Plutôt que d'essayer d'éliminer complètement le Shadow IT, le processus de reprise de contrôle commence par l'identification des applications non officielles utilisées dans l’entreprise sans l’accord de la Direction des Systèmes d'Information (DSI). Cette approche favorise une meilleure gouvernance et permet d'anticiper les problèmes potentiels.
Différentes méthodes et techniques pour détecter l'utilisation d'applications non autorisées sont disponibles, et elles peuvent varier en fonction de la taille de l'entreprise, du secteur d'activité et de la sensibilité de l'information traitée.
Dans cet article, nous détaillons ces méthodes, expliquons leur fonctionnement, et discutons de leurs avantages et inconvénients afin de vous aider à choisir la meilleure option pour votre entreprise.
Analyse du réseau
Une approche technique consiste à analyser minutieusement les flux de réseau, et plus particulièrement les flux HTTP et DNS, dans le but d'identifier l'utilisation d'applications Web (SaaS) qui sont externes à l'organisation.
Cette analyse est native à certaines plateformes spécifiques :
Les pare-feux applicatifs (NGFW) effectuent cette analyse et génèrent des rapports associés. Certains fabricants d'équipements, comme Palo-Alto et Fortinet, se sont distingués dans ce domaine grâce à leurs performances et leur expertise. Cependant, à l'ère du télétravail, il est important de noter que les flux de réseau d'une entreprise ne passent pas nécessairement par le Pare-feu d'entreprise et il est crucial de prendre en compte cette réalité lors de la mise en œuvre de ces dispositifs.
Les proxy ou CASB (Cloud Access Security Broker) sont spécifiquement dédiés à cette tâche. C'est particulièrement vrai pour les CASB qui, en plus de posséder des fonctionnalités d'analyse de l'utilisation des applications SaaS, offrent des fonctionnalités qui permettent de sécuriser leurs accès. Ces outils sont essentiels pour une sécurisation optimale des données et des informations sensibles.
Toutefois, l'analyse du réseau a ses limites. Par exemple, elle ne peut pas détecter les applications qui sont utilisées via des VPN ou des connexions proxy. De plus, elle peut ne pas être en mesure de détecter les applications qui sont utilisées sur des dispositifs personnels ou hors du réseau de l'entreprise.
Portail SSO
Un nombre croissant d'applications SaaS propose désormais une inscription et une authentification par l'intermédiaire d'un fédérateur d'identité, comme le démontrent les boutons omniprésents "Sign in with Google/Microsoft". Ces fédérateurs d’identités, lorsqu'ils sont associés à une adresse e-mail d'entreprise, référencent l'application source dans les "applications d'entreprise". C'est là une autre méthode pour détecter les applications SaaS.
Cette méthode offre un large éventail d'opportunités mais elle a aussi ses limites. La plus évidente est qu'elle ne permet de voir passer que les inscriptions réalisées via SSO. Cela signifie que si un utilisateur s'inscrit par un autre moyen, il ne sera pas détecté par cette méthode. Malgré cette limitation, elle reste un outil précieux dans notre arsenal de détection.
Inventaire des programmes installés
Les plateformes de gestion des postes de travail sont des outils particulièrement utiles qui permettent souvent de réaliser un inventaire détaillé des logiciels installés sur un ordinateur. Grâce à cette fonctionnalité, il est possible d'identifier la présence de certains logiciels, qui peuvent révéler l'utilisation d'applications SaaS qui proposent des clients natifs, comme Notion, Slack, entre autres.
Cela s'avère particulièrement utile pour découvrir l'existence de divers services. Par exemple, on peut détecter :
Les services de partage de fichier, qui sont essentiels dans un environnement de travail collaboratif. Des exemples notables incluent Google Drive et Dropbox.
Les applications de visio-conférence et de messagerie alternatives, qui permettent une communication efficace au sein de l'entreprise. Des options populaires incluent Discord et What’s App.
Les outils de productivité, qui aident les employés à organiser leur travail et à augmenter leur efficacité. Cela comprend des applications de calendrier, des listes de tâches à faire, des outils de prise de notes, et bien d'autres.
