Le danger du Grey IT en entreprise
Les confinements ont beaucoup changé nos habitudes de travail. Le télétravail est devenu quelque chose de plus courant qu’il y a tout juste un an.
Avec la mise en place de télétravail très rapidement, de nouveaux risques sont apparus. Aujourd’hui, je vous propose d’aborder le sujet du Grey IT.
Le Grey IT qu’est ce que c’est ?
Dans une entreprise, de manière classique, les applications utilisées sont référencées dans un catalogue de service.
Par exemple, si votre entreprise utilise Slack, le service bureautique le sait, et va configurer cette application de manière à ce qu’elle fonctionne aux normes de sécurité et de confidentialité de l’entreprise.
Mais avant même que l’application soit installée, elle est d’abord étudiée :
- Par le service juridique : Le but est de vérifier les conditions d’utilisation, pour voir si un usage pourrait porter préjudice à l’entreprise, comme le fait que les informations mises dans l’application deviendraient publiques ou n’appartiendrait plus à votre entreprise
- Par la sécurité : Le but ici est de contrôler la conformité de l’applicatif vis-à-vis des normes de sécurité de votre SI. C’est aussi analyser le code si nécessaire ou lancer des analyses (malwares, CVE connus, etc.).
- Par la comptabilité : Une application a toujours un coût, visible ou non (je reviendrais sur ce point), et il est important de voir si ce coût est acceptable par rapport à votre budget, ou si le besoin n’est pas déjà couvert par une autre application que vous possédez déjà
Le Grey IT c’est justement le fait de ne pas suivre ces process souvent perçus comme contraignants.
Pourtant, leur but est de sécuriser votre business, mais de l’extérieur, cela peut être vu comme lourd et lent. Typiquement, si on reprend mon exemple de slack, je peux avoir un besoin auquel slack ne répond pas aujourd’hui, comme le fait d’avoir un tableau blanc.
Du coup, pour répondre à mon besoin, je me créer un compte Gmail personnel pour exploiter Google Meet et partager des tableaux blancs avec mes collègues. Pas de souci, c’est gratuit !
Si c’est gratuit, c’est que vous êtes le produit
Mon exemple précédent est le cas que j’ai souvent croisé : j’ai un besoin, un produit gratuit y répond, je prends le produit.
Seulement voilà, le développement d’applications professionnelles ne s’improvise pas, et bien qu’il existe évidemment des solutions open source hébergées par ces mêmes communautés, cela reste aujourd’hui en marge de beaucoup d’autres applications qui ont les moyens d’être plus visibles.
Pour reprendre Gmail, Google n’est pas une association à but non lucratif. Leur business c’est vos données, votre utilisation, vos habitudes. C’est la manière dont Google gagne de l’argent en vous offrant un service gratuit.
Pour certains ça va être un modèle "freemium", comme Slack qui a une offre gratuite, mais qui montre vite ses limites en entreprise.
C’est pourquoi il faut bien étudier le modèle économique et la partie contractuelle avant de choisir une application, car cela peut parfois se retourner contre vous. Fournir des données sur votre business à une entreprise tierce peut :
- Être dangereux (par exemple au niveau des données RGPD)
- Permettre à cette entreprise d’exploiter cette idée à votre place
- Faire grandir cette entreprise sur votre charge de travail
Pourquoi c’est un danger ?
Utiliser des applications non référencées pose plusieurs soucis :
- Création de SI parallèle
- Ajout de risques de sécurité avec des applications "exotiques"
- Ajout de risques de confidentialité
- Augmentation du budget global, car plusieurs entités peuvent acheter des applications dont les besoins se recouvrent, mais à plus petite échelle, ne pouvant bénéficier de tarifications liées au volume. Cela signifie aussi avoir potentiellement plusieurs applications qui répondent au même besoin.
Je ne compte plus le nombre de fois où on m’a montré la nouvelle application à la mode et où en creusant un peu je me suis aperçu qu’elle était certes à la mode, mais absolument pas utilisable dans le contexte de l’entreprise actuelle.
L’exemple le plus flagrant à mon sens est le cas de Zoom. Cette application a eu un énorme succès au début du premier confinement, car elle répondait à de vrais besoins fonctionnels.
Toutefois, au niveau de la sécurité, c’était une catastrophe :
- Pas de chiffrement de bout en bout
- Zoom bombing: l’invasion de conférences par des externes qui du coup peuvent au mieux gâcher votre réunion, au pire rester discret et faire de l’espionnage industriel
- Des soucis de sécurité sur les postes utilisateurs permettant des élévations de droit
D'ailleurs nous en avions parlé en juin dernier dans le podcast de WeScale!
Ainsi, en suivant un process normal en entreprise, elle aurait simplement été refusée dans beaucoup (d’ailleurs Zoom est toujours bannie dans beaucoup d’entreprises), néanmoins, elle a été très utilisée, car exploitée sans suivre ces process pour répondre plus vite à un besoin.
En conclusion
Avoir de nouveaux besoins est normal en entreprise, toutefois il est important de suivre des process bien définis dans l’ajout d’une nouvelle application au sein de son SI.
Cela a pour but de sécuriser votre business et éviter de perdre simplement de la valeur.
De même, il est important d’avoir un inventaire à jour des applications utilisées et disponibles afin d’éviter l’ajout d’applications alors que les besoins sont déjà couverts. Souvent, les cas de Grey IT que j’ai vus venaient simplement de là.
Comments ()