Le Shadow IT, un risque réel pour les données

Technologie : C’est une réalité quotidienne dans chaque entreprise. Chacun utilise ses applications préférés pour prendre rendez-vous, partager des fichiers avec des entreprises externes ou simplement dialoguer. Une pratique courante qui n’est pas sans danger.

Selon une récente étude Frost & Sullivan, plus de 80% des employés admettent utiliser des solutions informatiques sans l’accord formel de leur DSI. Sur la vingtaine d’applications Saas utilisées par une entreprise en moyenne, 7 d’entres-elles n’ont pas reçu l’accord de la DSI. Parce qu’elles sont disponibles dans le Cloud, utilisables sur mobile comme sur Desktop et bien souvent gratuites dans leur version de base, ces applications attirent les utilisateurs parce qu’ils les utilisent déjà dans leur vie privée.

 
Plus de 80% des employés avouent utiliser une application Saas qui n’a pas été validée par son service informatique.

Depuis le simple service d’hébergement de fichier jusqu’aux solutions CRM avancées, ces solutions se sont infiltrées dans le quotidien des utilisateurs en entreprises sans que les services informatiques n’ai pu tester ou valider ces solutions. S’il est bien plus facile de partager une photo ou un document sur un réseau social que sur l’intranet sécurisé ou la plateforme collaborative mise en place par la DSI, c’est bien un risque business majeur que les employés font prendre à leur entreprise en agissant hors cadre.

Un risque cyber avéré

Les fuites majeures de données qui ont frappé de grands sites Internet ces derniers mois l’ont montré : le risque cyber est une réalité. Les utilisateurs qui ont recours à une messagerie grand public pour envoyer de gros fichiers parce que la messagerie d’entreprise ne leur offre pas une capacité de stockage suffisante. De même que certains services de partage de fichiers dans le Cloud sont insuffisamment sécurisés. Interrogés par Frost & Sullivan, les utilisateurs de solutions en mode Shadow IT sont pour une bonne part d’entres-eux pleinement conscients des risques pris.

Le recours au shadow IT pose le problème du risque d’infection par des malware, de fuite de données ou de vol d’identifiant lorsque les services Saas utilisés n’ont pas été expertisés et validés par la DSI.

42% des utilisateurs métiers reconnaissent prendre le risque de vol de données sensibles, 41% reconnaissent que ces données pourraient être exposées à des personnes non habilitées. Des chiffres alarmants qui font courir un risque non pas seulement relatif à la divulgation de données confidentielles mais aussi pour le système d’information de l’entreprise. D’autre part les utilisateurs qui multiplient les comptes sur Internet ont la fâcheuse tendance à utiliser le même mot de passe pour l’ensemble de leurs comptes. Si les hackers achètent les mots de passe du milliard d’utilisateurs qui ont été volés en 2013, ce n’est pas pour aller lire les messages de ces infortunés abonnés. C’est bien pour essayer ces mots de passe sur les serveurs d’entreprise et trouver ainsi un point d’accès vers leur système d’information.

Accompagner plutôt qu’interdire

Face à ce risque lié à la confidentialité des données et aux failles de sécurité potentielles ouvertes via ces usages non contrôlés, la DSI ne peut se résoudre à interdire le Shadow IT. Certains services Cloud utilisés procurent un réel service aux employés et participent très directement à leur productivité. Les interdire induira une insatisfaction légitime des utilisateurs si la DSI ne propose pas d’alternative performante, ce qui pousserait ceux-ci à contourner les éventuels obstacles mis sur leur chemin. Plutôt que d’interdire l’accès à tout outil Cloud, l’entreprise doit accompagner les métiers. Pour cela, l’entreprise doit reprendre le contrôle de son SI. Les outils de cybersécurité permettent de savoir quels sont les outils Cloud utilisés par les employés. Au moyen de ces rapports, il est possible d’identifier les besoins réels des utilisateurs.


Les applications liées à la productivité, aux médias sociaux et au partage de fichiers sont celles qui sont le plus fréquemment utilisée à l’insu des DSI.

En fonction des certifications de sécurité présentées par les fournisseurs Cloud, le DSI a alors le choix de valider ce choix ou bien de sélectionner une solution équivalente, puis contractualiser ce choix, ouvrir des comptes pour ses employés, connecter le service en question au SSO d’entreprise. Après une phase transitoire où la solution sélectionnée par l’entreprise est conseillée, celle-ci peut être rendue obligatoire par la suite. Dès lors, l’entreprise peut totalement contrôler les usages de l’outil, l’intégrer à la politique de sécurité de l’entreprise.

Responsabiliser les métiers quant à leurs données

Si fournir les bons outils aux employés est une démarche préalable dans la lutte contre le Shadow IT, cela ne suffit pas. Il est indispensable d’impliquer les métiers eux-mêmes dans la politique de gestion de la donnée. Qui d’autre que le service communication peut savoir s’il est possible de publier sur un service de partage Cloud les premières images d’un nouveau produit ?

Qui peut décider que les données techniques peuvent être partagées avec certains sous-traitants sur une plateforme sécurisée si ce n’est le service production ? Si l’entreprise doit se doter d’un Chief Data Officer chargé superviser la stratégie Data de l’entreprise, c’est bien au niveau de chaque département que celui-ci se doit de disposer d’un relai qui lui fera remonter les besoins, les éventuels problèmes et avec qui sera décidé les mesures à prendre.

ZDNet vous accompagne

Transformation numérique : 5 conseils pour s’aligner avec la cybersécurité

Le Shadow IT, un risque réel pour les données

Source : L’article << Le Shadow IT, un risque réel pour les données >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

rester-informer
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

By | 2017-04-06T06:39:14+00:00 avril 6th, 2017|Actualité|0 Comments

Leave A Comment