Shadow IT : Quels risques pour l’entreprise et comment apprendre à le gérer ?
Le Shadow IT est un pan du système d’informations utile aux acteurs métier mais non connu, ni géré par les équipes de la DSI. Le shadow IT a connu une croissance exponentielle ces dernières années avec l’essor de l’agilité et l’adoption de services et d’applications cloud.
Si le Shadow IT peut constituer une réponse rapide à des besoins et stimuler l’innovation, il introduit également de sérieux risques pour l’entreprise faute de maîtrise de la sécurité, la maintenabilité, l’exploitabilité, la qualité des données, la cohérence globale du service apporté aux acteurs métier, l’ensemble des contrats liant l’entreprise à des tiers, …
Nous vous proposons de découvrir ce qu’est le shadow IT mais surtout comment le détecter et apprendre à le gérer de manière efficiente, dans cette interview d’Olivier Parker, Consultant et Manager de l’Offre Architecture des Systèmes d’Informations chez Projexion.
Peux-tu nous expliquer ce qu’est le shadow IT ?
Selon moi, le shadow IT représente l’ensemble des composants informatiques qui apportent des services à l’organisation de l’entreprise mais qui ne sont pas gérés par la Direction des Systèmes d’Informations: aucun service d’exploitation, d’intégration, de maintenance ne peut être assuré. Il existe différentes catégories de composants informatiques considérés comme étant du shadow IT. Par exemple :
Des composants développés “en spécifique” hors intervention de la DSI
- Des développements informatiques réalisés par un/des stagiaire(s) recruté(s) par les équipes métier
- L’usage d’outils bureautique programmables : macro dans Excel ou Word, utilisation d’une base access
- L’usage du low code ou No code pour générer des maquettes d’application sans besoin de connaître un langage informatique. Certains éditeurs ont fait du low code leur spécialité et son utilisation est de plus en plus plébiscitée par les entreprises. Cette tendance pourrait favoriser l’expansion du Shadow IT.
Des logiciels du marché IT
- Un acteur métier souscrit en toute autonomie à un logiciel SAAS
Des automates / des scripts
- Les automates RPA sont considérés comme du shadow IT car les métiers peuvent, en tout autonomie, mettre en place des mécanismes d’automatisation hors intervention de la DSI.
- les automates techniques également appelés scripts sont également du shadow IT lorsque ce code a été produit sans être réellement référencé (même si c’est un acteur de la DSI qui l’a développé)
Le shadow IT constitue une forme de dette du SI car il n’est pas sous maîtrise des équipes de la DSI!
C’est un avis personnel, mais je trouve que le shadow IT représente un danger pour l’entreprise car les composants informatiques concernés, non gérés par la DSI, couvrent des activités qui peuvent être essentielles pour l’organisation, sans bénéficier de garantie de qualité de service.
Le shadow IT est ainsi un symptôme qui traduit un dysfonctionnement organisationnel.
Et comment peut-on reconnaître le shadow IT ?
L’anglicisme “Shadow IT” signifie composant IT situé dans l’ombre … donc non visible. Le challenge et la complexité pour la DSI est de détecter où se trouvent les composants IT dans l’ombre.
La recherche des composants de “Shadow IT” doit se faire par catégories :
- Les composants identifiables par leur format de fichier
- Les fichiers bureautiques programmables. Par exemple, fichiers portant l’extension .XLSM, .DOCM, .DOT …
- Les fichiers bases ACCESS : .mdp, .accdb
- Les composants détectables par les achats
- Contrats Cloud (SaaS, PaaS ou IaaS).
- Contrats ou achats de service d’une ESN pour l’implémentation et l’intégration d’un composant informatique
- Les composants difficiles à détecter à cause de la diversité de formats et de stockage
- Les fichiers en shell ou script sont plus difficiles à détecter car non soumis à règles de nommage (shell, C-Shell, Korn Shell, python, TCL-TK, …) : composants techniques, composants d’intégration
- Les fichiers des outils de RPA : .rpa mais pas seulement car formats non normalisés
- Les tableaux de bord et les reports décisionnels
- Les fichiers bureautiques stockés sur des espaces de stockage “Cloud”
Par expérience, j’ai découvert quelques petites astuces pour faire émerger le shadow IT :
- Travailler en étroite relation avec les achats. Effectivement en étudiant avec les équipes achats les dépenses IT engagées ou les remboursements de frais informatiques il est possible de détecter du shadow IT (Un contrat SAAS par exemple)
- Tracer les demandes de support ou demandes d’évolution liées à des composants non connus. C’est l’occasion de détecter du shadow IT et d’identifier à quels besoins répondent ce composant.
