Nous avons emprunté le terme Shadow IT à nos amis d’outre Atlantique, pour définir l’informatique ‘’fantôme’’ située dans le Cloud qui échappe au contrôle à la DSI.
ll fût un temps où nos outils informatiques (Messagerie, ERP, CRM, outils de gestion, …) étaient mis en place par la Direction Informatique des entreprises. Mais la consumérisation de l’IT et la transformation numérique ont définitivement bouleversé le rapport établi entre DSI et les « line of business ». Quitte à outrepasser les règles de gouvernance de l’entreprise, ces dernières ont adopté en masse les applications dans le cloud pour s’éviter un long ‘parcours du combattant’, court-circuitant ainsi complètement ou partiellement la DSI.
41% des projets sont réalisés sans la DSI
En 2014, une enquête IDC menée sur une population de 120 directions informatiques établissait que 61% des projets informatiques étaient financés par les directions métiers et que 41% des projets réalisés se faisaient sans la DSI.
Cependant, si cette méthode permet de gagner en performance voire en rentabilité, cette approche n’est pas dénuée de risques. En effet, le recours « sauvage » au Cloud représente un risque sécuritaire croissant. Il expose les entreprises à des risques importants de fuites de données, de violations de conformité et entretient un contexte favorable à la fraude.
Quand on sait qu’en moyenne 15% des comptes utilisateurs sont orphelins, et ce chiffre dépasse le cap des 30% pour les comptes utilisateurs des applications cloud, on perçoit le très haut niveau d’exposition de l’entreprise aux risques de fraude.
Or, l’étude 2014 Global Economic Crime Survey du cabinet PWC met en évidence que la fraude est en forte augmentation en France. 55% des entreprises françaises ont été victimes de fraudes dans les 24 derniers mois. Autre facteur important, les incidents provoqués par des collaborateurs de l’entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35% des incidents de sécurité déclarés. Les incidents de cybersécurité attribués aux actuels et anciens prestataires extérieurs continuent de progresser avec respectivement +15 et +17 %.
92% des DSI ignorent le nombre d’applications utilisées dans le cloud par les employés !
Une grande majorité d’entreprise tente d’identifier et de contrôler le nombre croissant d’applications Cloud dans leur organisation afin de réduire les impacts des incidents de sécurité et de fraude, mais les résultats sont encore très insuffisants : selon l’étude 2014 CSA (Security Cloud Alliance) sur plus de 200 entreprises interrogées, seules 8% ont affirmé connaître le nombre d’applications Cloud utilisées par leurs collaborateurs !
La tentation: bloquer les accès
A l’instar d’un bon nombre d’entreprises, on serait tenté de régler le problème en interdisant et en bloquant les accès à tous les services. Mais une telle politique aurait un impact négatif sur la productivité et la transformation digitale de l’entreprise. On ne peut pas tout contrôler, mais par contre il est possible d’exercer un contrôle maximal basé sur 4 éléments essentiels qui deviendront, à terme, la fondation d’une politique de cybersécurité moderne et évolutive :
- Monitorer
Réaliser une cartographie du réseau de l’entreprise afin de détecter les applications externes utilisées et par quels départements ou groupe d’employés. Cette photographie servira de référence afin d’évaluer le contour du Shadow It de l’entreprise.
- Evaluer les risques et amnistier les coupables
Toutes les applications cloud n’induisent pas un niveau de risque identique (le risque est inférieur avec SalesForce.com qu’avec certaines solutions de file sharing). En partant de la cartographie réalisée, il devient possible d’évaluer et de hiérarchiser le niveau de risque inhérent à chaque service. Par ailleurs, il est important de rétablir le contact entre la DSI et les collaborateurs pour comprendre et déterminer leurs besoins et leurs motivations à utiliser tel ou tel service. Certains besoins seront évalués comme « stratégiques » quand d’autres amèneront simplement la DSI à demander aux utilisateurs de ne plus y avoir recours.
- Amender la politique de sécurité
En fonction des besoins recensés, la DSI sera amenée à homologuer les services répondant aussi bien à son cahier des charges de sécurité (mais aussi juridique et achats) qu’aux besoins des utilisateurs. En édictant ensuite des règles spécifiques aux services Cloud et BYOD, il devient possible de mener une campagne d’information et de sensibilisation aux risques vers les unités opérationnelles. Enfin, pour prévenir toute dérive à venir, il est indispensable de mettre en place une procédure pour rapidement inspecter/approuver/refuser de nouvelles demandes des utilisateurs.
- Gouverner en automatisant l’audit et en instaurant le contrôle continu
Comme de plus en plus d’entreprises ont recours à des applications cloud, il devient certain que la gestion analytique des droits, des accès et des identités va s’imposer comme élément clé dans les 2 années à venir. C’est un composant important de la stratégie cybersécurité des entreprises.
En effet, la gouvernance d’un tel système peut vite devenir compliquée, répétitive et fastidieuse. D’ordinaire, les audits de sécurité sont typiquement «des instantanés» disponibles de façon occasionnelle et qui reflètent rarement la réalité du paysage en terme de sécurité opérationnelle « au fil de l’eau ».
Plus le paysage IT est complexe, plus important est l’effort. Cette difficulté́ a naturellement un impact direct sur la fréquence et le niveau de détail des audits.
Ajouter à cela les applications cloud et cela pourrait devenir mission impossible.
La parade : le contrôle automatique des droits et accès
Heureusement le concept d’I.A.I (Identity Analytics and Intelligence) conjugué à l’apparition de solutions réellement innovantes permet d’instaurer un véritable contrôle continu et automatique des droits et des accès aux applications internes et du cloud. Ces solutions offrent des avantages déterminants comme :
- La garantie d’une traçabilité de bout en bout : qui a accès à quoi, qui fait quoi, quand et sur quelles données ou applications.
- L’automatisation des contrôles de sécurité et des processus associés : détection des comptes d’accès à désactiver, des droits excessifs, des comportements inhabituels.
- La consolidation en continu des tableaux de bords de pilotage de la sécurité.
- L’assurance que les données sont historisées et non répudiables à des fins d’audit.
Sébastien Faivre
S. Faivre est le DG de Brainwave, une start-up française spécialisée dans la lutte contre la fraude et la et la fuite de données.