Tribune Cyber Expert: Benoît Grunemwald ESET : Shadow IT : un nouveau risque pour les entreprises

Tribune Cyber Expert: Benoît Grunemwald                     mai 2016

directeur des Opérations - ESET France

 

IMG 8472

 

 

Shadow IT : un nouveau risque pour les entreprises

Au-delà du Cloud, les comportements liés aux nouveaux usages dictés par les RSE comme le BYOD et la pénétration des données non structurées via des messageries de dernière génération, participent au développement du Shadow IT.

En octobre 2014, une étude du Ponemon Institute sur les «Défis de la gouvernance du cloud» établit que 50% de services cloud sont déployés par des départements en dehors de l’IT, et que 44% des données «corporates» stockées dans le cloud ne sont pas managées ou contrôlées par les départements informatiques. Ce phénomène qui se résume sous l’appellation «Shadow IT» prend de l'ampleur : pour 37% des répondants, entre 26% et 50% des données stockées dans le cloud ne sont pas gérées par la société, ce qui veut dire qu’elles ne sont pas protégées par les outils du département informatique.

La priorité en matière de protection consiste à classer les informations par type de données : publiques, internes, confidentielles, voire secrètes. L'autre priorité consiste à définir les droits d’accès sur ces données internes et externes aux organisations. En d'autres termes, les entreprises doivent déterminer les autorisations pour chaque profil, indépendamment de leur position géographique. On croyait ces règles bien établies et respectées et pourtant il n'en n'est rien, et le shadow IT remet en cause une partie de cet édifice.

Si la facilité est souvent ce qui incite les employés d’une entreprise à avoir recours au Shadow IT, il faut prendre en compte la dissonance entre la demande faite au collaborateur d’être agile, sans que cela soit suivi et possible par les systèmes internes (métiers et DSI). Le cas le plus fréquent est le partage de documents sur des plateformes telles que Dropbox ou Google Drive, afin de les partager avec d’autres utilisateurs connus ou non de la société. Incontestablement, les métiers et leurs utilisateurs appréhendent différemment les outils numériques et les contraintes de leur évolution. Avec l'émergence du Shadow IT, l’efficacité dans l’exécution des tâches par les utilisateurs semble primer sur les règles de politique de sécurité, il revient à l’entreprise d’établir des priorités entre productivité personnelle et déploiement métier.

Lorsqu'un utilisateur confie ses données professionnelles à des services de type Dropbox, c’est un indicateur qu'il fournit concernant ses propres besoins. Il faut dès lors que les organisations en collaboration avec les métiers apportent une réponse satisfaisante en termes de sécurité.

Reste que le développement «d'usages non contrôlés» pose un réel problème aux Managers IT. Dans ces nouvelles conditions, comment l'entreprise peut-elle conserver la maîtrise de ses informations ? Malheureusement, la maîtrise et la sécurité ne sont dès lors plus garanties, au risque de se confronter à la justice. En effet, avec l’adoption du Nouveau Règlement sur la Protection des Données (RGPD), le cadre réglementaire devient plus exigeant en matière de traçabilité et d'intégrité (Lire sur ce sujet le Livre Blanc d’ESET).

Couts-CyberCrime

 

Altération, pertes, etc. génèrent aussi des fuites de données via un accès non autorisé. Les acteurs du «middle market» n'imaginent pas plus que les grandes organisations les difficultés rencontrées. Une prise de conscience via le nouveau règlement européen (RGPD) et d'autres paramètres vont s'effectuer afin de rendre compte de la valeur des données. En d'autres termes, il est important pour les DG et DSI de reprendre la gouvernance de toutes les données, et ce indépendamment de la taille de l’entreprise.

Une problématique Shadow IT étendue aux organisations du «Middle Market»

Certaines entreprises de taille moyenne pensaient trouver une solution «clé en main» en développant l'usage de leurs applications dans le Cloud. Mais combien d'applications tournent réellement chez leurs prestataires ? Permettre aux directions IT de reprendre le contrôle des flux de données liés aux applications et de connaître les «dégats» causés par le shadow IT constituent une priorité. Il ne s'agit pas d'interdire le partage des données mais de l’encadrer plus intelligemment.

