En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 15/11/2017
    Cloud Expo Europe Paris 2017

    Cloud Expo Europe, Paris 2017, c'est le grand rassemblement d'experts dédiés au Cloud. Parmi les…

    en détail En détail...
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
Jalios_Digital Summit 2017_leaderboard

Comment le DSI doit faire face au ‘Shadow IT’? Ne pas tout bloquer,mais contrôler !

BlueMind_Nouvelle version_pave

Nous avons emprunté le terme Shadow IT à nos amis d’outre Atlantique, pour définir l’informatique ‘’fantôme’’ située dans le Cloud qui échappe au contrôle à la DSI.

ll fût un temps où nos outils informatiques (Messagerie, ERP, CRM, outils de gestion, …) étaient mis en place par la Direction Informatique des entreprises. Mais la consumérisation de l’IT et la transformation numérique ont définitivement bouleversé le rapport établi entre DSI et les « line of business ». Quitte à outrepasser les règles de gouvernance de l’entreprise, ces dernières ont adopté en masse les applications dans le cloud pour s’éviter un long ‘parcours du combattant’, court-circuitant ainsi complètement ou partiellement la DSI.

 

41% des projets sont réalisés sans la DSI

En 2014, une enquête IDC menée sur une population de 120 directions informatiques établissait que 61% des projets informatiques étaient financés par les directions métiers et que 41% des projets réalisés se faisaient sans la DSI.

Cependant, si cette méthode permet de gagner en performance voire en rentabilité, cette approche n’est pas dénuée de risques. En effet, le recours « sauvage » au Cloud représente un risque sécuritaire croissant. Il expose les entreprises à des risques importants de fuites de données, de violations de conformité et entretient un contexte favorable à la fraude.

Quand on sait qu’en moyenne 15% des comptes utilisateurs sont orphelins, et ce chiffre dépasse le cap des 30% pour les comptes utilisateurs des applications cloud, on perçoit le très haut niveau d’exposition de l’entreprise aux risques de fraude.

Or, l’étude 2014 Global Economic Crime Survey du cabinet PWC met en évidence que la fraude est en forte augmentation en France. 55% des entreprises françaises ont été victimes de fraudes dans les 24 derniers mois. Autre facteur important, les incidents provoqués par des collaborateurs de l’entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35% des incidents de sécurité déclarés. Les incidents de cybersécurité attribués aux actuels et anciens prestataires extérieurs continuent de progresser avec respectivement +15 et +17 %.

92% des DSI ignorent le nombre d’applications utilisées dans le cloud par les employés !

Une grande majorité d’entreprise tente d’identifier et de contrôler le nombre croissant d’applications Cloud dans leur organisation afin de réduire les impacts des incidents de sécurité et de fraude, mais les résultats sont encore très insuffisants : selon l’étude 2014 CSA (Security Cloud Alliance) sur plus de 200 entreprises interrogées, seules 8% ont affirmé connaître le nombre d’applications Cloud utilisées par leurs collaborateurs !

La tentation: bloquer les accès

A l’instar d’un bon nombre d’entreprises, on serait tenté de régler le problème en interdisant et en bloquant les accès à tous les services. Mais une telle politique aurait un impact négatif sur la productivité et la transformation digitale de l’entreprise. On ne peut pas tout contrôler, mais par contre il est possible d’exercer un contrôle maximal basé sur 4 éléments essentiels qui deviendront, à terme, la fondation d’une politique de cybersécurité moderne et évolutive :

  1. Monitorer

Réaliser une cartographie du réseau de l’entreprise afin de détecter les applications externes utilisées et par quels départements ou groupe d’employés. Cette photographie servira de référence afin d’évaluer le contour du Shadow It de l’entreprise.

