Le Shadow IT – l’usage par les collaborateurs de logiciels, applications ou appareils n’ayant pas reçu la validation de la DSI de l’entreprise – est un des sujets qui occupe et préoccupe tous les responsables informatiques. Aujourd’hui, « l’informatique de l’ombre » est présentée comme une source de risque importante pour la sécurité de l’entreprise. Pourtant, il y a bien plus à gagner à la contrôler, plutôt qu’à s’épuiser à vouloir l’interdire.
Avec l’accélération de la collaboration à distance, 80 % des employés admettent avoir utilisé des applications SaaS non approuvées dans le cadre de leur travail (*Source : étude McAfee). Le télétravail a accéléré la tendance et 77 % des DSI s’accordent sur le fait que d’ici 2025, l’informatique parallèle deviendra un handicap important (*Source : étude Entrust Datacard).
Une profusion d’applications disponibles
À l’heure des Google Drive, Dropbox, Teams, Zoom, Canva, Trello, WeTransfer ou encore ChatGPT, le sujet du Shadow IT est plus que jamais d’actualité.
D’après la 5ème édition du « Threat Report » de l’éditeur Netskope, 97 % des applications cloud utilisées au sein des entreprises relèvent du Shadow IT. Pourquoi les collaborateurs sont-ils de plus en plus sujets à utiliser des ressources parallèles ?
La majorité des utilisateurs concernés expriment un besoin de rapidité, de productivité pour mieux réaliser leur travail à un instant T. Face à cela, l’émergence des solutions disponibles avec des licences gratuites, que l’on retrouve aussi dans nos usages personnels, facilite l’adoption d’outils en tous genres.
Shadow IT, entre ombre et lumière
Il est évident qu’en ne réagissant pas, les entreprises s’exposent à des risques. Pourquoi ? La dispersion des données sur différents supports et canaux provoque une perte de maîtrise de ces données, ainsi qu’une perte de contrôle du périmètre d’activité de l’entreprise.
Avec des conséquences redoutables :
* La fuite de données – 22% des incidents* proviendrait de fuites de données internes, donc par les salariés,
* L’augmentation de la surface d’attaque – 68 % des malwares proviennent d’applications cloud,
* La perte de données lors du départ d’un collaborateur – trois fois plus de données sont transférées vers un compte personnel dans les 30 jours qui précèdent un départ
* Des coûts non maîtrisés – ils se traduisent par des notes de frais pour les souscriptions SaaS, mais aussi par une perte de la couverture par l’assurance ou une amende CNIL (fuite de données personnelles via une solution de Shadow IT)
* La dégradation du fonctionnement du SI – la DSI fait face à des failles de sécurité, des problèmes de performances, l’augmentation de complexité et l’évolution non ou mal maîtrisée du SI,
* L’hébergement de données hors contrôle de la législation française,
* Le manque de collaboration au sein d’une équipe, dont les outils divergent.
Pour autant, l’utilisation de ces applications parallèles a également des avantages pour les collaborateurs :
* Une augmentation de la productivité,
* Une meilleure satisfaction,
* Un gain d’autonomie conséquent,
* De nouvelles bonnes pratiques grâce à des essais de solutions innovantes où une équipe pourra tester de nouvelles méthodologies de travail.
Maîtriser et inventorier… les besoins
À la question : “faut-il supprimer le Shadow IT ?”, j’apporterai une réponse mitigée.
De mon point de vue, l’important n’est pas de l’interdire à 100 % mais de tenter de le maîtriser en ayant conscience des solutions utilisées.
En inventoriant, en cartographiant même ces applications annexes sans les interdire, la DSI peut intégrer les risques dans son plan d’évaluation.
Avant de s’arquebouter sur une position de principe, il est nécessaire d’analyser l’utilisation de cette informatique parallèle. Pourquoi les collaborateurs ont-ils choisi d’utiliser un outil externe à l’entreprise ? Existe-t-il des outils pouvant répondre à ce besoin en interne ? En ont-ils conscience ?
En réalisant cette analyse, il est possible d’évaluer et rationaliser le Shadow IT en choisissant des solutions intéressantes à conserver à la fois pour le confort de travail et la sécurité des données.
Il s’agit donc d’assurer une surveillance et une évaluation continue afin de maîtriser les risques et de répondre aux besoins des utilisateurs.
Les clés pour anticiper
Concrètement, je conseillerai d’agir en amont, en choisissant des solutions logicielles efficaces et sécuritaires qui éviteront le besoin d’aller chercher des outils “ailleurs”.
Voici, selon moi, les principaux critères à privilégier lors du choix des futurs outils informatiques :
* Un déploiement simple et automatique, des fonctionnalités évolutives et surtout un onboarding intégré afin d’être au plus proche des équipes,
* Une sécurité garantie par la souveraineté des données, une traçabilité des actions et des certifications affichées et adaptées au secteur d’activité,
* Des connecteurs intégrés pour profiter des applications du quotidien de l’entreprise et s’y connecter de façon automatiques,
* Une simplicité d’utilisation passant notamment par une authentification unifiée.
Finalement, le rôle de la DSI ne s’arrête plus au simple choix du logiciel. Il consiste à sensibiliser les utilisateurs, à les accompagner dans le paramétrage de leurs logiciels et à rester à l’écoute de leurs besoins.
En communiquant régulièrement sur les bonnes pratiques mais aussi en les informant des outils qui sont mis à leur disposition, les responsables informatiques seront capables de rester maîtres des données de l’entreprise sans freiner les évolutions apportées par leurs collaborateurs.
____________________________
par Bertrand Servary, PDG de NetExplorer.
Sources
– Baromètre Opinion Way de janvier 2022
– Shadow IT à l’heure du Cloud – Dossier Technique du Clusif – Mars 2023