« Une vie sans examen ne vaut d’être vécue ». Cette citation tirée de l’Apologie de Socrate est, à peu de choses de près, ce que pourraient se dire les entreprises confrontées à la mise en conformité GDPR.
Exagéré ? à peine. Les organisations qui manquent en effet de référencer de façon scrupuleuse tous les usages connus comme inconnus en leur sein, à commencer par les pratiques de Shadow IT, risquent fort de finir aux bancs des sanctionnés.
Une inexorable migration
L’année dernière, l’étude Custom Applications and IaaS Report révélait que « 61 % des applications sont hébergées dans les Datacenter, un chiffre qui doit s’effondrer à 46,2 % au cours des douze prochains mois dans la mesure où les entreprises continuent à migrer leurs applications vers des plates-formes IaaS publiques. » On peut donc imaginer, qu’aujourd’hui, la barre soit largement franchie.
Pourtant longtemps hésitantes, notamment en France, les entreprises ont dans une large mesure cédé à l’appel du Cloud, pour des raisons de coûts mais également un peu contraintes et forcées par leurs utilisateurs eux-mêmes, happés par la simplicité et les coûts attractifs du numérique.
Les fournisseurs de services Cloud n’ont fait qu’une bouchée de l’argument sécuritaire puisque l’étude montre que la majorité des interrogés a jugé « sécurisée » les applications choisies. Le niveau de la sécurité couvert (infrastructure, système, applicatif) par les dits services n’a semble t-il pas été au cœur des interrogations… Mais, c’est oublier que les fournisseurs d’IaaS sont tenus d’assurer la sécurité de la plate-forme contre les intrusions, mais qu’en revanche il revient spécifiquement à l’entreprise cliente de veiller à la sécurité des données à fortiori les données à caractère personnel et sensibles.
Shadow IT : La double peine
Toutes les entreprises développent leurs propres applications, que ce soit pour leurs collaborateurs, clients et partenaires. Si une entreprise moyenne exécute 464 applications personnalisées, comme le souligne l’étude précédemment citée, et que ce chiffre augmente de 20,5 % en un an, il apparaît que la DSI n’a connaissance que de 38,4 % d’entre elles. Ces nouvelles ressources informatiques cachées, qu’on nomme le Shadow IT, est, toutes études confondues, en forte progression.
Ce sont non seulement des ressources qui échappent à toute approbation et à tout contrôle, mais également et on le dit moins, à toute négociation contractuelle. C’est de l’usage sauvage qui coûte cher à l’entreprise, tant sur le plan de la sécurité, juridique, que sur un plan d’anticipation en cas d’incident ou de crise.
En effet, c’est la plupart du temps au nez et à la barbe de tout un processus d’achat et de contrôle que les collaborateurs ont recours à des services cloud personnalisés. Cette adoption se fait à la manière des contrats d’adhésion, pour reprendre le terme juridique consacré. De la même façon qu’on achète un ticket de métro dont on ne va discuter ni le prix ni la taille au guichet, l’adoption de tels services se fait sans négociation et amendement. Les prix, l’appétence à un service quasi immédiat et la facilité d’adoption ont raison de toute politique de sécurité ou processus IT.
Si les clients de ces services font preuve d’une totale irresponsabilité, que dire des services Cloud vendeurs ? L’étude CARR (Cloud Adoption and Risk Report) réalisée auprès de 30.000 utilisateurs montre que moins de 9 % des fournisseurs de services Cloud prennent des mesures strictes de sécurité et de confidentialité recommandées pour les entreprises. Près d’un cinquième des documents utilisés dans des applications de partage de fichiers ou de collaboration contiennent des données sensibles en lien avec des opérations métiers stratégiques. Somme nulle, la DSI ne peuvent donc dans ces conditions s’affranchir de l’implémentation de ces mesures de sécurité sur leur périmètre.
A cette situation déjà préoccupante, s’ajoute l’ombre du GDPR…
En octobre 2016, en analysant les caractéristiques principales de plus de 20 000 services cloud, a été percé à jour que seuls 6 % d’entre eux sont entièrement conformes au règlement européen, c’est-à-dire n’impliquant aucun ajout de brique sécuritaire comme le chiffrement ou un outil de prévention contre la perte de données (DLP). Par exemple, 58 % des services cloud ne fournissent pas de garantie quant à la propriété de l’adresse IP, certains fournisseurs de services sont propriétaires de tous les fichiers téléchargés sur leurs services, d’autres omettent de préciser ce point.
Dès le GDPR en place, la conversion en utilisant par exemple online smallPDF (dont les CGU spécifient que la propriété incombe à l’entreprise cliente), ou l’employé qui télécharge des données sensibles via un outil collaboratif pour travailler à distance, seront donc des pratiques à haut risque.
Les illusions : Le changement culturel du GDPR ne se fera pas sans assistance technique
Si au sein des DSI, il est permis de penser que le GDPR est un bon levier pour remettre les pratiques IT dans le droit chemin et de rétablir leur autorité, cela mérite d’être nuancé. Au regard de l’étendue du périmètre territorial comme matériel du règlement, c’est surement le cas des fournisseurs de services Cloud qui ne peuvent se permettre d’un point de vue « business » de s’affranchir de leur mise en conformité. Mais, c’est peut-être faire preuve de naïveté côté clients.
Est-il pensable que la DSI reprendra le pouvoir de ces processus et sur les métiers avant mai 2018 ? Est-il envisageable que la sensibilisation des collaborateurs à la protection des données prendra effet d’un coup de baguette magique, avant mai 2018 ? Est-il seulement pensable que d’eux-mêmes, alors même que peut planer la peur de la sanction hiérarchique, les contrevenants iront dénoncer à la DSI, l’ensemble des services qu’ils utilisent sans aucun accord de cette-dernière ?
Si rien n’est inexorable, changer la nature des choses et des gens est ce qu’il y a de plus long. Il y a fort à parier que le 25 mai 2018, le ShadowIT sera toujours plus présent, et qu’avant son déclin, quelques sanctions au titre du GDPR seront tombées. En parallèle de ce temps d’acculturation, il est préférable que les organisations soient assistées technologiquement à la sécurisation des données personnelles.
Des outils sont bien souvent déjà en place, mais la déconnexion de plus en plus flagrante entre métiers et DSI, et la fragmentation toujours plus importante des ressources IT vers les métiers imposent des solutions d’une nouvelle génération tels que ceux proposés par les Cloud Access Security Brokers.