Début 2017, une étude indiquait que 39% des services cloud dans les entreprises étaient commandés sans l’accord de la DSI. Un an après, un rapport du Cesin (Club des experts de la sécurité de l’information et du numérique) et de Symantec montre que le phénomène du shadow IT ne cesse de prendre de l’ampleur. Et qu’il y a un énorme décalage entre la réalité et la perception des DSI.
Le shadow IT est un phénomène « qui s’est développé avec la gratuité de nombreux services en ligne auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise », a expliqué Alain Bouillé, président du Cesin.
Génération cloud
D’après le rapport publié le 23 avril 2018, nous sommes aujourd’hui entrés dans la génération cloud. « La flexibilité, la décentralisation et l’optimisation des coûts sont parmi les avantages qui font le succès du cloud ». Symantec recense d’ailleurs plus de 22 000 applications cloud ayant un aspect business et permettant le partage d’informations.
Les DSI estiment en moyenne à 30-40 le nombre d’applications et services cloud dans leur entreprise. Mais la réalité semble toute autre. Le rapport révèle en effet une moyenne de 1700 CloudApps véritablement utilisées par entreprise. L’inventaire réalisé dénombre 287 solutions connues ou inconnues pour le minimum recensé par entreprise, et 5945 au maximum. « Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode shadow, reste impressionnant », notent les auteurs de l’étude.
Des milliers d’applications sous le radar de la DSI
Le rapport distingue l’usage par utilisateur (anonymisé) et par trafic Web. Si la part de vie privée tolérée au bureau peut expliquer la présence de réseaux sociaux dans le TOP 10 des CloudsApps les plus utilisées ; le fait de retrouver Workplace by Facebook dans le Top 10 par utilisateur dans cette catégorie pour des entreprises qui n’ont pas souscrit à ce service de manière officielle comme solution de Réseau Social d’Entreprise, peut poser question.
Autre domaine pour lequel l’entreprise doit étudier les risques de fuites de données : les outils de transfert d’information ou de partage de fichiers volumineux. En effet, ils s’avèrent être utilisés en très grand nombre. Google Drive tient la première place du classement par utilisateur, tandis que Evernote arrive en 4ème position devant Dropbox. Hightail et WeTransfer ressortent respectivement en 8ème et 10ème position du classement par trafic. « Parmi tous ces services, il y en a sans doute certains pour lesquels l’entreprise aura souscrit un contrat, pour les autres, on est encore une fois en mode Shadow », précise le rapport.
Le Shadow IT : une réelle menace pour la sécurité de l’entreprise
Ce sont donc des milliers d’applications et services sur lesquels la DSI n’a pas de visibilité. L’utilisation de tels outils pose en effet des problèmes de confidentialité, de sécurité et d’intégrité. Le Shadow IT fait peser de sérieuses menaces sur le système d’information d’une entreprise et sur ses données. L’entrée en application du RGPD est l’occasion d’inverser la tendance. Ces usages représentent un vrai challenge pour les entreprises qui souhaitent se conformer à la nouvelle réglementation européenne.
Le RGPD pour contrer le shadow IT ?
En effet, le cœur de ce nouveau texte européen est le renforcement de la protection des données personnelles. Le RGPD ne laisse pas de place à l’utilisation incontrôlée de solutions gratuites en mode Saas. L’exigence de conformité et l’obligation de notification en cas de perte ou de fuite des données imposent désormais de nouvelles règles aux entreprises. Les DSI doivent être alertés de toute activité suspecte et des éventuels incidents de sécurité.
Ces nouvelles règles impliquent l’adoption d’outils adéquats et sécurisés, en particulier concernant le partage de fichiers et la collaboration. Cela passe donc par des outils conçus pour les professionnels et offrant un haut niveau de sécurité. Avec les solutions de partage du groupe Oodrive par exemple, vous sécurisez les données sensibles. Conformes aux certifications les plus exigeantes, elles suppriment les failles de confidentialité. Et elles garantissent l’application de votre politique de sécurité (hébergement sécurisé, code audité, gestion des données en autonomie, etc).