TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre Chief Marketing Officer de Brainwave
Shadow IT, la menace fantôme Une tendance irréversible mais pas dénuée de risques. Par Sébastien Faivre, Chief Marketing Officer de Brainwave Une carte bleue dans une main, un œil sur votre montre. Comptez trois minutes et votre application de marketing automation ou de collaboration est opérationnelle. La rapidité et la simplicité sont les deux facteurs qui expliquent la tendance du shadow IT, quitte à outrepasser les règles de gouvernance de l entreprise, Deux facteurs qui s opposent à des mois d attente et de discussions sans fin entre les utilisateurs et l informatique interne pour mettre en place des applications métiers. Un parcours du combattant qui a trop souvent raison des utilisateurs qui adoptent en masse des applications dans le cloud Sébastien Faivre est le Chief Marketing Officer de Brainwave. Il a passé plus de 20 ans dans la sécurité informatique. En ayant occupé différentes fonctions dans la R&D et le marketing produits, il a contribué au développement de nombreuses solutions : anti-virus, contrôle d accès, solutions d authentification forte et de solution d IAM. Sébastien a cofondé Brainwave en 2010 avec une vision simple : proposer aux entreprises des solutions pour réduire les risques de fraude et de fuite de données en assurant une conformité durable grâce à un concept innovant de gestion analytique des identités. L enquête IDC 2014 sur les budgets informatiques des entreprises menée sur une population de 120 directions informatiques, établit que 61% des projets informatiques sont aujourd hui financés par les directions métiers. 41% des projets se font sans la DSI Pour 23% de ces projets, la Direction Informatique bien qu informée, n est pas incluse dans la gouvernance des projets, et 17% des projets sont financés et mis en œuvre par les métiers, sans que la DSI n en soit informée. Source IDC 2014 Le destin des systèmes d information a toujours été entre les mains des directions informatiques, mais la consumérisation de l IT et la transformation numérique ont définitivement bouleversé le rapport établi entre la DSI et les «line of business».
Brainwave est un éditeur français, parmi les leaders mondiaux en analyse de la sécurité. Brainwave, avec IdentityGRC TM, fournit une solution clé en main pour l audit et le contrôle des droits d accès des utilisateurs du système d Information : comptes, accès, rôles, transactions, responsabilités... Grâce à Brainwave IdentityGRC TM, les entreprises réduisent significativement les risques de fraude et de fuite de données en s assurant en continu que les droits d accès aux informations sensibles sont parfaitement gérés. Contrairement aux solutions traditionnelles de gestion des identités, la solution Brainwave se met en place en quelques jours et couvre 100% des applications et des données. Une approche dénuée de risques? Selon le constat de Brainwave sur un panel de plus de 70 entreprises européennes, il apparaît qu en moyenne 15% des comptes utilisateurs sont orphelins. Ce chiffre dépasse le cap des 30% en ce qui concerne les comptes utilisateurs des applications cloud. Il s agit d un contexte préoccupant quand on constate qu en moyenne 4 employés sur 5 ayant quitté leur entreprise ont conservé leur accès à ces comptes. On perçoit le très haut niveau d exposition de l entreprise au risque de fraude, quand les employés conservent des accès actifs à des données sensibles en quittant l entreprise. Un risque incontrôlé de fuite de données 80% des entreprises ont au moins un ancien salarié dont les accès à des applications SaaS n ont pas été mises hors de service suite à son départ. Adallom 2014 Cloud RIsk Report Or il apparaît dans l étude 2014 Global Economic Crime Survey du cabinet PWC que la fraude en France est en augmentation. 55% des entreprises françaises ont été victimes de fraudes dans les 24 derniers mois. Le nombre de cyber-attaques recensées en 2014 en hausse de 48 % dans le monde. L étude révèle que le nombre d incidents déclarés a augmenté de 48 % à travers le monde en 2014, pour atteindre un nombre total de 42,8 millions, soit l équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ontprogressé de 66 % en moyenne par an. Globalement, le coût annuel moyen attribué aux incidents de cybersécurité atteint 2,7 millions de dollars en 2014, soit une augmentation de 34 % par rapport à 2013. Les grosses pertes financières ont été plus fréquentes cette année puisque les pertes de 20 millions de dollars ou plus ont quasiment doublé pour les entreprises (+ 92 % par rapport à 2013). Il n est pas surprenant que la cybersécurité et son impact financier continuent d augmenter année après année. Ce qui n est pas étonnant c est de voir que les entreprises sous-estiment encore de nombreuses menaces, comme par exemple celles provenant de leurs collaborateurs. Cependant, les budgets mondiaux dédiés à la sécurité de l information restent faibles et diminuent encore en 2014.
