01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

BYOD et Shadow IT vs DSI : comment concilier efficacité et sécurité informatique ?

byod shadow dsi sécurité informatique haas avocats

Par Stéphane ASTIER et Marine BONNEAUD

Shadow IT et BYOD ont le vent en poupe depuis de nombreuses années.

Parallèlement, la législation européenne s’organise pour compléter les dispositifs contraignants destinés à assurer la sécurité des données : obligation générale de sécurité et de confidentialité, concept de Privacy by design imposant la vérification de l’impact d’une technologie sur la vie privée avant sa mise en œuvre, obligation de réalisation régulière de tests d’intrusion etc. Les DSI, bientôt en lien direct avec leur Délégué à la protection des données (ou DPO), sont à pied d’œuvre pour apporter des solutions pérennes, conciliant les nécessités opérationnelles et les impératifs juridiques.

Mais de quoi parle-t-on au juste lorsque l’on parle de BYOD et de Shadow IT ?

Cela fait près de dix ans que le BYOD[1] (bring your own device) se répand progressivement dans les organisations de tous les pays. Les salariés utilisent aujourd’hui fréquemment leurs smartphones, tablettes ou ordinateurs pour se connecter directement sur les systèmes d’information (SI) de leurs sociétés. Cette première étape vers une plus grande flexibilité du travail a naturellement conduit au développement du Shadow IT. Les salariés des différentes directions métier ont ainsi spontanément commencé à utiliser des applications informatiques non homologuées par la direction des systèmes d’information (DSI) à des fins professionnelles. Concurrençant les départements informatiques, elles permettent aux employés de trouver des moyens simples et efficaces d’accéder ou de gérer les données professionnelles. Les dépenses de Shadow IT sont essentiellement consacrées à la sauvegarde de données, au partage de fichiers et à l’archivage.

1/ Des outils performants, peu couteux….

Si le BYOD et le Shadow IT sont plébiscités, c’est qu’ils présentent une multitude d’avantages. D’une part, ces dispositifs sont souvent bien moins couteux pour l’entreprise que les outils fournis par la DSI. Certaines plateformes sont même gratuites. D’autre part, ces instruments présentent à plusieurs égards une grande simplicité. Ainsi, alors que la DSI fournit un outil, parfois décevant, au terme d’une démarche souvent complexe et chronophage, il est au contraire particulièrement aisé de se procurer ou d’utiliser des applications SaaS (Software as a service) propres au cloud computing. Le maniement de ces dispositifs est d’autant plus facile que l’employé qui y a recourt les a déjà utilisés, ce qui lui permet de gagner un temps précieux. La performance de ces outils dans le traitement des tâches est également très prisée par les métiers, soumis à de fortes pressions en termes de délais et d’échéances.

Le Shadow IT vient donc renforcer la flexibilité du travail amorcée par le BYOD et concurrencer les DSI, dont le rôle est précisément de fournir des solutions informatiques adaptées aux activités de l’organisation.

Ces pratiques ne vont toutefois pas sans poser quelques difficultés. Effectivement, le BYOD comme le Shadow IT rendent les systèmes d’information vulnérables.

Les enjeux de sécurité et de responsabilité afférents sont ici particulièrement prégnants. Les entreprises, responsables de traitement(s) au sens de la loi, ont en effet l’obligation d’assurer la sécurité de leurs SI, à la fois afin de respecter la législation en vigueur (Cf. art. 34 de la loi informatique et libertés), mais également pour protéger leur activité, leur image, et la confiance que leurs clients leur portent.

 

  2/ …source d’une forte insécurité

  • Une plus grande vulnérabilité aux cyberattaques

Une des missions principales de la DSI est d’assurer la sécurité du système d’information de l’organisation. Or, d’après 88% des DSI interrogées[2], le BYOD et le Shadow IT augmentent la vulnérabilité des SI aux cyberattaques en les privant de toute maîtrise du niveau d’exposition au risque.

En effet, les cyberattaques sont de plus en plus fréquentes, et leurs conséquences de plus en plus lourdes. Selon une étude intitulée The Global State of Information Security® Survey 2016 réalisée par le cabinet d’audit et de conseil PwC, avec CIO et CSO, le nombre de cyberattaques recensées en 2015 a progressé. Le phénomène est accentué en France, l’augmentation s’élevant à 51%, soit 21 cyberattaques quotidiennes, alors que l’augmentation moyenne dans le monde est de 38%.

