La multiplication des fuites de données, ransomware et campagne massive de phishing, et leur exposition croissante dans les médias ont pour effet d’étendre leur résonnance, de sorte que ces évènements ne sont plus seulement circonscrits au monde du travail, mais également au sein de la sphère privée.
Ainsi, le risque cyber connaît un processus de « normalisation » au sein de la société civile qui est peut-être en train de sonner la fin des pratiques de shadow IT... alors que celles-ci sont justement une des causes de ce risque.
Et si les mécanismes à l’œuvre dans l’apparition du shadow IT l’étaient également dans sa disparition ?
Tentative de réponse dans les lignes qui suivent.
Le Shadow IT, bref rappel.
Les pratiques de shadow IT, qui se définissent comme l’utilisation de systèmes informatiques, d’appareils, de logiciels, d’application et de services sans l’approbation explicite du département informatique (https://www.lebigdata.fr/), ne sont pas nouvelles et sont étroitement liées au concept de BYOD (Bring Your Own Device) qui voit le jour au milieu des années 2000 dans certaines écoles nord-américaines.
Repris et promu par la société Intel au sein de son organisation, l’idée est de favoriser l’utilisation par les collaborateurs de leurs propres appareils (téléphone portable, ordinateur, tablette) sur leur lieu de travail, dans le cadre de leur activité.
Encore relativement circonscrit, le phénomène prend des proportions bien plus larges au moment du lancement de l’iPhone qui marque un tournant dans ce que beaucoup appellent la consumérisation de l’IT.
Chris Silva, le directeur de la recherche du Gartner ne dit pas autre chose : "I don't know that there was a real shadow IT movement prior to the iPhone (…) The iPhone was definitely shadow IT 1.0. Everyone was taken by surprise."
Le fait que les salariés se dotent de ces technologies dans leurs usages quotidiens et les introduisent dans leur sphère professionnelle est alors subis par les entreprises, qui doivent donc s’adapter à ces nouveaux usages...au risque de perdre la main sur les données transitant par ces nouveaux canaux et d’exposer leurs assets.
Une infographie datant de 2012 parue dans un article du Wikibon Project est particulièrement parlante :
.webp?width=403&height=943&name=ShadowiT-1%20(1).webp)
L’auteur de cet article, David Vellante (Chief Analyst au Wikibon Project), vulgarise le processus alors en cours en assimilant les collaborateurs à des ninjas qui, frustrés par des outils et des procédures internes désuets, viennent compromettre la légitimité même des équipes IT par l’introduction de nouvelles pratiques et de nouveaux outils hors de leur contrôle.
Des mesures non adaptées portant sur les conséquences du shadow IT plutôt que sur ces causes.
Il est alors intéressant de constater que les mesures prises pour y remédier sont avant tout des mesures visant à renforcer l’identification et le contrôle de ces outils.
Les experts du Gartner, dans un article de 2016 (1), émettent des préconisations allant d’ailleurs en ce sens, mettant l’accent sur :
- La mise en place d’une gouvernance sur la sécurité de la donnée afin de contrôler l’acquisition d’applications SaaS par les équipes métiers.
- La mise en place d’outils de détection d’applications non autorisées sur l’ensemble de l’infrastructure d’une organisation.
L’idée étant de placer le curseur en connaissance de cause entre objectifs de croissance du chiffre d’affaire / productivité des équipes (apportée par ces nouveaux outils et applications) et risques liés aux fuites de données et aux conséquences financières qui en découlent.
Pour autant, on peut légitimement se poser la question de l’efficacité de cette approche et des mesures liées à celle-ci.
En effet, diverses études font par exemple état d’un écart clair et sans appel entre le nombre d’applications recensées et le nombre d’applications effectivement utilisées au sein des organisations.
L’une d’elle, datant de 2017, menée par Cisco montre par exemple que sur 51 applications recensées ce sont en fait 730 applications en moyenne qui sont réellement utilisées par les collaborateurs.
Preuve que le problème est loin d’être résolu, dans l’une de ces projections de 2016, le Gartner voit le shadow IT comme le responsable et la cause d’environ 1/3 des attaques subies par les entreprises en 2020.
L’adhésion des collaborateurs : le chaînon manquant ?
Dès les premières analyses au sujet du shadow IT, celui-ci est pourtant également perçu comme une opportunité de donner la parole aux utilisateurs finaux afin qu’ils soient acteurs à part entière des projets de transformation des entreprises.