Les collaborateurs sont les premiers responsables des incidents de sécurité. Les incidents provoqués par les collaborateurs actuels de l entreprise ont augmenté de 10 % en 2014 par rapport à 2013, et représentent 35% des incidents de sécurité déclarés. Les incidents de cybersécurité attribués aux actuels et anciens fournisseurs et consultants extérieurs ont progressé respectivement de 15 et 17 %. La grande majorité des entreprises essaye de lutter pour identifier et contrôler le nombre croissant d applications cloud dans leur organisation. Selon une nouvelle étude du CSA (Cloud Security Alliance) plus de 70 % des DSI ont admis qu ils ne savent pas combien d applications cloud non autorisées sont ou ont été utilisées dans leur entreprise. Le recours «sauvage» au cloud représente un risque sécuritaire croissant. Il expose les entreprises à des risques importants de fuites de données, de violations de conformité et entretient potentiellement un contexte favorable à la fraude. Avoir des politiques de sécurité efficaces. Sur plus de 200 entreprises interrogées récemment, seulement 8% des répondants ont affirmé qu ils connaissaient le nombre d applications cloud utilisées par leurs collaborateurs, Source : 2014 CSA (Cloud Security Alliance) Tandis que des applications cloud contribuent à l augmentation de la productivité des collaborateurs, les entreprises doivent impérativement connaître quelles applications cloud sont utilisées, par qui et où les données sont stockées. LA GESTION DU RISQUE : LES RSSI ET LES IT RISK MANAGERS DE PLUS EN PLUS SOUS HAUTE PRESSION Il est impératif de développer des politiques de sécurité intégrant le paramètre Cloud. Tandis que ces services contribuent à la productivité des employés, les entreprises doivent savoir qui accède et à quoi! La définition, la communication et le respect d une charte d entreprise définissant précisément les règles pour que les informations sont contrôlées et protégées. Les Entreprises tentent de conserver le contrôle, c est un problème qu elles ne peuvent plus ignorer. Devant l offre pléthorique de services présente et à venir, on ne peut plus se permettre de simplement tout bloquer ou tout interdire. 1. Pour les entreprises il est temps de réformer les contrôles de gouvernance et de les adapter à la dimension du cloud, en fonction des besoins ou requêtes de utilisateurs. Il est indispensable que la Direction Informatique élargisse son rôle de gouvernance et s assure que si les utilisateurs utilisent le cloud pour résoudre des problèmes métiers, ils le font sans exposer l entreprise à des risques.
2. La DSI doit homologuer et approuver chaque service cloud en fonction de ses propres critères de sécurité et de gouvernance. 3. Les solutions de gestion des identités (IAM) sont incapables d étendre leur champs d action jusqu aux applications Cloud, La DSI et le RSSI sont par conséquent obligés de d effectuer, à minima, des opérations de contrôle et de traçabilité. Naturellement sans alourdir les processus, sinon retour à la case départ!! 4. Elles doivent superviser les accès et l utilisation du service de façon systémique et continue pour limiter au maximum les risques de fraudes ou de fuites de données. Un recours obligatoire à une gouvernance exogène A l instar de bon nombre d entreprises, on pourrait être tenté de régler le problème en interdisant et en bloquant les accès à tous services cloud. Mais cette politique aurait un impact négatif sur la productivité et la transformation numérique de l entreprise. Quand vous ne pouvez pas tout contrôler, vous devez exercer un contrôle maximal sur 4 briques essentielles : Ces quatre domaines sont essentiels et deviendront la fondation d un SOC de cybersécurité moderne et évolutif en réponse aux risques inhérents à un périmètre de défense classique mais aussi à ceux liés au shadow IT. Les RSSI, IT Risk Managers et chefs d entreprise doivent maintenant s assurer qu ils ont des relations fortes, des compétences, des ressources et des technologies adaptées dans chaque domaine. 