Depuis plusieurs années, le phénomène du Shadow IT se développe au sein des organisations. Ces outils numériques qui existent sans l’aval de la DSI posent des problèmes, notamment de sécurité. Nous verrons en détail ce qu’ils sont, quelles sont leurs racines et quelles peuvent être les solutions pour les contenir. Cela étant, ils peuvent parfois induire des effets positifs pour l’entreprise.
Shadow IT : l’IT de l’ombre
Pour faire simple, il s’agit d’une forme « d’informatique parallèle » entièrement gérée par les métiers. Cela va du choix des solutions, l’achat de licences, le développement d’applications, la mise en œuvre et l’implémentation d’outils au sein des métiers sont totalement pilotées par eux-mêmes. Et surtout – point le plus important — ces installations sont faites sans aucune validation de la DSI. Cela reste des outils simples, développés à l’aide de plateforme low code ou no code par exemple. Les applicatifs se fabriquent facilement avec des logiciels du type Microsoft Power Apps. La page d’accueil incite clairement les métiers à créer leurs propres outils.
Les outils de la firme de Redmond sont d’une simplicité telle qu’ils peuvent être utilisés par n’importe qui. Et les services ne s’en privent pas. Selon la dernière étude du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), l’estimation moyenne d’applications cloud connues par entreprise est de 30 à 40. En réalité, le rapport de ces experts révèle une moyenne de 1 700 cloud Apps véritablement utilisées par entreprise. L’inventaire réalisé dénombre 287 solutions connues ou inconnues pour le minimum recensé par entreprise, et 5 945 au maximum. Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode Shadow, reste impressionnant.
Des griefs à l’encontre de la DSI
Si la DSI ne se montre pas comme un vrai partenaire des métiers, complètement au fait de toutes les problématiques. Alors les collaborateurs considèrent que les outils qui leur sont proposés ne répondent pas à leurs besoins. Ils jugent aussi que la DSI n’est pas assez réactive. Pour eux, elle comprend mal les besoins et les contraintes métiers donc ils pensent ne pas avoir d’autres moyens d’obtenir les données nécessaires à leurs missions. Enfin, la prise en main des outils comme Google Docs, Slack ou Dropbox s’avère simple, fluide et quasi instantanée. Ces applications se téléchargent en un clic et l’intérêt d’avertir la DSI de leur utilisation peut sembler « superflu ». Toutes ces raisons expliquent pourquoi le Shadow IT se développe et avec son usage, un cortège de risques qui pèsent sur l’organisation.
Une foule de dangers
Cet IT, non validé par la DSI, compte une multitude d’outils et de solutions qui vont venir interférer avec les systèmes de l’entreprise. Les risques de grosses pannes sont possibles à l’interface entre ces solutions et le SI de l’organisation, surtout s’il s’agit d’un gros ERP. Sans aller jusqu’à la panne, l’absence d’intégration technique des outils entre eux garantit une mauvaise circulation de l’information. Toujours au niveau du SI de l’entreprise, on assiste à une application aléatoire des processus. Le danger réside aussi dans la cybercriminalité qui s’intéresse sérieusement au Shadow IT. Les prévisions de Gartner estimaient pour 2020, qu’un tiers des attaques informatiques ciblerait le Shadow IT.
Mais une foule d’autres périls guette l’entreprise qui laisse progresser le Shadow IT. On peut citer la sécurité des données qui peuvent être volées, dispersées avec une perte d’informations ou encore une non-conformité vis-à-vis du RGPD. De plus, le coût de ces solutions peut se révéler plus élevé que les solutions agréées par la DSI. Plus anecdotiquement, on peut s’interroger sur la faible durabilité de ces outils qui deviennent très vite obsolètes. En cas de problèmes, l’image de l’entreprise sera écornée.
Comment contenir le Shadow IT ?
D’après une étude publiée par Entrust Datacard, 77 % des DSI sont d’accord pour dire que, d’ici 2025, l’informatique parallèle deviendra un gros handicap. Selon la dernière enquête menée par Check-Points et Dimensional Research, spécialistes de la cybersécurité, 95 % des entreprises ont signalé être confrontées à des défis supplémentaires. Notamment liés au télétravail qui demande un accès à distance pour les collaborateurs.
Pour enrayer le Shadow IT, la DSI doit reprendre le contrôle sur les outils, le matériel et les logiciels utilisés par leurs collaborateurs, en développant des correspondants au sein de chaque métier, afin de remonter les besoins. La relation entre la DSI et les métiers doit ressembler à un partenariat. Elle peut aussi apporter une aide fréquente aux équipes business dans la réalisation des projets. Enfin, l’équipe IT doit fournir une aide réactive sur les problèmes d’intégration des outils métiers entre eux et sensibiliser les collaborateurs sur les comportements à risque.
Le côté « positif » du Shadow IT est que le métier peut développer un petit applicatif pour un besoin très spécifique : un reporting adapté à son business, l’automatisation d’une petite partie de processus, etc. Il décharge alors la DSI qui peut se concentrer sur les projets les plus lourds. Cela ne dispense pas les métiers d’en informer la DSI. Ne serait-ce que pour assurer la maintenance et poser des garde-fous ?
Les sujets qui m’intéressent le plus sont liés à la transformation digitale et aux systèmes d’information.
N’hésitez pas à me faire un retour sur cet article ou à me contacter sur LinkedIn pour partager nos actualités!
Christophe