Cette étude s’est également penchée sur l’origine des attaques.  Les chiffres semblent étayer la thèse selon laquelle le BYOD et le Shadow IT en accroitraient la menace, puisque 34% des cyberattaques sont liées à l’action des employés actuels de l’entreprise. Si on y ajoute celles qui sont imputables à l’action d’anciens employés, on explique 62% des incidents.

Or, ces attaques sont particulièrement lourdes de conséquences pour les entreprises. Pour se protéger, elles augmentent les budgets alloués à la cyber-sécurité. Les entreprises françaises interrogées y consacraient en moyenne 4,8 millions d’euros en 2015, soit 29% de plus qu’en 2014, l’augmentation moyenne dans le reste du monde s’élevant à 24% en moyenne.

  • L’impossibilité pour les DSI d’assurer la sécurité des données

L’exigence de sécurité des données dont sont responsables les DSI est renforcée par le Nouveau règlement européen sur la protection des données[3]. Son article 32, intitulé « Sécurité du traitement », impose aux responsables et sous-traitants de traitements de données à caractère personnel de mettre en œuvre les mesures appropriées afin d’assurer la confidentialité, l’intégrité et la disponibilité des données traitées. Le concept de Privacy by design, également prévu par ce texte, impose ainsi de réaliser des études d’impact et autres test d’intrusions pour chaque technologie source de risque pour la vie privée.

Le responsable et le sous-traitant du traitement doivent donc faire leur possible pour garantir que toute personne agissant sous leur autorité et ayant accès à des données à caractère personnel respecte les instructions qui lui sont données. Il s’agit pour les DSI de contrôler l’accès aux données et d’assurer la sécurité et la réversibilité du stockage de données personnelles à travers la formalisation d’un Référentiel Sécurité complet, incluant notamment toute clause contractuelle nécessaire à la fixation de la chaîne de responsabilité. (Sur ce sujet, lire aussi : Maîtrise des risques informatiques et Solutions Cloud[4])

Or, le Shadow cloud, forme particulière de Shadow IT qui a trait au stockage des données, est d’autant plus dangereux en ce qu’il place les données hors les murs de l’organisation, dans une entité inconnue et insusceptible de surveillance. Sans vision centralisée et globale des outils utilisés par les employés, il est en outre impossible pour la DSI d’évaluer, et a fortiori de restreindre les risques informatiques : ils sont non seulement accrus mais aussi inconnus.

En fragilisant de la sorte le système de sécurité informatique, ces pratiques peuvent être à l’origine d’un risque accru de perte financière et menacent l’image de marque de l’entreprise. (Pour plus de détail : Sensibiliser l’entreprise au risque « Sécurité informatique »[5].)

Obstacles à la mission des DSI et concurrents de ses offres, le BYOD et le Shadow IT exercent ainsi une double pression sur les départements informatiques.

 

3/ Vers une coexistence pacifique …

Dans ce nouvel environnement, les DSI doivent s’efforcer de conserver la maîtrise des SI, tant sur le plan opérationnel que sur les plans sécuritaire et juridique. Pour ce faire, elles sont contraintes de se moderniser en s’adaptant à la concurrence des nouvelles pratiques.

  •  Formaliser les règles applicables dans un « Référentiel Sécurité »

Pour commencer, la DSI doit prendre appui sur des documents propres à l’aider dans sa mission. Ainsi, la mise en place d’un « référentiel sécurité » actualisé comprenant notamment des chartes SI et une politique de sécurité des systèmes d’information peut permettre de responsabiliser les directions métier[6].

La place du juridique est ici essentielle : c’est en effet sur la base de règles contraignantes[7], de processus protecteurs[8], de principes de bonne gouvernance[9] et d’une forte sensibilisation du personnel, que les DSI parviendront à contenir les risques induits par le BYOD et le Shadow IT

  • Proposer une meilleure offre d’outils informatiques interne à l’organisation

En ayant une meilleure connaissance des besoins des salariés, la DSI doit également tenter de matérialiser l’environnement de travail numérique (ou digital workplace). A ce titre, elle peut notamment proposer un app-store ou catalogue de services informatiques interne à l’entreprise.

Malgré l’inévitable concurrence du cloud externe, la DSI peut également mettre à disposition des employés un cloud interne. Sans nécessairement égaler les performances de l’offre externe, elle peut fournir un niveau de service et de délai qui satisfasse les salariés.

Outre le contenu de l’offre, le processus d’implémentation des outils informatiques devra être rationnalisé, encadré et contrôlé, sans pour autant retarder leur mise à disposition[10].

