Afficher Masquer le sommaire
Le “Shadow IT” désigne l’utilisation par certains employés de technologies non autorisées par la DSI, sans que cette dernière en soit informée.
Ce phénomène – qui s’est largement développé suite à l’essor du “Cloud” – résulte bien souvent d’un manque de fonctionnalités ou d’une frustration à l’égard d’outils jugés peu adéquats par certains salariés. Ces derniers se tournent donc vers des alternatives applicatives disponibles en ligne, sans forcément mettre au courant le service IT.
A lire également : Comment faire une formation Google Analytics 4 (GA4) ?
Réduire le phénomène de Shadow IT en 5 étapes
Le Shadow IT n’est pas anodin pour une organisation : en effet l’emploi régulier d’outils non autorisés – et donc externes au SI – entraîne une sortie régulière de données vers des environnements externes, en violation de la gouvernance des données en vigueur dans l’entreprise. Le risque majeur lié à cette pratique ? La multiplication de failles de sécurité et une certaine perte de contrôle sur les données.
Comment limiter ce phénomène au maximum ? Voici plusieurs conseils utiles.
Identifier les cas de Shadow IT
Ce premier conseil semble tomber sous le sens au premier regard mais il n’est pas aussi simple qu’il n’y paraît. Pour lutter contre le Shadow IT, il est indispensable d’en recenser les cas avérés, une tâche souvent délicate puisqu’elle nécessite une inspection minutieuse et exhaustive des usages de chaque collaborateur. Organiser des échanges, poser les bonnes questions puis lister chaque application relative au Shadow IT requiert une organisation rigoureuse et un temps considérable. Mais il s’agit d’une phase indispensable pour cerner l’ampleur du phénomène et espérer le circonscrire.
A lire en complément : Comprendre la notion de valeur absolue en Python pour des calculs précis
Écouter et sensibiliser plutôt que réprimander
La découverte d’une culture de Shadow IT peut provoquer des tensions entre les équipes concernées, les managers ainsi que la direction. La plus souvent, l’énervement et les remontrances l’emportent sur une approche plus méthodologique.
Pourtant, le Shadow IT peut être vu autrement que comme un problème. En réalité, c’est un symptôme révélateur d’une défaillance de fond dans la société. Les employés ne sont pas équipés des outils dont ils ont besoin pour travailler efficacement et ont donc cherché une solution de façon arbitraire.
La meilleure approche consiste donc dans un premier temps à ne pas adopter une posture agressive, qui serait contre-productive car susceptible de cristalliser les tensions.
Par la suite, l’objectif est de comprendre des raisons ayant entraîné l’emploi des logiciels “non-officiels” : manque de fonctionnalités, difficultés à obtenir des données fiables et consolidées, outils peu pratiques à utiliser… Ces informations sont précieuses, puisque ce sont elles qui permettront de combler les failles ayant entraîné l’apparition du Shadow IT.
Faire évoluer la culture d’entreprise pour mieux prévenir les dérives
Si les réprimandes et avertissements ne sont pas vraiment efficaces, les collaborateurs doivent néanmoins prendre conscience des risques qu’ils font courir à l’entreprise par leurs pratiques. L’une des missions de la DSI consiste donc à faire monter en compétence les équipes sur le sujet pour développer une culture d’entreprise data-driven et minimiser l’apparition de nouveaux foyers de Shadow IT à l’avenir.
Fournir les outils manquants aux utilisateurs
Pour éviter que l’histoire ne se répète, les demandes des employés doivent non seulement être prises en compte, mais également se traduire par des actes : modules complémentaires, développements sur-mesure… Parfois, les logiciels utilisés “dans l’ombre” peuvent aussi s’avérer très pertinents et se voir intégrés – officiellement par la DSI cette fois ! – au système d’information.
Adopter une politique “Zero trust”
Pour renforcer la sécurité des données vis-à-vis de potentiels nouveaux cas de Shadow IT, la mise en œuvre d’une stratégie Zero Trust est généralement nécessaire.
Il s’agit là d’un modèle de sécurité informatique qui consiste à systématiquement contrôler les demandes d’accès à des ressources internes ou externes. Cela permet d’empêcher la fuite d’informations à l’extérieur ou à l’inverse, de bloquer par défaut l’accès au SI à des technologies non approuvées.
En parallèle, la DSI peut paramétrer des alertes l’informant de la création de potentiels clusters de Shadow IT et largement réduire les risques informatiques auxquels sont soumises les données.