La diffusion des applications cloud en mode Shadow IT n’est pas sans risque. Ci-dessous 7 conseils pour limiter, contrôler, voire éviter une nouvelle forme d’informatique.
- Instaurer la confiance
Le dialogue doit être le plus ouvert possible avec les utilisateurs afin de montrer que les services IT sont à leur disposition pour étudier ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir confiance dans le fonctionnement de leur informatique et les relations avec leurs partenaires pour être efficaces. La confiance s’appuie sur l’écoute et la compréhension des cas d’utilisation.
- Analyser les flux
II est nécessaire que le DSI utilise les indicateurs qu’il a à sa disposition, notamment ceux relatifs aux logs des firewalls et autres switchs qui permettent de filtrer les échanges vers l’extérieur. Un tableau avec la description du flux va permettre de faire une analyse de risques sur les flux et prendre les décisions pour contrôler les échanges d’information sortants de l’entreprise.
- Réduire le risque
Compte tenu des échanges d’une entreprise avec d’autres fournisseurs de services ou de partenaires, il est nécessaire de faire une analyse de risque des flux les plus critiques. Le RSSI doit classer les flux entre ceux déjà enregistrés pour lesquels le risque est connu et accepté, ou les transférer vers des nouveaux acteurs de la sécurité.
- Piloter l’infrastructure
L’architecture et le paramétrage de l’infrastructure, clef de voûte de tous les accès au SI d’entreprise, permettent l’existence du Shadow IT ou l’interdire. Le recours à un outil de monitoring de la sécurité des « Apps » telles que les solutions de type CASB (Cloud Access Security Broker) est devenu une nécessité. La DSI doit, au même titre que tous les autres accès, les filtrer et les classer dans le tableau de suivi, pour en surveiller l’activité et être en mesure de réagir en cas de problème de sécurité avec un des fournisseurs.
- Coopérer avec les départements juridique, achat et finance
La définition d’une procédure d’acquisition des solutions informatiques est une étape clef dans le contrôle du Shadow IT. Le RSSI doit être informé par l’un des acteurs de la demande pour effectuer une analyse des risques sur l’information échangée. Il proposera un plan d’actions pour les réduire s’il estime qu’il y a un risque sur le capital informationnel de l’entreprise. Il est nécessaire que cette procédure d’acquisition soit simple d’utilisation pour faciliter la mise en oeuvre de solutions innovantes. A l’opposé, un processus lourd et peu agile entraînera les employés vers le Shadow IT.
- Eduquer les utilisateurs
En parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion des données de l’entreprise est une des actions nécessaires pour réduire le risque de Shadow IT. Il est illusoire de penser qu’on pourrait avoir un officier de sécurité surveillant toutes les actions des utilisateurs, de fait, il est nécessaire de leur donner les moyens de rester vigilant lorsqu’une action peut exposer les données de l’entreprise au monde externe.
- Positionner le curseur (on-prem vs off-prem) pour délimiter « l’aire de jeu »
L’idée est de définir pour chaque domaine si l’entreprise est capable de gérer le risque de perte d’information ou de déni de service relatif à l’outsourcing de son information, ses services, son organisation … A titre d’exemple, voici des domaines qui doivent être documentés pour positionner le curseur entre « géré en interne » ou en « externe » : les terminaux, la gestion et le maintien opérationnel des serveurs, les données, les applications, la gestion des identités, la supervision des solutions de sécurité…
Le RSSI doit définir en fonction de l’activité de l’entreprise et avec l’aide des utilisateurs si les informations, les services ou la gestion de l’information est mieux gérée en interne ou avec l’aide d’un service hébergé dans un Cloud externe.
__________
Michel Juvin est Expert en Cyber Sécurité et membre du CESIN