  • Accompagner les pratiques de BYOD et Shadow IT

Puisqu’il est quasiment impossible d’interdire le BYOD et le Shadow IT, les DSI doivent s’efforcer d’accompagner ces pratiques afin de circonscrire les risques qu’elles représentent, tant sur le plan juridique (Cf. a) ci-dessus, qu’au niveau opérationnel (Cf. b).

Cela suppose :

  • Premièrement, que les actifs acquis en mode SaaS, notamment pour la gestion des données sensibles, soient particulièrement sécurisés. Il en va ainsi des données traitées par les ressources humaines, mais également des données concernant les clients. La DSI peut, par exemple, procéder à une analyse et à la gestion des identités automatiques (IAI) afin d’assurer la traçabilité, mettre en place l’automatisation des contrôles, et garantir la sauvegarde des données.
  • Deuxièmement, que la DSI protège les performances du réseau. Il s’agit d’assurer le cloisonnement, logiciel ou physique, des données personnelles ou sensibles, mais également celui des données accessibles via le BYOD ou susceptibles d’être traitées ou stockées via le Shadow IT. Des protocoles de sécurité et un code de conduite peuvent utilement être élaborés en ce sens.
  • Troisièmement, que la DSI procède à l’analyse de l’offre d’applications susceptibles d’être utilisées par les employés de l’organisation afin d’établir la fiabilité de ces prestataires pour conseiller aux salariés d’en préférer un à un autre.

Avec l’entrée en vigueur prochaine du Règlement Européen du 27 avril 2016, les DSI devront directement associer à ces mesures leur Délégué à la Protection des Données (DPO), ou, lorsqu’il existe, leur Correspondant Informatique et Libertés (CIL). Cette association de compétences aura notamment pour vertu de faciliter la réalisation des opérations suivantes :

  • Actualisation / consolidation du Référentiel Sécurité comportant principalement :
    • La Charte Utilisateurs des SI et ses Guides pratiques de sensibilisation
    • La Charte Administrateur
    • La Politique d’habilitation
    • La Politique de gestion des Incidents liés aux SI
    • L’audit et la consolidation des contrats de sous-traitance
  • Réalisation d’une Etude d’impact
  • La programmation régulière de tests d’intrusion

Naturellement, les professionnels du droit spécialisés en nouvelles technologies trouvent ici toute leur place afin de fournir une réponse adaptée à ce besoin croissant de sécurité

 

Le Cabinet HAAS Avocats, spécialisé dans les nouvelles technologies, travaille ainsi auprès d’entreprises innovantes auprès des DSI depuis plus de 20 ans. Triplement labélisé par la CNIL, auteur de nombreuses publications en matière de cyberdélinquance, le Cabinet HAAS propose une typologie de prestations dédiées à la sécurité informatique :

– externalisation de la mission de CIL/DPO

– réalisation d’études d’impact et de test d’intrusions

– audit, consolidation formalisation du Référentiel Sécurité

– audit de traitements et mise en conformité « Informatique et libertés » etc.

 

Si vous souhaitez en savoir plus sur ces prestations, cliquez ici.

 

[1] Article BYOD : tous à vos chartes ! https://www.haas-avocats.com/actualite-juridique/byod-tous-a-vos-chartes/

[2] Étude réalisée par Tenable Network Security au Royaume Uni et en Allemagne

[3] Article Protection des données : publication du règlement européen https://www.haas-avocats.com/data/protection-des-donnees-publication-reglement-europeen/

[4] https://www.haas-avocats.com/actualite-juridique/maitrise-juridique-des-risques-solution-cloud/

[5] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

[6] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

[7] Par ex. si les dispositions de la Charte Utilisateurs des SI sont annexées au Règlement Intérieur de l’entreprise, leur violation pourra donner lieu à des poursuites disciplinaires.

[8] Cf. Notamment dans le cadre de la formalisation d’une politique de gestion des incidents liés aux systèmes d’information.

[9] Cf. par exemple, la formalisation de la Politique d’habilitation.

[10] Précisons enfin que le Cloud computing peut également représenter une ressource pour la DSI dans sa mission de sécurité. En effet, dans l’étude précitée, The Global State of Information Security® Survey 2016, 69% des répondants déclarent utiliser des services de sécurité basés sur le cloud pour protéger les données sensibles, les informations consommateurs et assurer le respect de la vie privée. De même 59% des répondants exploitent l’analyse des données comme levier d’amélioration de la sécurité. Ces usages prouvent bien l’ambiguïté des nouvelles pratiques, qui représentent tout à la fois des risques colossaux pour les entreprises et un potentiel d’opportunités infini (sur ce sujet lire https://www.haas-avocats.com/data/maitrise-juridique-des-risques-solution-cloud/).

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com