent être centrées sur les meilleures pratiques de sécurité telles que les normes FIDO2, l'authentification basée sur les risques et les informations intelligentes en temps réel qui réduisent continuellement les risques.
Les demandes d'accès de routine ne devraient pas toujours nécessiter l'intervention du service informatique, et les capacités de libre-service et d'authentification unique permettent aux utilisateurs de travailler sans interruption. Du côté des services informatiques, les administrateurs ont également besoin de solutions transparentes comprenant des outils de gouvernance et d'administration des identités.
Notre architecture de gouvernance et de cycle de vie de l'accès aux données offre une visibilité à l'échelle de l'entreprise afin que vous puissiez savoir qui possède les données de l'entreprise, qui a accès aux ressources de données, comment ils ont obtenu l'accès et s'ils devraient avoir l'accès à travers les partages de fichiers. Le processus de certification automatisé génère des examens exploitables qui sont simples, intuitifs et efficaces pour les utilisateurs professionnels afin de fournir des preuves aux équipes d'audit.
Toutes les menaces ne sont pas externes et les équipes informatiques doivent trouver de nouveaux moyens de sécuriser les accès et de garantir la conformité tout en continuant à répondre aux besoins technologiques des utilisateurs. En rationalisant les opérations informatiques, en éduquant les utilisateurs et en adoptant la gouvernance des identités et des accès, les organisations peuvent réduire les risques de l'informatique parallèle.
