Le CESIN publie les résultats d'une enquête sur les pratiques du Shadow IT en France
En collaboration avec Symantec

Le , par Stéphane le calme, Chroniqueur Actualités
L’usage généralisé des applications cloud offre de nombreuses opportunités pour l’entreprise et une réelle autonomie pour les directions métier, il peut impacter a contrario significativement la confidentialité, l’intégrité et la disponibilité des systèmes d’information. Afin d’éclairer ce qui se cache dans l’informatique hors du contrôle de la DSI, le CESIN (Club des experts de la sécurité de l’information et du numérique) et Symantec ont dévoilé les résultats d’une étude menée en collaboration sur le Shadow IT.

Pour rappel, le Shadow IT (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

Pour sa part, Alain Bouillé, président du CESIN, présente le Shadow IT comme « un phénomène qui s’est développé avec la gratuité de nombreux services en ligne et auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise. »

Il explique que « Cela peut aller de la création d’un Réseau Social d’Entreprise hors contrôle de cette dernière avec des offres gratuites comme LinkedIn ou Facebook, à la constitution de services collaboratifs pour des besoins ponctuels en recourant à la gratuité avec à la clé une protection des données réduite à sa plus simple expression. La principale calamité en la matière restant les sites de partage de fichiers qui pullulent sur le WEB et dont la protection laisse le plus souvent à désirer. »

Alors que l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40, le rapport a révélé qu’une moyenne de 1700 CloudApps sont véritablement utilisées par entreprise. L’inventaire réalisé dénombre 287 solutions connues ou inconnues pour le minimum recensé par entreprise, et 5945 au maximum. Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode shadow, reste impressionnant.


Le rapport distingue l’usage par utilisateur (anonymisé) et par trafic Web. Après avoir déterminé les CloudsApps (services et applications cloud) les plus utilisés en entreprise (par utilisateurs et par trafic Web) ainsi que les catégories qui reviennent le plus souvent, le rapport a fait un classement en fonction des catégories. Il est notamment question des réseaux sociaux, des moteurs de recherche, des partages de fichiers, des applications de messagerie et des applications vidéo.


Et d’estimer que si la part de vie privée tolérée au bureau peut expliquer la présence de réseaux sociaux comme Facebook dans le TOP 10 des CloudsApps les plus utilisées ; le fait de retrouver Workplace by Facebook dans le Top 10 par utilisateur dans cette catégorie pour des entreprises qui n’ont pas souscrit à ce service de manière officielle comme solution de Réseau Social d’Entreprise, peut poser question.

Le rapport a également proposé un autre domaine pour lequel l’entreprise doit étudier les risques de fuites de données : les outils de transfert d’information ou de partage de fichiers volumineux qui s’avèrent être utilisés en très grand nombre. Google Drive tient la première place du classement par utilisateur, tandis que Evernote arrive en 4e position devant Dropbox. Hightail et WeTransfer ressortent respectivement en 8e et 10e position du classement par trafic.

Il a également été noté la présence significative des sites Mega et Uptobox dans le Top 10 par trafic. Parmi tous ces services, il y en a sans doute certains pour lesquels l’entreprise aura souscrit un contrat, pour les autres, il s’agit une fois de plus d’un mode Shadow !

Côté messagerie, Outlook, Google Mail ou Yahoo Mail sont en tête, ce qui peut se justifier par l’autorisation donnée aux salariés de consulter leur messagerie privée au bureau, en revanche la présence dans le Top 10 d’outils de messagerie spécifiquement utilisés dans certains pays et d’applications d’automatisation d’emailing peut pousser à se poser des questions.

Enfin, l’étude souligne l’usage largement majoritaire de Tumblr comme plateforme de blogging, ainsi que l’emploi notable de Pinterest et d’Instagram en termes d’usage et de trafic. Il faut se questionner sur l’usage à caractère professionnel ou personnel de tels services. Concernant les services en ligne, Deezer et Giphy dominent le classement, devant les outils de traduction ou de conversion de formats.

Les sept commandements du CESIN face aux nouveaux enjeux du Shadow IT.
Instaurer la confiance : le dialogue doit être le plus ouvert possible avec les utilisateurs afin de montrer que les services IT sont à leur disposition pour étudier ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir confiance dans le fonctionnement de leur informatique et les relations avec leurs partenaires pour être efficaces. La confiance s’appuie sur l’écoute et la compréhension des cas d’utilisation.

Analyser les flux : iI est nécessaire que le DSI utilise les indicateurs qu’il a à sa disposition, notamment ceux relatifs aux logs des firewalls et autres switchs qui permettent de filtrer les échanges vers l’extérieur. Un tableau avec la description du flux va permettre de faire une analyse de risques sur les flux et prendre les décisions pour contrôler les échanges d’informations sortant de l’entreprise.

