Une affaire de réglementations
PCI DSS, RGPD… La réglementation relative à la protection des données s’est considérablement renforcée ces dernières années. Dans ce cadre, le Shadow IT expose les entreprises à un risque de non- conformité avec la législation, et par conséquent de sanctions. « Le traitement du Shadow est un pilier fondamental sur ces sujets » , souligne Laurent Maréchal, chez Mcafee. « D’autant qu’aujourd’hui à peu près 1 % des services cloud disponibles ont les certifications pour garantir une sécurité suffisante. » « Il est donc nécessaire de maintenir un certain contrôle, soit par des mesures techniques, soit par des mesures organisationnelles, soit par la définition de règles d’utilisation » , renchérit Matthieu Bonenfant chez Stormshield. « La récente invalidation du Privacy Shield par la Cour de justice européenne illustre encore ce point ; le cadre légal qui permettait de transférer des données personnelles depuis l’europe vers les États- Unis s’est grandement durci. Certaines applications américaines en ligne ne sont, de ce fait, plus conformes à la législation européenne et leur usage peut engager la responsabilité des entreprises qui les utilisent. »
nuance cependant : « L’exception ne doit pas devenir la norme. » Car le problème n’est pas l’utilisation par les salariés de solutions qui n’ont pas été déployées par les équipes informatiques, mais que ces équipes « n’aient pas été consultées pour évaluer les risques associés, pour définir les règles et bonnes pratiques à appliquer, pour contrôler dans le temps l’usage qui est fait de ces outils » , selon Matthieu Bonenfant.
Le meilleur des remèdes est donc de fournir aux collaborateurs des outils adaptés à leurs besoins métier. Mais, faute de mieux, lutter contre le Shadow IT doit passer par la sensibilisation des équipes aux risques d’une utilisation non maîtrisée de ces outils informatiques et un accompagnement, une écoute par la DSI de leurs besoins. Puisque « lutter contre le Shadow IT ne veut pas dire empêcher l’utilisation des outils cités auparavant, bien au contraire, mais plutôt valider et cadrer cette utilisation » , indique le CMO de Stormshield. Ainsi, il serait malavisé de vouloir absolument revenir à la situation antérieure au confinement : « On pourra ainsi bâtir sur ces pilotes improvisés à grande échelle, intégrer dans le SI officiel ce qui a fait ses preuves, et offrir aux collaborateurs des solutions en meilleure adéquation avec leurs besoins métier » note
François- Xavier Vincent. « En d’autres termes, faire sortir le Shadow IT de l’ombre… »
Toutefois, pour ce faire, encore faut- il savoir ce que les salariés utilisent réellement. Rappelez- vous, les DSI ne recensent que quelques dizaines d’applications cloud, contre un bon millier dans les faits. Il s’avère donc nécessaire de déployer des outils qui vont venir détecter non pas des programmes installés sur le SI de l’entreprise, mais des usages faits de services dans le nuage.
C’est ici que le CASB ( Cloud Access Security Broker) prend son sens. « Le Shadow IT est l’un des piliers du CASB » , estime Laurent Maréchal, architecte cloud security Europe Moyen- Orient chez Mcafee. « L’idée est d’être capable d’identifier un niveau de risques et de le caractériser, sur une application particulière. » Une solution complémentaire à des outils existants qui vont eux remonter l’information, par exemple les proxies déployés au niveau du terminal utilisé par le salarié.
Et il ne s’agit pas seulement de faire la chasse aux applications non approuvées. « Dans un premier temps, on va chercher à avoir de la visibilité par rapport à des usages. Si 20 ou 30 % de mes employés utilisent un outil non maîtrisé, d’un point de vue métier cet outil manque. Deuxièmement, comment caractériser un degré d’intégration dans l’entreprise ? Avec quel niveau de risque ? » , détaille Laurent Maréchal. Le rôle du CASB va consister à contextualiser ce niveau de risques, non seulement en termes de sécurité en traquant les vulnérabilités par exemple, mais aussi les éléments légaux et contractuels. « Certains outils de conversion de documents par exemple, qui sont parmi les plus utilisés, impliquent une perte de propriété intellectuelle sur le document converti. » Le tout doit ensuite être pondéré par la valeur métier de l’outil, de manière à faire évoluer la gouvernance de l’entreprise et de suivre les nouveaux usages. ✖