La voie de la moindre résistance :la menace interne de Shadow I.T.

Les gens, comme l'électricité, ont tendance à emprunter le chemin de la moindre résistance. Au cours de la dernière année, les entreprises du monde entier se sont empressées de mettre en place une infrastructure à distance afin de surmonter la tempête des coronavirus. Pour de nombreux employés, la transition abrupte du bureau au travail entièrement à distance a été une expérience largement non guidée. Selon l'étude d'IBM Security sur le travail à domicile, plus de la moitié des employés distants interrogés n'ont reçu aucune nouvelle politique de sécurité sur la façon de travailler en toute sécurité à domicile. Avec plus de 34 % de tous les employés qui devraient être entièrement à distance d'ici la fin de l'année, I.T. les départements se battent contre la montre pour mettre en œuvre des systèmes d'infrastructure à distance sûrs et sécurisés qui répondront aux besoins de leurs employés.

En l'absence d'une direction appropriée, les travailleurs ont adopté un flux de travail hybride composé de nouvelles solutions de travail à distance, d'applications logicielles en tant que service (SaaS) basées sur un navigateur et d'outils grand public réaffectés pour la communication, le partage de fichiers et la collaboration. Combinés au BYOD et à une surveillance laxiste de la sécurité, ces comportements créent une opportunité idéale pour les acteurs externes malveillants cherchant à tirer profit de la cybercriminalité.

La menace de l'informatique de l'ombre .

« Shadow I.T » est le terme général utilisé pour décrire les applications et les appareils, en grande partie SaaS, que les employés configurent et utilisent sans I.T. l'autorisation ou les contrôles de l'entreprise. Des appareils non sécurisés au partage de fichiers dans le cloud public et à la messagerie personnelle, de nombreux employés distants ont choisi la voie de la moindre résistance et ont adopté le shadow I.T. Ces comportements de travail hautement dangereux peuvent mettre en danger les données de l'entreprise et représentent l'une des plus grandes vulnérabilités potentielles de l'informatique. aujourd'hui.

Au cours de l'année suivante, l'entreprise I.T. les équipes seront contraintes de réformer efficacement les systèmes et infrastructures précipités mis en place courant 2020, tout en prenant en compte les nouveaux besoins des télétravailleurs existants. Cet équilibre nécessitera de nouvelles stratégies et approches pour gérer à la fois la sécurité et les comportements des utilisateurs.

Selon une étude de 2020 de Cyberark, la commodité l'emporte souvent sur la sécurité pour les parents qui travaillent. Alors que les gens sont passés au travail à domicile à temps plein, s'occuper des enfants et des membres de la famille peut prendre plus d'espace mental que les meilleures pratiques en matière de cybersécurité. En conséquence, 93 % des parents qui travaillent ont réutilisé les mots de passe dans les applications et les appareils, et 29 % des parents qui travaillent ont admis qu'ils permettaient à d'autres membres de leur foyer d'utiliser leurs appareils d'entreprise pour des activités telles que les travaux scolaires, les jeux et les achats. Ces activités non sécurisées peuvent avoir des répercussions majeures.

Dans un récent rapport de Wandera, 52 % des organisations ont signalé avoir subi un incident de malware sur un appareil distant en 2020, contre 37 % en 2019. Encore plus alarmant, parmi les appareils compromis par des logiciels malveillants en 2020, 37 % ont continué à accéder aux e-mails d'entreprise. après avoir été compromis, et 11 % ont continué à accéder au stockage dans le cloud.

Imaginez que l'un de vos développeurs de logiciels a un malware sur son ordinateur portable. Maintenant, ils écrivent du code essentiel sur un appareil non protégé. Vous n'avez aucune idée d'où va ce code. Lorsque vous publiez ce code, vous l'avez peut-être nettoyé, mais quelqu'un d'autre pourrait toujours l'avoir.

Le danger des données non surveillées

Ce que beaucoup ne reconnaissent pas, c'est cette ombre I.T. il ne s'agit pas seulement d'une personne utilisant sa Dropbox ou Gmail personnelle ; il s'agit également de donner à quelqu'un l'accès à une application Web telle que Salesforce sans en avoir le contrôle. Qu'advient-il de ces données une fois qu'elles résident localement ?

Selon une étude récente de Netwrix, 91% des organisations affirment ne stocker des données sensibles et réglementées que dans des emplacements sécurisés. Cependant, 24 % d'entre eux ont admis avoir découvert de telles données en dehors des emplacements désignés au cours de l'année écoulée.

La création d'environnements numériques sûrs nécessite de considérer le plus petit dénominateur commun. La culture du travail à domicile ne cherchant pas à disparaître de sitôt, il est de plus en plus essentiel de fournir aux employés des solutions qui tiennent compte de certaines des habitudes les moins flatteuses de l'humanité. Si shadow I.T. n'est pas sérieusement envisagé par l'informatique d'entreprise. équipes et DSI, alors leurs informations les plus sensibles sont en grand danger.

Toutes les solutions matérielles et logicielles dans le monde ne peuvent pas protéger votre entreprise si vos employés ne les utilisent pas. La réalité est que si une organisation ne parvient pas à fournir les outils et la formation appropriés à ses employés, ils suivront le chemin de la moindre résistance et laisseront des données sensibles en danger. Former les gens aux outils qui leur sont fournis est tout aussi crucial que de leur donner le logiciel en premier lieu. S'il est trop difficile de faire fonctionner le logiciel, la tentation d'accéder simplement à l'API de l'entreprise à partir de Chrome sera toujours présente à l'esprit. Éduquer les employés sur les meilleures pratiques et créer un système informatique. l'infrastructure autour de leurs besoins, devrait servir de pierre angulaire pour tous les DSI et I.T. départements.

Michael Abboud est le fondateur et PDG de TetherView, un fournisseur de cloud privé.