Image de fond header

Shadow IT

Publié le

15/12/2022

par

Amélie .M

dans

Actu Tech

Accueil

>

Blog

On désigne par shadow IT – littéralement « informatique de l’ombre » – les systèmes d’information et de communication utilisés au sein de l’entreprise sans l’aval explicite de la direction informatique ou à son insu.  

Les 3 formes du shadow IT et les risques associés

Considéré comme inévitable par certains du fait du développement extensif du cloud, le shadow IT prend principalement trois formes qui, toutes les trois, induisent des risques pour la performance de l’entreprise, la continuité de ses activités, la protection de ses données et la capitalisation de ses connaissances.  

1/ Les espaces de travail « clandestins » dans le cloud

Le web regorge de services et d’outils auxquels les salariés recourent volontiers dans le cadre professionnel, d’une part, parce qu’ils les utilisent déjà à titre privé et, d’autre part, parce que ces services ont l’immense avantage d’être accessibles immédiatement, de partout, très faciles à utiliser et gratuits. Les plus utilisés sont :

  • Les solutions de stockage et de partage de fichiers (comme Dropbox)
  • Les services de transfert de fichiers (comme WeTransfer)
  • Les messageries instantanées et applications collaboratives associées
  • Les services gratuits d’e-mail, tellement pratiques pour disposer rapidement d’une adresse électronique supplémentaire et se connecter/s’abonner à des services non approuvés par la DSI.  

Se créent ainsi, dans toutes les entreprises, des environnements de travail parallèles et à géométrie variable où s’échangent des documents, des informations et des données qui appartiennent à l’entreprise. Le problème est qu’ils échappent à toutes ses règles de sécurité internes, à toute politique de sauvegarde centralisée et à toute capitalisation des connaissances, sans parler de la perte de confidentialité.

>> Que deviennent les données/informations stockées dans la Dropbox ou le Google Drive créé par un commercial ou un chef de projet lorsque celui-ci quitte l’entreprise ? Elles disparaissent avec lui, alors qu’il continuera, lui, à y avoir accès.  

>> Qu’advient-il des e-mails professionnels échangés via une adresse Gmail lorsque la personne qui l’a créée ne la gère plus ou ne fait plus partie de l’entreprise ? Quid des contacts attachés à ce compte ? Quid des pièces-jointes ? Plus personne n’a accès à ces données.  

>> Qui peut jurer que le Powerpoint « confidentiel » transmis aux membres du comité de direction via WeTransfer n’atterrira pas sur un ordinateur où il n’a rien à faire ? Il est si facile de copier un lien de téléchargement…

Bien sûr, parce que leur réputation en dépend, les sociétés qui fournissent ces services cloud ont toutes des procédures d’authentification rigoureuses et des protocoles de sécurité renforcés. Il n’en reste pas moins que leur utilisation sans l’aval de la DSI multiplie les points d’entrée incontrôlés et donc les risques de perte de données, voire d’intrusion dans le SI « officiel » de l’entreprise. Le problème majeur que pose cette forme de shadow IT aux entreprises est l’impossibilité matérielle de prendre la mesure exacte de l’ombre et, par conséquent, des données qu’elle recouvre et de la perte de valeur pouvant résulter de l’inaccessibilité de ces données. L’ombre en question est bien plus étendue que les DSI ne l’imaginent :

>> En 2017, d’après le rapport « Shadow IT France » de Symantec, les DSI estimaient qu’environ 30 à 40 applications et services cloud étaient utilisés dans leur entreprise. L’analyse des logs de connexion montre qu’en réalité, leur nombre était en moyenne de 1700 !  

On veut croire que l’écart entre la perception des DSI et la réalité des usages serait moindre aujourd’hui… Mais de nouveaux services apparaissent et disparaissent tous les jours ; selon leurs besoins, les utilisateurs les adoptent puis les délaissent. Cette variabilité rend toute cartographie exhaustive quasiment impossible et empêche la DSI de mettre en place un processus d’évaluation et d’approbation qui lui permettrait de préserver la sécurité globale du SI et de garder les données sous contrôle, tout en répondant aux besoins des utilisateurs.  

