Loading

Le Shadow IT et l’alibi SSI

Shadow IT et SSI

Découvrons la question SSI et son traitement, au travers de deux analogies, le green-washing et le Shadow IT

Un parti strictement « écolo » a-t-il encore sa place sur la scène politique alors que l’environnement est une composante essentielle du quotidien et se doit d’être pris en compte dans la plupart des réflexions ?

Ne partez pas ! Lisez la suite ! Cet article ne traitera que d’IT et de sécurité…

En fait, comme certains l’auront deviné, cette accroche vise à rappeler l’omniprésence de la question SSI (Sécurité des Systèmes d’Informations) et de son traitement. Une vérité imposée qui sera vue au travers de deux autres analogies, le green-washing (l’alibi vert) et le Shadow IT (l’ombre).

 

La réunion alibi

Commençons par un coup de gueule général. La pédagogie passant par la répétition, je dénoncerai une fois encore la réunionite. Un mal que tout le monde connaît mais finit par accepter, résigné.

Pour aller plus loin, je revendique la notion de « réunion alibi ». Bien plus perverse que la réunion stérile, elle est, à la fois, inutile et néfaste car elle est souvent utilisée, consciemment ou non, afin de faire faussement croire au traitement d’un sujet.

Typiquement, face un problème identifié, la personne qui en a la charge va provoquer une réunion pour ensuite « cocher la case » et se débarrasser du sujet. Un exemple, au hasard, la gestion d’accès à mon nouveau logiciel CRM est-elle conforme à l’état de l’art ? Obnubilé par le résultat, le manager n’a que faire de la sécurité de l’outil qu’il peine à faire accepter par ses équipes. Il va alors (faire) organiser une réunion, de préférence à un horaire improbable, et s’en contenter pour affirmer à la Direction que la composante SSI a approuvé le déploiement.

 

Affrontez vos peurs ! 

Pris au plus tôt, un problème ne pourra grossir et se révéler plus tard un point bloquant. Jamais la réunion alibi ne sera satisfaisante, elle est lâche et destructrice.

Alors répétons-le, la SSI est tant nécessaire qu’obligatoire. Mieux vaut apprendre à vivre avec, en symbiose, en y étant sensibilisé et en s’entourant de personnes pédagogues et compétentes en la matière.

Dans l’entreprise, une Direction, à un certain niveau hiérarchique, doit affirmer son engagement envers la sécurité. C’est cette légitimité qui permettra aux représentants SSI de se faire écouter et entendre. Un document fondateur doit ainsi appeler au respect des dispositions réglementaires et légales tout comme à la conformité aux objectifs internes de sécurité.

Le MOOC Cyber Edu de l’ANSSI n’est pas le premier à mentionner la nécessaire implication de la Direction ainsi que le délicat arbitrage entre commodité et sécurité pour expliquer la difficile prise en compte de la SSI.

Les dirigeant n’ont pas tous une culture sécurité et ont d’autres priorités opérationnelles, tout comme la majorité des responsables des branches de l’organigramme. Or rien ne peut se faire sans l’aval de l’exécutif. Cette attention amont permet d’être proactif via notamment la construction d’une PSSI réaliste. L’ouverture d’esprit SSI du management et une documentation intelligible repoussent les frontières de la sécurité au-delà de la technique en remettant l’humain au centre.

Oui, la sécurité est une contrainte (financière, organisationnelle, …) mais en la faisant comprendre et adopter de tous elle peut devenir un investissement rentable et éviter bien des soucis en empêchant ou en minimisant un éventuel incident.

Vous qui craignez que la SSI jette un voile opaque sur vos projets et dans les réunions, jouez sur l’anticipation, la compréhension et la pédagogie. L’étoffe deviendra plus claire, voire transparente, et c’est finalement un levé de rideau triomphal que vous organiserez pour présenter le résultat final.

