Stratégie

Le Ministère US des transports infesté par le shadow IT

L’ancien DSI du ministère US des transports, Richard McKinney, dévoile l'ampleur du shadow IT dans son ancien ministère

L'ancien DSI du ministère US des transports explique comment il a découvert le shadow IT dans les réseaux de l'organisation.

PublicitéDepuis son départ début janvier du ministère américain des transports (le DOT, department of transport), où il était DSI, Richard McKinney dévoile ce qu'il a découvert. En voulant migrer le ministère vers Microsoft Office 365, il a découvert des centaines d'équipements de réseau non autorisés, y compris de nombreux périphériques haut de gamme destinés au grand public. Il a été obligé d'alerter son ministre avant de lancer une opération pour « réarchitecturer » le réseau du ministère.

Il l'a vécu comme une précieuse leçon sur le shadow IT, qui pourrait servir à d'autres DSI cherchant à mettre à niveau et à consolider leurs systèmes. Richard McKinney devait initialement mener une mission de redressement au ministère, il a rapidement découvert une situation chaotique, avec des centaines d'appareils s'exécutant sans être détecté sur le réseau étendu. «Personne ne s'est posé pour réfléchir à un plan global pour le réseau du ministère.»

Richard McKinney s'est donc mis à en créer un. Il a engagé un intégrateur réseau, Decisive Communications, pour organiser le réseau du DOT et identifier les périphériques non autorisés. La technologie de Riverbed a permis d'analyser le réseau, et de rapidement trouver plus de 200 périphériques non détectés, plusieurs d'entre eux avaient les mêmes mots de passe qu'à leur sortie de l'usine.

Le personnel achetait directement sur Best Buy

Il n'était pas rare que les membres du personnel au ministère se chargent eux-mêmes de renforcer la capacité du réseau en local. Un service disposait par exemple d'un commutateur de 16 ports, en allant chez Best Buy (grande surface pour la vente de matériel électronique grand public) ils ont tout simplement acheté un nouveau commutateur pour accueillir des utilisateurs supplémentaires. « C'est typique, ils se tournent vers des produits grand public, alors que notre métier est d'acheter des équipements prêts pour l'entreprise », souligne Richard McKinney.

La découverte de tous ces dispositifs de réseau non autorisés a incité le DSI du ministère à faire une pause, à stopper toute opération nouvelle. Il avait suscité des inquiétudes évidentes quant à la sécurité des systèmes du ministère des transports. Après tout, si tous les points d'entrée potentiels fonctionnaient sur le réseau sans gestion centrale ni visibilité, il n'était pas déraisonnable de craindre que des acteurs malveillants n'eussent infiltré le système. De plus, en raison de la conception «plate» du réseau, un développement sans architecture globale, une intrusion dans un recoin à faible risque pouvait permettre l'accès à des zones plus sensibles et critiques.

La sécurité gravement en cause

« Une fois sur le réseau, il était facile de le traverser ». Il était évident que ces problèmes de sécurité étaient beaucoup plus importants que la seule question informatique. Richard McKinney a lancé une analyse approfondie du réseau et n'a trouvé aucune preuve que des données du DOT ont été compromises, mais il note que les intrus « ne laissent en général pas de trace ».

PublicitéRichard McKinney à lancé un projet de « réarchitecturage » du réseau avec l'introduction de contrôles plus centralisés et de segmentations plus claires pour isoler les systèmes des différents services au sein du ministère. Il a modifié les processus internes d'introduction de nouveaux équipements de réseau. «Nous avons également émis des notes expliquant à tout le ministère qu'il n'y aurait pas d'ajout d'équipement de réseau sans passer par un processus formel de gestion du changement, nous en avions un, mais les gens l'avaient ignoré ».

Article de Kenneth Corbin / IDG News Service (traduit et adapté par Didier Barathon)