2/ Les applications métiers hors radar/non référencées

Une entreprise ne s’équipe théoriquement pas d’une solution métier sans mettre la DSI dans la boucle. Mais, pour échapper à la lourdeur des processus de référencement et d’achat en vigueur notamment dans les grandes entreprises, il n’est pas rare qu’un départements métier, une business-unit ou une filiale choisissent une solution SaaS -- un CRM, une solution de marketing automation, un logiciel de service client, … -- sans respecter toutes les règles et toutes les étapes.  

S’abonner à une applications SaaS est plus simple que jamais et la période d’essai gratuite permet de disposer très rapidement des fonctionnalités recherchées. Les équipes commencent à utiliser le logiciel, à l’alimenter en données. Tout a l’air de très bien fonctionner… jusqu’au moment où les utilisateurs rencontrent des incohérences, des problèmes d’intégration ou de synchronisation de données entre leurs différents outils… La DSI est alors appelée à la rescousse et doit faire le nécessaire pour intégrer correctement cet outil inconnu dans le système d’information ainsi que dans sa politique de cybersécurité.  

Cette forme de shadow IT se rencontre aussi dans les petites entreprises qui n’ont pas toujours en interne les compétences IT nécessaires pour évaluer les applications que les équipes/départements métier souhaitent utiliser. Combien de PME ont choisi un CRM semblant répondre à tous les besoins des équipes de vente et de marketing, avant de découvrir que l’accès à certaines fonctionnalités indispensables est facturé au prix fort ? Ou encore que l’intégration avec leurs autres outils métier est impossible ? Sans parler des cas de disparition pure et simple de l’éditeur lui-même et, avec lui, des données de l’entreprise trop confiante…

3/ Le support utilisateurs « informel »

Dans toutes les entreprises, les utilisateurs rencontrent des difficultés, ponctuelles ou récurrentes, dans l’utilisation de leurs outils informatiques/numériques. Ceux qui maîtrisent le mieux ces outils sont rapidement identifiés comme des « personnes ressources » par leurs collègues moins à l’aise qui n’hésitent pas à les solliciter en cas de problème. Aussi valorisant pour la personne qui rend ce type de service que pratique pour ceux qui en bénéficient, ce support de proximité informel est doublement problématique :

  • il détourne les collaborateurs qui remplissent ce rôle de leur véritable fonction dans l’entreprise et représente un coût caché, cette assistance se faisant au détriment de leurs tâches métiers et donc de leur productivité ;

  • il laisse la DSI dans l’ignorance des problèmes que rencontrent les utilisateurs dans leurs usages IT quotidiens. Si le support « officiel » ne reçoit pas de demande d’aide de la part des utilisateurs, la DSI pensera que tout va pour le mieux dans le meilleur des mondes. Elle peut alors être tentée de réduire la taille de l’équipe de support et, ce faisant, encourager involontairement le développement de l’assistance informelle que les utilisateurs en difficulté auront tendance à juger plus efficace que le support officiel.

On aboutit à un véritable cercle vicieux, tant pour la DSI, qui s’éloigne de fait des utilisateurs, que pour les équipes métiers, confortées dans l’idée qu’elles doivent se débrouiller par elles-mêmes. Outre le temps que certains collaborateurs y consacrent, l’une des conséquences de ce « shadow support » est précisément le recours à des solutions et à des ressources trouvées en ligne qui nourrissent la première forme de shadow IT que nous avons décrite.  

Pouvez-vous limiter le shadow IT ?

La réponse est oui. A défaut de pouvoir éradiquer totalement le shadow IT au sein de votre entreprise, il est tout à fait possible d’en contenir le développement, plutôt en s’attaquant aux « causes racines » du problème qu’en mettant en place un arsenal défensif et répressif. Voici quelques conseils pour garder la situation sous contrôle.

1/ Ne jetez pas la pierre aux utilisateurs !  

