Le CESIN publie les résultats d'une enquête sur les pratiques du Shadow IT en France

En collaboration avec Symantec

Le 25 avril 2018, par Stéphane le calme, Chroniqueur Actualités

L’usage généralisé des applications cloud offre de nombreuses opportunités pour l’entreprise et une réelle autonomie pour les directions métier, il peut impacter a contrario significativement la confidentialité, l’intégrité et la disponibilité des systèmes d’information. Afin d’éclairer ce qui se cache dans l’informatique hors du contrôle de la DSI, le CESIN (Club des experts de la sécurité de l’information et du numérique) et Symantec ont dévoilé les résultats d’une étude menée en collaboration sur le Shadow IT.


Pour rappel, le Shadow IT (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

Pour sa part, Alain Bouillé, président du CESIN, présente le Shadow IT comme « un phénomène qui s’est développé avec la gratuité de nombreux services en ligne et auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise. » 

Il explique que « Cela peut aller de la création d’un Réseau Social d’Entreprise hors contrôle de cette dernière avec des offres gratuites comme LinkedIn ou Facebook, à la constitution de services collaboratifs pour des besoins ponctuels en recourant à la gratuité avec à la clé une protection des données réduite à sa plus simple expression. La principale calamité en la matière restant les sites de partage de fichiers qui pullulent sur le WEB et dont la protection laisse le plus souvent à désirer. » 

Alors que l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40, le rapport a révélé qu’une moyenne de 1700 CloudApps sont véritablement utilisées par entreprise. L’inventaire réalisé dénombre 287 solutions connues ou inconnues pour le minimum recensé par entreprise, et 5945 au maximum. Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode shadow, reste impressionnant.


Le rapport distingue l’usage par utilisateur (anonymisé) et par trafic Web. Après avoir déterminé les CloudsApps (services et applications cloud) les plus utilisés en entreprise (par utilisateurs et par trafic Web) ainsi que les catégories qui reviennent le plus souvent, le rapport a fait un classement en fonction des catégories. Il est notamment question des réseaux sociaux, des moteurs de recherche, des partages de fichiers, des applications de messagerie et des applications vidéo.


Et d’estimer que si la part de vie privée tolérée au bureau peut expliquer la présence de réseaux sociaux comme Facebook dans le TOP 10 des CloudsApps les plus utilisées ; le fait de retrouver Workplace by Facebook dans le Top 10 par utilisateur dans cette catégorie pour des entreprises qui n’ont pas souscrit à ce service de manière officielle comme solution de Réseau Social d’Entreprise, peut poser question.

Le rapport a également proposé un autre domaine pour lequel l’entreprise doit étudier les risques de fuites de données : les outils de transfert d’information ou de partage de fichiers volumineux qui s’avèrent être utilisés en très grand nombre. Google Drive tient la première place du classement par utilisateur, tandis que Evernote arrive en 4e position devant Dropbox. Hightail et WeTransfer ressortent respectivement en 8e et 10e position du classement par trafic. 

Il a également été noté la présence significative des sites Mega et Uptobox dans le Top 10 par trafic. Parmi tous ces services, il y en a sans doute certains pour lesquels l’entreprise aura souscrit un contrat, pour les autres, il s’agit une fois de plus d’un mode Shadow !  

Côté messagerie, Outlook, Google Mail ou Yahoo Mail sont en tête, ce qui peut se justifier par l’autorisation donnée aux salariés de consulter leur messagerie privée au bureau, en revanche la présence dans le Top 10 d’outils de messagerie spécifiquement utilisés dans certains pays et d’applications d’automatisation d’emailing peut pousser à se poser des questions.

Enfin, l’étude souligne l’usage largement majoritaire de Tumblr comme plateforme de blogging, ainsi que l’emploi notable de Pinterest et d’Instagram en termes d’usage et de trafic. Il faut se questionner sur l’usage à caractère professionnel ou personnel de tels services. Concernant les services en ligne, Deezer et Giphy dominent le classement, devant les outils de traduction ou de conversion de formats.

Les sept commandements du CESIN face aux nouveaux enjeux du Shadow IT.
Instaurer la confiance : le dialogue doit être le plus ouvert possible avec les utilisateurs afin de montrer que les services IT sont à leur disposition pour étudier ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir confiance dans le fonctionnement de leur informatique et les relations avec leurs partenaires pour être efficaces. La confiance s’appuie sur l’écoute et la compréhension des cas d’utilisation.

Analyser les flux : iI est nécessaire que le DSI utilise les indicateurs qu’il a à sa disposition, notamment ceux relatifs aux logs des firewalls et autres switchs qui permettent de filtrer les échanges vers l’extérieur. Un tableau avec la description du flux va permettre de faire une analyse de risques sur les flux et prendre les décisions pour contrôler les échanges d’informations sortant de l’entreprise.

Réduire le risque : compte tenu des échanges d’une entreprise avec d’autres fournisseurs de services ou de partenaires, il est nécessaire de faire une analyse de risque des flux les plus critiques. Le RSSI doit classer les flux entre ceux déjà enregistrés pour lesquels le risque est connu et accepté, ou les transférer vers des nouveaux acteurs de la sécurité.


Piloter l’infrastructure : l’architecture et le paramétrage de l’infrastructure, clef de voûte de tous les accès au SI d’entreprise, permettent l’existence du Shadow IT ou l’interdire. Le recours à un outil de monitoring de la sécurité des « Apps » tel que les solutions de type CASB (Cloud Access Security Broker) est devenu une nécessité. La DSI doit, au même titre que tous les autres accès, les filtrer et les classer dans le tableau de suivi, pour en surveiller l’activité et être en mesure de réagir en cas de problème de sécurité avec un des fournisseurs

Coopérer avec les départements juridique, achat et finance : la définition d’une procédure d’acquisition des solutions informatiques est une étape clef dans le contrôle du Shadow IT. Le RSSI doit être informé par l’un des acteurs de la demande pour effectuer une analyse des risques sur l’information échangée. Il proposera un plan d’action pour les réduire s’il estime qu’il y a un risque sur le capital informationnel de l’entreprise. Il est nécessaire que cette procédure d’acquisition soit simple d’utilisation pour faciliter la mise en œuvre de solutions innovantes. À l’opposé, un processus lourd et peu agile entraînera les employés vers le Shadow IT.

Éduquer les utilisateurs : en parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion des données de l’entreprise est une des actions nécessaires pour réduire le risque de Shadow IT. Il est illusoire de penser qu’on pourrait avoir un officier de sécurité surveillant toutes les actions des utilisateurs, de fait, il est nécessaire de leur donner les moyens de rester vigilants lorsqu’une action peut exposer les données de l’entreprise au monde externe.

Positionner le curseur ( on-prem vs. off-prem) pour délimiter « l’environnement de travail » : l’idée est de définir pour chaque domaine si l’entreprise est capable de gérer le risque de perte d’information ou de déni de service relatif à l’outsourcing de son information, ses services, son organisation ... À titre d’exemple, voici des domaines qui doivent être documentés pour positionner le curseur entre « géré en interne » ou en « externe » : les terminaux, la gestion et le maintien opérationnel des serveurs, les données, les applications, la gestion des identités, la supervision des solutions de sécurité… Le RSSI doit définir en fonction de l’activité de l’entreprise et avec l’aide des utilisateurs si les informations, les services ou la gestion de l’information sont mieux gérés en interne ou avec l’aide d’un service hébergé dans un cloud externe.

Source : rapport