- Ecouter les équipes métier sur leur activités quotidiennes. Si le métier s’ouvre à la DSI pour partager des difficultés sur une activité non suffisamment automatisée, cela annonce l’arrivée probable d’un shadow IT par exemple.
- Conduire un audit ou une cartographie du système d’information peut parfois permettre de découvrir des composants de Shadow IT.
- Lancer des campagnes de détection de fichiers marqueurs (Exemple : bureautique programmable)
Quels sont les impacts et les caractéristiques du shadow IT ? Quelles sont les conséquences induites par le Shadow IT ?
Le shadow IT est par définition non connu de la DSI. Les conséquences et risques liés à son usage sont étroitement liés à l’absence de services apportés par la DSI :
Absence de service d’exploitation :
- Pas de supervision, pas de gestion de la continuité du service, pas de sauvegarde des données, pas de gestion de la qualité de service, … ⇒ Risque de dégradation, voire de rupture du service utilisé par les équipes métier.
- Pas de gestion de l’obsolescence ⇒ Risque de sécurité et de dysfonctionnement des composants concernés
Absence de service d’intégration :
- Pas de prise en charge de l’intégration du composant concerné avec le reste du Système d’Information ⇒ Risque de re-saisie manuelle de données sur les composants concernés, inconfort à l’usage, efficience métier limitée, risque sur la qualité des données
Absence de service de maintenance :
- Pas de prise en charge des évolutions correctives et évolutives ⇒ Risque d’insatisfaction des acteurs métier
Absence de service de support :
- Pas de gestion des incidents et des problèmes ⇒ Risque d’impact et d’insatisfaction métier en cas de panne ou d’anomalie
Absence de gouvernance :
- Pas de gestion de la cohérence du Système d’Information ⇒ Risque de pénibilité métier lié à une expérience utilisateur non pensée globalement
- Pas d’analyse d’impact ⇒ Risque d’impacter le fonctionnement et/ou l’usage d’un composant “Shadow IT” et de dégrader le service rendu aux acteurs métier
Pour quelles raisons le Shadow IT existe-t-il ?
Le premier déclencheur du shadow IT est le besoin de réactivité et de rapidité de mise en œuvre attendu par les métiers, en écart avec l’expérience vécue avec la DSI. Il n’est malheureusement pas rare que, par expérience, le métier considère ses échanges avec la DSI comme « compliqués et lents” – L’interlocuteur métier a besoin d’une réponse agile, pratique et rapide. Face à une DSI confrontée à ses propres inerties, le métier cherche une voie alternative pour que la mise en place soit plus rapide. C’est une faille connue de la DSI.
Le service apporté par la DSI apparaît souvent comme un frein aux initiatives agiles des métiers !
Le shadow IT apparaît alors comme une option qui lui permet de trouver une réponse à ses exigences coûts / délai / qualité. Dans un monde idéal, le choix du “Shadow IT” devrait être rapidement régularisé en officialisant la reprise de responsabilité du composant par la DSI, ce qui hélas n’est pas toujours possible.
Le deuxième déclencheur est parfois une décision de la Direction générale qui peut concéder une très grande autonomie métier et IT à un pan de son organisation (Exemples de situations : nouvelle équipe pour nouvelle chaîne de valeur, lancement d’un Proof of Concept, …). Dans de telles circonstances le risque d’expansion du Shadow IT est important faute de gouvernance établie avec la DSI.
Le troisième déclencheur est le marché IT qui sollicite en direct les métiers sans passer par la DSI. Si l’échange débouche sur un contrat, la DSI n’étant pas dans la boucle, elle ne sera pas informée, ce qui créera du Shadow IT. Ce mouvement s’est fortement accentué avec la montée en puissance du Cloud.
Le quatrième déclencheur peut tout simplement être l’oubli de prévenir la DSI dans l’enchaînement des actions et décisions prises par les équipes métier.
Que faire du Shadow IT, comment le traiter?
Le plus important, mais aussi le plus complexe, est d’inventorier et de cartographier les composants du shadow IT. C’est d’autant plus difficile que les composants concernés ne se voient pas. Il est important de s’y atteler avec persévérance et récurrence.
La DSI doit bâtir et maintenir un plan de résorption du Shadow IT, intégrer dans son plan de transformation, en priorisant les composants concernés selon le niveau de risque associé. Ce plan de résorption doit avoir pour objectif de remplacer les composants du Shadow IT par des composants officiels du SI.
Le Shadow IT est une source d’alimentation supplémentaire pour la trajectoire de transformation du SI.
La DSI doit également identifier les raisons qui ont conduit l’organisation à générer du shadow IT afin d’être en mesure d’éviter ces situations et le shadow IT associé.
