Le Shadow IT, la menace fantôme pour les entreprises françaises

Cropped Favicon Economi Matin.jpg
Par Sébastien Faivre Publié le 20 juillet 2015 à 5h00
Shadow It Entreprises Menace Piratage Informatique
@shutter - © Economie Matin
55 %55 % des entreprises françaises ont été victimes de fraudes dans les 24 derniers mois.

Nous avons emprunté le terme Shadow IT à nos amis d’outre Atlantique, pour définir l’informatique ‘’fantôme’’ située dans le Cloud qui échappe au contrôle à la DSI.

Il fût un temps où nos outils informatiques (Messagerie, ERP, CRM, outils de gestion, …) étaient mis en place par la Direction Informatique des entreprises, mais la consumérisation de l’IT et la transformation numérique ont définitivement bouleversé le rapport établi entre DSI et les « line of business ». Quitte à outrepasser les règles de gouvernance de l’entreprise, ces dernières ont adopté en masse les applications dans le cloud pour s’éviter un long parcours du combattant, court-circuitant ainsi complètement ou partiellement la DSI.

En 2014, une enquête IDC menée sur une population de 120 directions informatiques établissait que 61% des projets informatiques étaient financés par les directions métiers et que 41% des projets réalisés se faisaient sans la DSI.

Cependant, si cette méthode permet de gagner en performance voire en rentabilité, cette approche n’est pas dénuée de risques. En effet, le recours « sauvage » au Cloud représente un risque sécuritaire croissant. Il expose les entreprises à des risques importants de fuites de données, de violations de conformité et entretient un contexte favorable à la fraude.

Quand on sait qu’en moyenne 15% des comptes utilisateurs sont orphelins, et ce chiffre dépasse le cap des 30% pour les comptes utilisateurs des applications cloud, on perçoit le très haut niveau d’exposition de l’entreprise aux risques de fraude.

Or, l’étude 2014 Global Economic Crime Survey du cabinet PWC met en évidence que la fraude est en forte augmentation en France. 55% des entreprises françaises ont été victimes de fraudes dans les 24 derniers mois. Autre facteur important, les incidents provoqués par des collaborateurs de l’entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35% des incidents de sécurité déclarés. Les incidents de cybersécurité attribués aux actuels et anciens prestataires extérieurs continuent de progresser avec respectivement +15 et +17 %.

Une grande majorité d’entreprise tente d’identifier et de contrôler le nombre croissant d’applications Cloud dans leur organisation afin de réduire les impacts des incidents de sécurité et de fraude, mais les résultats sont encore très insuffisants : selon l’étude 2014 CSA (Security Cloud Alliance) sur plus de 200 entreprises interrogées, seules 8% ont affirmé connaître le nombre d’applications Cloud utilisées par leurs collaborateurs !

Alors quoi faire pour éviter ces déconvenues ?

A l’instar d’un bon nombre d’entreprises, on serait tenté de régler le problème en interdisant et en bloquant les accès à tous les services. Mais une telle politique aurait un impact négatif sur la productivité et la transformation digitale de l’entreprise. On ne peut pas tout contrôler, mais par contre il est possible d’exercer un contrôle maximal basé sur 4 éléments essentiels qui deviendront, à terme, la fondation d’une politique de cybersécurité moderne et évolutive :

1. Monitorer

Réaliser une cartographie du réseau de l’entreprise afin de détecter les applications externes utilisées et par quels départements ou groupe d’employés. Cette photographie servira de référence afin d’évaluer le contour du Shadow It de l’entreprise.

2. Evaluer les risques et amnistier les coupables

Toutes les applications cloud n’induisent pas un niveau de risque identique (le risque est inférieur avec SalesForce.com qu’avec certaines solutions de file sharing). En partant de la cartographie réalisée, il devient possible d’évaluer et de hiérarchiser le niveau de risque inhérent à chaque service. Par ailleurs, il est important de rétablir le contact entre la DSI et les collaborateurs pour comprendre et déterminer leurs besoins et leurs motivations à utiliser tel ou tel service. Certains besoins seront évalués comme « stratégiques » quand d’autres amèneront simplement la DSI à demander aux utilisateurs de ne plus y avoir recours.

3. Amender la politique de sécurité

En fonction des besoins recensés, la DSI sera amenée à homologuer les services répondant aussi bien à son cahier des charges de sécurité (mais aussi juridique et achats) qu’aux besoins des utilisateurs. En édictant ensuite des règles spécifiques aux services Cloud et BYOD, il devient possible de mener une campagne d’information et de sensibilisation aux risques vers les unités opérationnelles. Enfin, pour prévenir toute dérive à venir, il est indispensable de mettre en place une procédure pour rapidement inspecter/approuver/refuser de nouvelles demandes des utilisateurs.

4. Gouverner en automatisant l’audit et en instaurant le contrôle continu

Comme de plus en plus d’entreprises ont recours à des applications cloud, il devient certain que la gestion analytique des droits, des accès et des identités va s’imposer comme élément clé dans les 2 années à venir. C’est un composant important de la stratégie cybersécurité des entreprises. En effet, la gouvernance d’un tel système peut vite devenir compliquée, répétitive et fastidieuse. D’ordinaire, les audits de sécurité sont typiquement «des instantanés» disponibles de façon occasionnelle et qui reflètent rarement la réalité du paysage en terme de sécurité opérationnelle ?« au fil de l’eau ».

Ceci est dû à l’effort en temps et aux coûts engendrés par un processus reposant sur :

• La collecte des données aux niveaux organisationnel et applicatif

• L’analyse de l’infrastructure, des dispositifs de réseau, des applications et des rôles La cartographie de l’intégralité du paysage

• La consolidation des actions et le suivi des corrections

Plus le paysage IT est complexe, plus important est l’effort. Cette difficulté? a naturellement un impact direct sur la fréquence et le niveau de détail des audits.

Ajouter à cela les applications cloud et cela pourrait devenir mission impossible. Heureusement le concept d’I.A.I (Identity Analytics and Intelligence) conjugué à l’apparition de solutions réellement innovantes permet d’instaurer un véritable contrôle continu et automatique des droits et des accès aux applications internes et du cloud. Ces solutions offrent des avantages déterminants comme :

La garantie d’une traçabilité de bout en bout : qui a accès à quoi, qui fait quoi, quand et sur quelles données ou applications.

L’automatisation des contrôles de sécurité et des processus associés : détection des comptes d’accès à désactiver, des droits excessifs, des comportements inhabituels.

La consolidation en continu des tableaux de bords de pilotage de la sécurité.

L'assurance que les données sont historisées et non répudiables à des fins d’audit. Une vague d’innovations qui donne l’assurance que vos données et vos actifs sont totalement protégés.

Laissez un commentaire
Cropped Favicon Economi Matin.jpg

Sébastien Faivre est le DG de Brainwave, une start-up française de lutte contre la fraude et la et la fuite de données.