Le Shadow IT s’invite dans la grande majorité des entreprises, quelles que soient leurs tailles. Face à ce phénomène multiforme, la DSI doit garantir un équilibre acceptable entre gestion des risques potentiels et bénéfices possibles de cet IT souterrain. Shadow IT : quelles menaces, quels bénéfices, quels contrôles ?

La notion de Shadow IT désigne l’idée d’un IT officieux dans l’entreprise. Elle recouvre tous les logiciels, applications, outils ou hardwares utilisés au quotidien au sein d’une entreprise pour faciliter les collaborations, le développement logiciel, les partages de contenus, le stockage ou la manipulation de la data par exemple, qui n’ont pas été testés, examinés, approuvés, implémentés ou sécurisés par la DSI, en accord avec les procédures internes.

Qu’est ce que le Shadow IT ?

Si le Shadow IT expose l’entreprise à des risques potentiels, il peut aussi générer de la disruption et de l’innovation. Et combler des manques. D’après Microsoft – qui s’intéresse de près au phénomène – plus de 80% des employés reconnaissent utiliser des applications SaaS non approuvées à des fins professionnelles. Ce n’est donc plus un phénomène isolé, mais une norme. 

Le Shadow IT n’est pas un phénomène isolé : il est devenu la norme.

Dans son livre blanc “Shadow IT Primer”, l’association ISACA, qui rassemble des décideurs IT dans le monde entier, analyse le périmètre du Shadow IT d’une entreprise. Elle recense les outils dont les utilisateurs ont besoin mais que la DSI n’est pas en mesure de fournir. La plupart du temps ils sont issus du cloud et nécessitent peu d’investissements et de compétences, leur implémentation n’appelant pas l’intervention des équipes de la DSI.

Quelques illustrations de ce que le Shadow IT inclut
– Des outils de collaborations pour des réunions ou des équipes,
– Des outils de management des tâches,
– Des bases de données spécialisées,
– Des logiciels de suivi de l’image de marque,
– Des logiciels d’analyse financières,
– Des solutions de transfert de documents, ou d’échange de données..

 

Un glissement dangereux

Mais chaque application issue cet IT souterrain génère des données sur lesquelles la DSI n’applique ni suivi, ni contrôle. L’exposition non contrôlée de ces données génère donc des risques potentiels pour l’organisation, des hackers mal-intentionnés pouvant cibler ces accès mal sécurisés en priorité.

Si intuitivement on peut penser que le Shadow IT représente un problème mineur avec une portée réduite, les statistiques démontrent le contraire. Une recherche de NTT Communications (“Shadow IT— Cloud Usage a Growing Challenge for CIOs,) indique que le phénomène innerve jusqu’au management de l’entreprise. Selon l’étude, 77% des décideurs dans l’entreprise reconnaissent avoir utilisé au moins une application cloud sans avoir reçu de validation de la DSI, ou même sans l’avoir informée.

Comment le Shadow IT démarre-t-il dans l’entreprise ?

La grande majorité des employés qui utilisent le Shadow IT ne le fait pas dans l’intention de porter préjudice à l’entreprise. En choisissant des outils adaptés à leurs besoins réels – qu’ils règlent souvent avec leurs propres moyens avant remboursement – ces employés ont plutôt l’impression d’apporter de l’innovation au service de l’entreprise. Ce sentiment de bien faire est clé pour comprendre la croissance forte du Shadow IT dans les organisations.

Autre accélérateur, la baisse des coûts de l’IT : il y a quelques années, les prix des équipements et des logiciels rendaient leur acquisition hors de portée pour un employé. Les entreprises pouvaient contrôler assez facilement le sourcing des fournitures IT à travers leurs services achat.

Aujourd’hui les coûts d’accès à la technologie ont ouvert une voie royale au Shadow IT.

Mais le coût n’est pas la seule raison pour laquelle de plus en plus d’employés se passent des processus d’achat traditionnels dans l’IT. Dans un environnement métier où vitesse et réactivité règnent en maîtres absolus, les collaborateurs exigent des solutions immédiates quand un problème apparaît. Or les processus décisionnels des DSI sont plutôt considérés comme des freins à l’innovation et à l’agilité.

