Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Shadow IT : un nouveau risque pour les entreprises

mai 2016 par Benoît GRUNEMWALD, Directeur des Opérations ESET France

Au-delà du Cloud, les comportements liés aux nouveaux usages dictés par les RSE comme le BYOD et la pénétration des données non structurées via des messageries de dernière génération, participent au développement du Shadow IT.

En octobre 2014, une étude du Ponemon Institute sur les « Défis de la gouvernance du cloud » établit que 50% de services cloud sont déployés par des départements en dehors de l’IT, et que 44% des données « corporates » stockées dans le cloud ne sont pas managées ou contrôlées par les départements informatiques. Ce phénomène qui se résume sous l’appellation « Shadow IT » prend de l’ampleur : pour 37% des répondants, entre 26% et 50% des données stockées dans le cloud ne sont pas gérées par la société, ce qui veut dire qu’elles ne sont pas protégées par les outils du département informatique.

La priorité en matière de protection consiste à classer les informations par type de données : publiques, internes, confidentielles, voire secrètes. L’autre priorité consiste à définir les droits d’accès sur ces données internes et externes aux organisations. En d’autres termes, les entreprises doivent déterminer les autorisations pour chaque profil, indépendamment de leur position géographique. On croyait ces règles bien établies et respectées et pourtant il n’en n’est rien, et le shadow IT remet en cause une partie de cet édifice.

Si la facilité est souvent ce qui incite les employés d’une entreprise à avoir recours au Shadow IT, il faut prendre en compte la dissonance entre la demande faite au collaborateur d’être agile, sans que cela soit suivi et possible par les systèmes internes (métiers et DSI). Le cas le plus fréquent est le partage de documents sur des plateformes telles que Dropbox ou Google Drive, afin de les partager avec d’autres utilisateurs connus ou non de la société. Incontestablement, les métiers et leurs utilisateurs appréhendent différemment les outils numériques et les contraintes de leur évolution. Avec l’émergence du Shadow IT, l’efficacité dans l’exécution des tâches par les utilisateurs semble primer sur les règles de politique de sécurité, il revient à l’entreprise d’établir des priorités entre productivité personnelle et déploiement métier.

Lorsqu’un utilisateur confie ses données professionnelles à des services de type Dropbox, c’est un indicateur qu’il fournit concernant ses propres besoins. Il faut dès lors que les organisations en collaboration avec les métiers apportent une réponse satisfaisante en termes de sécurité.

Reste que le développement « d’usages non contrôlés » pose un réel problème aux Managers IT. Dans ces nouvelles conditions, comment l’entreprise peut-elle conserver la maîtrise de ses informations ? Malheureusement, la maîtrise et la sécurité ne sont dès lors plus garanties, au risque de se confronter à la justice. En effet, avec l’adoption du Nouveau Règlement sur la Protection des Données (RGPD), le cadre réglementaire devient plus exigeant en matière de traçabilité et d’intégrité.

Altération, pertes, etc. génèrent aussi des fuites de données via un accès non autorisé. Les acteurs du « middle market » n’imaginent pas plus que les grandes organisations les difficultés rencontrées. Une prise de conscience via le nouveau règlement européen (RGPD) et d’autres paramètres vont s’effectuer afin de rendre compte de la valeur des données. En d’autres termes, il est important pour les DG et DSI de reprendre la gouvernance de toutes les données, et ce indépendamment de la taille de l’entreprise.

Une problématique Shadow IT étendue aux organisations du « Middle Market »

Certaines entreprises de taille moyenne pensaient trouver une solution « clé en main » en développant l’usage de leurs applications dans le Cloud. Mais combien d’applications tournent réellement chez leurs prestataires ? Permettre aux directions IT de reprendre le contrôle des flux de données liés aux applications et de connaître les « dégats » causés par le shadow IT constituent une priorité. Il ne s’agit pas d’interdire le partage des données mais de l’encadrer plus intelligemment.
Il existe des outils liés aux usages des annuaires et à la gestion des droits et des profils via des mécanismes de fédération d’identités. La DSI doit détecter puis accompagner l’usage du shadow IT en créant un cadre à son utilisation. Au-delà des process d’authentification et de contrôle des accès, il existe aussi des solutions et services de suivi des données et de leur cycle de vie. Alors quelles solutions adopter ?

ESET fournit une solution DLP via des mécanismes standards (filtrage devices type USB par exemple.). Avec la solution Safetica, ESET dispose de plusieurs modules comme celui sur l’analyse des flux de données. Ces analyses de flux concernent aussi les environnements Shadow IT et BYOD avec une prise en charge des données structurées et non structurées via du chiffrement par exemple. Il s’agit là de briques. Elles concernent le « Device control », les e-mails, la protection des applis (tag : traçabilité des données dans les applis).

L’approche ESET en DLP se schématise selon trois étapes :

 Réaliser en interne chez le client un audit via un module technique

 Installer le module DLP (agent)

 Consulter les informations du module de supervision pouvant transmettre des données aux plates-formes SOC et SIEM.


Voir les articles précédents

    

Voir les articles suivants