À l’heure de la transformation digitale et d’une multiplication des usages numériques, de nouveaux risques pèsent sur les systèmes d’informations.
Les frontières se déplacent de manière inéluctable et contraignent les entreprises et leur DSI à s’adapter davantage. C’est aujourd’hui une évidence : les usages IT subissent depuis quelques années une profonde transformation : la digitalisation remet en cause certains principes de sécurité du système d’information, considérés jusque-là comme des « best practices ». Paradoxalement, cette transformation des usages est à la fois souhaitée et subie par les DSI.
De facto, l’approche basée sur l’identification de zones de confiance et le cloisonnement ne correspond plus complètement aux enjeux de l’entreprise ayant digitalisé une partie de son système d’information. Tout le monde se connecte, à n’importe quel moment, depuis n’importe où, à n’importe quoi et avec n’importe quoi : à tort ou à raison les utilisateurs revendiquent cette flexibilité et cette mobilité.
Qui n’a jamais eu l’occasion de partager des fichiers avec une relation professionnelle en utilisant un stockage cloud « non corporate » ? De même, qui n’a jamais utilisé une messagerie privée pour transmettre un fichier de l’entreprise. L’utilisateur est aujourd’hui de plus en plus enclin à transférer ses pratiques digitales de la sphère personnelle au sein même de l’entreprise, et ce pour plusieurs raisons, bonnes et mauvaises.
En premier lieu, le collaborateur peut avoir l’impression que les outils fournis par son service informatique ne lui permettent pas d’accéder à l’efficacité à laquelle il aspire pour remplir sa fonction. En connaissance de cause, il va donc chercher à palier par lui-même ce qu’il considère comme un manque. Cette raison peut être considérée comme recevable, en dépit du manque de conformité de la solution à la politique de sécurité de l’entreprise. L’utilisateur veut ici simplement aller « plus vite que le train ».
En second lieu, il existe le même type de pratiques « pour de mauvaises raisons » : l’utilisateur est négligeant et/ou mal informé sur l’utilisation des outils que lui fournit la DSI. Il peut donc à la fois s’agir d’une problématique de sensibilisation aux risques informatiques mais également d’un manque de pédagogie de la part de l’entreprise.
Face à cette situation, il est évident qu’il n’existe pas de solution unique et simple. Comme dans bien des domaines il nous faut une stratégie combinant à la fois la pédagogie et la technologie. Véritable Quick Win de la sécurité : la pédagogie (par exemple sous forme de sessions de sensibilisation à la sécurité, d’ateliers de travail, ou d’information sur les outils mis à disposition par la DSI) est immédiatement efficace à trois niveaux :
- Les utilisateurs vont se sentir plus impliqués dans la démarche sécurité de l’entreprise, facilitant l’adhésion à la Politique de Sécurité,
- Les utilisateurs vont être mieux informés sur les outils à leur disposition, ce qui va favoriser l’adoption des outils de partage et de travail collaboratif validés par la DSI, sans qu’ils aient l’impression de sacrifier la flexibilité et la mobilité,
- Les utilisateurs vont mieux comprendre les risques inhérents au Shadow IT, et de ce fait vont tendanciellement adopter de meilleures réflexes de sécurité,
Reste que le Shadow IT est un phénomène avant tout comportemental qu’on ne peut pourra pas complètement endiguer (et d’ailleurs est-ce souhaitable ?) : il restera toujours un résidu de partages de fichiers « en clair », d’envois de fichiers via des services de messagerie personnels, d’utilisation de services de stockage d’origine inconnue, etc… Pour traiter ce risque résiduel, au-delà des dispositifs de protection déjà connus et souvent adoptés, tels que les antimalwares, ou la containerisation des terminaux mobiles, il semble important de :
- Se doter d’une capacité de traçabilité et d’imputabilité des échanges d’information avec le Cloud. Les solutions CASB/DLP répondent à cette problématique.
- S’assurer que les données à caractère confidentiel ne seront pas divulguées quand bien même elles seraient partagées indument sur un cloud publique. Certaines solutions de sécurité mobiles permettent à cet effet de chiffrer systématiquement les fichiers dès qu’ils sont uploadées ou synchronisées avec un service cloud depuis un terminal mobile, terminal lui-même chiffré pour pallier le risque de vol ou de perte.
Comme souvent, s’agissant d’un sujet ayant un lien fort avec les usages : la mise en place de ces mesures peut s’avérer structurante pour l’entreprise si elle n’intègre pas une dimension métier, car elle peut potentiellement toucher tous les utilisateurs. Il semble donc important d’analyser sous cet angle la situation de l’entreprise vis-à-vis de la pratique Shadow IT, afin de contextualiser, ajuster et prioriser les actions à mener.
Auteur : Jean-Philippe G.