Le shadow IT, bien que décrié par les directions informatiques, est un phénomène fort répandu, qui fait s’arracher les cheveux les RSSI. Lutter contre cette pratique est compliqué. Faut-il le combattre, au risque de se mettre à dos les directions métiers… ou l’accompagner ? Des solutions existent.
Le shadow IT pose de nombreux problèmes… le nier serait une absurdité. « Celui qui dit qu’il n’y en a pas dans son organisation est probablement naïf », fait valoir Cédric Cartau, RSSI du CHU de Nantes. Une étude du Ponemon Institute sur les « Défis de la gouvernance du cloud » datant d’octobre 2014 établit que 50% de services cloud sont déployés par des départements en dehors de l’IT, et que 44% des données corporate stockées dans le cloud ne sont pas managées ou contrôlées par les départements informatiques.
« Nous voyons le shadow IT dans toutes les organisations que nous rencontrons, dans le domaine de la santé, ou l’administration » assure Keith Poyer, VP EMEA d’Accellion, un CASB (Cloud Access Security Broker), dont nous allons parler plus loin. Une étude du Ponemon Institute sur la gouvernance du cloud, montre le phénomène suivant (cf. schéma) : Pour 37% des répondants, entre 26% et 50% des données stockées dans le cloud ne sont pas gérées par le département informatique.
Or, cette question pose celle de la valeur d’une information confidentielle pour une entreprise. Qu'est-ce qu'une information confidentielle ? Une donnée qu'il convient de ne pas communiquer.
Mais si la donnée a été communiquée, il n'existe plus ensuite de processus de retour en arrière. Une fois divulguée, il n'est pas possible d'effacer l'histoire pour retrouver l'état dans lequel l'information était initialement protégée. Une information volée peut être perdue, mais il n'existe aucun processus de récupération pour revenir à l'état dans lequel l'information n'était pas connue d'un tiers indésirable. C'est le premier point qu'il convient d'identifier en matière de conservation de la confidentialité, ou de la propriété intellectuelle. La marche arrière n'existe pas. La perte est irréversible.
La priorité en matière de protection consiste à classer les informations : publiques, internes, confidentielles, voire secrètes. Pour ces dernières, des mécanismes particuliers pourront être envisagés : ne pas les imprimer ou ne pas les faire circuler sous quelque forme que ce soit. « Eyes only » est un code parfois employé pour classer des informations à protéger. Ne laisser aucune trace, ne rien écrire, ou dire, pour les besoins supérieurs de secret. Ce qui n'est pas nécessairement simple.
Des personnes doivent être associées aux informations, avec des notions d'habilitation et de besoin d'en connaître, ou d'organisation des rôles, etc. Puis, des processus de contrôle et d'audit doivent être mis en oeuvre pour assurer le fonctionnement de l'ensemble et sa sûreté.
Protection des informations confidentielles…
Dans le cas des entreprises « ordinaires », les questions relatives à la protection de l'information ne sont pas nouvelles. Le marketing des fournisseurs ne donne pas le tempo des menaces : répondre à la dernière attaque ne permet pas de penser que les précédentes n'existent plus. Il faut donc prendre le sens d'un certain continuum d'actions. Sur ces bases, nous pouvons organiser la protection de l'information de nos entreprises. Ce n'est pas simple. Il faut prendre en compte le nouveau, sans oublier l'ancien.
Le contexte a-t-il pour autant changé ? Oui. D'une part la menace a changé de dimension et les éléments susceptibles de vouloir s'en prendre à nos intérêts sont plus nombreux.
D'autre part, l'organisation de nos systèmes bouleverse tout. Nous pouvons aller plus vite, plus loin et repoussons de nombreuses limites. Hier, nous concevions des schémas directeurs à 5 ans, des cahiers des charges de maîtrise d'ouvrage et cahiers de recettes. Puis, nous organisions des réponses à ces cahiers des charges et mettions en oeuvre des chantiers de maîtrise d'oeuvre pour répondre « au millimètre près » à toutes les exigences exposées (par l'architecte et derrière lui, le payeur). Et le faisions. Cela prenait des années et était finalement très confortable.
…dans un contexte de besoin accru d'agilité et de rapidité
Alors comment protéger une information confidentielle dans un tel contexte ? Car celle-ci existe toujours, naturellement.
