Shadow IT : Comment reprendre le contrôle de vos applications Cloud ?

catherineCatherine Nohra China
Président-Fondateur de B2Cloud

Avec le foisonnement des offres du marché, il devient de plus en plus facile pour les collaborateurs de provisionner et d’installer des applications et services Cloud sans se soucier des aspects de sécurité ou de qualité de service. Pour les directions générales et techniques, cet avènement du Shadow IT* peut vite devenir un vrai casse tête, en introduisant de nouvelles brèches de sécurité dans l’entreprise et au final en impliquant des coûts plus élevés de rationalisation IT.

Selon une récente etude de la Cloud Security Alliance-CSA- les services de Cloud achetés ou installés par les employés à l’insu de leur Direction Générale ou des départements informatiques représenteraient entre 24 et 40% des dépenses IT en 2015. On estime par ailleurs, qu’une grande entreprise européenne sur 5 utiliserait en moyenne jusqu’à 42 applications à risqué, impliquant plus de 300 collaborateurs. Mais quels sont les facteurs qui contribuent à l’explosion du Shadow IT, quels sont les risques afférents et comment gérer ce nouveau comportement décisionnel dans le SI ?   Le phénomène du Shadow IT est né d’une profonde modification des offres applicatives et de services vers le Cloud. Les utilisateurs finaux sont devenus de plus en plus familiarisés avec ces technologies. Par ailleurs, la demande en applications dites « efficientes » a très largement surpassé la capacité de contrôle des départements IT.

A ce jour, 81% des responsables métiers reconnaissent utiliser des applications SaaS non autorisées et près de 35% des salariés seraient prêts à contourner les procédures de sécurité de l’entreprise, pour pouvoir travailler plus efficacement avec le Cloud. Le CRM arrive en tête des applications Shadow.

Dans un contexte de sophistication et de multiplication des cyber attaques, nombre de collaborateurs ignorent encore que l’utilisation de solutions Cloud non contrôlée peut grandement compromettre la sécurité des données et la sécurité opérationnelle de leurs entreprises.

Parmi les principaux risques liés à la délivrance non contrôlée d’applications Cloud, on notera notamment :

  • L’absence de vérification des niveaux de contrats de services (SLAs) des fournisseurs de solutions (quid de la réversibilité des données et des procédures en cas de changement de fournisseur ?)
  • La non-conformité avec les règlementations gouvernementales concernant par exemple la protection des données (General Data Protection Rule, Privacy Shield)
  • Les risques de dégradation de performance applicative
  • L’introduction de nouvelles brèches de sécurité dans l’entreprise

Il est donc plus qu’essentiel et urgent de faire comprendre conscience aux collaborateurs et aux divisions métiers, la valeur de l’information qui circule dans leur entreprise et les risques qui peuvent compromettre la politique de sécurité globale de leur organisation.

Une fois ce constat posé, voici quelques règles organisationnelles et techniques à respecter pour éviter que le phénomène du Shadow IT ne contamine votre entreprise sur la durée.

  1. Reprendre le contrôle sur la délivrance des applications et services. Si votre entreprise utilise de manière régulière et/ou intensive des solutions et services Cloud et qu’elle ne souhaite pas se lier à un fournisseur unique (ex marketplace), pourquoi ne pas créer votre propre appstore interne d’application Cloud ? Cela requiert certes un peu de ressources informatiques mais peut s’avérer très rentable sur le moyen-long terme.
  2. Accompagner le changement. Si pour des raisons d’efficacité, vos collaborateurs expriment le besoin d’utiliser des solutions Cloud, il ne sert à rien de les en dissuader sans les accompagner. La solution peut passer par la mise en place de plateformes wiki (de connaissance) et/ou des espaces collaboratifs…leurs permettant de mieux faire remonter leurs besoins métiers et de se tenir régulièrement informés des règles de conformité et de sécurité propre à l’organisation.
  3. Mettre en place des règles techniques ad hoc. Cela peut passer notamment par la mise en place de solution de gestion réseau permettant d’identifier les applications non autorisées avant qu’elles ne posent problème. On peut également mettre en place des solutions de monitoring de performance applicative. Ces solutions peuvent aider à comparer les écarts de performance entre les anciennes et les nouvelles versions mises à disposition par votre fournisseur Cloud. Et donc à mieux négocier les contrats de services. Il faut également veiller à vérifier les standards, par exemple les protocoles réseaux sur lesquels reposent les applications Cloud. Certains fournisseurs d’applications utilisent encore des protocoles https dont les certificats posent problème en termes de sécurité. Sont également à proscrire le partage non sécurisé de base de données et l’utilisation d’outils de stockage en ligne non sécurisés.
  4. Hiérarchiser applications et droits d’accès. Quelle que soit la taille de votre entreprise, il faut apprendre à distinguer les applications critiques et non critiques. Une fois cet audit réalisé, il faut penser à homogénéiser le provisionning des applications en fonction du profil utilisateur : utilisateurs métiers, développeurs, administrateurs n’auront jamais les mêmes droits d’accès et de gestion.D’autant qu’avec le Cloud, se pose aussi le problème des accès distants non sécurisés des collaborateurs (wifi public, réseaux domestiques). Cela suppose la mise en œuvre de procédures ad hoc de gestion des mots de passe et de fédération d’identités…     
  5. Renforcer les équipes de support IT. Dès lors que votre parc de solution Cloud dépasse 50 applications, concerne environ 4 divisions métiers et 30% de vos utilisateurs, il faut impérativement mettre en place une structure de support Cloud dédiée qui sera chargée de vérifier les règles de conformité et de sécurité.
  6. Tester encore et encore.  Si la règle de base consiste à ne jamais déployer une application Cloud sans réel besoin métier identifié, l’autre règle de base consiste à tester encore et encore les applications avant de les passer en production (prévoyez donc des environnements de test propres au Cloud). Offrant une rapidité de déploiement, à faible coût, et une facilité d’utilisation, les applications Cloud ont tous les avantages pour renforcer l’efficacité opérationnelle de vos collaborateurs. Cependant, l’absence de règles techniques, métiers, le manque de ressources et de connaissance risquent au final d’imposer à votre entreprise des coûts de gestion, de rationalisation bien supérieurs à ceux du coût des solutions elles mêmes. Avec un risque d’autant plus important d’introduire des nouvelles brèches de sécurité dans votre organisation et de perdre des données critiques à votre exploitation. Il est donc plus qu’urgent d’éclairer vos collaborateurs à ces risques du Shadow IT.

* Le Shadow IT définit l’ensemble des applications acquises sans que le département informatique ne soit impliqué et pour lesquelles l’ITSM (la gestion des services informatiques) ne gère pas l’utilisation.

Haut