Le 3ème axe de travail de la DSI est de travailler sur son rôle et sa posture :
- Son agilité pour faire en sorte que les raisons qui ont poussé le métier à utiliser le shadow soient connues et que la situation ne se reproduise pas. La DSI doit se mettre en capacité d’ être parfois plus réactive dans ses réponses aux besoins métier, en acceptant d’apporter des solutions rapides pour des besoins d’expérimentation, sans être nécessairement totalement conformes aux standards internes.
- Sa relation de partenaire des métiers : être force de proposition, accompagner les réflexions de changement dans une approche résolument agile, poser un cadre de gouvernance clair et partagé, prendre en compte “l’expérience” client de la DSI
- Sa capacité à accepter de la dette maîtrisée
Depuis sa genèse, la DSI est une équipe, au sein de l’organisation de l’entreprise qui porte la responsabilité du SI. Si la définition n’a pas évolué, le rôle de la DSI au sein de l’entreprise a fortement changé au fil de l’histoire.
Le rôle et la posture de la DSI doivent évoluer vers une relation de partenaire avec ses clients internes !
La DSI doit maintenir une relation de confiance avec ses clients internes, ne pas infantiliser les métiers pour pouvoir être informé en cas d’apparition du shadow et ainsi l’intégrer rapidement dans le SI de l’entreprise. Il faut instaurer une relation de transparence et de confiance avec le métier, montrer au métier qu’il est indispensable que la DSI soit tenue au courant de cette dette pour un SI de qualité.
Est-il possible d’éviter le shadow IT? Si oui, comment procéder?
Comme je l’ai précédemment indiqué, le shadow IT ne doit pas être pris à la légère car il représente un risque pour l’entreprise qu’il ne faut pas ignorer. L’entreprise ne doit pas rester inactive face au shadow IT.
Nous avons vu précédemment qu’il était possible :
- 1) de répertorier les composants du Shadow IT pour élaborer un plan d’action adapté et ainsi trouver des réponses officielles. Cette approche réactive permet de traiter le shadow IT après sa génèse.
- 2) de détecter les situations pouvant être la source du Shadow IT. Cette approche proactive permet d’éviter l’expansion du Shadow IT par une meilleure relation et anticipation avec les clients de la DSI.
En dépit de ces actions, il ne faut pas se fixer pour objectif d’éliminer 100 % du shadow IT mais au moins les éléments les plus risqués. Le plus important, c’est d’être en capacité d’éviter, autant que possible, la génération de nouveaux composants Shadow IT.
J’insiste encore sur la nécessaire prise de conscience de la DSI sur l’amélioration de la posture pour réduire les circonstances qui lui apportent le shadow IT au sein du SI. Il est essentiel d’instaurer une relation de partenaire avec les métiers : être transparent, expliquer les risques induits par le shadow IT, poser une relation de confiance responsable et la situation ne pourra que s’améliorer !
Le métier n’a pas le choix d’aller vite dans un monde compétitif et très concurrentiel, la DSI doit en prendre conscience et accompagner le mouvement en s’adaptant !
Il ne faut ni vivre en ignorant le shadow, ni vouloir le gommer à 100%. Une part du shadow qui ne porte pas de risque pour l’entreprise pourra rester dans l’ombre s’il est connu. On appelle ça du “shadow légitime” car mutuellement consenti par le métier et la DSI. Vivre en maîtrise du shadow est possible !
Le danger en informatique provient souvent de ce que l’on ignore ou l’on maîtrise mal. Il faut mieux connaître un composant du shadow et l’accepter que de ne pas en avoir connaissance. Tout comme la dette finalement.
Comment Projexion peut accompagner les clients concernés par le Shadow IT ?
En 30 ans d’expérience, je n’ai pas vu un seul client qui n’était pas concerné par le shadow IT. C’est évident si l’on considère les macros, les outils de reporting, le BI, les automates comme étant du shadow IT. Et je constate une croissance de son utilisation avec la montée en puissance du cloud.
En tant que cabinet de conseil, Projexion peut intervenir sur deux volets dans la gestion du shadow IT.
Tout d’abord sur une phase d’audit pour effectuer un inventaire du shadow avec classification par les risques / par thèmes / par domaines métier pour qu’un plan de résorption puisse être conjointement créé avec les acteurs de la DSI.
Par ailleurs, Projexion peut également accompagner les DSI à gagner en maturité :
- sur la détection et le traitement du shadow IT.
- sur la relation de partenaire avec les clients internes et la capacité à détecter les situations pouvant générer du Shadow IT
Il s’agit à la fois d’une transformation organisationnelle, d’une transformation des processus de la DSI et d’une transformation au niveau de la posture. PROJEXION peut accompagner les DSI dans cette transformation par un accompagnement au changement adapté : un plan de communication, des moyens de formation, du coaching en situation réelle.
Soyez averti(e) de nos prochains évènements et publications via LinkedIn !