fotohansel-Adobe Stock

Secu

Alerte sur la prolifération du shadow cloud en entreprise

Par Jacques Cheminat, publié le 27 avril 2018

Le développement des applications cloud, en particulier gratuites, constitue une menace pour la sécurité des entreprises. Le Cesin alerte sur ce phénomène qui prend de l’ampleur.

Il y a la perception et la réalité du cloud comme le montre une étude menée par le Cesin (club des experts de la sécurité de l’information et du numérique). Avec l’aide de Symantec, l’association a collecté pendant plusieurs semaines les logs des pare-feux et des proxy. Les données ont été analysées et anonymisées pour établir un rapport sur les applications cloud utilisées.

Le résultat est sans appel. Selon la majorité des DSI, le nombre d’applications cloud activées dans leur entreprise est estimé entre 20 et 40. La réalité est toute autre selon l’étude. En moyenne, les entreprises comprennent 1697 applications cloud. Une moyenne qui voit le minimum s’affichait à 287 et le maximum 5945 applications en circulation.

Dans le détail, si on regarde par utilisateur ou par trafic, Google et Facebook détiennent la palme des services les plus utilisés. Au regard des dernières affaires de Facebook sur les données personnelles, les risques pour les données d’une entreprise ou d’un ciblage des collaborateurs sont réels. L’étude constate par ailleurs le développement des solutions gratuites de transfert de fichiers, de type We Transfer ou HighTail. Elles arrivent en 3ème position des applications les plus utilisées en entreprise. Là encore l’absence de contrôle amplifie le risque de fuite de données. Alain Bouillé, président du Cesin, n’hésite pas à parler « de principale calamité » en évoquant ces solutions de partage de fichiers. De manière plus épisodique mais bien présent, l’étude évoque l’usage de services comme Instagram et Pinterest, ainsi que de Tumblr pour la création de blog ou de streaming musical comme Deezer.

Le CASB devient une nécessité

Pour le Cesin, il est donc urgent que les DSI et les RSSI reprennent le contrôle de ces applications cloud utilisées à la sauvette. L’association donne des conseils pour éviter ce shadow IT comme par exemple renforcer la coopération entre les départements juridiques et achats pour assurer une sécurité en profondeur. L’éducation des utilisateurs est aussi primordiale, tout comme donner les moyens à la DSI de piloter l’infrastructure à travers des outils de CASB (Cloud Access Security Broker) afin d’inventorier les applications cloud non contrôlées. Une capacité qualifiée de nécessaire pour Alain Bouillé, qui avoue « jusqu’à une période récente, le RSSI était aveugle sur les usages des services gratuits ».

A l’heure du RGPD, cette étude prend tout son sens en constatant que l’obligation de sécurisation des données personnelles peut être mise à mal en passant par des apps cloud gratuites. Est-ce que cela signifie la fin de Facebook, Twitter, Google au bureau ? La réponse est évidement non, mais tout est une question de modération et de prise de conscience. Laurent Heslault, directeur des stratégies sécurité chez Symantec France, explique en guise conclusion, « le Shadow IT n’est pas une fatalité. Une première étape est de l’admettre et de l’identifier ».  

Dans l'actualité

Verified by MonsterInsights