Prenons un scénario commun rencontré plus d’une fois en entreprise : alors que l’IT tente de ralentir le déplacement d’applications critiques vers le cloud en raison des failles de sécurité, des pannes ou des coûts, les directions métier au sein d’une même entreprise se dotent d’applications cloud, sans même impliquer ni informer l’IT – même pour des applications critiques et sensibles. En fait, selon une récente étude menée par SailPoint, le choix et le déploiement d’applications cloud sont de plus en plus issus d’une décision métier. De façon alarmante, l’étude révèle que seulement 34 % des chefs de département métier impliquent l’IT dans leur processus de décision lorsqu’ils choisissent un service cloud, et que seulement 29 % obtiennent le soutien de l’IT lorsque le service a été déployé.

Le manque d’implication de l’IT dans le processus d’acquisition et de déploiement des applications cloud rend difficile la gestion des risques de sécurité et de conformité pour les équipes IT. Dans un nombre croissant de cas, l’IT n’a pas de visibilité sur les applications cloud en termes d’utilisation et, pire encore, n’a pas l’assurance que les contrôles d’accès et de sécurité appropriés (soit, la connaissance et la gestion de qui a accès à quoi) sont en place. Le défaut de contrôle d’accès aux applications et aux données sensibles peut exposer une entreprise au risque de fraude, au détournement de données, à l’atteinte des données personnelles, et aux conclusions d’audit de conformité négatives. Chaque jour, une personne dans l’entreprise doit gérer qui a accès aux applications critiques, peu importe où elles se trouvent. C’est effrayant, mais notre récente étude a révélé que près de la moitié des directeurs métier en entreprise ne sont pas suffisamment formés sur ce besoin et ne sont pas équipés pour traiter efficacement les accès des utilisateurs à privilèges ainsi que sur d’autres facteurs clés nécessaires pour protéger les données conservées dans ces nouvelles applications cloud.

S’ajoute à cette tendance à l’adoption d’applications cloud, le fait que les utilisateurs se sentent de plus en plus libres de faire leurs propres choix technologiques lorsqu’il s’agit de la façon dont ils veulent accéder à ces applications. Accéder au réseau de l’entreprise et aux applications cloud via le BYOD grâce aux smartphones et aux tablettes est devenu la norme dans les environnements entreprise. Pour cette raison, l’IT doit aborder la question du contrôle d’accès avec un nouvel état d’esprit. Fini le temps où une entreprise pouvait simplement empêcher les utilisateurs d’utiliser des périphériques ou des applications, alors que bien souvent aujourd’hui, l’IT ne sait même pas qu’ils existent ou qu’elles sont utilisées. En revanche, l’IT devra trouver des moyens de gérer et de sécuriser les applications cloud sans bloquer le choix et l’autonomie des utilisateurs. Heureusement, une bonne stratégie de gestion des identités et des accès (IAM – Identity and Access Management) peut aider les entreprises à étendre le contrôle aux applications cloud de manière simple et pratique.

Plus précisément – dans une stratégie IAM, il est préférable pour les entreprises de faire l’inventaire et de classer les applications cloud par niveau de risque, plutôt que de prendre une approche unique de gestion et de contrôle. Basé sur la criticité ou le risque potentiel qu’une application cloud représente, différents niveaux de gestion et de contrôle sont nécessaires. Pour des applications cloud critiques, comme les applications de services financiers ou de gestion de la relation client, l’entreprise nécessite de disposer d’une visibilité complète et d’un contrôle de “qui a accès à quoi”. Par conséquent, pour cette sorte d’applications cloud, il est important de mettre en œuvre des contrôles de prévention et de détection sur les processus qui accordent, modifient et suppriment les accès aux applications cloud pour s’assurer que les politiques de conformité et de sécurité sont respectées. En fournissant des rapports détaillés sur l’accès des utilisateurs, l’IT et les équipes métier disposeront de la connaissance dont ils ont besoin pour sécuriser l’application, réduire les risques de l’entreprise, et répondre aux exigences d’audit et de conformité.

Pour les applications moins sensibles, l’IT aime idéalement avoir de la visibilité sur comment et quand ces applications sont utilisées afin que les décisions puissent être prises en fonction du degré de contrôle et de gestion approprié et requis. Bien que n’étant pas directement gérées par l’IT, les entreprises devraient s’assurer que les employés comprennent que les informations sensibles ou propriétaires ne doivent pas être stockées dans ces applications.

Pour certaines applications cloud, le contrôle du coût peut être tout aussi important que la sécurité – par exemple, le coût de nombreuses applications SaaS est basé sur le nombre de comptes utilisateurs. Pour cette raison, il est important que les comptes soient maintenus uniquement pour les utilisateurs qui ont besoin de l’application SaaS pour faire leur travail et que ces comptes soient rapidement supprimés lorsque l’utilisateur quitte l’entreprise ou qu’il n’en a plus besoin. Comme de plus en plus d’applications sont dans le cloud, il est important de savoir, non seulement qui peut accéder aux applications, et si les employés utilisent réellement les applications cloud pour lesquelles l’entreprise dispose d’une licence à leur nom.

Le cloud devient une partie intégrante de l’infrastructure, avec de plus en plus d’entreprises qui cherchent à adopter des applications cloud dans le cadre de leur stratégie. Cependant, les bénéfices du cloud, du gain financier en passant par la flexibilité, peuvent être nuls si l’entreprise est exposée à des failles de sécurité et des problématiques de conformité. Réussir la gestion de l’adoption des applications cloud nécessite un changement dans le rôle de l’IT, pour passer d’un “gardien” à un “facilitateur”. Ces derniers comprendront comment combiner la simplicité d’un accès aux applications cloud avec un contrôle de l’IT qui sera en mesure de gagner l’adhésion des utilisateurs tout en ayant les bons contrôles en place pour protéger les données et gérer le risque.

 

========

Kevin Cunningham est Président et Fondateur de SailPoint