Le Shadow IT est l’utilisation non autorisée de logiciels, de matériel et de services cloud. Généralement, les utilisateurs contournent les canaux informatiques officiels afin de terminer leur travail plus rapidement et plus facilement. S’ils utilisent secrètement ces choses à d’autres fins, alors c’est un problème de sécurité beaucoup plus sérieux pour l’entreprise. Mais dans l’ensemble, il y a des fruits à récolter des deux côtés de cet arbre interdit.
“En cette ère de travail hybride et à distance, avoir une certaine tolérance pour le shadow IT et permettre aux employés ou à leurs départements de choisir leurs propres outils peut présenter de grands avantages”, déclare Eric Christopher, PDG de Zylo, un fournisseur de gestion SaaS.
Mais ce n’est pas seulement la nature changeante du travail qui pousse les entreprises à adopter une double vision du Shadow IT. L’épuisement simple et le nombre insuffisant d’heures dans la journée de travail sont également à l’origine de son adoption.
Un rapport de l’Economic Intelligence Unit souligne la non-durabilité des processus informatiques actuels, constatant que “les arriérés informatiques sont importants et que le contrôle de l’informatique sur l’infrastructure numérique diminue”.
Mais c’est compréhensible. Les équipes informatiques sont en sous-effectif et débordées après la forte augmentation des demandes d’assistance causée par la pandémie, déclare Rich Waldron, PDG et co-fondateur de Tray.io, une société d’automatisation low-code.
“La recherche suggère que l’équipe informatique moyenne a un carnet de projets de 3 à 12 mois, un défi important car l’informatique est également confrontée à des demandes renouvelées pour des projets stratégiques tels que la transformation numérique et l’amélioration de la sécurité des informations”, déclare Waldron.
Il y a aussi la question de la rétention des employés pendant la Grande Démission qui dépend en partie de la qualité de la technologie au travail.
“Les données montrent que 42 % des milléniaux sont plus susceptibles de quitter leur emploi si la technologie est inférieure à la moyenne”, déclare Uri Haramati, co-fondateur et PDG de Torii, un fournisseur de gestion SaaS.
« Le Shadow IT soulage également une partie de la charge du service informatique. Étant donné que les employés savent souvent quels outils conviennent le mieux à leur travail particulier, le service informatique n’a pas à consacrer autant de temps à rechercher et à évaluer des applications, voire à les acheter », ajoute Haramati.
À une époque où la vitesse, l’innovation et l’agilité sont essentielles, tout verrouiller à la place ne suffira pas. Pour le meilleur ou pour le pire, le Shadow IT est là pour rester.
« Le fait de confier le pouvoir de décision aux équipes, et pas seulement à l’informatique, permet aux employés de se procurer les outils dont ils ont besoin pour faire leur travail quand ils en ont besoin, faisant du shadow IT une source d’innovation et d’agilité. Et cela conduit finalement à deux choses : de meilleurs taux d’adoption et une meilleure expérience employé », déclare Zylo.
De plus, ce n’est pas comme si les entreprises avaient vraiment le choix.
“Bonne chance pour essayer d’arrêter le shadow IT alors que ce navire a navigué”, déclare Ahmed Datoo, CMO chez Alkira, un réseau cloud en tant que fournisseur de services.
Inconvénients du Shadow IT
Le Shadow IT présente également des inconvénients évidents et le fait de l’adopter trop rapidement peut conduire à un certain désastre, et pas seulement en raison de l’augmentation prévisible et significative des vulnérabilités de sécurité.
« Lorsque les employés qui contrôlent les comptes racine associés à ces ressources informatiques fantômes quittent l’entreprise, confirmer que l’accès à ces ressources a été révoqué ou obtenir un accès quelconque aux comptes orphelins peut poser un défi important. Dans les cas graves, cela peut entraîner une perturbation des processus métier clés », prévient Dan Trauner, directeur principal de la sécurité chez Axonius.
Cela rend la gestion des ressources informatiques fantômes et des magasins de données absolument essentielle. Le premier ordre du jour consiste à dresser un inventaire des actifs informatiques fantômes, souvent à l’aide d’une plate-forme de gestion SaaS (SMP) et d’autres outils de gestion des actifs.
“Une catégorie entière d’outils de sécurité – la plate-forme de gestion SaaS – existe pour aider à se connecter à ces sources de données et à les analyser pour découvrir le shadow IT. Comme la plupart des organisations s’appuient aujourd’hui sur des produits SaaS, cela devrait être une considération importante, qu’elle soit réalisée en interne ou via un fournisseur », ajoute Trauner.
Une fois que vous avez trouvé les actifs cachés dans le shadow IT, résistez à l’envie de tout fermer.
