Les risques liés au shadow IT, ces applications qui ne sont pas validées par la DSI, mettent les données de l’entreprise en péril…
Ne soyons pas manichéens, notre propos n’est pas de pointer les applications et les solutions généralement dans le cloud qui sont adoptées sans que la DSI soit consultée. Vu l’étendue du phénomène et les arcanes de la transformation digitale, les ressources de la DSI n’y suffiraient pas. En revanche, ces achats IT non autorisés accroissent les risques de violations de données et ainsi d’augmenter des passifs financiers.
Plus que l’usage d’applications hors du circuit classique de la DSI, ce que le cloud permet finalement assez simplement, les entreprises qui acceptent la pratique du shadow IT prennent le risque de se heurter à une vraie problématique : une violation de données résultant de tout achat IT individuel et hors de la DSI se traduira par des passifs financiers affectant la rentabilité de l'organisation !
Nous vous proposons 3 étapes clés pour atténuer les risques liés au shadow IT.
1Renforcer et appliquer les règles de gouvernance de la donnée
Comment les contrôles liés aux approvisionnements IT sont-ils contournés ? En présentant les solutions qui appartiennent aux domaines du SaaS (Software-a- a-Service) ou du BPaaS (Business Process-as-a-Service) comme des services aux entreprises, ou comme des achats d’abonnements lorsque le prix est en dessous du seuil d’autorisation des achats en ligne ou via un App Store.
En réponse à ces pratiques, DSI et RSSI doivent veiller à l’application de la gouvernance de la sécurité des données. Mais celle-ci doit si nécessaire être appropriée à chaque service ou métier. Faire preuve de flexibilité, prendre en compte l’innovation, chercher à tirer profit de la croissance des marchés ne doit pas être fait au détriment de la sécurité.
2Orchestrer une politique de sécurité uniforme, avec des priorités acceptées
La gouvernance de la sécurité des données doit prioriser l’ensemble des données de l’entreprise, définir celles qui représentent les plus hauts risques, et établir une politique de sécurité appropriée avec ses contrôles. La gouvernance est globale, pour l’ensemble des données de l’entreprise, et non pas une affaire individuelle. En revanche, son traitement peut être local, par exemple pour respecter les règles de stockage des données en fonction de leur origine géographique.
L’Orchestration des contrôles de sécurité des données doit être coordonnée et cohérente entre les différents nuages et les instances de cloud. Pour cela, il est nécessaire d’obtenir la contribution de toutes les parties prenantes de l’entreprise. Ce qui devrait amener à cette prise de conscience nécessaire pour obtenir un équilibre entre le contrôle requis et la perte de certaines fonctionnalités dans les applications.
3Déployer des outils de détection et de protection contre le shadow IT
Même si certains nuages sont réputés pour afficher un bon niveau de sécurité, tant sur les risques d'accès aux données que sur les pratiques des utilisateurs et administrateurs, l’adoption du SaaS ou du BPaaS par un service ou un individu soulève quoi qu’il arrive des risques même accidentels d’affichage et de malveillance sur des données sensibles.
Des outils d’audit de l’infrastructure réseau de l’entreprise et de détection des applications déployées en mode cloud existent. À la base, leur but n’est pas de repérer les pratiques interdites, mais de repérer et quantifier les applications en usage ou simplement présentes dans le SI dans une perspective de gestion des actifs logiciels. Limiter par exemple les dépenses de licences qui ne sont pas exploitées, et se prémunir des risques liés aux audits des éditeurs.
Source : Rapport « Unsanctioned Business Unit IT Cloud Adoption Will Increase Financial Liabilities » du Gartner Image d’entête 21146979 @ iStock A-Digit