DSI, RSSI gardez le rythme, après le BYOD place au BYOC « Bring Your Own Cloud » (Pour consulter le Livre blanc du Cabinet sur le BYOD, cliquez ici). Contrairement au proverbe, il n’est pas certain que le BYOC apporte une éclaircie dans le paysage de la sécurité du système d’information. Cette nouvelle pratique compte parmi ce que l’on appelle plus généralement les « Shadow IT » (Pour une analyse imagée des « Shadow IT »). Cette expression désigne l’utilisation d’outils informatiques par les salariés en dehors du circuit défini  par le responsable de la sécurité du système d’information de l’entreprise et, partant, sans qu’il en soit informé.

Le BYOC en quelques mots

Cet acronyme désigne l’utilisation par un département, un groupe de travail ou un salarié pris isolément de services de Cloud Computing, public ou autre, dans le cadre professionnel à l’insu de la DSI ou du RSSI (utilisation d’applications en mode « SaaS » par exemple). Pour rappel, l’informatique en nuage est définie, par la Commission de terminologie et de néologie, comme un service de traitement de données accessible par l’Internet dans lequel le client ne sait pas où lesdites données sont stockées et traitées.

Cette utilisation peut être justifiée par un besoin métier. Selon une étude menée par la société américaine Stratecast, environ 80% des personnes interrogées reconnaissent qu’au moins cinq des applications utilisées dans le département où elles travaillent ou qu’elles utilisent personnellement pour les besoins de leur travail sont accessibles en mode « SaaS » sans avoir été approuvées. Ce chiffre traduit des besoins auxquels l’entreprise n’a pas apporté de solution adéquate.

Quels sont les risques du BYOC ?

Les données traitées dans le cadre du Cloud peuvent être personnelles au sens de la réglementation relative à la protection des données à caractère personnel. Elles peuvent également ne pas l’être. Aussi le BYOC soulève-t-il des questions que le BYOD avait soulevées en son temps. En effet, une problématique de sécurité générale du système d’information se pose une nouvelles fois puisque des données parfois stratégiques sont stockées sur des serveurs dont l’entreprise n’a pas connaissance. La perte de contrôle sur ces données est indéniable. Par ailleurs, un risque de perte des données ou de divulgations de celles-ci se pose de la même manière.

L’affaire ComRent International, LLC contre Palatini illustre bien ces enjeux (ComRent International, LLC v. Palatini, 2013 WL 5761319 E.D. Oct. 24, 2013). La société ComRent avait embauché un vice-président pour le département « Conception de produits ». Ce dernier avait alors surtout travaillé sur des questions liées à Experium, une société qu’il avait cofondée et dont il était actionnaire minoritaire. Le salarié avait créé un compte Google Drive pour le stockage et la consultation de l’ensemble de la propriété intellectuelle et des informations confidentielles à caractère commerciale de la société Experium. Il avait seul connaissance de l’identifiant et du mot de passe permettant d’accéder au compte Google Drive. Lorsque ComRent a engagé un bureau d’études pour évaluer les diverses options pour le futur d’Experium, le salarié a refusé de fournir l’accès à la propriété intellectuelle, croyant que ComRent souhaitait se l’approprier. ComRent a licencié l’employé et a dû engager des poursuites à son encontre afin d’obtenir l’accès au compte Google Drive contenant les dossiers Experium. Face à ces risques, les DSI doivent donc réagir.

Comment appréhender le BYOC ?

La vigilance semble être de mise car les données de l’entreprise peuvent potentiellement être disséminées en des lieux quasiment inaccessibles soumis à des risques de sécurité qui leur sont propres. Par conséquent, afin de ne pas être pris au dépourvu, on ne peut que préconiser au DSI ou RSSI d’intégrer le phénomène du BYOC dans leur politique de sécurité. Cette intégration peut notamment résulter de l’élaboration d’une liste de services Cloud autorisés par l’entreprise, du déploiement d’un service de Cloud interne à l’entreprise, du chiffrement des fichiers avant leur stockage dans un système de Cloud, etc.

Cette pratique traduit avant tout la nécessité pour la DSI de faire des recommandations aux acteurs métier de l’entreprise afin de pallier ce manque de communication.

Cet enjeu majeur doit être pris au sérieux par les entreprises et les administrations. Notre offre law2innovate peut vous permettre d’appréhender au mieux les différentes problématiques afférentes au BYOC. Pour en savoir plus, n’hésitez pas à visiter notre site destiné aux startups et aux chefs d’entreprises innovants : www.law2innovate.com.