Le Shadow IT : comment transformer la menace en opportunité

Le Shadow IT, un phénomène méconnu à définir

La démultiplication des projets informatiques dans les directions métiers a intensifié un phénomène encore sous-estimé par les entreprises : le Shadow IT.
Le Shadow IT désigne l’ensemble des applications et processus de transmission d’information utilisés au sein d’une structure pour répondre à un besoin métier particulier sans approbation de la direction des systèmes d’information. Il peut engendrer des risques en termes de sécurité, des incidences sur la performance du réseau et des gisements de coûts cachés.

Le Shadow IT peut prendre des formes diverses et variées au sein d’une organisation. L’utilisation d’applications Cloud comme « WeTransfer » pour partager des documents, l’utilisation de langages de programmation spécifiques sans supervision de la DSI, l’envoi des documents sur des réseaux sociaux tel que Facebook ou vers sa boîte mail personnelle ou bien la sollicitation de ses équipements personnels (ordinateur, téléphone, tablettes, etc.) dans un cadre professionnel sont des exemples de Shadow IT, bien que de conséquences variables.

Un phénomène de plus en plus présent en entreprise

Alors qu’il ne représentait qu’une part négligeable des usages il y a quelques années, une étude du CESIN (Club des Experts de la Sécurité et de l’Information Numérique) auprès de ses membres (400 grandes entreprises et ministères) révèle l’ampleur du phénomène et sa méconnaissance. Tandis qu’elle évalue a priori le nombre de CloudApps utilisées à une trentaine en moyenne, une entreprise en utilise en réalité plus de 1700, soit près de 40 fois plus ! Un enjeu de poids pour les DSI donc, qui sous-estimeraient encore largement l’encadrement du Shadow IT dans leurs plans de gestion, d’après CISCO. D’une manière plus générale, les applications utilisées en Shadow IT en entreprise, qu’elles soient ou pas rattachées au Cloud, augmentent de 30% à 50% par an révélant ainsi des besoins métiers insatisfaits et donc un recours à des solutions hors parcours habituel de la DSI.
Un essor en accord avec les nouveaux besoins des collaborateurs…

Porté par l’importance croissante du Cloud Computing dans le paysage informatique, le Shadow IT doit aussi son expansion à la forte augmentation du nombre d’applications (Saas, open sources, etc.) à disposition des collaborateurs. On notera au passage que près de 35% des applications Saas utilisées en entreprise n’ont pas reçu l’approbation de la DSI.

Cette diversité et cette abondance des choix offrent généralement aux utilisateurs une réponse plus effective et plus rapide à des besoins métiers pointus et en constante évolution, en comparaison aux solutions internes, plus standardisées et moins réactives.
Preuve parfois d’une véritable rupture du dialogue avec la DSI, la volonté des métiers « d’avancer sans elle » s’affirme : l’utilisation du shadow IT s’inscrit aussi dans ce contexte organisationnel. Le gain de productivité perçu par les utilisateurs ou leurs managers semble alors, à leurs yeux, les dispenser des protocoles de validation par la DSI, perçus comme longs et fastidieux. Cela a fait croître le pourcentage des collaborateurs utilisant des solutions informatiques sans l’accord de la DSI à plus de 80% selon Frost et Sullivan.

…qui s’accompagne de risques à différentes échelles.

Puisque le Shadow IT échappe souvent aux processus de régulation en vigueur dans l’entreprise, des inquiétudes quant à la sécurité doivent être soulevées : le matériel et les supports utilisés ne sont pas sécurisés et des fuites de données sur des applications tierces peuvent survenir. Le processus habituel de développement d’applications implique les équipes cybersécurité afin d’évaluer la protection nécessaire des bases de données et la sensibilité des contenus stockés face aux menaces externes. Les applications mises en place sont donc, généralement, sécurisées et imperméables aux menaces extérieures. C’est la raison pour laquelle le shadow IT inquiète les dirigeants et les DSI. Le fait de contourner ces outils sécurisés pour en utiliser d’autres, généralement non validés, expose de facto l’entreprise à un risque d’attaque, de fuite des données ou de rupture de confidentialité. Le Shadow IT serait par conséquent responsable d’un nombre important de cybermenaces. Une étude de Gartner publiée en 2016 a prévu une corrélation entre le Shadow IT et 1/3 des failles de sécurité en entreprise en 2020.

Des préoccupations opérationnelles sont aussi mises en avant

S’ajoute à cela, un risque de redondance applicative sur les aspects fonctionnels. La redondance entre les solutions en Shadow IT se rajoutant à celles établies par la DSI pour répondre au même besoin métier, crée des silos entravant la circulation fluide des données, peut causer de potentiels conflits de protocoles d’applications et de réseau et finalement nuit au travail des équipes IT centrales qui ont pour but du construire un IT transverse. Ceci est d’autant plus préoccupant pour les entreprises que 7 applications SaaS parmi 20 utilisées en entreprise n’ont pas reçu l’approbation de la DSI.

Le contrôle de qualité, de conformité et d’accessibilité des données n’étant pas assuré, ceci entraîne des risques pour l’organisation en cas de fuite des données. Il est important de signaler que les audits sont fréquents de la part des commissaires aux comptes pour assurer la mise en conformité des applicatifs et bases de données pour palier à ces éventualités. Cependant, le Shadow IT est par définition hors du cadre des applications autorisées entraîne des failles de protection des données qui sont invisibles par l’IT. En effet, 35% de toutes les tâches au sein d’AWS, d’Azure et de Google Cloud Platform dans le cadre du Shadow IT sont non restreintes et sont donc ouvertes à la consultation par des personnes externes à l’entreprise. En cas de violation de la réglementation en vigueur de la part de la solution de contournement, l’entreprise encourt des risques d’amendes et de signalements.

En plus de ce risque juridique, il y a un risque de perte de productivité au sein de la structure. En réalité, les applicatifs qui ne passent pas par les instances de validation IT reposent sur des sachants locaux. En cas de départ, de maladie ou d’accident, la connaissance souvent peu stockée et documentée est perdue pour les autres utilisateurs. D’un côté, cela permet de mettre fin à l’utilisation d’un outil non validé. Mais d’un autre côté, l’entreprise devra de nouveau former les collaborateurs sur un savoir qui devrait porter sur les applications validées et qui devrait d’ores et déjà être partagé. A moyen terme, ces pratiques impactent négativement la productivité globale de l’entreprise et engendrent des répercussions préjudiciables pour son image et sa réputation.

Par ailleurs, le Shadow IT n’entrant pas dans le circuit classique de financement de l’entreprise, il empêche ainsi les équipes de profiter des partenariats éditeurs établis par la DSI, ainsi que de certaines économies d’échelle. En effet, il n’est pas rare que dans le cadre du choix d’utilisation d’une solution, un logiciel par exemple, le nombre de licences à accorder de base influe sur le prix de ces licences. Ainsi, plus le nombre d’utilisateurs finaux est important, plus l’entreprise peut négocier le prix. A l’inverse, non seulement le Shadow IT empêche ces économies, mais vient rajouter des coûts supplémentaires dans le cadre d’une surcouche applicative. Cela explique en partie le chiffre avancé par Gartner qui affirme que 40% des dépenses IT en entreprise sont consacrées au Shadow IT.

Les stratégies pour réduire le recours au Shadow IT par le métier

Si supprimer définitivement le shadow IT paraît difficilement envisageable, il est tout de même possible d’en réduire les risques grâce à une posture et accompagnement adéquat. S’outiller afin de monitorer le réseau et d’identifier les applications potentiellement problématiques (par l’installation d’un outil de scan de sécurité, par exemple) est une première stratégie. Recenser précisément les usages fonctionnels et techniques des applicatifs de l’entreprise grâce à un audit en est une autre.

De surcroît, notre expérience en la matière nous a amené à nous forger la conviction suivante : il est primordial de rétablir en premier lieu une relation de confiance entre la DSI et les métiers. En améliorant les dispositifs de collecte des besoins et irritants métiers, en accompagnant les utilisateurs dans l’expression de leurs besoins, en revoyant les protocoles de traitement des demandes utilisateurs, on établit un canal de communication rassurant et fréquent entre le métier et l’IT. De tels dispositifs doivent allier subtilement nécessité de récolter les suggestions d’améliorations exprimées par le métier, disponibilité du client et temps nécessaires à la réalisation/satisfaction des besoins précédemment exprimés. C’est pour cela que nous recommandons l’établissement d’instances de recueil du besoin à un rythme régulier, combinant une partie sur l’avancement des projets en cours à une autre plus orientée vers les futures évolutions.

La DSI doit savoir se vendre

Par ailleurs, il est primordial pour les membres de l’IT de consacrer de vrais efforts dans leur marketing et leur communication externe. Effectuer un reporting régulier des nouveautés et partager le catalogue de services, tout en faisant un effort de vulgarisation pour le métier est un des prérequis pour une bonne compréhension de l’environnement technique par le métier. Les équipes doivent être convaincues que leur DSI et les applications mises en place sont à même de répondre à leurs besoins.

Dans le cadre de l’une de nos interventions chez un client, le but était de convaincre les utilisateurs de réexploiter une solution logicielle qu’ils avaient mise de côté du fait de sa complexité et d’un manque de formation. Pour ce faire, nous avons opté pour diverses stratégies : Reprise de la formation des utilisateurs afin de corriger les incompréhensions qui les avaient poussé à délaisser l’outil, établissement d’un kit du nouvel arrivant avec un recueil des bons réflexes d’utilisation de la solution tout en passant par une mise en place de multiples instances de recueil du besoin avec différents groupes d’utilisateurs afin de prioriser les évolutions ayant pour objectif d’améliorer l’expérience utilisateur et finalement le recrutement de nouveaux sponsors, formés à l’utilisation de la solution, au sein du métier, dans le but de renforcer l’acceptation interne de la solution et avoir un premier interlocuteur jouant le rôle de « support préalable ».

Ces pistes d’actions ont permis de rétablir le dialogue avec le métier et d’expliquer les raisons d’implantation de l’outil qui ne doit pas être perçu comme une contrainte opérationnelle supplémentaire.

Des changements organisationnels et méthodologiques sont potentiellement nécessaires

Faire évoluer sa méthodologie et ses processus de développement pour une plus grande efficacité, davantage de flexibilité et un apport de valeur continu au métier est un bon moyen de renforcer le positionnement de la DSI. Il existe aujourd’hui diverses méthodologies permettant d’introduire de l’agilité et de la transparence dans la conduite des projets. Des méthodologies telles que DevOps (mélange au sein d’une même équipe de développeurs et d’opérationnels), Scrum (application de l’agilité dans la gestion de projet), Scale (réorganisation agile de l’entreprise), toutes orientées vers la création de valeur pour l’utilisateur final, viennent faciliter l’acceptation de l’intervention de la DSI dans les processus métier, ainsi que l’acceptation et l’utilisation des outils ainsi créés.