  1. Evaluer les risques et amnistier les coupables

Toutes les applications cloud n’induisent pas un niveau de risque identique (le risque est inférieur avec SalesForce.com qu’avec certaines solutions de file sharing). En partant de la cartographie réalisée, il devient possible d’évaluer et de hiérarchiser le niveau de risque inhérent à chaque service. Par ailleurs, il est important de rétablir le contact entre la DSI et les collaborateurs pour comprendre et déterminer leurs besoins et leurs motivations à utiliser tel ou tel service. Certains besoins seront évalués comme « stratégiques » quand d’autres amèneront simplement la DSI à demander aux utilisateurs de ne plus y avoir recours.

  1. Amender la politique de sécurité

En fonction des besoins recensés, la DSI sera amenée à homologuer les services répondant aussi bien à son cahier des charges de sécurité (mais aussi juridique et achats) qu’aux besoins des utilisateurs. En édictant ensuite des règles spécifiques aux services Cloud et BYOD, il devient possible de mener une campagne d’information et de sensibilisation aux risques vers les unités opérationnelles. Enfin, pour prévenir toute dérive à venir, il est indispensable de mettre en place une procédure pour rapidement inspecter/approuver/refuser de nouvelles demandes des utilisateurs.

  1. Gouverner en automatisant l’audit et en instaurant le contrôle continu

Comme de plus en plus d’entreprises ont recours à des applications cloud, il devient certain que la gestion analytique des droits, des accès et des identités va s’imposer comme élément clé dans les 2 années à venir. C’est un composant important de la stratégie cybersécurité des entreprises.

En effet, la gouvernance d’un tel système peut vite devenir compliquée, répétitive et fastidieuse. D’ordinaire, les audits de sécurité sont typiquement «des instantanés» disponibles de façon occasionnelle et qui reflètent rarement la réalité du paysage en terme de sécurité opérationnelle « au fil de l’eau ».

Plus le paysage IT est complexe, plus important est l’effort. Cette difficulté́ a naturellement un impact direct sur la fréquence et le niveau de détail des audits.

Ajouter à cela les applications cloud et cela pourrait devenir mission impossible.

La parade : le contrôle automatique des droits et accès

Heureusement le concept d’I.A.I (Identity Analytics and Intelligence) conjugué à l’apparition de solutions réellement innovantes permet d’instaurer un véritable contrôle continu et automatique des droits et des accès aux applications internes et du cloud. Ces solutions offrent des avantages déterminants comme :

  1. La garantie d’une traçabilité de bout en bout : qui a accès à quoi, qui fait quoi, quand et sur quelles données ou applications.
  2. L’automatisation des contrôles de sécurité et des processus associés : détection des comptes d’accès à désactiver, des droits excessifs, des comportements inhabituels.
  3. La consolidation en continu des tableaux de bords de pilotage de la sécurité.
  4. L’assurance que les données sont historisées et non répudiables à des fins d’audit.

Sébastien Faivre

S. Faivre est  le DG de Brainwave, une start-up française spécialisée dans la lutte contre la fraude et la et la fuite de données.

Comment le DSI doit faire face au ‘Shadow IT’? Ne pas tout bloquer,mais contrôler !
Notez cet article

Laisser un commentaire

RGPD : sensibiliser les collaborateurs

Le nouveau règlement européen sur la protection des données (RGPD) s'appliquera le 25 mai 2018. Conscio Technologies propose un parcours de sensibilisation pour les collaborateurs.

Découvrir le programme de sensibilisation

Sondage

Windows 10 et vous

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Amazon : Bruxelle veut mettre au pas le géant américain - 250 M € à rembourser

    Bruxelles inflige aujourd'hui une amende de plusieurs centaines de millions d'euros à Amazon, alors que…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • Smarphones et tablettes Android : hausse de 40 % des cyberattaques

    Une nouvelle enquête menée par Avast révèle que Les cyberattaques à l’encontre des smartphones et…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

GlobalK_Azure _Skycraper
Agenda
livres blancs
Les Livres
Blancs
BlueMind_Nouvelle version_skycraper