Il existe des outils liés aux usages des annuaires et à la gestion des droits et des profils via des mécanismes de fédération d'identités. La DSI doit détecter puis accompagner l’usage du shadow IT en créant un cadre à son utilisation. Au-delà des process d'authentification et de contrôle des accès, il existe aussi des solutions et services de suivi des données et de leur cycle de vie. Alors quelles solutions adopter ?

ESET fournit une solution DLP via des mécanismes standards (filtrage devices type USB par exemple.). Avec la solution Safetica, ESET dispose de plusieurs modules comme celui sur l'analyse des flux de données. Ces analyses de flux concernent aussi les environnements Shadow IT et BYOD avec une prise en charge des données structurées et non structurées via du chiffrement par exemple. Il s'agit là de briques. Elles concernent le «Device control», les e-mails, la protection des applis (tag : traçabilité des données dans les applis).

L'approche ESET en DLP se schématise selon trois étapes :

  • Réaliser en interne chez le client un audit via un module technique

  • Installer le module DLP (agent)

  • Consulter les informations du module de supervision pouvant transmettre des données aux plates-formes SOC et SIEM.

Il s'agit pour nous de démocratiser le DLP en mode light en s'appuyant sur la solution Safetica. Un projet d'implémentation en DLP prend moins de 2 mois chez ESET. C'est une performance avec un facteur 10 comparé à d'autres offres.

 

BONUS: 

http://www.eset.com/int/about/about-eset/

 https://www.linkedin.com/pulse/lantivirus-nest-pas-mort-benoit-grunemwald?trk=hb_ntf_MEGAPHONE_ARTICLE_POST

 

 

 

Manish Gupta chef stratégie produit FireEye

Rencontre : à Manish Gupta chef stratégie produit FireEye

 

De passage à Paris pour présenter les résultats d'une enquête* sur les réponses après incidents menées auprès de DSI et RSSI, le chef de la stratégie produits de FireEye cherche a apaiser les inquiétudes des grands comptes européens sur l'usage de leurs données. Il n'exclut pas l'ouverture d'un SOC en région parisienne.

 

Pourquoi cette visite en France maintenant ?

Nous tenons un « Summit » ici à Paris cette semaine, annonçons la publication d'une enquête menée auprès de 200 entreprises Européennes par le consultant PAC.

 

Vous en profitez aussi pour organiser des rencontres plus discrètes avec des clients et des responsables européens je suppose ?

Oui c'est exact.

 

Qui avez vous vu ?

Des grands clients dans le domaine de la banque et de l'assurance. Nous avons aussi rencontré l'ANSSI.

 

Que dites-vous au entreprises européennes qui estiment que FireEye entretient trop de proximité avec certaines agences telles que la NSA ?

Je leur rappelle que nous sommes une compagnie américaine qui dépend de la réglementation US comme elles, dépendent du cadre réglementaire du pays européen où elles se trouvent. Je leur dis également que depuis des années, bon nombre d'entreprises situées en Europe mais aussi partout dans le monde travaillent avec des produits de compagnies comme Microsoft, Cisco… Enfin, je rappelle aux entreprises mais également à des agences européennes que les États-Unis comme bon nombre de pays européens doivent faire face à des cyber-menaces communes. L'identification récente du groupe russe APT28 en st une démonstration par exemple. Précisons que FireEye est ouvert aux propositions des organisations européennes pour accepter des contrôles sur ses solutions afin d'offrir toutes les garanties à ses clients européens.

 

L'une des problématiques majeures que rencontrent les CTO, RSSI et autres managers en cybersécurité concernent la classification des données. Quand FireEye disposera d'une solution dans ce domaine ? Une croissance externe pourrait-elle favoriser la stratégie de développement ?

Nous y travaillons. Une offre verra le jour l'année prochaine. En effet nous n'excluons pas l'idée d'un rachat. Nous regardons attentivement les start Up et autres entreprises expertes dans les solutions de sécurité « EndPoint » et en environnement « Cloud ». Nous pourrions envisager également comme nous le faisons déjà en Grande Bretagne et en Allemagne d'ouvrir un SOC en France avec une quarantaine de personnes pour son fonctionnement.

