Shadow IT : un phénomène à maîtriser

Par /

Dans la suite de cet article, je partage un retour d’expérience sur un des sujets de préoccupation de beaucoup de dirigeants, et comment le sujet a été traité conjointement entre les directions métiers et IT.

Dans le monde de l’entreprise, la mise en place d’une solution digitale ne se limite pas à satisfaire des exigences fonctionnelles. Elle doit également répondre à des critères de performance, de disponibilité, de sécurité et de conformité réglementaire. Ces critères, regroupés dans un cadre d’architecture, servent de référence pour garantir la conformité, la sécurité et la scalabilité des solutions.

Dans une situation idéale, les solutions digitales sont co-construites par les équipes métiers et digitales, en prenant en compte l’ensemble de ces aspects. Cependant, lorsqu’une entité métier ou IT décide de contourner ce processus pour adopter ou développer une solution sans respecter le cadre d’architecture existant, on parle alors de « Shadow IT ».

Les raisons du Shadow IT

Plusieurs cas de figure peuvent expliquer l’émergence du Shadow IT :

  • Tester un concept métier : Développement d’un proof-of-value pour valider une idée rapidement.
  • Urgence : Besoin de réagir rapidement à une situation imprévue.
  • Méconnaissance des processus : Ignorance des règles ou des acteurs de référence.
  • Contournement des contraintes : Volonté d’éviter des procédures jugées trop complexes.

Un phénomène répandu

Le Shadow IT est largement répandu dans les entreprises. Les chiffres en témoignent :

  • 35 % des employés estiment devoir contourner les politiques de sécurité pour accomplir correctement leur travail.
  • 80 % des employés reconnaissent utiliser des solutions IT sans l’accord de leur direction des systèmes d’information (DSI).

L’émergence des solutions SaaS (Software as a Service) favorise également ce phénomène. Faciles à utiliser, à contractualiser et à déployer, ces solutions attirent les utilisateurs finaux, qui peuvent être tentés de les adopter sans passer par leur partenaire digital. L’arrivée de l’IA et l’IA Générative ne fait qu’amplifier le phénomène.

Les risques liés au Shadow IT

Adopter des solutions en dehors du cadre IT officiel expose l’entreprise à plusieurs risques majeurs :

  • Risque réglementaire : Non-conformité aux règles sur l’utilisation des données personnelles (ex. RGPD).
  • Risque de cybersécurité : Vulnérabilité accrue face aux cyberattaques et fuites de données sensibles.
  • Risque financier : Pénalités pouvant atteindre 4 % du chiffre d’affaires pour non-respect du RGPD.
  • Risque IT : Complexité et coûts liés à l’utilisation de multiples solutions non harmonisées.

Maîtriser le Shadow IT

Au-delà de la maîtrise de ces risques, la prise de conscience de ce phénomène de Shadow IT et les mesures correctives vont permettre d’optimiser la vitesse des transformations et d’assurer la scalabilité des initiatives métiers.

Ces mesures peuvent se décliner selon 3 approches distinctes et complémentaires qui gagnent à être mise en place conjointement :

Approche préventive

  • Communication : Sensibiliser les utilisateurs aux risques du Shadow IT.
  • Information : Fournir des directives claires sur le cadre d’architecture à suivre.

Approche curative

  • Identification : Identifier les solutions Shadow IT via des déclarations des utilisateurs.
  • Accompagnement : Aider les utilisateurs à mettre leurs solutions en conformité.

Approche corrective

  • Détection : Détecter les solutions Shadow IT via des outils comme l’analyse de logs ou l’écoute sur les proxy
  • Restriction et régularisation : Restreindre l’accès aux applications non conformes jusqu’à leur mise en règle.

Bien que ces mesures répondent ponctuellement aux besoins liés à la maîtrise des risques sur les solutions Shadow, un plan d’action plus global reste nécessaire pour permettre une maîtrise plus durable.

  • Communiquer
    • Campagne de sensibilisation sur les risques du Shadow IT
    • Campagne de communication sur les règles à suivre, et le dispositif d’accompagnement.
  • Impacter
    • Accompagnement des utilisateurs lors des nouveaux besoins
    • Adaptation des règles suivant le contexte pour faciliter la mise en place des solutions innovantes. Par exemple : les exigences pour un Proof-of-Value métier doivent être plus légères et plus faciles à mettre en place que des solutions pérennes
  • Actionner
    • Accompagnement de chaque direction métier sur l’ensemble des initiatives.
    • Continue de surveiller le phénomène Shadow IT, accompagné par les équipes d’Audit interne ou les équipes Compliance

Conclusion

Le Shadow IT n’est pas qu’un facteur de risque mais bien le symptôme d’un manque de communication et de flexibilité. Seule une approche équilibrée entre sensibilisation, accompagnement et contrôle, permettra de réduire les risques, tout en favorisant la transformation digitale et l’innovation.

Source : 

Baromètre de la cyber-sécurité des entreprises : Baromètre de la cyber-sécurité des entreprisesCESINhttps://cesin.fr › document

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut