Shadow IT : les dangers pour l'entreprise

novembre, 2019
Shadow IT

 

Le shadow IT peut être défini comme étant l’utilisation de technologies matérielles et logicielles par les employés de l’entreprise sans l’accord du département informatique. Un phénomène loin d’être anecdotique, comme le prouve l’étude du cabinet de conseil Frost & Sullivan : plus de 80% des salariés admettent utiliser des solutions informatiques sans l’accord formel de leur DSI, et sur la vingtaine d’applications SaaS utilisées par une entreprise en moyenne, 7 d’entre-elles n’ont pas reçu l’accord de la DSI.

 

Par le passé, le Shadow IT résultait souvent de la volonté des employés à accéder à du hardware, des logiciels ou des services web spécifiques sans avoir à passer par de multiples étapes pour obtenir ces technologies via le département informatique de l’entreprise. Ainsi, l’une des principales raisons pour laquelle les employés se tournent vers le Shadow IT est la volonté de travailler plus efficacement.

Cependant, avec la démocratisation de l’informatique et l’essor des technologies Cloud, l’adoption du Shadow IT a fortement augmenté. Désormais, des applications comme Google Docs, Slack ou Dropbox peuvent être téléchargés en un clic et l’intérêt d’avertir le département informatique de leur utilisation peut sembler superflu.

De même, de nos jours, de nombreux employés travaillent sur leurs appareils personnels : smartphone, tablette, laptop… tout ce matériel rentre dans la catégorie du Shadow IT. Il en va de même pour l’usage de technologies de niches qui répondent aux besoins d’un département spécifique. Généralement, ces technologies sont délivrées par un fournisseur de service tiers et non par le département informatique.

 

Un constat qui peut inquiéter, et pour cause : en 2020, un tiers des attaques informatiques seront le fait du shadow IT si l’on en croit la sérieuse étude Gartner. Des dangers multiples qui vont de la fuite de données stratégiques de l’entreprise au risque d’infection par des virus en passant par des vols d’identifiants.

Les utilisateurs qui ont recours à une messagerie grand public pour envoyer de gros fichiers parce que la messagerie d’entreprise ne leur offre pas une capacité de stockage suffisante. De même que certains services de partage de fichiers dans le Cloud sont insuffisamment sécurisés. Interrogés par Frost & Sullivan, les utilisateurs de solutions en mode Shadow IT sont pour une bonne part d'entre eux pleinement conscients des risques pris.

 

42% des utilisateurs métiers reconnaissent prendre le risque de vol de données sensibles, 41% reconnaissent que ces données pourraient être exposées à des personnes non habilitées. Des chiffres alarmants qui font courir un risque non pas seulement relatif à la divulgation de données confidentielles, mais aussi pour le système d'information de l'entreprise. D’autre part les utilisateurs qui multiplient les comptes sur Internet ont la fâcheuse tendance à utiliser le même mot de passe pour l’ensemble de leurs comptes.

Heureusement, il existe des solutions afin de lutter contre le shadow IT :

 

  • Chercher des solutions en monitorant le shadow IT 

Il appartient à la DSI de faire l’inventaire de qui utilise quoi dans l’entreprise. Cet inventaire va permettre d’identifier les risques et de proposer des solutions plus adaptées. Même si cet état des lieux ne résout pas les failles de sécurité, il fera apparaître les flux des applications inconnues ou nouvelles, lesquels constitueront une base de connaissances pour que la DSI puisse déterminer les meilleures alternatives possibles. 

 

  • Proposer des solutions maîtrisées par la DSI, plus que des alternatives

La volonté de la DSI étant surtout d’apporter des améliorations pour éviter les problèmes de sécurité, trouver une alternative à une solution déployée par les métiers eux-mêmes n’est pas forcément la solution. Parfois, il suffit juste de remettre un outil sous la responsabilité de la DSI, afin que celle-ci en contrôle la conformité technique et contractuelle. 

Il est important que la DSI ne considère pas comme mauvais tout ce qu’elle va découvrir en menant des investigations au sujet du shadow IT. Les outils et les applications révélées par cette investigation sont la voix des utilisateurs, ils sont ce dont les équipes ont vraiment besoin pour réussir dans leur travail. Mieux : ces solutions pourraient même bénéficier à d’autres directions métier.  

 

  • Montrer une attitude d’ouverture 

Parallèlement, la DSI doit lutter contre sa tendance naturelle à se fermer quand il faut répondre aux nouvelles demandes des salariés. Il s’agit là du point de départ du shadow IT : ne pas travailler ensemble, c’est s’interdire de savoir quelles technologies sont susceptibles d’être déployées, quels risques sont à éviter et quelles alternatives sont possibles.

Prenons par exemple les télétravailleurs. Si la DSI ne leur propose pas spontanément les moyens pour collaborer à distance, ils en trouveront eux-mêmes, sans même se demander s’il était pertinent d’en parler. Et c’est à partir de ce moment-là que les complications commencent. La DSI doit plutôt anticiper en incitant les métiers à la consulter pour partager leurs besoins.  Les salariés de l’entreprise doivent être considérés comme les clients internes de la DSI. À ce titre, il est important de créer le dialogue en écoutant leurs retours d’expériences et les problèmes qu’ils essaient de résoudre. 

 

  • Participer aux réunions des métiers sur la stratégie technologique   

Pour créer un climat de pleine collaboration entre les métiers et la DSI, cette dernière a tout intérêt à rencontrer régulièrement chaque direction afin de discuter avec elle de ses stratégies technologiques. Établir un dialogue ouvert avec les métiers est le meilleur moyen de rendre transparente la question des solutions à adopter et d’éviter le problème des technologies non approuvées en production.

 

Tous droits reservés © OpenIP 2016 - Crédits photos - Shutter