in

Le Shadow IT : un facteur de risque majeur pour la sécurité – Pierre Poggi, Country Manager France Watchguard

Chacun ou presque dans le monde de l’informatique connait l’expression « Shadow IT. » L’utilisation de produits et de services provenant de l’extérieur de l’entreprise, généralement basés sur le cloud sans l’accord préalable du service informatique interne représente une source d’inquiétude croissante pour les DSI dans le monde entier. En 2000, environ 20% des dépenses informatiques des entreprises ne dépendaient pas du budget du département informatique, d’après le cabinet Gartner. Mais cela c’était avant. Gartner prévoit aujourd’hui que les dépenses non contrôlées par les DSI représenteront 90% du total d’ici la fin de la décennie. Ce qui donne une autre dimension au « Shadow IT’ ! Avec la montée des services cloud et des solutions SaaS, les entreprises ont du mal à s’adapter et à reprendre le contrôle de la situation.

Beaucoup considèrent le ‘Shadow IT’ comme une sorte de Far West, car il permet aux employés et aux départements de fonctionner indépendamment du contrôle et du support de la DSI. Cette absence de contrôle centralisé est un modèle qui inquiète les DSI. Beaucoup le considère comme une pratique coûteuse et inefficace qui réduit la capacité des entreprises à gérer et coordonner efficacement leurs ressources informatiques.

Mais une autre menace rentre en ligne de compte : la sécurité ! Car le ‘Shadow IT’ génère des risques nouveaux et sérieux en matière de sécurité.

Imaginez ce scénario : chaque département dans votre entreprise utilise sa propre solution de partage de fichiers sans l’approbation du service informatique : Dropbox, Google Drive, Box, etc. Ces applications cloud dépendent de serveurs externes et de réseaux hors de votre contrôle, ils ne peuvent être surveillés par des outils de sécurité traditionnels. De plus, elles peuvent ouvrir la voie à un grand nombre de problèmes de conformité et de sécurité externe. Plus important encore, le service informatique étant dans l’ignorance complète, il ne pourra être d’aucun secours lorsqu’il s’agira de contrôler et de corriger ces problèmes.

Quels sont les risques réels qu’induit le ‘Shadow IT’ ?

  • Fuite de données. Des services cloud tels que Dropbox ont subi des attaques par le passé, qui se sont traduites par des vols de mots de passe client. Si l’un de vos employés dépose des fichiers d’entreprise sensibles sur Dropbox, un attaquant pourrait avoir accès à ces fichiers.
  • Pas de contrôle sur la gestion des attaques. Un service cloud se résume à un serveur et un réseau quelque part dans le monde. Il est soumis aux mêmes risques de sécurité que votre propre réseau. Nous supposons que le fournisseur de cloud a mis en place des mesures de sécurité et qu’il emploie les meilleures pratiques, mais nous ne savons pas dans quelle mesure. Les services informatiques doivent avoir la possibilité de valider le niveau de sécurité de leurs partenaires extérieurs, et de décider si la valeur qu’ils apportent vaut le risque potentiel qu’ils font supporter.
  • Problèmes de conformité non prévus. Vous êtes toujours responsable de la protection de vos données (les informations client par exemple) même si vous les déplacez en dehors de votre réseau d’entreprise. L’adoption de services cloud suscite dès le départ des interrogations, car vous avez moins de visibilité sur la façon dont des fournisseurs extérieurs gèrent vos données. Mais imaginez maintenant que vous ne savez même pas que des données sensibles ne sont plus sur votre réseau et ont été déplacées ailleurs !
  • Perte de moyens de contrôle sur les données. Par exemple, imaginons qu’un employé télécharge la liste de vos clients dans le cloud avec son mot de passe personnel, et qu’ensuite il soit licencié ou démissionne. Il aura toujours accès à votre liste de clients, mais vous n’aurez plus la possibilité de l’effacer.

Il ne fait pas de doute que la ‘Shadow IT’ et les services cloud vont devenir toujours plus populaires auprès des employés. En conséquence, les entreprises doivent être préparées à gérer les risques associés à ces services.
Les quelques mesures suivantes vous aideront à limiter les risques associés au ‘Shadow IT’.