Si les utilisateurs ont recours à des outils non agréés par la DSI sans en informer celle-ci, c’est avant tout parce qu’ils en ont besoin dans le cadre de leur travail. Et s’ils le font, c’est probablement pour une de ces raisons :

  • Ils ne savent pas qu’ils ont accès à un outil équivalent dans l’environnement de travail mis à leur disposition.  
  • Ils jugent les outils proposés par l’entreprise moins pratiques ou inadaptés.  
  • Ils ont exprimé leur besoin, mais n’ont pas eu de réponse, du moins pas assez rapidement de leur point de vue…

Cela renvoie les DSI/départements informatiques aux questions suivantes :

  • Les utilisateurs sont-ils correctement informés et formés à chaque fois qu’un nouveau logiciel, service, fonctionnalité est disponible dans leur environnement ?  
  • Avons-nous suffisamment impliqué les utilisateurs dans le choix des outils que nous avons validés ?
  • Nos procédures de contact et nos délais de réponse sont-ils compatibles avec leurs contraintes opérationnelles ?
  • Comment prenons-nous en compte les nouveaux besoins qu’ils expriment ?
  • Les avons-nous sensibilisés aux problèmes de sécurité que pose l’utilisation d’outils non validés préalablement ?

On comprend que pour répondre « oui » à toutes ces questions, les services ou directions informatiques doivent non seulement mettre en place des moyens supplémentaires, notamment humains, mais aussi reconsidérer leur position par rapport au reste de l’entreprise. En tant que fournisseur des moyens de production dont toute l’entreprise dépend, en tant que responsable de la sécurité et de l’intégrité de ces moyens, la DSI ne peut pas vivre dans sa tour d’ivoire : elle doit être proche des utilisateurs de façon à connaître leurs problématiques, leurs usages réels et leurs besoins effectifs.

2/ Mettez en place un VRAI support utilisateurs

Si vos utilisateurs ne savent pas à qui s’adresser lorsqu’ils sont confrontés à une difficulté pratique (mot de passe invalide/oublié, accès refusé, besoin applicatif spécifique, export de données impossible, …), ils cherchent des solutions par eux-mêmes ou s’adressent à un collègue avec les conséquences que l’on a vues. N’étant pas au courant des difficultés qu’ils rencontrent, le département IT ne peut rien faire pour y remédier.  

La mise en place d’un support utilisateurs formalisé, clairement identifié et assuré par un ou des techniciens dédiés permet au contraire de :

  • canaliser et centraliser les demandes de support ;
  • identifier les problèmes récurrents pour y apporter une solution durable (technique ou via une formation), évitant de nouvelles sollicitations sur le même sujet ;
  • identifier certains besoins de formation ;
  • remonter les besoins émergents, et anticiper les réponses qui doivent y être apportées ;
  • faire de chaque demande/question l’occasion de transmettre aux utilisateurs des connaissances et les bonnes pratiques, afin d’accroître leur autonomie ;
  • libérer les autres membres du département informatique des demandes de support pour qu’ils puissent se consacrer à leurs tâches.

Il va de soi que ces bénéfices ne se concrétisent que si le support est facilement joignable (téléphone, e-mail, chat) tout au long des heures de travail et réactif, ce qui suppose d’adapter l’effectif de l’équipe de support au volume de sollicitations.  

3/ Développez la culture IT de vos collaborateurs  

Utiliser un ordinateur et des applications au quotidien ne fait pas de vos collaborateurs des experts en informatique. S’ils n’ont pas vocation à le devenir, ils doivent cependant maîtriser leurs outils et surtout comprendre les règles à respecter dans le cadre de l’entreprise. Si vous ne leur expliquez jamais pourquoi ils doivent utiliser des outils sûrs, approuvé par la DSI, ils continueront à en utiliser d’autres et à ouvrir des brèches de sécurité dans le système d’information de l’entreprise sans même en être conscients.  

Donnez- à vos utilisateurs les moyens non seulement de prendre leurs responsabilités, mais aussi de travailler et collaborer plus efficacement, grâce à un système d’information sûr et répondant à leurs attentes :  

  • Sensibilisez-les aux enjeux de la cybersécurité et de la protection des données.  
  • Expliquez-leur la raison d’être des règles et procédures qui leur sont imposées et des usages préconisés.  
  • Formez-les aux outils métiers et bureautiques qu’ils sont amenés à utiliser.
  • Et surtout, observez leurs pratiques et restez en permanence à l’écoute de leurs besoins !