Aller au contenu principal

DSI : Contre-culture – Nommez votre Mr anticloud

3 janvier 2012

Arnaud Alcabez

Un Mr anticloud ???

En tant que garantes du système d’information, les DSI sont responsables des données numériques de l’entreprise. Mais, avec l’explosion des services en ligne ou cloud computing, les utilisateurs peuvent directement contracter des services sur Internet. Au final, les DSI s’avouent impuissantes à cartographier l’utilisation des services qu’elles n’ont pas sur leur radar….

Cet état de fait crée plusieurs dangers. Le premier problème et sans doute plus le grave est l’impossibilité pour les DSI de vérifier les clauses contractuelles de chaque service en ligne qu’aura activé et validé les collaborateurs de votre entreprise. La plupart du temps, le contrat commercial sera automatiquement signé de facto au travers d’un simple écran d’acceptation des clauses contractuelles.

Pour vous donner toute la mesure de l’enjeu, je vous ai extrait une compilation du contrat d’un service en ligne très prisé, parmi d’autres, que des millions de collaborateurs (et sans doute les vôtres) utilisent tous les jours dans leur environnement professionnel :

  • Nous pouvons faire appel à certaines sociétés et personnes tierces de confiance pour nous aider à fournir, analyser et améliorer le service (y compris mais sans limitation…
  • Ces tiers peuvent avoir accès à vos informations…
  • Nous utilisons le service de stockage d’un autre prestataire cloud pour stocker certaines de vos informations…
  • Nous pouvons partager vos informations avec une application tierce avec votre consentement, par exemple lorsque vous choisissez d’accéder à nos services par le biais d’une telle application.
  • Nous ne sommes pas responsables de ce que ces parties tierces font de vos informations…
  • Nous divulguerons à des personnes extérieures à notre société les fichiers stockés […] et les informations vous concernant si nous pensons, en toute bonne foi, cette mesure comme nécessaire ou appropriée…
  • Nous conserverons vos informations aussi longtemps que votre compte sera actif…
  • Veuillez toutefois noter qu’il peut y avoir un délai pour la suppression des informations de nos serveurs et que des versions sauvegardées peuvent subsister après la suppression.
  • Notre société et notre prestataire d’hébergement conservent plusieurs sauvegardes redondantes de l’ensemble des données dans divers emplacements.
  • Vous, et non notre société, serez tenu responsables de la gestion et de la protection de l’ensemble de vos effets.
  • Notre société ne sera donc aucunement responsable de la perte ou de la corruption de vos effets, ou des coûts ou dépenses éventuellement associés à la sauvegarde ou à la restauration de tout ou partie de vos effets.
  • Nous nous réservons le droit de suspendre ou de mettre fin aux services à tout moment, avec ou sans motif, et avec ou sans préavis.
  • LES PRÉSENTES CONDITIONS ET L’UTILISATION DES SERVICES ET DES LOGICIELS SERONT GOUVERNÉES PAR LA LÉGISLATION DE L’ÉTAT DE CALIFORNIE. »

Remarquez que j’ai volontairement masqué le nom de la société dont proviennent ces clauses, et je vous sens déjà pris de l’irrésistible envie d’aller jeter un coup d’œil sur les clauses contractuelles des services vous utilisez. Mais comme c’est un peu tard, et que votre contrat est déjà signé, je vous propose de continuer à lire la suite de cet article…

Responsabilité dans le cadre de contrats emboîtés et chapeaux ? Conditions de garantie ? Confidentialité ? Localisation de vos données ? Droit à l’oubli ? Droit applicable ? Des notions bien vagues et pas forcément en faveur de votre entreprise, dont vous devrez plaider la cause en … Californie, dont j’espère que vous connaissez sur le bout des doigts le code du commerce très différent du droit français.

Le second problème est qu’en matière de sécurité des données de votre entreprise, vous avez mis le pilote automatique. En effet, comment réaliser un audit de sécurité des données si vous êtes dans l’incapacité de savoir ce qui sort de l’entreprise, qui exploite réellement les données ou même plus simplement où elles sont situées ?

Enfin, dernier problème, vous voici dans l’incapacité de prouver des besoins de projets pour vos métiers, ceux-ci ayant fini par trouver une solution alternative pour travailler. Par exemple, comment prouver l’utilité d’un service de stockage et de partage sécurisé en ligne pour votre entreprise, si tous vos utilisateurs échangent déjà des giga-octets de données entre eux sans avoir besoin de votre service ?