Des ressources qui sortent des radars

Reste qu’en by-passant des structures d’achat, les adeptes du Shadow IT contournent non seulement les processus, mais aussi les phases d’évaluation des outils et d’implémentation des contrôles. Ces étapes maîtrisées par les services IT et jugées trop lentes par les métiers visent pourtant à protéger les systèmes d’information de menaces extérieures bien réelles.
L’exemple des imprimantes nouvelles génération connectées à internet et qui enregistrent les datas sur un disque dur interne illustre bien les dangers d’un achat IT anodin, souvent mal estimé par les équipes.

Certains adeptes du Shadow IT ont parfois conscience des dangers de leurs achats isolés. Mais ils estiment généralement que les applications connues du public sont forcément inoffensives. Souvent ces employés pensent également que les contrôles de sécurité mis en place par l’IT sauront protéger à posteriori tous les dispositifs IT. C’est oublier que les entreprises – même dotées des meilleurs spécialistes de la sécurité – peuvent difficilement protéger ce qu’elles ne contrôlent pas.

Shadow IT, menace ou opportunité ?

Au vu des risques inhérents au Shadow IT, les entreprises doivent-elles se concentrer sur son éradication et établir des mesures draconiennes pour interdire l’utilisation d’applications ou de logiciels non certifiés ? Pas toujours.

Le Shadow IT est initié par des employés qui identifient un nouveau besoin ou une opportunité d’amélioration d’un process ou d’une tâche pour l’organisation. Ils contribuent à apporter des idées neuves pour améliorer la manière de collaborer et de faire progresser l’entreprise. Leur vision est orientée vers une recherche continue et créative de solutions concrètes. Prendre des mesures trop drastiques contre le shadow IT peut donc casser une dynamique d’innovation dans l’entreprise, au lieu de l’encourager.

De nombreuses entreprises estiment d’ailleurs que le sujet mérite une attention particulière, avec des réponses adaptées à chaque cas de figure. Cela revient d’abord à comprendre les raisons qui incitent à se diriger vers des solutions “non conventionnelles” avant de décider de les interdire si – et seulement si – il est démontré qu’elles peuvent générer des préjudices pour l’entreprise.

En s’intéressant au Shadow IT avec nuance, la DSI peut discerner des axes d’améliorations potentiels. Cette approche permet de préserver une intention d’innovation et d’engager la DSI à apporter rapidement une alternative sécurisée.

De plus en plus de DSI s’efforcent de tirer profit de la réalité du Shadow IT, certaines innovations pertinentes pouvant surgir de cet IT souterrain.

Les entreprises les plus innovantes acceptent même que les applications issues du Shadow IT sortent de l’ombre et s’installent dans la durée après que les risques de préjudice aient été jugés suffisamment faibles. Chez ces dernières, l’adoption progressive par les employés est considérée comme une simple phase pilote.

Les menaces et les inefficacités liées au Shadow IT.

Les menaces liées aux pratiques du Shadow IT sont nombreuses et ne doivent pas être sous-estimées.

Quelques menaces assez répandues :

Conformité avec la réglementation 

L’utilisation de certains logiciels issus du shadow IT peut impliquer des problèmes de conformités avec la réglementation, notamment la politique de confidentialité. Un processus habituel d’approbation permet de détecter ces défauts de conformité. Un rapport publié par Symantec (“Shadow Data Report”) précise que 23% des documents présents dans le cloud ne sont pas protégés et que 12% d’entre eux contiennent des données confidentielles, comme des codes sources ou des informations juridiques. L’aspect licence des logiciels peut poser des risques juridiques également. C’est d’ailleurs lorsque la demande de renouvellement des licences parvient à la direction financière, que l’entreprise découvre que le logiciel en question fait partie du Shadow IT.

