Cloud : recrudescence du shadow IT dans des proportions insoupçonnées

Selon une étude du Cesin et de Symantec, le Cloud multiplie les pratiques de Shadow IT. Une entreprise utilise en moyenne 50 fois plus de services cloud qu’elle n’en a recensés.

On savait que le cloud favorisait le shadow IT mais peut-être pas dans ces proportions. Selon une étude réalisée par le Club des experts de la sécurité de l’information et du numérique (Cesin) en partenariat avec Symantec, la part des applications et services cloud utilisées sous le radar de la DSI est impressionnante. Elle montre un écart considérable entre la perception et l’usage réel.

Alors que l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40, le rapport révèle une moyenne de 1 700 « apps » véritablement utilisées. Selon cet inventaire qui se base sur la collecte et l’analyse de logs anonymisés de pare-feu ou de proxy de grands comptes français, le minimum recensé par entreprise est de 287 solutions connues ou inconnues et le maximum de 5 945.

Workplace by Facebook s’impose sans être toujours le RSE officiel

Sans surprise, les moteurs de recherche, les réseaux sociaux, les plateformes de streaming vidéo et les services de partage de fichiers représentent l’essentiel du trafic (88 % du total ). Quand on zoome sur la catégorie des médias sociaux, Workplace by Facebook se classe à la troisième place alors que « des entreprises n’ont pas souscrit à ce service de manière officielle comme solution de réseau social d’entreprise (RSE) ». L’étude souligne l’usage largement majoritaire de Tumblr comme plateforme de blogging, ainsi que « l’emploi notable de Pinterest et d’Instagram en termes d’usage et de trafic. »

En termes de partage de fichiers, Google Drive tient la première place du classement par utilisateur. Dropbox n’arrive que cinquième, derrière Evernote. Si, cette fois, on considère le trafic web, on note la présence significative des services Hightail, WeTransfer, Mega et Uptobox dans le top 10.

Côté messagerie, Outlook, Google Mail ou Yahoo Mail sont en tête, « ce qui peut se justifier par l’autorisation donnée aux salariés de consulter leur messagerie privée au bureau », tempère l’étude. « En revanche la présence dans le top 10 d’outils de messagerie spécifiquement utilisés dans certains pays et d’applications d’automatisation d’e-mailing peut interroger. »

Le rapport rappelle que « l’utilisation même épisodique d’un service cloud peut suffire à compromettre la confidentialité de l’information ». Il note, par ailleurs, que « certaines applications peuvent avoir un caractère paradoxal avec le cadre professionnel, qu’il convient d’évaluer par chaque entreprise, tant en termes de légitimité que de risques. »

Pour face aux nouveaux enjeux du shadow IT à l’heure du cloud, le Cesin, qui regroupe des RSSI de grand groupes français, propose sept commandements. Le premier d’entre eux consiste à instaurer la confiance avec les utilisateurs qui « se servent aujourd’hui d’une myriade de services, le plus souvent gratuits, sans en référer à la DSI ».

Il convient ensuite « d’identifier et analyser les flux externes, de qualifier le risque et d’évaluer la criticité de chaque application avant d’engager une discussion avec les utilisateurs sur le plan des besoins fonctionnels et techniques. » Selon Michel Juvin, expert en cybersécurité et auteur de ces sept commandements, « le recours à un outil de monitoring de la sécurité des « apps » comme les solutions de type CASB (Cloud Access Security Broker) est devenu un impératif. »