Le Shadow IT, aussi appelé Rogue IT, est un phénomène de plus en plus présent au sein des entreprises. Mais savons-nous vraiment ce qu’est le « Shadow IT » ? Par le passé il était le fruit de l’impatience d’un employé souhaitant accéder rapidement à un logiciel ou à un outil web pour poursuivre son activité sans passer par la DSI ou les canaux IT de son entreprise.
Aujourd’hui l’expression désigne l’ensemble des systèmes d’information et de communication réalisés et mis en œuvre au sein d’organisations sans approbation de la direction des systèmes d’information. Mais cette tendance avec le développement du Cloud a pris une forme bien plus complexe qu’elle ne l’était au départ et devient pour les services IT un véritable problème de gestion des données. C’est pourquoi nombre d’entre elle commence à s’inspirer de ce Shadow IT pour créer par la suite un système d’information et de communication toujours en évolution et pourvoyant aux besoins des utilisateurs. Mais alors comment le Shadow IT est-il géré au sein des entreprises ?
L’application du Shadow IT
Le Shadow IT, de par la démocratisation du Cloud computing et de l’accès aux outils informatiques, s’est étendu aux appareils personnels utilisés par les employés dans le cadre de leur travail. C’est ce qu’on appelle la politique du BYOD ou « Bring Your Own Device ». Les technologies « invisibles » utilisées par les utilisateurs sont les smartphones, les clés USB et les tablettes. Côté applications se sont les messageries tels que Gmail, les services de messageries instantanées et Skype qui ont la part belle. On trouve aussi l’utilisation d’Excel en remplacement d’applications dédiées. En effet les services métiers ont parfois beaucoup de mal à identifier un logiciel ou une application pouvant répondre parfaitement à leurs besoins. Ils emploient donc Excel et les macros pour y répondre. À cela s’ajoute aussi les technologies de niche employées dans certains services et ne correspondant qu’à leurs besoins. Cette technologie peut d’ailleurs être prise en charge par un prestataire de services externe ou par un groupe interne, ce qui ajoute des coûts à l’entreprise. Le Shadow IT génère donc des processus officieux qui échappe à la visibilité, au contrôle et à la gestion du Service Informatique, mais entraine aussi des frais supplémentaires pour l’entreprise.
Les risques du Shadow IT
Le premier risque du Shadow IT concerne la sécurité des données. Selon Gartner, en 2020, un tiers des cyberattaques menées avec succès contre les entreprises prendront pour cible leurs ressources Shadow IT. En effet les logiciels et le matériel utilisés par une entreprise sont toujours vérifiés et validés par le département informatique mais ce n’est pas le cas de ceux utilisés par les employés eux-mêmes. De plus ces technologies peuvent perturber le travail des autres employés en consommant davantage de bande passante qu’une technologie interne et en confrontant les protocoles du réseau ou les applications avec ceux de l’entreprise. Enfin la conformité n’est plus respectée lorsque les utilisateurs utilisent des espaces de stockage gratuits tels que Google Docs, DropBox ou d’autres services EFSS pour stocker des données appartenant à l’entreprise. Il y a donc un risque de fuite de données en plus d’être un risque concernant la conformité aux règlements comme la RGPD. Ainsi le Shadow IT peut favoriser l’émergence de silos de données et peut conduire à la restriction voire l’empêchement de la libre circulation des données au sein d’une compagnie.
Le Shadow IT, favorable à l’entreprise ?
Malgré les dangers énoncés plus haut, le Shadow IT peut aussi s’avérer bénéfique pour l’entreprise. Tout d’abord, il y a un réel gain de temps à employer une application sans passer par le département informatique. En utilisant les technologies dont ils ont besoin sans permission, les employés peuvent donc augmenter leur productivité. De plus, le Shadow IT permet au département informatique de se concentrer sur d’autres tâches plus importantes.
En effet malgré les risques et les coûts encourus, 75 % des DSI, estiment, en France, que le Shadow IT est profitable à l’entreprise, puisqu’ils ne sont pas en mesure de répondre, rapidement, à tous les besoins des différents « métiers ». Enfin ce phénomène est une importante source d’innovation, de tels systèmes pouvant servir de prototypes pour de futures solutions officielles. Ainsi les collaborateurs par leur besoin de solutions rapides et efficaces permettent d’apporter de nouvelles idées pour faire progresser l’entreprise et son fonctionnement. C’est pourquoi prendre des mesures trop draconiennes contre le Shadow IT peut donc briser une dynamique d’innovation dans l’entreprise, au lieu de l’encourager.
Comment en tirer avantage ?
La question reste donc la suivante : comment la DSI peut-elle tirer profit de ce Shadow IT sans pour autant en subir les effets néfastes ? Bon nombre d’entreprise juge que le sujet nécessite une certaine attention avec des solutions adaptées à chaque cas de figure. Ce qui amène dans un premier temps à comprendre les raisons qui poussent les employés à employer des méthodes ou solutions dites non-conventionnelles, plutôt que d’automatiquement vouloir les interdire. Ensuite il s’agit « d’éduquer » les employés sur les dangers de ce système et de prendre, si besoin, des mesures préventives pour contrôler les applications qui n’ont pas été vérifiées ou acceptées par le département. De plus il faut que la DSI puisse distinguer le bon Shadow IT du mauvais, autrement dit qu’elle trouve un juste milieu où les employés puissent utiliser leurs solutions tout en étant surveillés par le département informatique, qui aurait aussi accès aux données. Il faut donc discerner des axes d’améliorations potentiels pour ainsi préserver une intention d’innovation tout en engageant la DSI à apporter rapidement une alternative sécurisée.
Au final le Shadow IT présente bien des risques mais qui peuvent être amoindris voire supprimés si la direction prend les mesures nécessaires. Étant une source d’innovation ce phénomène ne doit pas être mis de côté mais bien pris en charge et surtout gérer pour amener l’innovation au bout du chemin. C’est donc par ce suivi et cette prise de conscience que le Shadow IT pourra totalement se révéler et avoir un véritable rôle à jouer dans le futur des entreprises.