On désigne par shadow IT – littéralement « informatique de l’ombre » – les systèmes d’information et de communication utilisés au sein de l’entreprise sans l’aval explicite de la direction informatique ou à son insu.
Considéré comme inévitable par certains du fait du développement extensif du cloud, le shadow IT prend principalement trois formes qui, toutes les trois, induisent des risques pour la performance de l’entreprise, la continuité de ses activités, la protection de ses données et la capitalisation de ses connaissances.
Le web regorge de services et d’outils auxquels les salariés recourent volontiers dans le cadre professionnel, d’une part, parce qu’ils les utilisent déjà à titre privé et, d’autre part, parce que ces services ont l’immense avantage d’être accessibles immédiatement, de partout, très faciles à utiliser et gratuits. Les plus utilisés sont :
Se créent ainsi, dans toutes les entreprises, des environnements de travail parallèles et à géométrie variable où s’échangent des documents, des informations et des données qui appartiennent à l’entreprise. Le problème est qu’ils échappent à toutes ses règles de sécurité internes, à toute politique de sauvegarde centralisée et à toute capitalisation des connaissances, sans parler de la perte de confidentialité.
>> Que deviennent les données/informations stockées dans la Dropbox ou le Google Drive créé par un commercial ou un chef de projet lorsque celui-ci quitte l’entreprise ? Elles disparaissent avec lui, alors qu’il continuera, lui, à y avoir accès.
>> Qu’advient-il des e-mails professionnels échangés via une adresse Gmail lorsque la personne qui l’a créée ne la gère plus ou ne fait plus partie de l’entreprise ? Quid des contacts attachés à ce compte ? Quid des pièces-jointes ? Plus personne n’a accès à ces données.
>> Qui peut jurer que le Powerpoint « confidentiel » transmis aux membres du comité de direction via WeTransfer n’atterrira pas sur un ordinateur où il n’a rien à faire ? Il est si facile de copier un lien de téléchargement…
Bien sûr, parce que leur réputation en dépend, les sociétés qui fournissent ces services cloud ont toutes des procédures d’authentification rigoureuses et des protocoles de sécurité renforcés. Il n’en reste pas moins que leur utilisation sans l’aval de la DSI multiplie les points d’entrée incontrôlés et donc les risques de perte de données, voire d’intrusion dans le SI « officiel » de l’entreprise. Le problème majeur que pose cette forme de shadow IT aux entreprises est l’impossibilité matérielle de prendre la mesure exacte de l’ombre et, par conséquent, des données qu’elle recouvre et de la perte de valeur pouvant résulter de l’inaccessibilité de ces données. L’ombre en question est bien plus étendue que les DSI ne l’imaginent :
>> En 2017, d’après le rapport « Shadow IT France » de Symantec, les DSI estimaient qu’environ 30 à 40 applications et services cloud étaient utilisés dans leur entreprise. L’analyse des logs de connexion montre qu’en réalité, leur nombre était en moyenne de 1700 !
On veut croire que l’écart entre la perception des DSI et la réalité des usages serait moindre aujourd’hui… Mais de nouveaux services apparaissent et disparaissent tous les jours ; selon leurs besoins, les utilisateurs les adoptent puis les délaissent. Cette variabilité rend toute cartographie exhaustive quasiment impossible et empêche la DSI de mettre en place un processus d’évaluation et d’approbation qui lui permettrait de préserver la sécurité globale du SI et de garder les données sous contrôle, tout en répondant aux besoins des utilisateurs.
Une entreprise ne s’équipe théoriquement pas d’une solution métier sans mettre la DSI dans la boucle. Mais, pour échapper à la lourdeur des processus de référencement et d’achat en vigueur notamment dans les grandes entreprises, il n’est pas rare qu’un départements métier, une business-unit ou une filiale choisissent une solution SaaS -- un CRM, une solution de marketing automation, un logiciel de service client, … -- sans respecter toutes les règles et toutes les étapes.
S’abonner à une applications SaaS est plus simple que jamais et la période d’essai gratuite permet de disposer très rapidement des fonctionnalités recherchées. Les équipes commencent à utiliser le logiciel, à l’alimenter en données. Tout a l’air de très bien fonctionner… jusqu’au moment où les utilisateurs rencontrent des incohérences, des problèmes d’intégration ou de synchronisation de données entre leurs différents outils… La DSI est alors appelée à la rescousse et doit faire le nécessaire pour intégrer correctement cet outil inconnu dans le système d’information ainsi que dans sa politique de cybersécurité.
Cette forme de shadow IT se rencontre aussi dans les petites entreprises qui n’ont pas toujours en interne les compétences IT nécessaires pour évaluer les applications que les équipes/départements métier souhaitent utiliser. Combien de PME ont choisi un CRM semblant répondre à tous les besoins des équipes de vente et de marketing, avant de découvrir que l’accès à certaines fonctionnalités indispensables est facturé au prix fort ? Ou encore que l’intégration avec leurs autres outils métier est impossible ? Sans parler des cas de disparition pure et simple de l’éditeur lui-même et, avec lui, des données de l’entreprise trop confiante…
Dans toutes les entreprises, les utilisateurs rencontrent des difficultés, ponctuelles ou récurrentes, dans l’utilisation de leurs outils informatiques/numériques. Ceux qui maîtrisent le mieux ces outils sont rapidement identifiés comme des « personnes ressources » par leurs collègues moins à l’aise qui n’hésitent pas à les solliciter en cas de problème. Aussi valorisant pour la personne qui rend ce type de service que pratique pour ceux qui en bénéficient, ce support de proximité informel est doublement problématique :
On aboutit à un véritable cercle vicieux, tant pour la DSI, qui s’éloigne de fait des utilisateurs, que pour les équipes métiers, confortées dans l’idée qu’elles doivent se débrouiller par elles-mêmes. Outre le temps que certains collaborateurs y consacrent, l’une des conséquences de ce « shadow support » est précisément le recours à des solutions et à des ressources trouvées en ligne qui nourrissent la première forme de shadow IT que nous avons décrite.
La réponse est oui. A défaut de pouvoir éradiquer totalement le shadow IT au sein de votre entreprise, il est tout à fait possible d’en contenir le développement, plutôt en s’attaquant aux « causes racines » du problème qu’en mettant en place un arsenal défensif et répressif. Voici quelques conseils pour garder la situation sous contrôle.
Si les utilisateurs ont recours à des outils non agréés par la DSI sans en informer celle-ci, c’est avant tout parce qu’ils en ont besoin dans le cadre de leur travail. Et s’ils le font, c’est probablement pour une de ces raisons :
Cela renvoie les DSI/départements informatiques aux questions suivantes :
On comprend que pour répondre « oui » à toutes ces questions, les services ou directions informatiques doivent non seulement mettre en place des moyens supplémentaires, notamment humains, mais aussi reconsidérer leur position par rapport au reste de l’entreprise. En tant que fournisseur des moyens de production dont toute l’entreprise dépend, en tant que responsable de la sécurité et de l’intégrité de ces moyens, la DSI ne peut pas vivre dans sa tour d’ivoire : elle doit être proche des utilisateurs de façon à connaître leurs problématiques, leurs usages réels et leurs besoins effectifs.
Si vos utilisateurs ne savent pas à qui s’adresser lorsqu’ils sont confrontés à une difficulté pratique (mot de passe invalide/oublié, accès refusé, besoin applicatif spécifique, export de données impossible, …), ils cherchent des solutions par eux-mêmes ou s’adressent à un collègue avec les conséquences que l’on a vues. N’étant pas au courant des difficultés qu’ils rencontrent, le département IT ne peut rien faire pour y remédier.
La mise en place d’un support utilisateurs formalisé, clairement identifié et assuré par un ou des techniciens dédiés permet au contraire de :
Il va de soi que ces bénéfices ne se concrétisent que si le support est facilement joignable (téléphone, e-mail, chat) tout au long des heures de travail et réactif, ce qui suppose d’adapter l’effectif de l’équipe de support au volume de sollicitations.
Utiliser un ordinateur et des applications au quotidien ne fait pas de vos collaborateurs des experts en informatique. S’ils n’ont pas vocation à le devenir, ils doivent cependant maîtriser leurs outils et surtout comprendre les règles à respecter dans le cadre de l’entreprise. Si vous ne leur expliquez jamais pourquoi ils doivent utiliser des outils sûrs, approuvé par la DSI, ils continueront à en utiliser d’autres et à ouvrir des brèches de sécurité dans le système d’information de l’entreprise sans même en être conscients.
Donnez- à vos utilisateurs les moyens non seulement de prendre leurs responsabilités, mais aussi de travailler et collaborer plus efficacement, grâce à un système d’information sûr et répondant à leurs attentes :