  1. Établissez des règles claires pour l’utilisation de services cloud. Si vous n’avez pas informé vos employés comment procéder pour demander un nouveau service cloud en interne, ou quelles sont les règles en vigueur dans l’entreprise en matière d’utilisation de services cloud externes, il est quasi certain qu’ils les adopteront d’eux-mêmes sans vous demander la permission. Après tout, beaucoup de ces services cloud sont gratuits, rapides à mettre en œuvre et simples à utiliser. La sécurité passe donc d’abord par l’établissement de règles. Si vous ne voulez pas que vos employés utilisent certains services sans votre accord, vous devez les en informer explicitement. Le mieux également est que vous fixiez une procédure permettant de demander rapidement la mise en place de tels services quand vos employés en ont réellement besoin. Mettez-vous dans l’air du temps pour ne pas être contourné.
  2. Aidez pro-activement vos utilisateurs à obtenir les services dont ils ont besoin. Si vous contactez régulièrement les différents départements de votre organisation pour vérifier qu’ils disposent des services informatiques dont ils ont besoin, ils réaliseront que vous êtes là pour les aider à remplir leurs objectifs. Ceci les encouragera à venir à vous à chaque fois qu’ils auront un nouveau besoin informatique, plutôt que de vous considérer comme un obstacle.
  3. Si des départements contournent le service informatique, découvrez pourquoi et changez les choses. Les employés veulent simplement que leur travail soit fait. Lorsqu’ils font appel au ‘Shadow IT’ et utilisent des services cloud externes, c’est généralement pour être plus efficaces dans leur travail quotidien. Vous devez découvrir pourquoi ils n’ont pas fait appel à vous. Est-ce en raison de l’absence d’une règle claire ? Le département informatique a-t-il la réputation de refuser systématiquement les nouvelles applications que demandent les utilisateurs ? Les services autorisés par l’entreprise se sont-ils révélés inefficaces par le passé ? Le département informatique est-il débordé par les demandes, et incapable de délivrer rapidement de nouvelles autorisations ? Voici les questions que vous devez vous poser si vous voulez comprendre les causes.
  4. Définissez les fonctions dont les utilisateurs ont RÉELLEMENT besoin avant de délivrer un nouveau service informatique. Lorsque les départements veulent quelque chose de nouveau, listez toutes leurs demandes et cas concrets d’utilisation. Ceci vous aidera à garantir que le service informatique est en mesure de délivrer un service réellement efficace pour les utilisateurs, et qu’ils ne contourneront pas le système en cherchant eux-mêmes d’autres solutions. Par exemple, il est probable que les utilisateurs auront besoin de fonctions modernes d’échange d’informations, et d’applications accessibles indifféremment sur mobile et sur des plates-formes traditionnelles. Si vous ne pouvez offrir des services fonctionnant efficacement et en toute sécurité de n’importe où et à partir de n’importe quel terminal, alors ils pourront être tentés de contourner le département informatique.
  5. Parfois le service cloud est le choix le meilleur et le plus sécurisé. Rappelez-vous, le problème avec le ‘Shadow IT’ n’est pas nécessairement que quelqu’un a choisi d’externaliser quelque chose dans le cloud, mais le fait que cette personne l’a fait sans que le département informatique n’en ait été informé ni l’ait approuvé. Dans certains cas, les services cloud peuvent être la solution la meilleure et la plus sécurisée, pourvu que le département informatique puisse gérer et contrôler les données partagées dans le cloud. Au bout du compte, éviter le ‘Shadow IT’ ne veut pas dire tout conserver en interne ; c’est avant tout faire participer les bonnes personnes à toute décision d’externalisation.
  6. Disposez d’outils de visibilité capables d’identifier le ‘Shadow IT’. Les Firewalls de Nouvelle Génération et les boîtiers UTM les plus récents intègrent de nouvelles fonctionnalités qui leur permettent d’identifier les différentes applications qui communiquent sur un réseau, quels que soient les ports et les protocoles que ces applications utilisent. Les boîtiers les plus performants offrent même la fonction d’identification HTTPS, ce qui veut dire que les services ‘Shadow IT’ ne peuvent pas passer au travers. Si vous disposez de boîtiers de ce type, ceux-ci sont dotés de bons outils de visibilité et de reporting, et peuvent vous aider à découvrir quand des départements commencent à utiliser un nouveau service cloud sans l’accord du département informatique. Ceci permettra à ce dernier de contacter ces utilisateurs, et soit déterminer s’il peut proposer une solution alternative, soit incorporer le nouveau service avec des procédures et un contrôle adéquats.
  7. Choisissez vos combats. La sécurité a trait à la gestion du risque, et certains types de données peuvent revêtir une importance plus ou moins grande par rapport à d’autres. Certains services cloud concernent des données moins sensibles pour votre organisation ou dont le facteur de risque est plus faible. Dans ces cas particuliers, le mieux est peut-être pour vous de laisser faire, et de réserver vos efforts pour des services qui génèrent un risque potentiel très élevé.
  8. Bloquez les applications les plus dangereuses en dernier ressort. Les technologies d’identification et de contrôle des applications mentionnées plus haut sont également capables de bloquer certains services. Si le département informatique identifie que des applications dangereuses sont en cours d’utilisation et si vous ne pouvez absolument pas autoriser vos employés à y accéder, vous pouvez vous résoudre à les bloquer. Toutefois, souvenez-vous que si aucune solution approuvée ne répond réellement aux besoins des employés, ceux-ci continueront de chercher des alternatives sans votre accord.
Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.