Propos recueillis par Jean Philippe Bichard

@cyberisques

 

Enquête Pierre Audoin Consultants menée auprès de 200 entreprises française de plus de 1000 salariés en Allemagne, France et Royaume Uni (cf Cyberisques.com).  

 

Pour en savoir plus sur la suite de cet article

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

 

 Fabrice Garnier de Labareyre (associé PwC) : « En cybersécurité, il faut toujours imaginer le pire et savoir sortir du cadre »

 Fabrice Garnier de Labareyre, associé PwC:
"En Cybersécurité il faut toujours imaginer le pire et savoir sortir du cadre"
« Nous développons chez PwC des outils spécifiques pour nous aider dans la réalisation de nos audits et évaluations. Aussi, nous avons développé un laboratoire de cyber-sécurité nous permettant de simuler des attaques externes chez nos clients, afin d’évaluer s’ils sont en capacité de détecter ces attaques et de mettre en place les dispositions techniques et managériales pour y faire face. Notre rôle est aussi d'aider nos clients à monter en compétences et en maturité pour mieux répondre aux cyber-attaques. Pour moi, trois points essentiels sont à prendre en compte face à la montée des cyber-attaques chez les grands comptes stratégiques : disposer de compétences humaines expérimentées, savoir mettre en place un reporting efficace notamment en gestion de crise, et anticiper intelligemment tout en sachant également sortir du cadre en cas de crise résultant d’événements inattendus. Au-delà des procédures et des plans, il faut disposer d’équipes solides ayant du flair, c’est-à-dire disposant d’une très bonne expertise et de capacités d’empowerment. Cependant, la priorité pour nos clients est aujourd’hui l’identification des données à risque afin de déterminer, dans un premier temps, quoi protéger. En effet, le problème est souvent l’uniformité dont on fait preuve : on veut tout protéger de la même manière. »
Propos recueillis par Jean Philippe Bichard  @jpbichard
Mandataire-social
Extrait du rapport « cybersécurité » du cabinet d'audit et de conseil PwC. 
  • La cybersécurité est un enjeu mondial toujours plus important :

Le nombre de cyber-attaques recensées en 2014 est en hausse de 48 % dans le monde, pour atteindre un nombre total de 42,8 millions d'incidents, soit l'équivalent de 117 339 attaques par jour. Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an. 
  • L’Europe  est en première ligne de ces attaques:

L’étude de PwC, réalisée en coordination avec les magazines CIO et CSO, démontre que c’est en Europe que les incidents de cybersécurité augmentent le plus fortement, avec une hausse de 41 % des incidents détectés en 2014. En Amérique du Nord, l’augmentation atteint 11 %, et 5 % pour la région Asie-Pacifique.
 
  • Un enjeu aux conséquences économiques considérables pour les entreprises :

Globalement, le coût annuel moyen attribué aux incidents de cybersécurité atteint 2,7 millions de dollars en 2014, soit une augmentation de 34 % par rapport à 2013. Les pertes de 20 millions de dollars ou plus ont quasiment doublé en 2014 pour les entreprises (+ 92 % par rapport à 2013). 
  • Pourtant, la cybersécurité est un enjeu dont les entreprises ont du mal à se saisir pleinement :

L’étude de PwC révèle que les budgets de cybersécurité sont en baisse en 2014, pour la première fois depuis 2010, avec un budget moyen de 4,1 millions de dollars, soit 4% de moins par rapport à 2013. « Les budgets de cybersécurité sont en recul, en particulier dans les secteurs de l’aéronautique et de la défense (-25 %), des technologies (-21%), de l’automobile (-16 %) et de la distribution et des biens de consommation (-15 %) », explique Philippe Trouchaud.
BONUS:
http://www.pwc.fr/cybersecurite-alors-que-les-incidents-augmentent-et-sont-toujours-plus-couteux.html

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires