l'informatique de l'ombre le shadow it

Revenir aux Articles

Phénomène dangereux en entreprise : Qu’est-ce que le Shadow IT ?

Le Shadow IT désigne l’utilisation de technologies matérielles et logicielles par les employés de l’entreprise sans l’accord du département informatique. Découvrez tout ce que vous devez savoir à ce sujet.

Lorsque le traitement des informations de l’Entreprise sort de la connaissance et du contrôle régalien de la DSI (soit Direction des Systèmes d’Information), on parle de « Shadow IT » ou « Rogue IT ». C’est un danger largement sous-estimé par les entreprises, et dont la maîtrise ne s’est pas améliorée avec l’explosion des solutions de télétravail.  

Demandez donc aux DSI à quoi ressemblent les technologies de l’information dans leurs entreprises. Ils vont probablement citer un responsable marketing qui achète des licences d’un CRM plus ou moins connu en SAAS, un analyste métier qui télécharge des documents d’entreprise dans Dropbox. Ils parleront de ces développeurs qui utilisent des cartes de crédit d’entreprise pour acheter une infrastructure cloud auprès d’Amazon Web Services. Et se plaindre des commerciaux qui effectuent des présentations dans les salons, à partir de ses propres terminaux mobiles en utilisant des solutions web d’étudiants… Pour tous ces scénarios, le dénominateur commun reste le même : ces actions se passent sans la permission du DSI, et probablement sans même qu’il ne soit au courant. 

 

Les dangers du Shadow IT

Il y a quelques années, on dénombrait en moyenne 1500 applications sauvages et non sécurisées utilisées dans une entreprise, connues ou non des directeurs des systèmes d’information (DSI) et des responsables de la sécurité des systèmes d’information (RSSI). 

Évidemment, les interdire brutalement nuirait à la capacité de travail. Pourtant, ce sont autant de données qui se promènent dans la nature. Ces traitements de l’information, automatisés et non contrôlés, peuvent générer des données « officieuses », contrevenant aux standards et réglementations en vigueur : Sarbanes-Oxley, Bâle II, IFRS, ITIL, HIPAA, RGDP, TQM, etc. 

Cette vigilance doit s’imposer comme un chantier incontournable dans les entreprises : il est vital pour le DSI, avec le support du RSSI, d’encadrer ce type de services avec une protection des données de l’Entreprise et de ses Clients. 

 

Vous trouverez ci-après un florilège des cas les plus fréquents :  

  • Classeurs Excel comprenant des macros : Nous passons soudainement de la Bureautique au traitement de l’information, la plupart du temps via des employés « geek » ou au pire, de stagiaires qu’on ne reverra pas…  
  • Logiciels hors catalogue ; 
  • Solutions Cloud commandées directement par le Métier, las des « lenteurs » de la DSI qui a d’autres priorités ; 
  • ERP hors catalogue, qui couvre une activité de niche ; 
  • Exploitation de Systèmes décisionnels en exportation dans des classeurs Excel, avec des macros pour créer de la donnée ; 
  • Site web commandé par le Métier à une agence de communication et consommée en Cloud, sans aucun prérequis de sécurité ; 
  • Matériel informatique (mon PC personnel marche mieux que celui que me fournit la DSI …) incluant le BYOD mal encadré ; 
  • Projet sans appel à la DSI, incluant des informaticiens hors DSI, solutions réalisées au mépris des bonnes pratiques en vigueur, notamment en matière de tests, de documentation, de sécurité, de fiabilité, etc. 

 

De notre retour d’expérience, nous retenons deux axes majeurs pour encadrer ces pratiques, et faire en sorte que le périmètre de visibilité du DSI soit considérablement amélioré : 

  • Clarifier la responsabilité de la Bureautique dans la fiche de poste du DSI, 
  • Contractualiser en interne le niveau de responsabilité délégué par le DSI à chaque Métier, ce qui n’exclut pas le contrôle 

 

Que faut-il faire ?

La difficulté réside dans la conduite du changement, à la fois pour le DSI et pour les Métiers. Le DSI a pour mission de faciliter la vie des Métiers, tout en conservant sa fonction régalienne et avec des moyens limités. Les espaces de liberté doivent donc être judicieusement choisis et délimités, pour ne pas mettre en péril les données de l’entreprises, ni même jusqu’à sa pérennité. 

Devant ces constats, il est nécessaire de légiférer pour que l’harmonie et la relation aux Systèmes d’Information fonctionnent. 

Le but n’est donc pas de supprimer le Shadow IT, mais bien d’en avoir la connaissance, la conscience des risques liés, le bon partage et l’acceptation des responsabilités de chacun, avec la souplesse nécessaire au développement du Business en déléguant sciemment, de manière claire transparente ce qui peut l’être. En parallèle, seront débusqués les coûts cachés par des activités informatiques hors maîtrise. 

Cette approche, basée sur le bon sens et la fluidification des relations, permet de relâcher les tensions internes. 

Avec nos experts et notre expérience métier acquise auprès de grands groupes, nous vous accompagnerons dans le déroulement d’une démarche d’analyse, de bilan et de plan d’action pour que vous puissiez maîtriser votre Shadow IT. Nous le sortirons enfin de l’ombre, et la connaissance de l’ensemble du Système d’Information de l’Entreprise ne se réduira plus au simple Système Informatique.  

 

Jean-Philippe Gauthey,
Directeur du Pôle Métiers We+