Les DSI se frottent enfin au shadow IT

publié le 26 Avril 2018

Longtemps aveugles sur le shadow IT, les RSSI disposent maintenant d'outils et d'une étude menée par le Cesin et Symantec.

Alain Bouillé, Président du Cesin, veut mobiliser les RSSI sur le shadow IT 

Le thème du shadow IT a fait couler beaucoup d'encre, mais le sujet a toujours été abordé sous l'angle des DSI. Un autre responsable majeur du SI, le RSSI, a son mot à dire. Avec la gratuité de nombreux services, les utilisateurs se servent sans contrôle de réseaux sociaux, de services  collaboratifs, de sites de partage de fichiers. « Jusqu'à une période récente, note Alain Bouillé président du Cesin, le RSSI était aveugle sur ces usages de services gratuits. Tout au plus disposait-il de statistiques de consommation internet obtenue à partir des outils de filtrage web mais la foisonnance des sites consultés ne pouvait pas lui donner beaucoup d'indications sur l'utilisation réelle de ces services et sur l'ampleur des phénomènes ».

Le Cesin et Symantec publient une étude sur ce shadow IT. De nouveaux outils rendent le RSSI moins aveugle, comme les CASB (Cloud access security broker), des points de concentration qui appliquent les politiques de sécurité de l'entreprise. Ils permettent de vérifier qui utilise, et comment, des services non autorisés. Symantec a mené un audit auprès des membres du Cesin qui le souhaitaient avec une collecte de logs de pare-feu ou de proxy menée sur plusieurs mois. Chaque entreprise a reçu un rapport sur l'état de son shadow IT, une étude a synthétisé tous les audits de manière anonyme.

La réalité diffère de la perception

En moyenne, révèle l'étude, chaque entreprise utilise 1 687 cloudappps, les chiffres variant de 287 à 5 945. La réalité dépasse de très loin l'idée qu'on se faisait du sujet, en moyenne chaque entreprise était supposée utiliser de 30 à 40 applications ou services cloud. L'écart entre les deux, la réalité et la perception du sujet, est la première conclusion de l'étude. Elle met en garde les entreprise sur l'ampleur des chiffres, non seulement le nombre de services cloud non identifiés s'avère important, mais chacun d'eux, même le plus anodin ou le moins utilisé, est un risque potentiel. Il suffit d'une utilisation même sporadique d'un service pour contaminer une grande partie d'un SI.

Dans le détail, l'étude analyse les services utilisés par utilisateur et en termes de trafic web sur quatre catégorie : les réseaux sociaux (RSE), le partage de fichiers, les vidéos, la messagerie. Certaines différences apparaissent. Pour les RSE, Facebook arrive en tête par utilisateur, suivi de Twitter et de Linkedin. Côté trafic, c'est toujours Facebook, mais suivi de Yammer, puis de Workplace by Facebook et ensuite de Twiter et Linkedin. Pour le partage de fichiers, Google Drive est en tête par utilisateur, suivi de Google cloud storage et de OneDrive, mais, en termes de volumes, One drive est en tête.

 

Comment lutter contre le shadow IT

Les RSSI ont tout intérêt à scruter ce type d'audit. Le Cesin a mis au point, sous la plume de Michel Juvin, expert indépendant en cybersécurité, sept commandements pour contrer cette informatique cachée. Ils vont d'un dialogue plus ouvert avec les utilisateurs pour instaurer la confiance, à leur éducation, en passant par des mesures plus techniques. Le RSSI doit utiliser des indicateurs de mesure de flux et les transformer en analyse de risques. 

Il devrait adopter les CASB (Cloud access security broker). Il lui faut réduire les les risques en analysant ceux qui s'avèrent les plus critiques, par exemple avec des partenaires. Tout n'est pas technique dans cet inventaire. L'un des commandements conseille de coopérer avec les départements juridique, achat et finance. Le dernier conseille de définir les domaines qui doivent être gérés en interne et ceux qui peuvent être externalisés.