Afin de mieux comprendre la façon dont les employés du secteur public utilisent la technologie sur leur lieu de travail (qu’il s’agisse sur site ou à domicile) et leur attitude à l’égard de la sécurité, NinjaOne dévoile son nouveau rapport, L’informatique du Secteur Public en 2022 : Faire face au Shadow IT dans un monde hybride, issu d’une enquête menée auprès de 400 responsables du secteur public aux États-Unis, en Europe et en Océanie.
Le secteur public n’est pas reconnu pour son agilité numérique et son matériel moderne, mais les choses changent. La crise sanitaire a considérablement accéléré la transformation numérique du secteur et développé le travail à distance. Chez eux, les employés du secteur public utilisent différents appareils (PC, téléphone, mobile) et ont recours au cloud computing pour assurer le fonctionnement des services municipaux. Cependant, ces outils, parfois personnels d’ailleurs, et le recours aux applications et au cloud font peser la menace du Shadow IT (informatique fantôme) sur l’infrastructure, le réseau, le système d’information et les données de leur entreprise/service. Cela les rend vulnérables aux fuites, aux vols de données ou aux (cyber)attaques. L’actualité de ces derniers mois en est la preuve : AP-HP, Mairies, conseil général, ministères, aucune entité n’est épargnée.
L’enquête a révélé que si de nombreuses agences gouvernementales locales et étatiques retrouvent un sentiment de normalité, la plupart adoptent une approche hybride du travail. Cette (r)évolution a considérablement augmenté le nombre d’appareils que les équipes informatiques doivent surveiller et gérer. Malheureusement, certains appareils, ainsi que des logiciels, passent entre les mailles du filet et permettent à l’informatique fantôme (Shadow IT) de se répandre.
Ce qu’il faut retenir du rapport :
48% des acteurs du secteur public sondés déclarent avoir subi une cyberattaque ou un vol de données.
52 % des employés du secteur public ont le sentiment d’avoir à contourner, fréquemment ou de temps en temps, les politiques de sécurité de l’entreprise pour faire leur travail.
29% des employés contournant les politiques de sécurité le font car elles limitent leur productivité. Pour 21% c’est parce que ces politiques sont trop complexes à comprendre.
52 % utilisent des appareils non approuvés pour le travail (ex : clés USB/disque dur externe/portable)
49 % utilisent des logiciels ou des outils du cloud non approuvés pour le travail (ex : solutions de visioconférence, de communication)
51 % des employés du secteur public consacrent plus de temps à la résolution de problèmes informatiques depuis qu’ils travaillent à domicile. Parmi eux, 35% déclarent avoir passé plus de 4H/sem à résoudre ces problèmes.
18% déclarent ne pas être obligés par leur entreprise d’installer un outil de sécurité supplémentaire lorsqu’ils sont en mode de travail hybride.
Seuls 30% des personnes interrogées déclarent avoir reçu une formation sur la sécurité de leur organisation et sur les bonnes pratiques en la matière. Compte tenu du grand nombre de menaces à gérer, le fait de ne pas accorder la priorité à la gestion et à la sécurité des appareils augmente considérablement le risque auquel l’entreprise est confrontée. En laissant persister ce maillon faible qu’est le Shadow IT, les entités du secteur public s’exposent à des cyberattaques et à des amendes. De plus, elle peut mettre en danger les informations personnelles des citoyens, ce qui nuit aux personnes que le secteur public s’efforce de soutenir et servir jour et nuit.
Laisser persister l’informatique fantôme (shadow IT) peut sembler inoffensif à première vue, mais cela a des conséquences réelles.
Les responsables informatiques du secteur public doivent faciliter le dialogue entre les employés et le personnel informatique pour comprendre ce qui ne fonctionne pas en matière de politiques de sécurité et se tourner vers la technologie pour rendre la gestion des appareils et des utilisateurs non intrusive.
Voici quelques conseils pour prémunir les acteurs du secteur public des menaces associées au Shadow IT :
Auditer les employés à distance sur les meilleurs outils numériques et matériel utilisé pour identifier comment la politique de sécurité actuelle ne répond pas aux besoins des employés et/ou entrave leur travail au quotidien,
Revoir les politiques de sécurité établies et rechercher des moyens pour réduire les frictions entre les employés et l’informatique,
Mettre en place des sessions régulières de formation à la sécurité sur les menaces auxquelles les travailleurs à distance sont susceptibles de faire face, telles que le phishing, les malwares, le chantage, l’espionnage, le vol de données,
Établir un lien direct et clair entre les travailleurs et le l’équipe informatique pour sensibiliser aux problèmes informatiques
Et faire adhérer aux politiques de sécurité,
Communiquer régulièrement les problèmes, les besoins et les informations en lien avec les actifs informatiques et leur sécurité à l’équipe de direction afin que l’entreprise puisse s’adapter correctement à l’évolution des usages et des menaces.