"On ne peut pas protéger ce que l'on ne voit pas. Nous le disons souvent sur Censys parce que c'est vrai. Les équipes de cybersécurité ne peuvent surveiller, gérer et défendre que les actifs numériques qu'elles connaissent.
Bien que la plupart des équipes informatiques des entreprises aient mis en place des protocoles pour l'acquisition et l'intégration des technologies, dans le paysage cybernétique actuel en pleine expansion, les actifs numériques non autorisés passent inévitablement entre les mailles du filet. L'essor du travail à distance n'a fait qu'accélérer ce phénomène. Selon Cisco, 80 % des employés utilisent Shadow IT.
Qu'est-ce que Shadow IT?
Shadow IT désigne tout appareil, système, logiciel ou application connecté à une organisation mais qui n'a pas reçu l'approbation de l'équipe informatique et qui est donc inconnu. Parmi les exemples courants de Shadow IT , on peut citer l'utilisation non autorisée d'appareils personnels pour des activités professionnelles, de services en nuage, de plateformes logicielles de gestion de produits et d'outils de communication numérique. Gartner estime qu'en 2022, 41 % des employés auront acquis, modifié ou créé des technologies en dehors du champ de vision de l'équipe informatique.
Dans la plupart des cas, Shadow IT est créé lorsque les employés cherchent des solutions rapides pour faciliter ou améliorer leur travail. Aussi inoffensif que ce raisonnement puisse paraître, le risque qu'il représente pour la sécurité des organisations est bien réel. Les acteurs de la menace recherchent le chemin de moindre résistance lorsqu'ils tentent de pénétrer dans un réseau, et les actifs qui manquent de protocoles de sécurité et de surveillance appropriés sont des cibles faciles. On estime que soixante-seize pour cent des organisations ont subi au moins une attaque due à un actif inconnu, mal géré ou non géré.
Exemples de risques Shadow IT
- Visibilité réduite: Les équipes ne peuvent pas obtenir une image complète et cohérente de leur périmètre de sécurité si elles ne savent pas quoi chercher.
- Vulnérabilités de sécurité: Les certificats expirés, les mauvaises configurations et les autres instances de risque sur les actifs Shadow IT créent des vulnérabilités dans le périmètre de sécurité.
- Perte de données: les actifs non gérés augmentent le risque de violation, ce qui pourrait entraîner la perte de données de l'entreprise et des clients.
- Non-conformité: Les équipes sont incapables d'appliquer une surveillance et des protections à des actifs inconnus, ce qui expose les organisations soumises à des réglementations à un risque de non-conformité.
- Pertes financières: les cyberattaques réussies ont un coût, qu'il s'agisse du coût résultant de l'indisponibilité du système, de la perte d'activité ou des répercussions juridiques.
Que peuvent donc faire les équipes de sécurité pour mieux gérer Shadow IT et minimiser les risques pour l'entreprise ?
L'adoption d'une stratégie de gestion de la surface d'attaque externe (EASM) est essentielle.
Censys Outil EASM
Gestion de la surface d'attaque externe pour Shadow IT
La sensibilisation des employés aux risques de Shadow IT et la mise en place de politiques d'approvisionnement appropriées sont des éléments essentiels de la gestion de Shadow IT. Ces mesures sont importantes et contribueront à contrôler la propagation des biens non autorisés. Cependant, il n'est pas réaliste pour les équipes de sécurité de penser qu'elles peuvent compter uniquement sur les efforts de bonne foi des employés. Il faut savoir qu'un seul bien non géré est tout ce dont un pirate peut avoir besoin pour réussir à pénétrer dans un système.
Les équipes ont donc besoin d'une stratégie qui facilite la découverte continue d'actifs inconnus sur la surface d'attaque. C'est là que la solution EASM entre en jeu.
L'EASM est une approche proactive de la cybersécurité qui permet d'identifier tous les actifs et toutes les vulnérabilités qui existent sur la surface d'attaque externe d'une organisation, y compris ceux qui ne sont pas actuellement connus de l'organisation (comme Shadow IT). Avec une solution EASM, les organisations bénéficient d'une visibilité totale sur ce qu'elles possèdent et peuvent mieux comprendre les risques associés à ces actifs.
Censys Gestion de l'exposition
Comment l'EASM peut-elle minimiser le risque de Shadow IT?
Examinons quelques-uns des principaux avantages de l'utilisation de l'EASM pour traiter le site Shadow IT.
Découverte: L'analyse et la surveillance automatisées et continues de tous les points de contact externes liés à une organisation permettent aux équipes de découvrir des actifs inconnus.
Évaluation: En plus d'identifier les actifs inconnus, les solutions EASM fournissent un contexte essentiel sur chaque actif, y compris les vulnérabilités, les mauvaises configurations et les menaces associées.
Atténuation des risques: Les équipes peuvent utiliser ce qu'elles apprennent grâce à la découverte et à la surveillance continues des actifs de l'EASM pour prendre des mesures afin d'éliminer les vulnérabilités et de réduire le risque d'attaque réussie de l'organisation.
Application de la politique: La détection en temps réel permet de renforcer les politiques. Les équipes de sécurité peuvent rapidement identifier quand et où des technologies non autorisées sont créées au sein de l'organisation, et communiquer avec les employés en conséquence.
Réduction et optimisation des coûts: Un résultat en aval du rôle de l'EASM dans la gestion de Shadow IT ? L'opportunité qu'il crée pour les équipes de réduire la taille de leur surface d'attaque (moins à protéger) et d'économiser des dépenses lorsque les actifs de Shadow IT sont mis hors service.
Passer à l'action
EASM est une solution proactive que les équipes de sécurité peuvent utiliser pour faire la lumière sur Shadow IT et minimiser le risque qu'il représente pour leur posture de sécurité. EASM fournit la découverte, l'évaluation et le contrôle nécessaires pour s'assurer que la surface d'attaque d'une organisation reste éclairée - et sécurisée.
Découvrez comment Censys External Attack Surface Management peut aider votre organisation à prendre le contrôle de Shadow IT.
Demander une démonstration