Les systèmes doivent s'ouvrir pour répondre aux besoins d'agilité des entreprises et de réactivité. Aller vite, être réactif, entreprendre et protéger l'information peuvent être des composantes de l'action et de la sécurité : mais c'est antinomique. L'ouverture de l'IT dans les nuages est au coeur de ce paradoxe. Le partage des informations est donc un besoin pour les entreprises. Les outils facilitent beaucoup de choses : partage, échange, transmission et diffusion. Mais aussi perte de la gouvernance des systèmes.
Quoi de plus simple que de mettre un document sur Box, Dropbox, Google Drive ou One Drive et de le partager avec qui l'on veut dans le monde en inscrivant un simple email comme identifiant ? De tels échanges étaient réalisables avec des serveurs FTP il y a quelques années. Voire des envois d'emails si le volume des documents à échanger ne rendait l'opération infaisable. L'IaaS rend le partage désormais aisé et ne demande souvent pas d'authentification de quelque nature que ce soit.
Les échanges sont désormais devenus simples et ne comportent plus beaucoup de limites de capacités. Toute l'information de l'entreprise peut être partagée sans restriction. Tout document d'un disque dur peut être envoyé dans les nuages et partagé avec ses amis, relations… ou concurrents. Box, Dropbox, Google Drive ou One Drive, voire Instagram, sont utilisés tous les jours à la maison et les adolescents sont encore plus loquaces que leurs parents avec ces médias. C'est le phénomène du « shadow IT » : ce système aisé à mettre en oeuvre que chaque direction métier de l'entreprise peut utiliser sans en rendre compte à la DSI, qui, à son habitude, répond aux « métiers » avec des cycles de plusieurs trimestres, ou années de délai. Quoi de plus simple que de souscrire à une application SaaS pour quelques euros avec une carte de crédit personnelle, voire sans en informer l'entreprise ? La défense périmétrique de l'IT de l'entreprise n'existe plus. Il n'y a plus de gouvernance : ni par le DSI, et encore moins le RSSI. Mais, les informations sont alors quelque part, ou nulle part, ou qu'importe. Il faudrait juste pouvoir localiser les données : en France, en Europe, ou quelque part dans le monde ? Et quelle autre personne, en dehors de l'entreprise, peut-elle consulter les informations de l'entreprise publiées dans la nature ?
Alors, que faire ? Les salariés des entreprises doivent travailler et être productifs. La bonne volonté peutêtre source de catastrophes. « Je te passe le dossier sur la cession de la filiale informatique d'un groupe nucléaire français à une grande ESN française. Pour faire vite, je te donne l'adresse Dropbox où il y a tout. Dismoi ce que tu en penses, c'est un sujet de gestion de l'infogérance… » est une citation d'un consultant de « haut niveau » d'une autre filiale de cet industriel nucléaire de premier plan. Consultant pas très malin, mais cette citation n'est pas fictive… Elle est réelle et ne date que de 2013. Pourtant, le condamner ex-nihilo ne sert à rien si on ne propose pas une solution adéquate.
Pour Cédric Cartau « si un médecin gère des données sur Dropbox, c’est qu’il en a besoin pour son travail, il ne le fait certainement pas par plaisir. L’interdiction pure et simple ne sert à rien, car il y a un besoin métier. Il faut lui apporter une réponse claire qui soit satisfaisante en termes de sécurité, et qui corresponde à son besoin métier ». Comment l'entreprise peut-elle alors garder la maîtrise de ses informations ?
Reprendre la gouvernance de l'IT avec les Cloud Access Security Brokers
Il est tout d'abord important que la DSI de l'entreprise assure la gouvernance des infrastructures cloud utilisées : en France, aux Etats- Unis, ou n'importe où. Les données sont quelque part, et l'entreprise doit les maîtriser. Des systèmes de chiffrement, des HSM, et une gestion intelligente des clés, peuvent assurer une protection des informations. En matière de « data storage », la question n'est pas compliquée, sauf à faire l'hypothèse que l'AES 256 est cassé. Il suffit donc de tracer le partage des documents avec les tiers. Le partage d'informations correctement chiffrées sur les supports informatiques de la planète n'est pas un souci si la gestion des clés de chiffrement a été pensée, préalablement. Le chiffrement homomorphique (lire encadré) offre des perspectives intéressantes.