“Une chose que l’informatique ne devrait pas faire, c’est simplement tout verrouiller. Cela a généralement deux impacts. Le premier est d’étouffer l’innovation et la créativité. La seconde consiste à pousser encore plus loin le shadow IT dans l’ombre », déclare Andy Miears, directeur, agilité d’entreprise, chez ISG, société mondiale de recherche et de conseil en technologie.
Exploiter le Shadow IT pour une entreprise gagnante
Une fois que les actifs informatiques fantômes sont mis au jour, il est temps de chercher des moyens de tirer parti de leur utilisation pour le bien de l’entreprise dans son ensemble.
Les experts disent que ce sont de bons points de départ :
1. Vérifiez le gaspillage de licences et les redondances d’applications.
Ne soyez pas surpris de trouver de nombreuses applications redondantes utilisées par différents employés qui ne peuvent plus facilement échanger des informations ou collaborer sur le lieu de travail numérique, prévient Haramati. « Cela signifie également que l’informatique finit par devoir prendre en charge des applications redondantes. De plus, de nombreuses licences Shadow IT sont inutilisées et ne sont pas adaptées à leurs niveaux d’utilisation, et les abonnements sont souvent renouvelés à l’insu du propriétaire de l’application ou du service informatique », déclare-t-il.
2. Vérifiez à nouveau les applications qui peuvent encore se cacher dans l’ombre.
Heureusement, il existe des outils pour vous aider dans cette tâche. “En examinant les données d’un fournisseur d’identité comme Google Workspace, vous pouvez identifier les subventions OAuth utilisées pour la connexion à des applications tierces. Il existe également d’autres sources telles que les journaux DNS ou les logiciels de comptabilité tels que les cartes de crédit d’entreprise », explique Trauner.
3. Établir une gouvernance continue.
Évitez les ennuis en étant proactif et diligent. “Vous pouvez établir un processus de gouvernance continu pour vous assurer que toutes les applications passent par un examen de sécurité et que les applications dépassant un certain seuil de dépenses sont évaluées par rapport à ce qui se trouve déjà dans votre parc SaaS”, explique Christopher.
4. Encouragez la sécurité à être plus conviviale pour les développeurs.
Les protocoles et les attitudes de sécurité sont les causes les plus souvent citées comme les choses que les développeurs et les utilisateurs essaient d’éviter en utilisant le Shadow IT. Cela continuera s’il ne devient pas nettement plus facile de se conformer aux directives de sécurité. « Prendre le tacitement « vous avez écrit un mauvais code » ne va pas gagner les cœurs ou les esprits », déclare Vikram Kunchala, principal et responsable du cybercloud chez Deloitte Risk & Financial Advisory.
« Encourager un engagement précoce et fréquent avec la sécurité pendant le processus de développement peut aider. Mais les équipes de sécurité doivent également faciliter la tâche des développeurs », ajoute-t-il.
Ce n’est pas seulement un conseil de compétences douces et tactiles. Une véritable coopération entre développeurs (citoyens ou formels) est également une question pratique. “De plus, les équipes informatiques et de développement sont généralement plus grandes que les équipes de sécurité dans la plupart des organisations, et souvent des personnes bien intentionnées peuvent précipiter les choses au risque des autres”, prévient Kunchala.
5. Élargissez l’organisation de la fonction de sécurité de l’information de l’entreprise.
La sécurité ne peut pas être cantonnée à l’informatique et à un service de sécurité si l’organisation doit être vraiment sécurisée. L’existence même de Shadow IT prouve la folie de cette pensée.
“Une fonction de sécurité habilitée par le PDG ou un cadre similaire à répondre aux exigences commerciales d’autres équipes et à faire en sorte que ses propres exigences soient considérées comme tout aussi importantes peut aider à rendre les projets informatiques parallèles plus visibles et à atténuer certains des risques”, déclare Ansari.
D’un autre côté, “des équipes de sécurité suffisamment informées avec une perspective suffisamment large peuvent également repérer où un projet fantôme duplique le travail de quelque chose qui existe déjà et peut-être même éviter la nécessité d’un tel projet en premier lieu”, ajoute Ansari.
Quelles que soient les étapes supplémentaires que vous choisissez de prendre, gardez une compréhension centrale à l’esprit.
« Les anciennes notions de règles centralisées et strictes autour de l’architecture d’entreprise, de la gouvernance informatique, des risques et de la conformité doivent évoluer. Ce devrait être le rôle de l’informatique de fournir les garde-fous, les services et les éléments de base nécessaires pour s’adapter rapidement et efficacement à l’entreprise », déclare Miears.
Que lire ensuite :
Permettre aux Citizen Data Scientists d’atteindre leur plein potentiel
Les avantages de l’adoption d’une plate-forme de développement Low-Code/No-Code
Comment empêcher les membres de l’équipe informatique de démissionner dans un marché de l’emploi restreint
