In Sécurité

« Shadow IT » voilà un terme avec lequel vous n’êtes peut-être pas familier mais qui correspond à des pratiques qui ont probablement cours dans votre organisation. Dans cet article, je vous propose d’aborder cette notion à travers 6 questions… C’est parti !

 

Qu’est-ce que le Shadow IT ?

On peut parler de shadow IT (par traduction « informatique fantôme ») lorsque dans une entreprise des moyens informatiques (logiciel, matériel ou service IT) sont utilisés (par les directions métiers / les employés) sans approbation et/ou sans en informer la DSI (Direction des Systèmes d’Information). On parle là d’un phénomène multiformes.

 

Des exemples relevant du Shadow IT ?

  • Utiliser son adresse mail personnelle pour un usage professionnel.
  • Consommer des services de cloud publics (de partage de fichiers, de sauvegarde ou d’archivage par exemple) sans concertation et approbation de la DSI de l’entreprise.
  • Faire appel aux prestations de service informatique d’une entreprise qui n’est pas référencée ou autorisée par la DSI.
  • Connecter du matériel non autorisé par la DSI au réseau de l’entreprise.

 

Quels sont les risques associés ?

Ne pas être dans le radar des systèmes d’information de l’entreprise implique de ne pas se soumettre (volontairement ou pas) à la compliance de l’entreprise (en termes de politique de sécurité). Des données plus ou moins critiques se retrouvent donc isolées du reste de l’entreprise à travers ces pratiques et la confidentialité de ces données est menacée. Cette négligence peut mettre l’entreprise en danger. En outre, cela peut impacter sa notoriété et son attractivité.
Le shadow IT peut avoir pour conséquence une augmentation significative des coûts des SI due à un manque de coordination et de concertation des directions métiers. Par conséquent cela empêche de trouver un moyen de mutualiser les services qui peuvent l’être, et donc d’optimiser les coûts.

Lorsque ces pratiques s’intensifient dans l’organisation, il y a le risque qu’une part importante des ressources de l’entreprise soient consommées provoquant ainsi des effets de bord (sur la bande passante, des conflits réseau ou applicatifs, ou encore un ralentissement général du réseau…). Ces effets peuvent venir perturber les autres utilisateurs du système d’information de l’entreprise et nuire à leur productivité.

 

Qu’est-ce qui peut justifier le recours au shadow IT ?

  • L’impatience des directions métier à améliorer ses marges, ou à atteindre ses objectifs business par exemple
  • La rapidité de mise en place des services informatiques externes proposés et hébergés à l’extérieur de l’entreprise
  • Le prix d’un service ou produit qui peut être moins cher ailleurs que dans l’entreprise
  • La recherche d’un service innovant qui n’existe pas dans l’entreprise
  • L’exigence des utilisateurs à la recherche de solution de qualité (performante et favorisant la productivité)
  • Des fournisseurs de produits et de solutions qui s’adaptent pour faciliter l’accès à leurs services (via internet principalement). Aujourd’hui n’importe qui peut consommer un service sur le catalogue d’un fournisseur de cloud public par exemple.
  • Une DSI d’entreprise qui a du mal à s’adapter et se transformer avec les tendances du numérique
  • Un budget IT de la DSI qui peut être financé par les directions métiers (cela peut donner un certain pouvoir de décision et de liberté à celles-ci)
  • Des processus internes à l’organisation qui peuvent être lourds (notamment pour se procurer des services informatiques)

 

Le shadow IT, une ombre si sombre que ça ?

Pas vraiment, en fait il peut même (dans certains cas) favoriser l’innovation à condition d’évoluer dans un cadre réglementé par l’entreprise.

La concurrence du shadow IT versus les services de la DSI de l‘entreprise peut permettre à cette dernière de se remettre en question. La DSI se fait ainsi challenger. Le Shadow IT  constitue alors pour elle un défi à relever pour améliorer sa propre qualité des services IT dans l’organisation.

Cette « concurrence »  peut contribuer, lorsqu’elle est encadrée, à tirer les performances de l’informatique de l’entreprise vers le haut.

Faire usage des pratiques du shadow IT peut également être source d’apprentissage pour les employés (c’est aussi en expérimentant que l’on apprend). Les employés peuvent ainsi apprendre à leurs dépends que ces pratiques présentent des risques.

 

Comment éviter le shadow IT ?

 

  1. Compréhension et anticipation

Pour éviter la pratique du Shadow IT, le meilleur moyen demeure de comprendre les préoccupations et les besoins des métiers, le plus en amont possible. Le tout étant de pouvoir les anticiper et y répondre en offrant les services IT adaptés.

  1. Entourage

La DSI doit également savoir vendre ses propres services en interne quitte à acquérir ou s’entourer de compétences marketing et commerciales.

 

  1. Pédagogie

La pédagogie des employés à tous les niveaux de l’organisation reste aussi un bon moyen de limiter le shadow IT. En expliquant son rôle et ses missions sur le terrain, la DSI évite ainsi d’être remise en cause par les directions métiers et renforce par la même occasion sa position d’actrice incontournable des systèmes d’information de l’entreprise.

  1. Transformation

La DSI doit se transformer pour devenir centrale au niveau des fournitures de solution  innovante (parmi elles le cloud computing), tout en apportant plus d’agilité aux métiers en simplifiant les usages et les procédures. Elle doit également intégrer les pratiques du BYOD (Bring Your Own Device, phénomène qui consiste à utiliser son propre smartphone, tablette ou ordinateur pour se connecter directement sur les systèmes d’information (SI) de son entreprise) dans le SI de l’organisation.

 

  1. Mise en place de mesures

Mieux vaut prévenir que guérir ! Et à ce titre, mettre en place des mesures telles que :

  • Des mécanismes de détection de disponibilités des applications (et des droits d’accès aux applications).
  • Des mécanismes de détection des comportements et des activités utilisateurs nuisibles à l’entreprise (à travers des solutions de monitoring par exemple).
  • Des audits réguliers du SI et plus globalement de toute autre solution qui permette de sauvegarder les performances du réseau et les systèmes d’information de l’entreprise.

 

En conclusion

Pour conclure, nous pouvons dire que le SI des organisations doit être un vecteur d’innovation transverse au service de la productivité. Plus il sera en adéquation avec les besoins des employés moins le shadow IT aura de raison d’être. Cela nécessite d’avoir la capacité de capitaliser sur l’existant (communément appelé « legacy ») tout en ayant celle de s’ouvrir vers de nouveaux modèles plus agiles et ouverts, eux-mêmes synonymes de création de valeur et d’opportunité pour l’entreprise.

La mise à disposition des employés d’un portail de service informatique (en mode self-service) et d’architecture sécurisée de cloud privé et/ou hybride semble apporter le degré d’agilité dont les organisations ont besoin à condition de répondre aux besoins des utilisateurs et de leur assurer l’expérience utilisateur adéquate. Le modèle de cloud étant évolutif, il permettra aussi la création de nouveaux modèles de service qui évolueront avec.

Recent Posts

Laisser un commentaire

Contactez-nous

Vous avez envie de nous rejoindre ? Alors pourquoi ne pas prendre contact ?

Start typing and press Enter to search

BOOSTEZ VOTRE CARRIERE !

Découvrez comment valoriser vos compétences et développer votre employabilité.
DECOUVRIR LE GUIDE
close-link

Restons connectés 😉

Recevez le meilleur de l'actualité IT et d'ARTKeoS
S'ABONNER
close-link
Shares