Le Shadow IT et l’alibi SSI

Un parti strictement « écolo » a-t-il encore sa place sur la scène politique alors que l’environnement est une composante essentielle du quotidien et se doit d’être pris en compte dans la plupart des réflexions ?

Ne partez pas ! Lisez la suite ! Cet article ne traitera que d’IT et de sécurité…

En fait, comme certains l’auront deviné, cette accroche vise à rappeler l’omniprésence de la question SSI (Sécurité des Systèmes d’Informations) et de son traitement. Une vérité imposée qui sera vue au travers de deux autres analogies, le green-washing (l’alibi vert) et le Shadow IT (l’ombre).

La réunion alibi

Commençons par un coup de gueule général. La pédagogie passant par la répétition, je dénoncerai une fois encore la réunionite. Un mal que tout le monde connaît mais finit par accepter, résigné.

Pour aller plus loin, je revendique la notion de « réunion alibi ». Bien plus perverse que la réunion stérile, elle est, à la fois, inutile et néfaste car elle est souvent utilisée, consciemment ou non, afin de faire faussement croire au traitement d’un sujet.

Typiquement, face un problème identifié, la personne qui en a la charge va provoquer une réunion pour ensuite « cocher la case » et se débarrasser du sujet. Un exemple, au hasard, la gestion d’accès à mon nouveau logiciel CRM est-elle conforme à l’état de l’art ? Obnubilé par le résultat, le manager n’a que faire de la sécurité de l’outil qu’il peine à faire accepter par ses équipes. Il va alors (faire) organiser une réunion, de préférence à un horaire improbable, et s’en contenter pour affirmer à la Direction que la composante SSI a approuvé le déploiement.

Affrontez vos peurs ! 

Pris au plus tôt, un problème ne pourra grossir et se révéler plus tard un point bloquant. Jamais la réunion alibi ne sera satisfaisante, elle est lâche et destructrice.

Alors répétons-le, la SSI est tant nécessaire qu’obligatoire. Mieux vaut apprendre à vivre avec, en symbiose, en y étant sensibilisé et en s’entourant de personnes pédagogues et compétentes en la matière.

Dans l’entreprise, une Direction, à un certain niveau hiérarchique, doit affirmer son engagement envers la sécurité. C’est cette légitimité qui permettra aux représentants SSI de se faire écouter et entendre. Un document fondateur doit ainsi appeler au respect des dispositions réglementaires et légales tout comme à la conformité aux objectifs internes de sécurité.

Le MOOC Cyber Edu de l’ANSSI n’est pas le premier à mentionner la nécessaire implication de la Direction ainsi que le délicat arbitrage entre commodité et sécurité pour expliquer la difficile prise en compte de la SSI.

Les dirigeant n’ont pas tous une culture sécurité et ont d’autres priorités opérationnelles, tout comme la majorité des responsables des branches de l’organigramme. Or rien ne peut se faire sans l’aval de l’exécutif. Cette attention amont permet d’être proactif via notamment la construction d’une PSSI réaliste. L’ouverture d’esprit SSI du management et une documentation intelligible repoussent les frontières de la sécurité au-delà de la technique en remettant l’humain au centre.

Oui, la sécurité est une contrainte (financière, organisationnelle, …) mais en la faisant comprendre et adopter de tous elle peut devenir un investissement rentable et éviter bien des soucis en empêchant ou en minimisant un éventuel incident.

Vous qui craignez que la SSI jette un voile opaque sur vos projets et dans les réunions, jouez sur l’anticipation, la compréhension et la pédagogie. L’étoffe deviendra plus claire, voire transparente, et c’est finalement un levé de rideau triomphal que vous organiserez pour présenter le résultat final.

Shadow IT ou « l’informatique fantôme »

Dans une entreprise ou une administration, plus la Direction des Services Informatiques est active et proactive, moins son ombre est grande. Il est ici question de l’informatique fantôme, surtout connue sous son nom anglais « Shadow IT ».

Mais ne pointons pas d’emblée les DSI. Les responsables du phénomène sont deux, le service informatique et les utilisateurs. Pessimistes sur la réponse de la DSI (délai, coût, sécurité…), le personnel s’en affranchit de plus en plus souvent et télécharge/installe seul des applications pour un besoin ponctuel ou régulier. Nous sommes donc là hors de tout cadre, sans aucun contrôle, sans aucune autorisation.

La pratique du Shadow IT porte notamment sur les solutions de partage et d’archivage de données, voire les outils sociaux. En fait, pour être exact, il faut y ajouter le simple fichier Excel (souvent plein de macros et qui sert d’outil principal à un processus métier) ainsi que le BYOD (la branche « matériel » de l’informatique fantôme).

Métiers vs DSI

Bonne ou mauvaise chose, il apparaît que plus de la moitié des projets informatiques est financée par les directions Métiers. Le problème sous-jacent étant que c’est presque la même proportion qui est réalisée sans la DSI. Cependant, avouons-le, cette même DSI est parfois complaisante car elle voit là un moyen de s’affranchir de l’installation et du support d’outils considérés non stratégiques tout en consacrant son budget à son propre plan (et même si la charge de travail pourrait soudainement augmenter en cas de problème).

Sans juger de la rentabilité globale du Shadow IT, il est évident que la pratique comporte de nombreux risques, relatifs ou non à la sécurité.

L’absence de contrôle favorise l’émergence de nouveaux silos de données. Un cloisonnement humain et informatique qui empêche la valorisation de l’information, la corrélation, et l’exploitation collaborative.

Ainsi, qu’il s’agisse de macros Excel, de logiciels SaaS ou de BYOD, les utilisateurs ne disposent d’aucune garantie de cohérence avec les autres outils officiellement utilisés. Et, surtout, en plus des problèmes de conformité, les vulnérabilités potentielles augmentent à chaque nouvelle « action fantôme ».

Enfin, n’oublions pas que l’un des rôles de la DSI consiste à traduire les besoins des utilisateurs en fonctionnalités. C’est là que se trouve la garantie que la solution choisie s’intégrera dans la stratégie globale de l’entreprise et permettra une parfaite gestion de l’information entrante et sortante.

Moyens et méthodes

Des moyens, méthodes et outils, existent pour combattre ou apprivoiser le Shadow IT. Il s’agit par exemple de surveiller les performances réseaux ainsi que la disponibilité des applications. Des solutions permettent de repérer les applications perturbatrices tandis que d’autres offrent de monitorer les protocoles lors des connexions cloud.

Si la maîtrise du SI de l’entreprise repose sur la supervision du trafic réseau et de la bande passante, elle nécessite également des audits réguliers (voyez le concept « audits trails »). Par ailleurs, côté humain, cette maîtrise passe par l’anticipation des besoins utilisateurs (mettre en place des outils de partage et de stockage, etc.) et par la sensibilisation de ceux-ci. Une écoute totale, attentive et réciproque !

Ne jetez rien sous le tapis !

Ecoutez et tirez profit des paroles des experts SSI. En réunion, donnez-leur la place qui est la leur, sans négliger aucune remarque mais en pondérant chacune par rapport aux autres paramètres projets.

En fait, il ne faut laisser s’installer aucune zone d’ombre ! A ce sujet d’ailleurs, si le Shadow IT ajoute une ombre au tableau de la SSI, mieux vaut contrôler celle-ci que chercher à la supprimer. 

Au risque d’insister : ne lâchez pas la proie pour l’ombre, la sécurité est une affaire d’équilibre tant pour les processus que pour les hommes.