Dans la littérature existante, on retrouve ainsi très souvent la question shadow IT comme « Menace ou opportunité ? », avec une réelle prise de conscience des Directions des Systèmes d’Information (DSI) quant à la nécessité d’inclure leurs collaborateurs et leurs équipes dans la conduite de ce changement.
Quels sont donc les freins à ce changement et pourquoi le contexte de ces dernières années peut-être un formidable accélérateur pour l’adresser ?
L’idée d’une résolution par le contrôle n’a pas eu et n’a pas les effets escomptés, notamment parce que les collaborateurs n’ont pas été assez impliqués dans les stratégies mises en place.
Ce facteur est d’autant plus important qu’il en est la cause : Ce sont les collaborateurs, de par la modification de leurs usages, qui ont introduit ce biais, largement entretenu par le secteur très dynamique de l’édition de logiciel SaaS (+21% de croissance en 2019 (2) ) qui apporte flexibilité, praticité et productivité individuelle et/ou collective.
Ce dynamisme met en exergue la difficulté voire l’impossibilité d’une approche par le contrôle uniquement. Les usages et les outils évoluant très rapidement, les organisations seront systématiquement en retard quant à leur déploiement (ou non) et leur mise à l’échelle.
L’enjeu principal est donc le suivant : Comment trouver le bon équilibre entre performance et risque cyber ?
Deux tendances de fonds, évoquées en introduction, sont à l’œuvre aujourd’hui et s’autoalimentent.
La première, au sein des organisations, avec l’investissement fort des DSI en terme de communication afin de sensibiliser leurs collaborateurs aux bonnes pratiques mais également, et c’est plus récent, en terme d’outils.
Le FIC 2020 (3) (Forum International de la Cybersécurité), en est un bel exemple avec deux convictions fortes partagées par les DSI, RSSI, DPO ou CISO avec qui nous avons pu échanger :
1. Les efforts de formation et de sensibilisation ne suffisent pas à la mise en place de bonnes pratiques.
2. Il est absolument nécessaire de proposer des outils de sécurité qui soient adaptés aux usages de leurs équipes et aux problématiques organisationnelles.
Les outils proposés ne doivent pas seulement apporter toutes les garanties en terme de sécurité mais également répondre à la manière de travailler des collaborateurs en s’intégrant au maximum dans leur environnement de travail, faute de quoi l’adoption de ces derniers en sera impactée et les investissements consentis moins efficaces.
La seconde, au sein de la société civile, avec une prise de conscience des individus liée au fait que les fuites de données et cyberattaques font partie de l’actualité et dépasse la sphère de l’entreprise.
Les fuites de données massives chez Airbus ou M6, les Ransomware touchant des collectivités et hôpitaux ont eu une résonance nationale et mondiale et les citoyens/salariés sont désormais au fait de la responsabilité qui leur incombe en terme de sécurité de la donnée.
A l’image des approches « Security by Design » ou « Privacy by Design » qui introduisent des exigences en terme de sécurité de la donnée dans les processus de fabrication, les consommateurs sont également en train d’intégrer dans leur logique d’achat la variable sécurité de la donnée avec des questions telles que :
- Est-ce que l’outil que j’utilise est adapté aux données que je vais stocker, partager ou enrichir ?
- Où sont hébergées les données que je manipule via cette solution ?
L’achat d’outils, le choix de solutions n’est plus uniquement déterminé par son apport en terme de productivité mais résulte également, et de plus en plus, de cette acculturation des citoyens vis-à-vis du risque cyber.
Aux organisations donc (et au marché ?) d’en tirer parti en accompagnant cette prise de conscience par des outils centrés sur l’utilisateur final et ces usages. Dans le cas contraire, priorité sera donné à l’efficacité et l’opportunité immédiate d’un alignement entre les préoccupations de chacun sera tout simplement manqué.
Le risque cyber est partout, impactant mais surtout visible. Et c’est sur ce point que le basculement des consciences peut être un accélérateur de changement.
Sources :
(1) https://www.gartner.com/smarterwithgartner/dont-let-shadow-it-put-your-business-at-risk/
(2) https://www.silicon.fr/syntec-numerique-croissance-2019-cloud-244657.html
Retour d'expérience
Circonscrire une cyberattaque en moins de 24h