Plusieurs entreprises présentes lors des Assises de la sécurité début octobre ont montré des solutions intéressantes : Accellion, Elastica, Citrix, ainsi que Netskope. Ce sont les CASB (cloud access security broker). Ces solutions sont demandées. Elastica vient d'ailleurs de se faire racheter 280 millions de dollars par Blue Coat, pour un effectif de 200 salariés. « Nous avons les moyens d’étendre les fonctions d’un SOC (Operation Security Center) aux applications dans le cloud. Nous pouvons apporter aux RSSI la visibilité sur la réalité du shadow IT dans leur entreprise » assure Dominique Loiselet, directeur général de Blue Coat France.
Les technologies utilisées sont celles de la cartographie des documents en utilisant les modélisations mathématiques de data scientists. Il s'agit de détecter les anomalies grâce à l'analyse comportementale. L'une des techniques employées est celle de l'examen des logs du trafic sortant de l'entreprise. Ceux-ci permettent d'identifier les applications et les infrastructures de cloud computing utilisées par l'entreprise. L'établissement de mécanismes de contrôles au moyen de listes blanches permet ensuite de reprendre le contrôle des systèmes d'information. Cette technique de firewall est complétée par des systèmes d'interrogation des API des cloud service providers utilisés, AWS, Microsoft Azure, Google, etc. ou encore Office 365, par l'entreprise pour identifier les documents partagés avec des tiers.
Thierry Guenoun, chez Netskope, est très direct et cite une entreprise qui pensait utiliser 40 à 50 applications dans le cloud. Un premier examen lui montre qu'elle en a au moins 715. Un examen plus complet fini par en détecter 1 640. Il faut pour cela disposer d'outils d'exploration puissants. Netskope déclare aujourd'hui pouvoir explorer 9 à 10 000 applications cloud. « Nous permettons au RSSI de pouvoir contrôler les flux de données liés aux applications, et ainsi de savoir ce qui vient du shadow IT » explique Thierry Guenoun.
Accellion met pour sa part en avant ses solutions de protection et de partage d'informations confidentielles. Le travail collaboratif ne doit pas être refusé. Il doit être encadré. Les outils associés sont connus : les annuaires, la gestion des droits et des rôles, et, pour être efficace, les mécanismes de fédération d'identités pour transmettre les droits entre les applications.
Sans oublier les solutions complémentaires de protection du poste de travail et le DLP.
Ces systèmes ne sont cependant pas infaillibles. Des documents peuvent en effet être extraits du système d'information de l'entreprise, par exemple, au moyen d'une clé USB. Ils peuvent être copiés sur un équipement personnel (BYOD), PC, tablettes, ou smartphones, puis partagés avec toute sorte de personnes dans diverses infrastructures de cloud computing. Les solutions CASB ne détecteront alors rien. Les techniques de contrôle des postes de travail et les outils de DLP pourront en revanche apporter des réponses plus appropriées. Enfin, l'intérêt de la mutualisation des moyens chez les cloud service providers ne doit pas faire oublier les principes élémentaires consistant à garder des moyens propres. Dans les offres d'infrastructures cloud, l'IaaS, les notions de « dedicated cloud » doivent être conservées. Si le chiffrement avec des moyens robustes tels que des HSM répond bien à la protection des données dans les phases de transport et de stockage (data storage as a service, DSaaS), les traitements nécessitent une manipulation des données en clair. Une faille des moyens de cloisonnement (VM escape) ne permet alors plus de se protéger des clients voisins du même cloud service provider.
La solution consiste donc pour la fonction de calcul (Compute as a Service - CompaaS) à disposer de machines partagées avec aucun autre client. Toute la question qui se pose maintenant, selon Gaël Kergot (CipherCloud), est celle de la responsabilité. « Des entreprises ont mis en place des procédures de revue et de responsabilisation des métiers aux risques encourus » explique-t-il. « Le département métier qui installe une application déclare avoir été sensibilisé et s’engage sur le fait qu’il a compris, et accepte les risques ». La grande question demeure de savoir, en cas de problème, qui est responsable et qui paye. Et là, c’est un autre débat… ■
A lire pages suivantes :