Feb 5, 2015
  • Le Shadow IT désigne les outils informatiques utilisés dans l’entreprise sans l’aval de la DSI. Voici quelques exemples communs du Shadow IT dans les fonctions de l’entreprise :

    • “Je suis au marketing et je partage des documents avec un partenaire ou un collaborateur en utilisant un compte personnel Dropbox”.
    • “Je suis un commercial et j’utilise mon compte Skype pour faire une visio-conférence avec mon client”.
    • “Je suis un technicien et j’utilise mon propre téléphone pour accéder à mes mails, sans autorisation”.

    Ce phénomène s’est fortement développé ces dernières années avec l’explosion du Cloud et du Bring Your Own Device. Une étude Gartner estime qu’en 2015, 35% des dépenses informatiques se feront en dehors du budget de la DSI.

  • Les raisons de l’existence du Shadow IT

    Une autre étude réalisée par RSA montre que 35 % des salariés estiment devoir contourner les procédures de l’entreprise ou des mesures de sécurité afin de travailler efficacement. 63 % d'entre eux envoient des documents internes à leur adresse électronique personnelle afin de poursuivre à domicile le travail commencé au bureau, même s’ils ont conscience que cela n'est probablement pas autorisé. Les employés ne cherchent pas délibérément à contourner les processus de l’entreprise : ils veulent des solutions rapides pour effectuer leur travail efficacement.

    Les risques pour l’entreprise

    Si le Shadow IT peut être perçu comme une source de flexibilité par les collaborateurs, il génère des risques pour l’entreprise :

    • Perte de temps - les employés des directions métiers passent un temps considérable à mettre en place et gérer des systèmes informatiques sans avoir l’expérience nécessaire
    • Morcellement des référentiels - les données des différents outils Shadow IT ne sont pas en cohérence entre elles et avec les autres applications de la DSI
    • Perte de données - les applications Shadow IT étant peu documentées et contrôles, des données importantes pour l’entreprise peuvent être perdues à la suite de problèmes de sauvegarde ou suite au départ d’un collaborateur
    • Frein à l’innovation - l’absence de documentation, de contrôle et de standard des outils Shadow IT rendent leur remplacement complexe et lent

    Mais le principal risque est sans doute la sécurité, car les outils grand public souvent utilisés ne suivent pas les règles de sécurité de l'entreprise et ne prennent pas en compte ses contraintes réglementaires et juridiques (confidentialité, fuite de données, propriété des données etc.).

  • Les risques pour la DSI

    Le premier risque pour la DSI est le clivage avec les utilisateurs. Selon une étude Forrester, 7 employés sur 10 sont satisfaits des technologies qu’ils utilisent à leur domicile et seulement 15% préfèrent les outils informatiques utilisés au bureau.

    Pour les utilisateurs, la DSI ne les comprend pas et ne répond pas à leurs besoins. Avec le développement du Shadow IT, la DSI perd petit à petit son contrôle. Le risque : voir disparaître des pans entiers de ses compétences au profit d'autres directions fonctionnelles.

    Une DSI réactive et proactive

    Sensibiliser les employés aux risques du Shadow IT est important, mais pas suffisant. Les DSI doivent être plus réactives et agiles pour répondre aux besoins des utilisateurs. Cela passe par des outils de IT Service Management, qui peuvent accélérer les demandes et leur suivi. La DSI doit également développer une culture de l’innovation pour être à l’écoute des propositions des utilisateurs.

    Pour reprendre le contrôle, la DSI se doit enfin d’être proactive. Elle doit considérer la “consumérisation” de l’informatique comme une opportunité. L’enjeu est de proposer des solutions simples à adopter pour permettre aux collaborateurs d’exercer leur métier sans barrières, tout en garantissant des niveaux de sécurité élevés et une vraie gouvernance du SI.

    Google for Work : innovation et contrôle

    Pour répondre à cet enjeu, Devoteam a fait le choix des solutions innovantes Google for Work, avec un partenariat stratégique avec Google. Ces solutions, plébiscitées par le grand public, ont été adaptées au monde de l’entreprise : elles permettent une collaboration en temps réel en interne et en dehors de l’entreprise depuis tout device. Ces solutions proposent aussi une administration centralisée et un vrai contrôle des données.

  • Pour reprendre les exemples de Shadow IT cités plus haut :

    • Le service marketing qui utilisait des comptes personnels Dropbox pourra utiliser le service entreprise Drive pour partager et collaborer en temps réel avec ses partenaires.
    • Le commercial qui utilisait Skype va pouvoir basculer vers le service entreprise de visio-conférence Hangout.
    • Pour l’employé qui utilisait son téléphone personnel pour lire ses mails, le Mobile Device Management inclus dans Google Apps permettra de valider l’appareil et de lui imposer des règles de sécurité : utilisation d’un mot de passe, cryptage de l’appareil.

    La DSI pourra suivre en temps réel l’utilisation de ces services, bloquer certains types de partage ou recevoir des alertes en cas de violation des règles de sécurité.

    Innovation et contrôle : la solution au Shadow IT ?