Shadow IT : le nuage n’a jamais été plus nébuleux

L’informatique cachée continue d’échapper aux DSI. C’est l’évidence à laquelle le lecteur de l’étude consacrée au Shadow IT, réalisée par Symantec auprès des membres du Club des experts de la sécurité de l’information et du numérique (Cesin), est amené à se rendre.

Selon celle-ci, les DSI estiment à 30, voire 40, le nombre d’applications et services Cloud utilisés dans leur entreprise. En fait, il faudrait au moins compter avec près de 300 d’entre eux, pour une moyenne de près de 1 700, et maximum observé de 5 945. Des chiffres qui laissent rêveur.

Sans surprise, Google, Facebook, Bing, Twitter ou encore YouTube s’avèrent très présents. Les réseaux sociaux, moteurs de recherche et messageries sont très utilisées. Mais ce n’est pas tout, et il y a peut-être plus préoccupant. En volume de trafic, les services de partage de fichiers sont très représentés, entre OneDrive, Google Drive, Hightail ou encore WeTransfer.

Selon l’étude, moteurs de recherche, réseaux sociaux, services de partage de fichiers, et plateformes de vidéo en ligne représentent 88 % du trafic Web. On regrettera au passage que les auteurs de l’étude incluent là la vidéo avec le risque d’introduire un biais non négligeable dans la statistique. Mais également qu’ils ne précisent pas la part du trafic représentée par les services de partage de fichiers.

Et ce n’est pas le seul manque de l’étude : elle se penche sur les services et applications Cloud utilisés, mais sans faire de différence entre ceux qui le sont avec l’approbation de la DSI et ceux qui ne le sont pas. Et cela même alors que l’on imagine trouver parmi les membres du Cesin des représentants d’entreprises ayant adopté Office 365 avec OneDrive, ou la G Suite de Google, avec son Drive là encore.

Toutefois, la place occupée par Evernote, Hightail et WeTransfer, mais aussi Mega et Uptobox, risque de hérisser le poil de quelques responsables informatiques, de même que celle d’un Yahoo Mail.

On déplorera également que la taille de l’échantillon de l’étude ne soit pas précisée. Tout au plus apprend-on dans le communiqué de presse qu’un « certain nombre de membres du Cesin » a participé – le club en revendique « plus de 400 ». Il est donc difficile de juger de la représentativité les résultats par l’étendue de la population considérée. Ce qui n’implique pas qu’ils ne reflètent pas une réalité.

De fait, il y a un an, une étude de celui qui s’appelait encore Intel Security – redevenu depuis McAfee – indiquait que 39 % des services Cloud étaient commandés sans l’accord de la DSI. En mars 2016, Skyhigh Networks, éditeur d’une passerelle d’accès Cloud sécurisé (CASB), racheté depuis par McAfee, ne disait d’ailleurs pas autre chose.

Bien sûr, l’étude réalisée conjointement avec le Cesin est l’occasion pour Symantec de faire la promotion de son offre complète de sécurisation des accès Cloud, regroupant prévention des fuites de données (DLP), passerelle d’accès Cloud sécurisé (CASB), filtrage d’e-mail, et filtrage Web (SWG), construite notamment à partir du rachat de Blue Coat en juin 2016. Mais il n’est pas le seul à avoir fait le choix d’une stratégie intégrée en la matière.