 

Shadow IT ou « l’informatique fantôme »

Dans une entreprise ou une administration, plus la Direction des Services Informatiques est active et proactive, moins son ombre est grande. Il est ici question de l’informatique fantôme, surtout connue sous son nom anglais « Shadow IT ».

Mais ne pointons pas d’emblée les DSI. Les responsables du phénomène sont deux, le service informatique et les utilisateurs. Pessimistes sur la réponse de la DSI (délai, coût, sécurité…), le personnel s’en affranchit de plus en plus souvent et télécharge/installe seul des applications pour un besoin ponctuel ou régulier. Nous sommes donc là hors de tout cadre, sans aucun contrôle, sans aucune autorisation.

La pratique du Shadow IT porte notamment sur les solutions de partage et d’archivage de données, voire les outils sociaux. En fait, pour être exact, il faut y ajouter le simple fichier Excel (souvent plein de macros et qui sert d’outil principal à un processus métier) ainsi que le BYOD (la branche « matériel » de l’informatique fantôme).

 

Métiers vs DSI

Bonne ou mauvaise chose, il apparaît que plus de la moitié des projets informatiques est financée par les directions Métiers. Le problème sous-jacent étant que c’est presque la même proportion qui est réalisée sans la DSI. Cependant, avouons-le, cette même DSI est parfois complaisante car elle voit là un moyen de s’affranchir de l’installation et du support d’outils considérés non stratégiques tout en consacrant son budget à son propre plan (et même si la charge de travail pourrait soudainement augmenter en cas de problème).

Sans juger de la rentabilité globale du Shadow IT, il est évident que la pratique comporte de nombreux risques, relatifs ou non à la sécurité.

L’absence de contrôle favorise l’émergence de nouveaux silos de données. Un cloisonnement humain et informatique qui empêche la valorisation de l’information, la corrélation, et l’exploitation collaborative.

Ainsi, qu’il s’agisse de macros Excel, de logiciels SaaS ou de BYOD, les utilisateurs ne disposent d’aucune garantie de cohérence avec les autres outils officiellement utilisés. Et, surtout, en plus des problèmes de conformité, les vulnérabilités potentielles augmentent à chaque nouvelle « action fantôme ».

Enfin, n’oublions pas que l’un des rôles de la DSI consiste à traduire les besoins des utilisateurs en fonctionnalités. C’est là que se trouve la garantie que la solution choisie s’intégrera dans la stratégie globale de l’entreprise et permettra une parfaite gestion de l’information entrante et sortante.

 

Moyens et méthodes

Des moyens, méthodes et outils, existent pour combattre ou apprivoiser le Shadow IT. Il s’agit par exemple de surveiller les performances réseaux ainsi que la disponibilité des applications. Des solutions permettent de repérer les applications perturbatrices tandis que d’autres offrent de monitorer les protocoles lors des connexions cloud.

Si la maîtrise du SI de l’entreprise repose sur la supervision du trafic réseau et de la bande passante, elle nécessite également des audits réguliers (voyez le concept « audits trails »). Par ailleurs, côté humain, cette maîtrise passe par l’anticipation des besoins utilisateurs (mettre en place des outils de partage et de stockage, etc.) et par la sensibilisation de ceux-ci. Une écoute totale, attentive et réciproque !

 

Ne jetez rien sous le tapis !

Ecoutez et tirez profit des paroles des experts SSI. En réunion, donnez-leur la place qui est la leur, sans négliger aucune remarque mais en pondérant chacune par rapport aux autres paramètres projets.

En fait, il ne faut laisser s’installer aucune zone d’ombre ! A ce sujet d’ailleurs, si le Shadow IT ajoute une ombre au tableau de la SSI, mieux vaut contrôler celle-ci que chercher à la supprimer. 

Au risque d’insister : ne lâchez pas la proie pour l’ombre, la sécurité est une affaire d’équilibre tant pour les processus que pour les hommes.

Arnaud Lorgeron Arnaud Lorgeron - Sécurity PMO pour la Banque Privée
Après presque dix ans au Ministère de la Défense, il rejoint le secteur privé fin 2012 pour y mettre à profit son expertise SSI dans des projets civils et militaires. Trois ans…
 
Sur iTPro.fr, nous vous aidons à tirer le meilleur profit de vos environnements IT. Découvrez les analyses, les chroniques et plus de 4280 dossiers experts , profitez d’un savoir technologique unique et de ressources stratégiques exclusives pour vous accompagner dans le choix, la gestion et l’optimisation de vos environnements IT Professionnels. Bénéficiez d’une richesse éditoriale incomparable et vivez toute l’actualité IT professionnelle sur twitter avec #iTProFR
 
BYOD : Guide des meilleures pratiques en entrepriseBYOD : Guide des meilleures pratiques en entrepriseGestion des terminaux mobiles, conteneurisation ou bien les deux ? Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation et de l’approche en couches de la sécurité qu’offrent ces deux systèmes.Découvrez les meilleures pratiques

Ressources Informatiques

Le Guide Azure pour le développement d’applications : Ce guide détaille divers scénarios adaptés au cloud, et plus particulièrement au développement d'applications à l'aide des services de plateforme…
   Microsoft | 40 pages
Découvrez le guide Azure pour le développement d’applications
BYOD : Guide des meilleures pratiques en entreprise Ce livre blanc étudie des cas d’utilisation d’entreprise courants et définit les avantages de la gestion des terminaux mobiles, de la conteneurisation…
   VMware | 8 pages
Découvrez les meilleures pratiques !
Comment sécuriser les accès et contrer la compromission d’identité ? La compromission d’identité est un vecteur d’attaque conséquent auquel les organisations sont confrontées, et avec les applications Cloud, mobiles…
   RSA | 6 pages
Téléchargez le livre blanc
Authentification forte : quels enjeux pour la sécurité du SI ? Mobilité, consumérisation et BYOD impliquent de nouveaux défis de sécurité pour les directions IT. Découvrez comment sécuriser les accès aux applications…
   RSA | 4 pages
Découvrez votre livre blanc
SMART DSI : la nouvelle revue du décideur IT Conseil et expertise IT, bénéficiez des analyses, des chroniques et des dossiers de la nouvelle revue informatique SMART DSI pour conduire la transformation…
   SMART DSI | 52 pages
Découvrez la revue SMART DSI
Libérez le Big Data et le Machine Learning Nous sommes à la veille d'un changement spectaculaire où les machines seront capables de dépasser les êtres humains dans leur capacité à prendre…
   Comsoft | 12 pages
Découvrez l’article technique
 

Informatique ProfessionnelleActualités, chroniques et dossiers IT experts

Laurent Teruin Laurent Teruin Consultant Senior Lync et MVP Lync

François Aubriot François Aubriot Consultant VDI et infrastructures

Etienne Legendre Etienne Legendre Consultant Sharepoint

Vidéos Informatiques

Adobe Document Cloud en Video Motion !Découvrez maintenant, en Video Motion, comment entrer dans l'ère du document intelligent…Par Itpro

Comment mettre en place une stratégie mobile performante ?Smartphones, tablettes, PC ultra-mobiles ont libéré les utilisateurs et transformé…Par Itpro

Hyperconvergence réussie avec les solutions Dell VxRaill'hyperconvergence intéresse et séduit les DSI par son approche intégrée et…Par Itpro

Windows 10 Professionnel : 5 Innovations pour les CollaborateursRépondre aux enjeux de mobilité des utilisateurs est un besoin réel, centré…Par Itpro

Répondre aux défis de l'hyper convergence ?Découvrez en vidéo motion les 5 atouts majeurs du partenariat DELL EMC et Misco-inmac…Par Itpro

Conseil & Expertise IT

Bénéficiez des analyses, des chroniques et des dossiers
de la nouvelle revue informatique SMART DSI pour conduire
la transformation numérique de votre entreprise.

Abonnez-vous à la revue SMART DSI