Réduire le risque : compte tenu des échanges d’une entreprise avec d’autres fournisseurs de services ou de partenaires, il est nécessaire de faire une analyse de risque des flux les plus critiques. Le RSSI doit classer les flux entre ceux déjà enregistrés pour lesquels le risque est connu et accepté, ou les transférer vers des nouveaux acteurs de la sécurité.


Piloter l’infrastructure : l’architecture et le paramétrage de l’infrastructure, clef de voûte de tous les accès au SI d’entreprise, permettent l’existence du Shadow IT ou l’interdire. Le recours à un outil de monitoring de la sécurité des « Apps » tel que les solutions de type CASB (Cloud Access Security Broker) est devenu une nécessité. La DSI doit, au même titre que tous les autres accès, les filtrer et les classer dans le tableau de suivi, pour en surveiller l’activité et être en mesure de réagir en cas de problème de sécurité avec un des fournisseurs

Coopérer avec les départements juridique, achat et finance : la définition d’une procédure d’acquisition des solutions informatiques est une étape clef dans le contrôle du Shadow IT. Le RSSI doit être informé par l’un des acteurs de la demande pour effectuer une analyse des risques sur l’information échangée. Il proposera un plan d’action pour les réduire s’il estime qu’il y a un risque sur le capital informationnel de l’entreprise. Il est nécessaire que cette procédure d’acquisition soit simple d’utilisation pour faciliter la mise en œuvre de solutions innovantes. À l’opposé, un processus lourd et peu agile entraînera les employés vers le Shadow IT.

Éduquer les utilisateurs : en parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion des données de l’entreprise est une des actions nécessaires pour réduire le risque de Shadow IT. Il est illusoire de penser qu’on pourrait avoir un officier de sécurité surveillant toutes les actions des utilisateurs, de fait, il est nécessaire de leur donner les moyens de rester vigilants lorsqu’une action peut exposer les données de l’entreprise au monde externe.

Positionner le curseur ( on-prem vs. off-prem) pour délimiter « l’environnement de travail » : l’idée est de définir pour chaque domaine si l’entreprise est capable de gérer le risque de perte d’information ou de déni de service relatif à l’outsourcing de son information, ses services, son organisation ... À titre d’exemple, voici des domaines qui doivent être documentés pour positionner le curseur entre « géré en interne » ou en « externe » : les terminaux, la gestion et le maintien opérationnel des serveurs, les données, les applications, la gestion des identités, la supervision des solutions de sécurité… Le RSSI doit définir en fonction de l’activité de l’entreprise et avec l’aide des utilisateurs si les informations, les services ou la gestion de l’information sont mieux gérés en interne ou avec l’aide d’un service hébergé dans un cloud externe.

Source : rapport

Voir aussi :

Qu'est-ce que le Shadow IT ? Un développeur donne des éclaircissements à cette notion peu connue

Et vous ?

Trouvez-vous cette étude pertinente ?
Que pensez-vous de la méthodologie employée ?
Que pensez-vous des sept commandements du CESIN ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de JackIsJack JackIsJack - Membre actif https://www.developpez.com
le 25/04/2018 à 7:44
Eh ben dit dont, tu parles d'un rapport d'experts qui considère que tous les sites que l'on consulte à titre privé sur son poste pro sont du shadow it (...).
Avatar de MarieKisSlaJoue MarieKisSlaJoue - Membre expert https://www.developpez.com
le 25/04/2018 à 9:16
Je trouve que les recommandations ressemble un peu à une vielle manière de faire. Vouloir contrôler le phénomène par des règles technique ne sert pas à grand chose, et va plus nuire à la productivité qu'autre chose.
Alors il faut en effet éduquer les utilisateurs, mais qui il faut le dire n'est pas très efficace. Moi je dirai plutôt qu'il faut leur laisser le contrôle et le choix des outils qui veulent utiliser. On utilise souvent Dropbox & co, parce que le système proposé en interne et trop restrictif. Actuellement je ne peux pas partager facilement un site SharePoint avec des partenaires externes. Tous ce que ça à fait c'est ralentir m'a productivité car je dois maintenant faire des partage de dossier qui devienne de plus en plus compliqué.

Si on veut protéger des documents, on protège le document, c'est quand même plus efficace que de stocker un document confidentiel sur un serveur de fichier sécurisé pour au final le télécharger en local et l'envoyer par email.

Moi je pense vraiment que les DSI et RSSI sont un peu à la ramasse en matière de protection de l'information par rapport à ce qui se fait sur le marché .

Et ça ne va pas allez en s'arrangeant. Les solutions des éditeur perce très souvent en shadow IT par le modèle freemium (donc là aucun intérêt de faire rentrer le service achat dans la boucle, au pire le directeur utilisera sa carte pour acheter le service et fera une note de frais)

Y'a cas voir Slack, il pas mal percé par du Shadow IT sans que personne ne se préoccupe vraiment de où est stocké l'information.

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web