Les entreprises dépensent beaucoup d'argent pour acheter du matériel informatique. Les achats de matériel peuvent prendre la forme à la fois d'appareils d'utilisateurs finaux tels que des ordinateurs portables, des ordinateurs de bureau et des téléphones portables, mais comprennent également d'autres matériels informatiques tels que des serveurs et des équipements de réseau. Les entreprises peuvent également dépenser d'énormes sommes d'argent en logiciels à exécuter sur le matériel. Collectivement, il s'agit d'infrastructures officielles, car l'entreprise a approuvé leur utilisation à des fins commerciales.
Shadow IT est le nom d'une infrastructure non officielle, où les gens ont commencé à utiliser des appareils, des logiciels ou des services cloud non approuvés. L'infrastructure fantôme n'a pas nécessairement besoin d'avoir une utilisation commerciale. Par exemple, si une entreprise interdit le BYOD, alias Apportez votre propre appareil, et qu'un employé connecte son téléphone portable personnel au réseau de l'entreprise, cela compte toujours comme du shadow IT. En effet, l'appareil est connecté à un réseau d'entreprise à partir duquel il pourrait diffuser des logiciels malveillants, etc. s'il avait été compromis.
Les logiciels non approuvés sont également classés comme shadow IT. Comme le logiciel s'exécutera sur les ordinateurs de l'entreprise, cela pourrait affecter négativement les performances ou la sécurité des appareils ou des réseaux. Les principaux risques d'un logiciel non approuvé sont qu'il ne soit pas mis à jour ou que l'utilisateur obtienne une copie non officielle et chargée de logiciels malveillants.
Les services informatiques cloud sont une partie relativement récente du shadow IT qui peut être utilisé pour traiter des données, le problème est ces services peuvent échapper à l'obligation légale de l'entreprise de protéger les données et de ne pas les transférer à d'autres entreprises. Les services cloud non approuvés sont également beaucoup moins susceptibles de passer par un processus de renforcement approprié, ce qui les rend plus vulnérables aux tentatives de piratage.
Le Shadow IT n'est pas un risque facile à préparer et à gérer car, par définition, les problèmes exacts et les risques qu'ils posent sont inconnus. La seule façon de s'y préparer est de créer des procédures et des plans et d'avoir des conséquences claires en cas de non-respect des règles. Il est également particulièrement important de s'assurer que les procédures officielles pour demander correctement l'équipement, etc. à utiliser, car cela réduit le risque que les employés recourent à quelque chose qu'ils ne devraient pas faire parce que c'est Plus facile.