Véritable enjeu pour la sécurité des données, voire la survie même de la DSI, le shadow IT serait facilement évitable selon Frédéric Duport, Deal Solution Manager chez T-Systems France. Entretien.
Si vous deviez définir le shadow IT, quel aspect mettriez-vous en avant ?
Frédéric Duport : Globalement, le shadow IT se définit par l’ensemble des services qui échappent aux commandes de la DSI. Les métiers vont chercher des solutions externes parce que cette dernière n’a pas su répondre à leurs besoins rapidement. Il est en effet extrêmement facile et rapide d’acheter un logiciel SaaS sur le web puis de se le faire rembourser en note de frais.
Cela représente une double peine pour les responsables informatiques. D’une part les informations, parfois sensibles, sortent de l’entreprise sans que la sécurité du fournisseur choisi ait pu être approuvée. D’autre part, les investissements effectués par la DSI se retrouvent inutilisés. La punition n’est donc pas seulement d’ordre sécuritaire mais également budgétaire. Selon le cabinet Vanson Bourne, le shadow IT peut représenter jusqu’à 15 % des budgets IT des entreprises !
Ce phénomène est-il plus présent dans certains domaines que dans d’autres ?
En revanche, certaines fonctionnalités sont plus susceptibles que d’autres de voir les utilisateurs passer dans l’ombre de la DSI. Les services liés à l’infrastructure sont les premiers touchés. C’est par exemple le cas d’un développeur qui testerait le code du nouveau site de son entreprise sur Amazon Web Services sans bien le protéger. Viennent ensuite les services de messagerie. Si la DSI fournit une application vieillissante ne permettant pas la mobilité, les collaborateurs se tournent naturellement vers Gmail par exemple. De même pour l’échange de fichiers sur des plates-formes comme OneDrive.
La DSI doit-elle absolument lutter contre cette tendance ? Une étude récente du cabinet Claranet suggère que le shadow IT encourage l’innovation dans les entreprises.
Par définition, le shadow IT doit être évité : il s’agit d’une perte de contrôle sur les informations de l’entreprise. En revanche, cela n’empêche pas, bien sûr, d’ouvrir et d’enrichir le catalogue des services IT proposés en faisant appel à des fournisseurs. Dans ce cas, la DSI a validé le niveau de sécurité offert. Récemment, une grande banque française a autorisé ses métiers à travailler sur Amazon Web Services. Lutter contre le shadow IT ne veut pas dire tout faire en interne mais maîtriser l’ensemble des services fournis.
Si la DSI est en mesure de fournir les mêmes services que les fournisseurs, il n’y a pas de raison pour que l’innovation soit moins encouragée qu’ailleurs.
C’est pourquoi, si la DSI est en mesure de fournir les mêmes services que les fournisseurs, il n’y a pas de raison pour que l’innovation soit moins encouragée qu’ailleurs. Il s’agit simplement d’une question de transparence : ne pas empêcher les collaborateurs d’utiliser tel ou tel service mais juste l’officialiser. En réalité, la DSI dispose déjà de toutes les armes pour éviter le shadow IT.
Quelles seraient donc, selon vous, ces armes pour réduire le shadow IT ?
En premier lieu, il faut établir un catalogue des services en collaboration étroite avec les métiers. Cela se décline en deux points : une liste des besoins des différents départements et le niveau de service associé. Par exemple, une équipe a besoin d’un serveur de développement, il faut définir sa taille. La DSI doit ensuite – et c’est primordial – s’engager sur ces services, leur niveau et leur date de délivrance.
Dans un second temps, il est indispensable de faire de la sensibilisation en interne : expliquer pourquoi, en matière de budget comme de sécurité, les informations doivent au maximum être maintenues dans l’entreprise – ou chez un fournisseur agréé par la DSI.
Enfin, reste à contrôler qu’aucun métier ne va chercher des services à l’extérieur non agréés par la DSI. Cela peut passer par des sites bloqués sur le réseau de l’entreprise ou la surveillance des notes de frais en collaboration avec le département financier.