(0)
Bonnes pratiques

Shadow IT et sécurité des données : de l’urgence de définir des règles d’utilisation

  • Julien Mousqueton
    Consultant Datacenter, Computacenter

Il est devenu naturel d’utiliser les services cloud car on y trouve tous les outils indispensables aux besoins internes des entreprises, de la messagerie aux programmes de comptabilité. Les salariés ont parfois pris l’habitude d’utiliser des logiciels dans le cloud pour continuer à travailler le week-end ou disposer de logiciels répondant mieux à leurs besoins. Par exemple, certains utilisent Dropbox ou WeTransfer pour le partage de documents. Le problème, c’est que l’entreprise n’a aucune maîtrise dessus. Lors de nos audits, les DSI nous annonce souvent qu’il n’y a pas de shadow IT au sein de leur société et dans 95% des cas, ils se trompent.

Le shadow IT est un souci car les fuites de données sont majoritairement dues à des erreurs humaines des utilisateurs et non pas à un malware. On a eu le cas d’une société dont un salarié avait partagé tous les fichiers comptables au lieu d’une facture pour un client. La priorité pour les entreprises est donc de sécuriser l’existant et de catégoriser les données publiques de celles sensibles pour chiffrer les données confidentielles.

Le cloud pose en effet la problématique de la sécurité des données avec des questions comme : comment est-ce qu’on récupère les données si l’on veut partir du cloud ? Que faire si le cloud devient défaillant ? Il y a l’exemple de WhatsApp, qui, dernièrement est tombé en panne. Ce n’est pas une application professionnelle mais cela montre que cela peut arriver.

Il est donc nécessaire de définir avec le RSSI une charte avec des règles d’utilisation du cloud au sein de l’entreprise, pour rappeler notamment que l’on ne partage pas le bilan ou la liste des clients, et d’utiliser des outils pour surveiller que ces règles soient respectées. Les solutions dites « CASB » – Cloud Access Security Brokers – permettent de contrôler qui accède aux données et ce qui est fait avec. Elles se connectent ainsi sur les portails des solutions cloud et en consolide les logins. Si quelqu’un ouvre un dossier sans y être autorisé, le fichier est illisible.

Le règlement général de protection des données, qui entrera en vigueur en Europe en mai 2018, est en ce sens une bonne chose car il met en avant la notion de la traçabilité de la donnée. Il va faire prendre conscience aux entreprises de la nécessité d’assurer la sécurité de leurs données et de déterminer qui en a la responsabilité, d’autant plus qu’il y aura un risque financier (jusqu’à 4% du chiffre d’affaires annuel ou 20 millions d’euros, ndlr) en cas de fuite de données. C’est important de lutter contre car elles influent sur l’image de marque et cela peut coûter cher.

Biographie

Diplômé en informatique à l’IUT de Reims, Julien Mousqueton a effectué ses études en Angleterre à l’Université de Teesside. Il a débuté sa carrière en tant qu’architecte Sécurité à la CPAM, avant d’occuper les postes d’architecte Datacenter et Technique chez Natexis Altaïr et au sein du Groupe Agrica. Julien Mousqueton a rejoint Computacenter en 2015 en qualité de consultant Datacenter. Il occupe actuellement le poste de responsable des offres Datacenter.

(0)

Commentaires (0)

Pas encore de commentaires

Commenter cette page

Votre adresse de messagerie ne sera pas publiée.