Shadow IT : les dangers pour l’entreprise

Le shadow IT peut être défini comme étant l’utilisation de technologies matérielles et logicielles par les employés de l’entreprise sans l’accord du département informatique. Un phénomène loin d’être anecdotique, comme le prouve l’étude du cabinet de conseil Frost & Sullivan : plus de 80% des salariés admettent utiliser des solutions informatiques sans l’accord formel de leur DSI, et sur la vingtaine d’applications SaaS utilisées par une entreprise en moyenne, 7 d’entre-elles n’ont pas reçu l’accord de la DSI.

 

Par le passé, le Shadow IT résultait souvent de la volonté des employés à accéder à du hardware, des logiciels ou des services web spécifiques sans avoir à passer par de multiples étapes pour obtenir ces technologies via le département informatique de l’entreprise. Ainsi, l’une des principales raisons pour laquelle les employés se tournent vers le Shadow IT est la volonté de travailler plus efficacement.

Cependant, avec la démocratisation de l’informatique et l’essor des technologies Cloud, l’adoption du Shadow IT a fortement augmenté. Désormais, des applications comme Google Docs, Slack ou Dropbox peuvent être téléchargés en un clic et l’intérêt d’avertir le département informatique de leur utilisation peut sembler superflu.

De même, de nos jours, de nombreux employés travaillent sur leurs appareils personnels : smartphone, tablette, laptop… tout ce matériel rentre dans la catégorie du Shadow IT. Il en va de même pour l’usage de technologies de niches qui répondent aux besoins d’un département spécifique. Généralement, ces technologies sont délivrées par un fournisseur de service tiers et non par le département informatique.

 

Un constat qui peut inquiéter, et pour cause : en 2020, un tiers des attaques informatiques seront le fait du shadow IT si l’on en croit la sérieuse étude Gartner. Des dangers multiples qui vont de la fuite de données stratégiques de l’entreprise au risque d’infection par des virus en passant par des vols d’identifiants.

Les utilisateurs qui ont recours à une messagerie grand public pour envoyer de gros fichiers parce que la messagerie d’entreprise ne leur offre pas une capacité de stockage suffisante. De même que certains services de partage de fichiers dans le Cloud sont insuffisamment sécurisés. Interrogés par Frost & Sullivan, les utilisateurs de solutions en mode Shadow IT sont pour une bonne part d’entre eux pleinement conscients des risques pris.

 

 

42% des utilisateurs métiers reconnaissent prendre le risque de vol de données sensibles, 41% reconnaissent que ces données pourraient être exposées à des personnes non habilitées. Des chiffres alarmants qui font courir un risque non pas seulement relatif à la divulgation de données confidentielles, mais aussi pour le système d’information de l’entreprise. D’autre part les utilisateurs qui multiplient les comptes sur Internet ont la fâcheuse tendance à utiliser le même mot de passe pour l’ensemble de leurs comptes.

Heureusement, il existe des solutions afin de lutter contre le shadow IT :

 

  • Chercher des solutions en monitorant le shadow IT

Il appartient à la DSI de faire l’inventaire de qui utilise quoi dans l’entreprise. Cet inventaire va permettre d’identifier les risques et de proposer des solutions plus adaptées. Même si cet état des lieux ne résout pas les failles de sécurité, il fera apparaître les flux des applications inconnues ou nouvelles, lesquels constitueront une base de connaissances pour que la DSI puisse déterminer les meilleures alternatives possibles.

 

  • Proposer des solutions maîtrisées par la DSI, plus que des alternatives

La volonté de la DSI étant surtout d’apporter des améliorations pour éviter les problèmes de sécurité, trouver une alternative à une solution déployée par les métiers eux-mêmes n’est pas forcément la solution. Parfois, il suffit juste de remettre un outil sous la responsabilité de la DSI, afin que celle-ci en contrôle la conformité technique et contractuelle.

Il est important que la DSI ne considère pas comme mauvais tout ce qu’elle va découvrir en menant des investigations au sujet du shadow IT. Les outils et les applications révélées par cette investigation sont la voix des utilisateurs, ils sont ce dont les équipes ont vraiment besoin pour réussir dans leur travail. Mieux : ces solutions pourraient même bénéficier à d’autres directions métier.

 

  • Montrer une attitude d’ouverture

Parallèlement, la DSI doit lutter contre sa tendance naturelle à se fermer quand il faut répondre aux nouvelles demandes des salariés. Il s’agit là du point de départ du shadow IT : ne pas travailler ensemble, c’est s’interdire de savoir quelles technologies sont susceptibles d’être déployées, quels risques sont à éviter et quelles alternatives sont possibles.

Prenons par exemple les télétravailleurs. Si la DSI ne leur propose pas spontanément les moyens pour collaborer à distance, ils en trouveront eux-mêmes, sans même se demander s’il était pertinent d’en parler. Et c’est à partir de ce moment-là que les complications commencent. La DSI doit plutôt anticiper en incitant les métiers à la consulter pour partager leurs besoins.  Les salariés de l’entreprise doivent être considérés comme les clients internes de la DSI. À ce titre, il est important de créer le dialogue en écoutant leurs retours d’expériences et les problèmes qu’ils essaient de résoudre.

 

  • Participer aux réunions des métiers sur la stratégie technologique

Pour créer un climat de pleine collaboration entre les métiers et la DSI, cette dernière a tout intérêt à rencontrer régulièrement chaque direction afin de discuter avec elle de ses stratégies technologiques. Établir un dialogue ouvert avec les métiers est le meilleur moyen de rendre transparente la question des solutions à adopter et d’éviter le problème des technologies non approuvées en production.

Nos derniers articles

Grâce à Touch Connect, passez à la VoIP en douceur

Grâce à Touch Connect d’OpenIP, les entreprises vont passer du RTC à la VoIP tout en douceur L’arrêt, programmé pour…

En savoir plus
Match de la téléphonie en mode Cloud

La téléphonie en mode Cloud   La crise du Covid-19 aura mis en évidence les limites des installations de téléphonie traditionnelle. Les…

En savoir plus
Après la crise du Covid-19, plus rien ne sera comme avant

Chronique de Laurent Silvestri – Directeur de la stratégie de Destiny – Opérateur global de Communications dans le Cloud. 300 salariés…

En savoir plus
Portez les numéros de vos clients & anticipez la fin du RTC !

Anticipez les migrations T0 sur les sites fermés En cette période de confinement, bon nombre de vos clients se sont…

En savoir plus
MetaCentrex, une solution de visio sécurisée respectant vos données privées

En raison de l’impact de COVID-19 à travers le monde, il y a eu une augmentation massive du nombre d’utilisateurs…

En savoir plus
Assurez la continuité de vos activités en période de crise

Avez-vous besoin d’implémenter le télétravail au sein de votre entreprise ? Les entreprises ne peuvent pas se permettre de cesser…

En savoir plus