Selon une étude, 78 des 187 applications moyennes utilisées par les entreprises dans leur réseau client le sont en dehors des consignes et des protocoles de sécurité du service informatique. (Photo: Shutterstock)

Selon une étude, 78 des 187 applications moyennes utilisées par les entreprises dans leur réseau client le sont en dehors des consignes et des protocoles de sécurité du service informatique. (Photo: Shutterstock)

Si les hackers russes ou chinois écrivent leur légende à coups de spectaculaires cyberattaques, selon le Security Navigator 2025, publié cette semaine par la Cyberdefense d’Orange, la menace intérieure reste au moins équivalente. Le «shadow IT» ou quand les employés violent les protocoles de sécurité en risquant de mettre l’entreprise à risque.

Le Covid a rendu visibles une série de comportements nés en même temps que l’avènement de l’informatique: de plus en plus d’employés installent sur leurs ordinateurs professionnels des logiciels qu’ils ne devraient pas installer. Les exemples les plus courants sont des services comme Dropbox, Google Drive, WhatsApp, Slack, Trello ou Asana.

Selon les conclusions de Productiv.com pour 2024, , ce qui équivaut à environ 78 des 187 applications moyennes utilisées par les entreprises dans leur réseau client.

– 65% des employés ouvrent des e-mails provenant de sources inconnues sur leurs appareils de travail. 

– 61% envoient des informations sensibles par courrier électronique non chiffré.  

– Et surtout, 93% ont reconnu que ces actions augmenteraient les risques pour l’entreprise, disait le rapport de référence publié par Gartner. 

Autrement dit, les employés savent parfaitement qu’ils font ce qu’ils ne devraient pas faire. «Le nombre d’incidents liés à des violations de politiques a augmenté et le nombre d’incidents liés à du matériel ou des logiciels non approuvés met en évidence le problème important de la présence du shadow IT dans les réseaux d’entreprise. Nous avons constaté cette tendance à partir de 2020 lors des confinements liées au Covid et il semble qu’elle se soit maintenue», analysent les experts de la Cyberdefense d’Orange dans la nouvelle version de leur Security Navigator (2025). «Dans les discussions avec nos clients, les responsables de la sécurité des systèmes d’information semblent se rallier à cette observation, citant leurs préoccupations au sujet du shadow IT et décrivant leur principal risque comme étant interne. Le service de sécurité informatique a souvent été identifié comme le service du ‘non’, des processus et de la gouvernance stricte. Les utilisateurs qui agissent sous les radars, comme le montrent ces statistiques, témoignent d’un manque persistant de sensibilisation à la cybercriminalité.»

Menace interne et menace externe à égalité

La menace interne (47,35%) des sources d’incidents selon le rapport, est quasiment équivalente à la menace externe (47,61%) avec un autre point que relèvent les experts: les mauvais usages. En même temps qu’ils se donnent accès à nouvelles solutions, les utilisateurs ne prennent pas le temps de comprendre comment se protéger, mettant en danger les données de leur entreprise ou même les systèmes informatiques…

–  plutôt qu’à la sécurité.

– du service informatique.

– .

Une étude réalisée en 2024 par Gartner a révélé que le shadow IT représente 30 à 40% des dépenses informatiques des grandes entreprises, soit des millions de dollars de dépenses inutiles pour de nombreuses entreprises. Le coût des cyberattaques liées au shadow IT s’élève en moyenne à 4,2 millions de dollars par incident. 34 milliards de dollars de gaspillage de licences sont générés chaque année entre les États-Unis et le Royaume-Uni en raison de logiciels informatiques fantômes inutilisés.

Et l’intelligence artificielle n’aide pas forcément: selon une étude qui commence à dater et qui n’est pas reprise dans le rapport d’Orange, 70% des employés de grands groupes, souvent très numériques, utilisent ChatGPT sans que l’IT en soit même conscient.

Aida, une méthode pour éduquer plus facilement

Un an plus tôt, Orange alertait déjà sur un troisième phénomène: au fur et à mesure que les entreprises se digitalisent, l’informatique se déplace de l’unité experte dans l’entreprise vers les business units classiques, qui veulent avoir des logiciels pour faire ceci ou pour faire cela, sans que l’entreprise ait forcément une image globale et instantanée de tout ce qui se passe en son sein.

Dans un contexte mondial de pénurie des talents dans le domaine de la cybersécurité, Gartner, sur lequel s’appuie l’opérateur de télécommunications, soutient que le jugement cybernétique, c’est-à-dire la capacité des employés à prendre des décisions éclairées en matière de cyber-risque de manière autonome, est une solution plus efficace, qui permet aux entreprises de travailler avec un minimum d’expertise efficace. Les entreprises qui ont mis en œuvre ce concept ont vu leur exposition au risque diminuer de deux fois et leur vitesse de déploiement des nouvelles technologies augmenter de 2,2 fois.

Pourquoi les chiffres d’Orange sont plus intéressants que les chiffres eux-mêmes? Parce que toute une série d’acteurs proposent des solutions pour diminuer l’empreinte du shadow IT dans les entreprises, des sortes de portes d’accès à des solutions extérieures à celles de l’entreprise.

. Un schéma dans lequel le D est très important parce qu’il évoque une «cocréation» de la sécurité informatique de l’entreprise à partir du ressenti des utilisateurs finaux et avec les experts de l’IT. Sans l’utilisateur final, aucune règle ne sera jamais suivie assez bien dans ce domaine.

Articles Associés