1. Monitorez Le point de départ consiste à monitorer les services réseaux afin de détecter quelles sont les applications externes qui sont utilisées, par quels départements ou groupes d employés. Cette cartographie servira de référence afin d évaluer le contour du shadow IT de l entreprise 2. Evaluez les risques, homologuez et Amnistiez les coupables Toutes les applications cloud n induisent pas un niveau de risque identique. En partant de la cartographie Shadow IT, il devient possible d évaluer et de hiérarchiser le niveau de risque inhérent à chaque service. Il est alors nécessaire de bloquer l accès aux services à haut risque via l infrastructure existante (pare-feu, proxys, MDM, etc.). En établissant le contact avec les utilisateurs il sera possible de déterminer leurs besoins et leurs motivations à utiliser tel ou tel service. Certains cas seront évalués comme «besoin stratégique» d autres amèneront simplement la DSI à demander aux utilisateurs de cesser d y avoir recours. 3.Amendez la politique de sécurité En fonction des besoins recensés, la DSI sera amenée à homologuer les services répondant aussi bien à son cahier des charges de sécurité (mais aussi juridique et achats) qu aux besoins des utilisateurs. En édictant ensuite des règles spécifiques aux services cloud et BYOD, Il devient possible de mener une campagne d information et de sensibilisation aux risques vers les unités opérationnelles. En France, seulement 49% des utilisateurs affirment connaitre les règles ou conseils de sécurité relatifs au vol de données sensibles Afin de prévenir toute dérive dans le futur, il est indispensable de mettre en place une procédure pour rapidement inspecter/approuver/refuser de nouvelles demandes des utilisateurs.
4. Automatisez l audit et instaurez le contrôle continu «Comme de plus en plus d entreprises s engagent sur l utilisation d applications cloud, il devient certain que la gestion analytique des identités va s imposer comme élément clé dans les 2 années à venir. C est un composant important de la stratégie cybersécurité des entreprises» Maintenant la gouvernance d un tel système peut vite devenir vite compliqué, répétitif et fastidieux. D ordinaire, les audits de sécurité sont typiquement «des instantanés» disponibles de façon occasionnelle et qui reflètent rarement la réalité du contexte de sécurité opérationnelle «au fil de l eau». Ceci est dû à l effort en temps et aux coûts engendrés par un processus reposant sur : La collecte des données L analyse de l infrastructure, des dispositifs de réseau et des applications et des La revue et mise à jour les politiques et les procédures Plus le paysage IT conventionnel est complexe, plus important est l effort. Cette difficulté a naturellement un effet direct sur la fréquence et le niveau de détail des audits. Ajouter à cela les applications cloud et cela pourrait devenir mission impossible. Heureusement des solutions s imposent pour instaurer une gouvernance à 360. A l instar de Brainwave quia depuis l origine focalisé ses efforts sur la détection des situations à risque. La solution IdentityGRCTM est architecturée autour d un moteur d analyse en langage naturel qui permet de mener des analyses sur l ensemble des applications (off et on-premise), des personnes et des droits d accès. Pour cela, l ensemble de ces informations est consolidé dans un référentiel analytique global des personnes et de leurs droits. La structure du référentiel permet une navigation multiaxes au sein des données (personne, compte, Brainwave IdentityGRC TM permet de recenser, à tout moment, les utilisateurs du SI et de corréler ces informations avec ce qu ils peuvent faire sur les applications et les données, d historiser ce qu elles ont fait, et par conséquent application, organisation, permission,...) et d identifier les situations anormales ou à risque. de croiser les données afin d identifier les incohérences. Avec Brainwave IdentityGRC TM, on dispose enfin de la puissance d une solution de Business Intelligence au service de la sécurité et de la confidentialité des données. Contrôle continu et automatique Pour vous aider à vérifier l application de la politique de sécurité, Brainwave IdentityGRC TM automatise le contrôle continu des droits et des accès. Vous avez ainsi l assurance que vos données et vos actifs sont protégés. Grâce à ses algorithmes de détection automatique des situations anormales (tels que l identification des personnes qui sont les seules dans leur service à avoir accès à une donnée ou une application), Brainwave met en évidence les droits résiduels et les sur-allocations de droits. Brainwave IdentityGRC TM est un logiciel de classe «Identity Analytics and Intelligence». Il permet d identifier et de réduire les risques de fraude et de fuite de données.