Juste avant Noël dernier, dans une affaire inédite, JPMorgan a été condamné à une amende de 200 millions de dollars pour des employés utilisant des applications non autorisées pour communiquer sur la stratégie financière. Aucune mention de délit d’initié, de court-circuit nu ou de toute malveillance. Juste des employés qui contournent la réglementation en utilisant, eh bien, le Shadow IT. Non pas parce qu’ils ont essayé d’obscurcir ou de cacher quoi que ce soit, simplement parce que c’était un outil pratique qu’ils préféraient à tout autre produit sanctionné (dont JPMorgan possède certainement un certain nombre).
La visibilité sur les applications inconnues et non autorisées est exigée par les régulateurs et également recommandée par la communauté Center for Internet Security depuis longtemps. Pourtant, il semble que de nouvelles et meilleures approches soient toujours en demande. Gartner a identifié la gestion de la surface d’attaque externe, le risque de la chaîne d’approvisionnement numérique et la détection des menaces d’identité comme les trois principales tendances sur lesquelles se concentrer en 2022, qui sont toutes étroitement liées au Shadow IT.
Les « identifiants fantômes », ou en d’autres termes, les identités et comptes d’employés non gérés dans des services tiers sont souvent créés à l’aide d’un simple enregistrement basé sur un e-mail et un mot de passe. Les CASB et les solutions SSO d’entreprise sont limitées à quelques applications sanctionnées et ne sont pas non plus largement adoptées sur la plupart des sites Web et des services. Cela signifie qu’une grande partie de la surface externe d’une organisation – ainsi que les identités de ses utilisateurs – peut être complètement invisible.
Surtout, ces identifiants fantômes restent non gérés même après que les employés ont quitté l’organisation. Cela peut entraîner un accès non autorisé aux données sensibles des clients ou à d’autres services basés sur le cloud. Les identités créées par les employés, mais liées à l’entreprise, sont également invisibles pour la plupart des outils IDM/IAM. Le cimetière de comptes oubliés appartenant à d’anciens salariés ou de candidatures abandonnées s’agrandit chaque jour, à l’infini.
Et parfois, les morts sortent de leur tombe, comme dans le cas de la Commission mixte d’éthique publique, dont le système hérité a été piraté cette année, même s’il est hors d’usage depuis 2015. Ils ont légitimement informé leurs anciens utilisateurs, car ils comprennent que la réutilisation des mots de passe peut s’étendent sur plusieurs années, et selon Verizon, les informations d’identification volées sont toujours le principal contributeur à toutes sortes de violations et d’attaques. Ainsi, lorsque les Shadow ID sont laissés pour compte, ils créent un risque éternel invisible et non géré par quiconque.
Comment faire un rapport sur le Shadow IT et les Shadow ID ?
Malheureusement, la surveillance du réseau passe à côté de la cible, car ces outils sont conçus pour filtrer le trafic malveillant, fournir une protection contre les fuites de données et créer des règles de navigation basées sur des catégories. Cependant, ils sont complètement aveugles aux connexions réelles et ne peuvent donc pas différencier la navigation, les comptes privés et les inscriptions aux applications d’entreprise (ou les sites de phishing d’ailleurs). Pour découvrir et gérer les Shadow ID et le Shadow IT, il faut mettre en place une surveillance au niveau des applications et des comptes, qui peut créer une source fiable et mondiale de vérité dans l’ensemble de l’organisation.
La découverte de ces actifs via la surveillance de l’utilisation des informations d’identification liées à l’entreprise sur n’importe quel site Web permet une vue unifiée des applications non autorisées ou indésirables. Les inventaires d’applications et de comptes offrent une visibilité sur l’étendue réelle des services externes et des identités utilisées dans l’ensemble de l’organisation. En outre, ils permettent l’examen des fournisseurs tiers sur leurs politiques, leurs mesures de sécurité et d’authentification, et sur la manière dont ils gèrent et maintiennent vos données.
Il est impossible de catégoriser correctement tous les 250 000 nouveaux domaines qui sont enregistrés chaque jour dans le monde. La bonne approche consiste donc à surveiller ceux qui apparaissent sur nos terminaux. Comme effet secondaire, révéler les connexions sur des applications suspectes ou nouvelles donner de la visibilité sur les attaques de phishing réussies qui n’ont pas été empêchés sur une passerelle ou côté client, et où les employés ont donné des informations d’identification importantes.
Scirge est un outil basé sur un navigateur qui offre une visibilité complète sur les Shadow ID et Shadow IT, l’hygiène des mots de passe pour les comptes Web d’entreprise et tiers, et même l’éducation et la sensibilisation des employés en temps réel. Et il a aussi une version entièrement gratuite pour auditer votre empreinte cloud, afin que vous puissiez avoir une vue immédiate de l’étendue du Shadow IT parmi vos employés.