Dans un contexte où une telle plateforme est mise en œuvre au sein de l'entreprise, les systèmes de Détection et de Réponse sur les Terminaux, également connus sous l'acronyme EDR (Endpoint Detection and Response), peuvent s'avérer particulièrement utiles. En effet, ces systèmes peuvent non seulement détecter et répondre à diverses menaces potentielles, mais ils sont également capables de lister les applications installées sur les périphériques utilisateurs.
Cependant, l'inventaire des programmes installés possède une facette potentiellement invasive. En effet, cette méthode nécessite l'installation d'un agent sur les postes de travail des utilisateurs, ce qui peut être perçu comme une intrusion dans leur vie privée. Il est donc essentiel de communiquer de manière transparente avec les collaborateurs et de respecter les régulations relatives à la protection des données personnelles lors de la mise en place de cette méthode.
Analyse des transactions CB
L'utilisation d'une application SaaS implique souvent la souscription à un abonnement. Cette étape est généralement facilitée par le fait que les équipes opérationnelles, qui ont l'autonomie de souscrire à une solution SaaS, peuvent utiliser la carte de crédit de l'entreprise pour ce faire. (En effet, les prélèvements SEPA nécessitent un engagement plus important)
Ces transactions effectuées par carte bancaire peuvent alors être identifiées dans les relevés bancaires de l'entreprise. Il existe des plateformes qui exploitent cette source de données pour détecter l'utilisation d'applications SaaS. Ces plateformes, connues sous le nom de SMP (SaaS Management Platform), complètent cette analyse par une consolidation financière et des recommandations associées.
Parmi ces recommandations, on peut citer :
La réduction du nombre de "sièges" inutilisés sur un abonnement
La rationalisation des abonnements en doublon dans l'entreprise
Cependant, cette méthode présente une faiblesse majeure : elle ne permet pas d'identifier les applications gratuites, ni celles qui ont été souscrites avec une carte bancaire personnelle (ce qui peut se produire, par exemple, lorsque l'employé se fait rembourser par le biais de notes de frais). C'est donc une limitation à garder à l'esprit lors de l'utilisation de ces plateformes.
Exemple
Chez Freety, entreprise de 200 personnes qui utilise plusieurs applications SaaS pour ses opérations quotidiennes. Sur le relevé CB on remarque une facturation mensuelle de 80 euros sur la CB de l’équipe Communication.
La description de l’écriture CB indique "Trello Inc." Il s’agit d’un usage de Trello (gestion de projet) pour 8 utilisateurs.
Enquêtes collaborateurs
Il est également intéressant, voire essentiel, de demander directement aux intéressés quelles applications ils utilisent au quotidien dans le cadre de leurs activités. Loin de vouloir dissimuler cette information, ils peuvent fournir des détails précieux qui permettront de compléter une liste préexistante (construite sur la base des méthodes mentionnées ci-dessus) ou remplir un formulaire ouvert et détaillé.
C'est une opportunité inestimable pour recueillir des informations supplémentaires et approfondies, telles que le niveau de criticité de l'application, leur niveau de satisfaction concernant son utilisation, ainsi que l'identification du responsable de l'application.
L'enquête, pour être efficace et pertinente, peut être réalisée périodiquement. Une base annuelle semble être un échéancier raisonnable et gérable pour la plupart des organisations. De plus, un formulaire peut être intégré dans un processus permanent de collecte de données, permettant ainsi le recueil continu des nouvelles applications que les responsables métiers déclarent tout au long de l'année. Cela permettra de maintenir une vision à jour et précise de l'écosystème applicatif de l'entreprise.
Conclusion
Pour détecter le Shadow IT, plusieurs méthodes peuvent être utilisées : l'analyse des flux de réseau via des pare-feux applicatifs ou des proxies, l'inventaire des programmes installés sur les postes de travail, l'analyse des transactions bancaires, et les enquêtes auprès des collaborateurs. Chaque méthode a ses avantages et inconvénients, et le choix dépend de la taille de l'entreprise, du secteur d'activité et de la sensibilité de l'information traitée.
