Le Shadow IT à nouveau au centre de toutes les attentions

 

 

La mission de l’agence 18F, agence numérique faisant partie de la GSA, consiste à aider les agences fédérales à gérer la technologie et à fournir des services numériques de manière plus efficace.

 

D’après cette publication émanant du Bureau de l’inspecteur général des États-Unis (OIG), une étude a révélé que 86 % des logiciels utilisés n’avaient pas été approuvés pour utilisation au sein de l’environnement informatique de la GSA. L’OIG a également constaté qu’aucun des 18 systèmes d’information exploités par l’agence 18F ne bénéficiait d’une autorisation d’exploitation adéquate pendant l’étude, laquelle a duré plus d’un an. « Au moins deux de ces 18 systèmes contenaient des données personnelles, dont l’un a fait l’objet d’un rapport d’alerte sur la gestion émis par l’OIG », a indiqué cette dernière dans sa déclaration.

 

D’après l’OIG, l’agence 18F a développé son propre processus d’évaluation et d’autorisation de sécurité – lesquels contournaient le service informatique de la GSA – et le directeur des infrastructures de l’agence 18F s’est indûment autoproclamé responsable de la sécurité des systèmes d’information.

 

Voici le type de politiques et de déploiements technologiques non-autorisés qui ont souvent cours dans les systèmes d’entreprise. Selon une étude récemment publiée par la Cloud Security Alliance (CSA) et Skyhigh Network, un éditeur de solutions CASB (cloud accès security broker), en moyenne une entreprise possède 464 applications personnalisées, dont 70 % environ sont identifiées comme étant vitales pour l’entreprise, 50 % se situent dans un cloud public ou hybride et, étonnamment, seulement un tiers environ concernent la sécurité informatique.

 

D’après la CSA, le rapport est basé sur une vaste étude menée en Amérique, dans la zone EMEA et dans la région Asie-Pacifique auprès de professionnels du développement logiciel, de l’administration informatique, de la sécurité informatique, des opérations et du DevOps impliqués dans le développement, le déploiement et la sécurisation d’applications personnalisées.

 

Ce nombre de 464 applications personnalisées, dont 70 % désignées vitales pour l’entreprise, peut aujourd’hui sembler élevé, mais les personnes interrogées s’attendent à ce que ce nombre augmente de près de 21 % l’année prochaine. En outre, cette migration vers le cloud, associée à une dépendance aux applications personnalisées non surveillées, génère une dette de sécurité, dans la mesure où 64 % des personnes interrogées se disent modérément ou très préoccupées par la sécurité de ces applications déployées sur une plateforme IaaS publique.

 

« Les résultats de cette enquête fournissent une vision sans filtre des défis auxquels les entreprises, les décideurs IT et les DSI sont confrontés en raison de la croissance exponentielle du recours aux clouds », a déclaré Jim Reavis, Directeur Général de la CSA. « Des applications personnalisées à l’infrastructure en passant par les équipes chargées de gérer tout cela, nous observons une évolution majeure dans la façon dont il convient d’envisager la sécurité, laquelle doit figurer au premier plan des priorités au moment de planifier les besoins de plus en plus complexes des entreprises. ».

 

Le fait que l’informatique existe, et les tendances qui y sont rattachées, n’a rien de nouveau. Cela fait maintenant des années que nous entendons qu’il faut bien trop de temps pour provisionner les serveurs et les infrastructures, et la demande en nouvelles applications est tellement forte que la plupart des services informatiques accusent des retards qui se comptent en semaines, voire en mois. Il suffit d’une carte de crédit et de quelques minutes pour provisionner une nouvelle infrastructure cloud, et les plateformes de développement cloud permettent facilement à tout un chacun ou presque de créer et utiliser des applications pour de petites équipes de travail. Tout cela a le potentiel pour aider les entreprises à gagner en agilité, à innover et à contribuer à répondre aux demandes qui attendent d’être traitées par les services informatiques.

 

Pourtant, un risque considérable pourrait naitre de cette situation. Si les équipes chargées de la sécurité des entreprises n’ont pas connaissance de ces applications (et c’est apparemment le cas si l’on en croit cette enquête de la CSA et de nombreuses autres enquêtes récentes), il n’y a aucun moyen de sécuriser et de contrôler ces données. Les entreprises doivent améliorer la traçabilité de leurs applications et de leurs données, afin que ces applications puissent être gérées et soumises à des contrôles en matière de risques de sécurité. Et il n’y a pas que les violations de données et le fait de sortir de la conformité réglementaire qui présentent des risques ; d’autres risques existent. Comment de telles applications, en particulier lorsqu’elles sont vitales aux entreprises, peuvent-elles être intégrées aux efforts en matière de plans de continuité et de reprise des activités (PC/RA) ? Elles ne le peuvent pas. Et elles ne le seront pas. Et il s’agit là d’un problème sans précédent si une interruption venait à se produire.

 

D’une manière ou d’une autre, les équipes de sécurité doivent découvrir comment « nettoyer » les cloud et faire sortir de l’ombre le Shadow IT.