La menace fantôme : la revanche des opérationnels contre la DSI

Nous connaissons actuellement une évolution rapide du volume d’utilisation des logiciels dans le Cloud (Saas) comme GSuite, Office 365, Teams, Slack etc… Et ce n’est pas prêt de s’arrêter, tant les logiciels en ligne deviennent performants, intelligents et redoutablement faciles d’accès.

C’est d’ailleurs ce dernier point qui pose problème : la facilité d’accès. Chaque collaborateur, chaque responsable de service, chaque manager peut souscrire à une offre de logiciel en ligne sans pour autant informer le département IT.

Prenons un exemple concret : le Directeur Commercial d’une entreprise a entendu parler de Salesforce. Il ne voit pas forcément l’intérêt d’en discuter avec la DSI car :

  1. “Je n’ai pas envie qu’ils mettent le nez dans mes chiffres de vente”
  2. “Si c’est pour nous mettre des bâtons dans les roues avec la compliance, c’est pas la  peine !”
  3. “Quel est le rapport entre la DSI et mon outil métier ?? ”

Mais ce Directeur Commercial veut mettre Salesforce en place, donc il souscrit et crée des comptes pour toute son équipe. Si la DSI est mise au courant, elle va lui proposer de mettre en place du SSO (Single Sign-On) pour faciliter l’accès au logiciel pour les utilisateurs et pour essayer “d’intégrer” Salesforce au périmètre de l’IT. C’est exactement ce que le Directeur Commercial va essayer d’éviter pour garder son indépendance, parce que, pour une fois, il peut gérer son logiciel en toute indépendance et sans être pénalisé par l’absence de réactivité de l’équipe IT.

Pour cela je vais vous donner 4 mesures clés pour rééquilibrer vos relations avec les utilisateurs et ainsi endiguer le shadow it .

En route pour le shadow it !

Qu’est-ce que le shadow it ? C’est la mise en place d’applications ou de logiciels par les collaborateurs sans passer par la DSI. Cela crée un no man’s land des logiciels et donc une brèche pour les cyberattaques !

“Le ver est dans la pomme”

Ça y est : un outil extérieur est entré dans l’entreprise, en dehors de tout contrôle de la DSI et entièrement géré par les opérationnels.

Salesforce est un bon exemple mais il y en a des quantités d’autres comme les logiciels du service marketing (Buffer, Mailchimp…), ou de la Direction Financière (Chart.io, Tableau…).

Mais alors quel est le problème ? Il n’y en a aucun, tant que les utilisateurs font partie de l’entreprise et que les managers gèrent correctement les droits d’accès.

C’est le turnover des collaborateurs qui va créer une faille de sécurité béante : les utilisateurs qui partent laissent derrière eux une myriade de comptes ouverts sur les outils métier, ce qu’on appelle les comptes fantômes.

Bien sûr, les processus sont plutôt bien établis à la DSI pour clôturer les comptes sur les systèmes piliers de l’IT : les comptes Active Directory, comptes mails et comptes de messagerie instantanée sont correctement clôturés. Mais il reste ces dizaines de comptes, répartis sur des dizaines d’outils qui restent ouverts pendants des mois voire des années après le départ des collaborateurs auxquels ils appartenaient.

Pour la DSI un autre aspect moins sécuritaire mais plus orienté coût entre en jeu : les dépenses logiciels non maîtrisées.
En effet, qu’est-ce que le directeur commercial a-t-il négocié ? Est-il conscient des enjeux de respect des licences ? Va-t-il maintenir à jour ses licences ? Et surtout quel est son engagement ?
Tout cela pèse dans la balance lorsque l’on sait que les dépenses liées aux licences et logiciels représentent 30 à 40% des coûts de l’informatique.
Il n’est pas rare de voir un collaborateur partir et sa licence continuer d’être facturée jusqu’à ce qu’un contrôleur de gestion ou une “revue de compte” révèle cette dépense inutile.

Ces logiciels non répertoriés des DSI

“La longue traîne”

C’est cette longue traîne qui est difficile à gérer pour les DSI : 20% des outils représentent 80% des comptes, ce sont donc les 20% de comptes restants qui sont répartis sur de nombreux outils, dans différents services.

Pourtant cette longue traîne représente un danger sur la sécurité informatique de plus en plus important. Un ancien collaborateur qui dispose toujours de ses accès à Salesforce a accès à la base de données à jour de prospects avec de nombreuses informations qualifiées et en fera bénéficier son actuelle entreprise (probablement un concurrent de son ancienne entreprise).

