Rationalisation des applications : la rencontre entre nettoyage quotidien et cybersécurité

La prolifération des applications représente l’un des principaux défis pour les équipes de production informatique. Chaque jour, des milliers d’applications doivent être gérées et prises en charge. Elles sont souvent non utilisées, présentes en double, en fin de vie ou non autorisées.

Selon une enquête récente, 48% des responsables informatiques en entreprise auraient à gérer plus d’applications que nécessaire. Le déploiement de correctifs et la maintenance d’applications sous-utilisées sont à l’origine de pertes de temps considérables, peuvent exposer à des risques de cybersécurité, et coûter des millions d’euros par an à une grande entreprise.

La multiplication des applications est un phénomène naturel pour une entreprise saine, en pleine croissance. Ses origines sont nombreuses : en raison de l’évolution constante  des besoins métiers des employées, de nouveaux logiciels, de nouvelles licences logicielles doivent régulièrement être mises en place. Les fusions et acquisitions provoquent également une multiplication des titres au sein du catalogue d’applications.  Enfin, l’absence de processus et d’une gouvernance suffisamment centralisées peut favoriser l’apparition d’applications en double ou non autorisées sur le réseau, lorsque par exemple des employés téléchargent leurs propres logiciels à l’insu de leur département informatique. Dans un tel contexte, les organisations peinent à éliminer les logiciels indésirables ou non utilisés de leur réseau.

Un bon entretien est un entretien régulier

La prolifération des applications est à l’origine de risques financiers, opérationnels et de cybersécurité pour les organisations. Les conséquences sont sensibles, notamment lors d’importantes migrations d’applications. De nombreuses organisations ne font face à ce problème que dans le cadre de projets d’envergure, comme par exemple la transformation des postes de travail.  

Pour qu’une entreprise soit en mesure de migrer vers une nouvelle plateforme, elle doit réaliser des tests approfondis afin de s’assurer que ses applications continuent de fonctionner comme prévu après la mise en place d’un nouveau système d’exploitation. Ce type de migration est comparable au déménagement d’une maison à une autre : il faut emballer l’ensemble des biens et les emmener ailleurs, un processus à la fois extrêmement coûteux et chronophage. 

Il est donc judicieux de d’abord ranger son domicile afin que seuls les éléments nécessaires soient transportés vers le nouveau lieu de vie.  De même, avant sa migration vers Windows 7 ou Windows 10, une grande entreprise, qui peut facilement avoir des milliers d’applications, doit les identifier et tester leur compatibilité avec le nouvel environnement.

La question de la vulnérabilité

Les logiciels non gérés présentent d’énormes risques de cybersécurité. Les entreprises doivent en effet gérer activement l’ensemble des logiciels de leur réseau (c’est-à-dire en réaliser l’inventaire, les superviser et les corriger), afin que seules les applications autorisées soient installées et puissent être exécutées. Elles doivent également faire le nécessaire pour que les logiciels non autorisés et non gérés soient repérés et ne puissent pas être installés ou exécutés. 

Les organisations souffrant de ce problème de prolifération n’appliquent vraisemblablement pas ce contrôle critique de sécurité, et autorisent donc l’intrusion de logiciels susceptibles d’aggraver leurs profils de risques.  En effet, si un logiciel en fin de vie ou non autorisé se retrouve dans le réseau à l’insu des équipes, la zone d’exposition exploitable par les cybercriminels en sera naturellement plus étendue. 

Un rapport publié récemment par Business Software Alliance (BSA)/IDC a permis de souligner le rôle important de la rationalisation des applications sur le plan de la cybersécurité. Il montre la corrélation entre le nombre de logiciels non autorisés et le risque que représentent les logiciels malveillants.  En effet, les cybercriminels tentent typiquement d’exploiter les failles découvertes au sein des logiciels.   Ils utilisent ces vulnérabilités comme passerelles pour exploiter des réseaux d’entreprises. Plus de 15 435 vulnérabilités auraient été découvertes en 2014 dans 3 870 logiciels, ce qui représente une hausse de 55 % sur 5 ans.

Comment résoudre le problème

La meilleure façon de lutter contre la prolifération des applications est de faire de leur rationalisation une étape incontournable du processus de « mise aux normes ». Cette rationalisation est essentiellement une méthode systématique permettant de distinguer les applications utiles ou non, et devant être éliminées ou remplacées.  La clé pour y parvenir est d’établir une stratégie générale afin de définir la bonne taille d’un portefeuille d’applications, et ensuite mettre en place un processus de gestion continue des nouvelles applications permettant d’éviter les doublons ou les déploiements remplaçant des versions déjà déployées.

Cette rationalisation est donc une opportunité pour les équipes de production de discuter avec leurs dirigeants, de comprendre leurs objectifs et de les aider à développer un portefeuille d’applications afin d’accroître leur capacité d’innovation et leur compétitivité.

Dans le cadre de ce processus, l’utilisation d’outils inadaptés s’avère problématique.  Une organisation réalisant l’inventaire complet des PC sur son réseau peut en effet être amenée à découvrir un environnement d’applications ressemblant à du « bruit » inintelligible. Elle se retrouvera ainsi potentiellement face à une liste contenant des centaines de mises à jour de Windows, ainsi que d’innombrables pilotes de périphériques, jeux et correctifs issus d’éditeurs tiers. Cette liste peut contenir tant d’éléments que, sans une longue analyse et une manipulation des données grâce à un tableur, ces dernières deviendront du « bruit » inutilisable en tant qu’inventaire d’applications.

La solution est d’utiliser un service de reconnaissance d’applications externe, afin de classer rapidement les logiciels, et produire une liste normalisée des applications et des logiciels. Pour être exploitable, cette liste doit contenir des informations sur chaque éditeur de logiciels et sur leurs versions. Seule une telle approche permettra aux équipes de cibler les applications devant être migrées, supprimées ou remplacées.

En conclusion, La rationalisation des applications peut être un processus difficile pour les organisations qui attendent le dernier moment précédent une migration, ou qu’un cybercriminel tente de pénétrer leur réseau pour agir. Plutôt que de rationaliser leurs applications chaque année ou à l’approche d’une transformation des postes de travail, les meilleures pratiques en matière d’Application Readiness recommandent de mener ce processus en continu et automatisé afin de gérer les applications tout au long de leurs cycles de vie, de leur acquisition à leur retrait.

Innovation / Alliance