Afin de lutter efficacement contre cette dérive, il est grand temps de nommer votre Mr anticloud « sauvage(s) ».

Loin de ma pensée d’avoir un avis défavorable à l’utilisation des services de type cloud computing comme pouvait le laisser supposer le titre de cet article, vous aurez compris qu’il ne s’agit que de réappropriation des services et de valorisation du système d’information.

Comment doit-il procéder ?

1) Son premier défi consiste à identifier les services consommés par vos utilisateurs, en analysant les espaces hors de l’entreprise qui pourraient servir de support pour des informations stratégiques, commerciales ou confidentielles de votre entreprise. Par exemple, cela concerne des espaces de partage de fichiers en cloud, des services de publication ou des systèmes de communication riches avec des tiers. Il  pourra également faire le parallèle entre les services disponibles sur l’Internet et des services pouvant rendre le même usage que vous avez déjà dans votre catalogue de service interne.

Le diagramme ci-dessus montre qu’il s’agit déjà d’un travail préliminaire important au regard du nombre de services web disponibles pouvant être utilisés par vos collaborateurs. Il ne s’agit pas forcément d’être très exhaustif pour éviter de s’y perdre, mais de cataloguer les principaux logiciels en ligne pouvant être utilisés en partage peer-to-peer ou sous la forme de portails à orientation contributoire et sociale.

Une fois que vous aurez ciblé les services visés avec son aide, vous pourrez facilement extraire la liste des adresses IP publiques enregistrées dans les DNS Internet identifiant ces services sur Internet. Votre administrateur réseau devrait en tout cas savoir le faire…

2) Identifier les populations à risque. Tout le monde ne travaille pas sur des documents sensibles, et afin d’éviter d’avoir un périmètre trop large à couvrir, vous pourrez établir une liste adaptée des personnes à risque. N’oubliez pas qu’il ne s’agit pas de surveillance, ni de contrôle du contenu des échanges fait sur Internet. A moins que votre charte informatique soit durcie, la LCEN permet à vos utilisateurs de se servir des ressources de l’entreprise dans le cadre d’un usage privé. Donc, impossible de mettre en œuvre une solution de DPI (Deep Packet Inspection) ou d’analyser le contenu des trames SSL. Toutefois, si la LCEN protège la vie privée du collaborateur, elle n’en protège pas moins l’entreprise, car si l’utilisateur peut se servir de ces services pour son usage personnel, c’est dans un « cadre modéré ». Donc, sans aller jusqu’à analyser les trames TCP/IP de vos collaborateurs, l’identification des services utilisés, par qui, et une bonne idée de la dimension des volumes échangés devraient être suffisants pour disposer d’une collecte vous éclairant sur les déviances de vos collaborateurs vis-à-vis des services de cloud computing.

3) Il ne lui restera plus qu’à se rendre sur l’interface de votre proxy ou firewall d’entreprise pour y cibler le trafic recherché et réaliser sa collecte durant le temps que vous aurez choisi. Notez que si votre charte informatique n’est pas claire à propos des audits ou pire, inexistante ou caduque, une note d’information distribuée à vos utilisateurs et également imprimée et affichée à l’entrée des bureaux sera tout à fait indispensable. Sans rentrer dans les détails, vous pourrez les avertir sur l’étude en cours, les outils utilisés, et les limites de la recherche.

4) Une fois vos tableaux de résultats analysés, ciblez les utilisateurs ayant des usages des plus intenses et complétez d’une interview afin de comprendre les raisons qui les poussent à utiliser ces services en ligne. Ceci vous permettra de constituer un squelette de note de cadrage pour la définition du besoin. Isolez les usages (privés ou professionnels) et si vous disposez d’un logiciel en interne pouvant rendre le même service, essayez de savoir pourquoi celui-ci n’est pas utilisé.

5) Votre travail documenté et abouti, vous pourrez alors restituer vos résultats sous la forme d’un tableau récapitulatif des besoins, des services utilisés, des volumes, des risques encourus, et fournir une grille de solution pouvant de manière plus efficace répondre à ce besoin de l’entreprise, tout en remettant votre DSI au centre des décisions sur l’utilisation des services de type cloud computing.

Publié pour Cloud Magazine, Janvier 2012

 

Les commentaires sont fermés.

%d blogueurs aiment cette page :