On savait que le cloud favorisait le shadow IT mais peut-être pas dans ces proportions. Selon une étude réalisée par le Club des experts de la sécurité de l’information et du numérique (Cesin) en partenariat avec Symantec, la part des applications et services cloud utilisées sous le radar de la DSI est impressionnante. Elle montre un écart considérable entre la perception et l’usage réel.
Alors que l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40, le rapport révèle une moyenne de 1 700 « apps » véritablement utilisées. Selon cet inventaire qui se base sur la collecte et l’analyse de logs anonymisés de pare-feu ou de proxy de grands comptes français, le minimum recensé par entreprise est de 287 solutions connues ou inconnues et le maximum de 5 945.
Workplace by Facebook s’impose sans être toujours le RSE officiel
Sans surprise, les moteurs de recherche, les réseaux sociaux, les plateformes de streaming vidéo et les services de partage de fichiers représentent l’essentiel du trafic (88 % du total ). Quand on zoome sur la catégorie des médias sociaux, Workplace by Facebook se classe à la troisième place alors que « des entreprises n’ont pas souscrit à ce service de manière officielle comme solution de réseau social d’entreprise (RSE) ». L’étude souligne l’usage largement majoritaire de Tumblr comme plateforme de blogging, ainsi que « l’emploi notable de Pinterest et d’Instagram en termes d’usage et de trafic. »
Côté messagerie, Outlook, Google Mail ou Yahoo Mail sont en tête, « ce qui peut se justifier par l’autorisation donnée aux salariés de consulter leur messagerie privée au bureau », tempère l’étude. « En revanche la présence dans le top 10 d’outils de messagerie spécifiquement utilisés dans certains pays et d’applications d’automatisation d’e-mailing peut interroger. »
Le rapport rappelle que « l’utilisation même épisodique d’un service cloud peut suffire à compromettre la confidentialité de l’information ». Il note, par ailleurs, que « certaines applications peuvent avoir un caractère paradoxal avec le cadre professionnel, qu’il convient d’évaluer par chaque entreprise, tant en termes de légitimité que de risques. »
Pour face aux nouveaux enjeux du shadow IT à l’heure du cloud, le Cesin, qui regroupe des RSSI de grand groupes français, propose sept commandements. Le premier d’entre eux consiste à instaurer la confiance avec les utilisateurs qui « se servent aujourd’hui d’une myriade de services, le plus souvent gratuits, sans en référer à la DSI ».
Il convient ensuite « d’identifier et analyser les flux externes, de qualifier le risque et d’évaluer la criticité de chaque application avant d’engager une discussion avec les utilisateurs sur le plan des besoins fonctionnels et techniques. » Selon Michel Juvin, expert en cybersécurité et auteur de ces sept commandements, « le recours à un outil de monitoring de la sécurité des « apps » comme les solutions de type CASB (Cloud Access Security Broker) est devenu un impératif. »
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…