Le Shadow IT, toujours une importante menace pour les entreprises
Une étude de la Cloud Security Alliance montre que près des trois quarts des décideurs IT ne savent pas combien d’applications non validées par la DSI sont utilisées dans leur organisation.
Les entreprises continuent de peiner à identifier précisément les applications et services utilisés par leurs collaborateurs, sans validation préalable de la DSI. C’est la principale conclusion de l’étude "Cloud Adoption, Practices and Priorities" de la Cloud Security Alliance (CSA).
Basée sur le sondage de plus de 200 DSI et RSSI du monde entier, cette étude fait ressortir un premier chiffre implacable : près de 72 % des sondés reconnaissent ne pas connaître le nombre d’applications et de services IT utilisés sans leur consentement – le fameux Shadow IT – et cela tant par des collaborateurs, sur leurs propres initiatives individuelles, que par des divisions entières, sous la houlette de responsables métiers. En fait, seuls 8 % des sondés affirment connaître le nombre de ces applications relevant du Shadow IT. Mais 20 % ne s’en préoccupent finalement pas.
Plus question d’ignorer le Shadow IT
Reste que les employés ne sont pas tous en froid avec leur DSI au point de la laisser dans leur noir. Les applications de partage de fichiers et de travail collaboratif, tels que Google Docs, Dropbox, ou encore Office 365, arrivent en tête des demandes (80 %), devant les outils de communication (41 %) et les réseaux sociaux (38 %).
Tirer profit des services Cloud qui supportent la croissance sans compromettre la sécurité et la gouvernance des données
Jim Reavis, PDG de la Cloud Security Alliance
A en croire Jim Reavis, co-fondateur et CEO de la CSA, les entreprises ont gagné en maturité et cherchent désormais à « mettre en place les politiques et les processus permettant aux employés de tirer profit des services Cloud qui supportent la croissance de l’activité, mais sans compromettre la sécurité, la conformité réglementaire, et la gouvernance des données corporate ».
Autrement dit, pour les entreprises, il n’est plus question d’ignorer le Shadow IT, ni de le mesurer, mais bien d’en prendre le contrôle : « C’est un problème qu’il n’est plus possible d’ignorer. Il y a tant d’applications et de services Cloud disponibles que les entreprises ne peuvent pas effectivement tous les bloquer ou les interdire ».
Reste que seuls 16 % des sondés disposent d’une politique des usages Cloud pleinement appliquée, contre 26 % pour une politique « partiellement appliquée », et 8 % pour une politique « pas appliquée du tout ». Plus d’un quart des sondés reconnaissent même ne pas disposer de politique clairement définie en la matière mais y travaillent. Et, 23 % des décideurs interrogés n’ont ni stratégie, ni projet d'en élaborer une.
Pour autant, Jim Raevis s’attend à ce que la gestion des identités et des accès gagne encore en intérêt courant 2015 au sein des entreprises. « Cela sera un composant clé des stratégies de sécurité Cloud », conclut-il.