En quelques années, les solutions SaaS ont séduit la quasi-totalité des organisations. Parfois même sans qu’elles le sachent, dans la mesure où tout collaborateur peut souscrire un abonnement et accéder sans restriction à la solution via un simple navigateur. Des utilisations invisibles pour la DSI et les architectes d’entreprise qui ne sont pas sans risques : idées reçues et vérités sur le Shadow SaaS dans les organisations.

Le Shadow SaaS est la version moderne du Shadow IT

Faux – Le Shadow IT est une notion identifiée et conceptualisée depuis longtemps dans les organisations. Dans la grande majorité des cas, ses origines remontent à la construction empirique et non structurée des systèmes d’information il y a plus de trente ans. Une absence de rationalisation qui a conduit à des pertes de visibilité sur l’existant et donc à des risques et dérives, notamment en matière de coûts.

Le Shadow SaaS est le recours par des utilisateurs métiers à des solutions SaaS, sans en référer à la DSI. Une situation rendue possible par le principe intrinsèque du mode SaaS, qui réunit fonctionnalités et infrastructure en un seul abonnement, que les métiers peuvent souscrire directement. Le Shadow SaaS est donc un élément du Shadow IT, qui demeure le plus complexe à traquer car en dehors de la DSI et de ses budgets propres.

 

Le seul risque du Shadow SaaS est financier

Faux – Le risque financier est bien sûr important : sans visibilité ni capacité de pilotage de la DSI, nombreuses sont les applications redondantes et les abonnements non utilisés au sein des multiples directions métiers ou support. Mais les risques sur les données sont aussi majeurs.

À commencer par les risques liés aux données personnelles (« data privacy »). Sans maîtrise des applications SaaS, il est impossible de répondre aux obligations du RGPD par exemple. En particulier au niveau de l’identification des usages, des lieux de stockage et des modes de traitement des données personnelles dans l’organisation.

De la même façon, le Shadow SaaS peut engendrer des risques sur les données sensibles : informations clients, secrets industriels, etc. Dans ce cas aussi, la DSI doit impérativement en garder la maîtrise pour limiter les risques supplémentaires, notamment en matière de business ou d’image.

 

Le phénomène SaaS s’amplifie dans les organisations

Vrai – Plateformes collaboratives, gestion de notes de frais, outils RH, gestion de la relation clients, messagerie instantanée, robot conversationnel : de nombreuses applications existent aujourd’hui pour aider les métiers dans leur quotidien.

Simples d’accès, avec des abonnements souvent raisonnables et même parfois gratuits pour des besoins limités, ces différentes applications ne nécessitent en aucune façon l’intervention de la DSI pour être mises en œuvre.

D’ailleurs, il n’y a généralement aucune intention malveillante de la part des utilisateurs : de leur point de vue, il s’agit d’être efficaces rapidement.

 

La majorité des DSI disposent d’une visibilité suffisante des applications SaaS

Faux – Les applications SaaS sont utilisables à travers un simple navigateur et peuvent être directement souscrites par les métiers, sans aucune consultation de la DSI.

De ce fait, les organisations d’une certaine taille – ETI et grandes entreprises en tête mais également certaines PME – peuvent découvrir, lors d’audits via des plateformes de SaaS management, que 60 à 70% des applications SaaS sont totalement invisibles de la DSI. Celle-ci ne disposant donc que d’une visibilité très partielle n’a pas la capacité de piloter et rationaliser les applications utilisées par l’entreprise.

 

Les métiers de l’architecture vont évoluer avec la croissance du SaaS

Vrai – L’architecte d’entreprise continuera bien sûr à exercer ses missions principales, notamment d’analyse et de conseil en termes de transformation et d‘optimisation du système d’information.

En revanche, l’architecte solution se concentrera davantage sur les besoins métiers que sur les questions d’infrastructure – hébergement, déploiement, exploitation des applications et données – qui seront de plus en plus déléguées à l’externe, s’agissant du principe même du SaaS.

Le risque étant déporté vers la prestation externe, les enjeux de l’architecture porteront sur la définition de la business architecture, les couches fonctionnelles, la rationalisation des applications et fonctionnalités existantes – et moins sur les aspects de déploiement technologique.

 

Les risques du Shadow SaaS se limiteront aux utilisateurs avertis

Faux – Avec des utilisateurs de plus en plus à l’aise avec le digital, les projections évoquent l’hypothèse que 80% des applications des organisations pourraient être utilisées en mode SaaS d’ici 2031 (contre 17 % aujourd’hui), selon une projection KPMG/Beamy.

Le risque de voir se déployer le Shadow SaaS dans toute l’entreprise est donc bien réel. Il ne sera contenu qu’à la condition qu’architectes d’entreprises et équipes de la DSI disposent d’une visibilité suffisante pour pouvoir piloter l’ensemble de ces applications – et ainsi en optimiser les usages et les coûts.

Ils pourront en cela compter sur des outils spécifiques de SaaS Management (que 50 % des organisations prévoient déjà de mettre en place d’ici 2026 selon Gartner) et de planification de la transformation IT. Emergeront aussi de futurs « directeurs du SaaS Management », postes qui seront sans doute amenés à se développer dans les prochaines années.

___________________

Par Paul Estrach, Directeur Marketing Produit chez MEGA International

 

 

À lire également autour du Shadow IT et du Shadow SaaS :

> Comment prévenir les risques liés à la Shadow IT

> 68% des malwares proviennent du cloud et du Shadow IT

> Shadow IT : identifier les zones d’ombre de l’entreprise pour garantir sa sécurité.

> Les 7 Commandements du Shadow IT

> Les 4 étapes d’une bonne gestion des Ops…

> Votre architecture d’entreprise est-elle lisible ?

> Low-code ou no-code : la liberté sous conditions