Sécurité

Quand elles pénètrent par le Shadow IT, les failles de sécurité peuvent représenter un haut niveau de risque pour l’entreprise. Certains logiciels fournissent des accès privilégiés aux hackers pour aller piller ou détruire des datas, ou introduire des programmes malveillants de type ransomware dans le système. Certains services clouds  – partages de fichiers, réseaux sociaux… – ne constituent pas des espaces suffisamment sécurisés pour la protection des données.

Pertes de revenus

Le recours au Shadow IT, comme on l’a vu précédemment, est souvent le fait d’un individu ou d’une business unit, pour profiter d’une opportunité et gagner du temps sur un process habituel. C’est pourquoi dans certains cas, un logiciel ou une application issue du Shadow IT permet véritablement à l’entreprise de générer des revenus. Dans le cas où le service informatique exige la suppression de cette solution sans proposer un logiciel de substitution, cela peut entraîner une perte nette de revenus.

Tierces parties

En dépit des efforts qu’une entreprise peut appliquer en matière de politiques de sécurité ou de respect de la vie privée, elle n’agit jamais de façon isolée. Des collaborations avec des tierces parties moins rigoureuses, sur des sujets comme le support marketing ou l’analytics par exemple, peuvent ruiner les efforts réalisés. Dès lors qu’un accès est ouvert à un tiers vers son propre réseau, la possibilité d’une violation ou d’une fuite de données existe.

Des politiques de gestion du Shadow IT mal adaptées.

Certaines entreprises n’ont pas mis en place de politiques de gestion du Shadow IT. D’autres identifient les risques liés au Shadow IT et créent des règles pour se protéger, mais ne parviennent pas à les faire appliquer. Lorsqu’elle existe, la “gouvernance” du Shadow IT doit être simple, les règles bien écrites et communiquées à l’ensemble des salariés. L’entreprise doit également être claire sur l’obligation de lire ces règles et d’intégrer au quotidien les choix fait par l’entreprise pour la gestion de l’IT.

Les dégâts de réputation

Dans certaines industries, fournir des informations inexactes peut être considéré comme une infraction avec un risque d’amende. Ainsi dans le cas de logiciels issus du Shadow IT qui compilent des informations produit destinés aux sites web de l’entreprise sans contrôle strict, les conséquences en termes d’image peuvent être importantes.

Par nature, le Shadow IT ne constitue pas une véritable solution, mais plutôt un raccourci technique vers une solution souvent imparfaite. De telles configurations sont souvent sources de gaspillages, et génèrent in fine des faibles niveaux d’efficacité. Les dettes techniques liées devront être réglées tôt ou tard impliquant des efforts surdimensionnés pour rattraper les erreurs. Les impacts négatifs sur l’activité peuvent ainsi être ressentis de façon très concrète et dépasser très largement le périmètre initial de son application (une business unit par exemple).

Duplication

Par définition autonome, le Shadow IT introduit souvent des duplications de logiciels ou de données existants déjà par ailleurs dans l’entreprise. Le résultat est encore une fois une perte de temps, d’argent et surtout des potentiels conflits de data.

Au vu des risques multiples et réels liés à l’amplification du Shadow IT, placer l’ensemble des systèmes IT sous le contrôle strict d’une gouvernance solide et clairement affichée est dans l’intérêt stratégique de chaque entreprise.

Pour être gagnant dans la gestion du Shadow IT, les entreprises doivent trouver un équilibre. Si la suppression des technologies qui constituent une menace potentielle est cruciale pour garantir la protection des entreprises, dans le même temps, les entreprises doivent continuer d’explorer de nouveaux outils, et de nouvelles technologies. Chaque entreprise peut ajuster cet équilibre à travers la rédaction de la gouvernance IT la mieux adaptée à leur activité d’une part, et en menant des efforts de pédagogie auprès des employés sur ces sujets d’autre part.

In fine, seuls les engagements individuels et collectifs des utilisateurs permettront de porter la vision d’un management du Shadow IT responsable. Les échanges réguliers entre la DSI et les métiers font également partie de la réponse pour un Shadow IT apaisé.

Retrouvez l’étude Shadow IT Primer d’Isaca complète.