Un ancien stagiaire en marketing, s’il a toujours accès à Mailchimp (un outil d’emailing) peut envoyer un mailing aux 10.000 abonnés de votre newsletter avec le message qu’il souhaite. S’il est parti en mauvais termes, je vous laisse imaginer ce qu’il lui est possible de faire.

De même, en ayant toujours accès à la plateforme CMS du site web de l’entreprise, un ancien collaborateur peut modifier les pages de votre site web de manière imperceptible (en modifiant les liens, en ajoutant des pages profondes…) qui auront pour conséquence la dégradation de votre référencement, le détournement de trafic ou une détérioration de votre marque.

Comment se prémunir du shadow it ?

La meilleure méthode tient en 4 points :

1. Inventorier les logiciels et les comptes

Etablir une liste des logiciels utilisés (et la tenir à jour). Lister les comptes pour chaque logiciel, et à une fréquence adaptée, lister les utilisateurs ayant un compte. Il existe des solutions pour obtenir une vue globale des outils en place dans l’entreprise et d’automatiser les attributions de licences comme celle de Youzer.
Il peut être judicieux d’utiliser des outils de scan de sécurité ou des “sniffers” (comme Kismet, Wireshark …) pour analyser les flux de logiciels inconnus dans l’entreprise.

2. Rapprocher les comptes et les utilisateurs

Le point essentiel est de faire la réconciliation (en comptabilité on appelle ça le lettrage) entre les différents comptes et les utilisateurs issus des informations récentes RH. Cela permet d’identifier les utilisateurs qui sont partis mais qui ont encore un compte actif.
Cela vous fera nettement baisser vos dépenses logiciels et applications. Vous repérerez les comptes en double, les licences que l’on peut réattribuer à un nouvel utilisateur, les contrats mal négociés et même des applications ayant les mêmes fonctionnalités.

3. Accueillir le shadow IT

Toute réticence ou frein idéologique ou technique que vous exprimez devant les utilisateurs seront autant de raisons pour eux de ne pas vous informer de la mise en place du nouvel outil qu’ils ont découvert et qu’ils vont mettre en place de leur côté.

Ne blâmez pas non plus vos collaborateurs, ils n’ont pas voulu nuire volontairement à l’entreprise et ne critiquez pas leurs choix de logiciels, ils ont probablement leur raison.
Pour créer un cercle vertueux, sensibilisez-les sur les dangers d’une non maîtrise des applications par la DSI. Pour l’achat, simplement regardez les termes du contrat, renégociez-le s’il cela est possible et discutez-en avec ceux qui l’ont mis en place pour trouver un point d’entente commun. Un service peut trouver une application qui leur fait gagner beaucoup de temps sur certaines tâches et vous, vous pouvez le promouvoir sur le reste de l’entreprise pour un gain en productivité. Cette démarche serait très valorisante pour tout le monde. Votre réaction positive et compréhensive engendra une bien meilleure relation à la prochaine acquisition d’applications.

4. Dialoguez, échangez et mettez en confiance

Ne vous fermez pas lorsqu’un utilisateur vous fait une demande de logiciels. S’il vous le demande, c’est qu’il en a le besoin. Si vous avez des doutes, discutez avec lui de l’intérêt dans son travail, sur d’autres outils déjà en place pour arriver à un consensus.
Si vous refusez d’emblée un logiciel sans discussion il y a très, très fort à parier que l’utilisateur le mettra en place sans aucun contrôle de sécurité et de conformité.

“Soyez à l’écoute”

Vous souhaitez créer un climat de confiance ? Organisez des points réguliers avec les managers et décisionnaires afin de créer un dialogue. Vous pourrez les sensibiliser, leur exposer les conséquences de certaines actions et vos contraintes. Eux-même seront plus compréhensifs enclins à un échange ouvert.
Si durant ces réunions, il y a systématiquement une étude ouverte des différentes demandes logiciels, alors vos collaborateurs seront dans une démarche toute autre.

Tout ça s’applique aussi à d’autres domaines que les comptes d’accès : les badges de sécurité, les cartes bancaires de société confiés à des collaborateurs, les clés des locaux etc…

Et vous comment gérez-vous le shadow it dans votre entreprise ?

François Poulet CEO Youzer

François Poulet

Product manager

Categories: Cybersécurité

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close