Point de vue

Gérer le shadow IT

Le terme de Shadow IT est couramment utilisé pour désigner les éléments du système d’information mis en place par les utilisateurs sans consultation de la DSI. Cette pratique existe depuis toujours mais elle connait depuis plusieurs années une explosion du fait de l’offre croissante de services cloud immédiatement disponibles pour les utilisateurs.

Aujourd’hui le Shadow IT regroupe entre autres des applications Excel développées et maintenues par les utilisateurs, des comptes dropbox personnels utilisés comme des outils corporate et des applications SaaS mises en place directement par les directions métier.

On estime qu’en moyenne 38% des dépenses IT sont faites en dehors du budget de la DSI. Le phénomène se développe notamment lorsque les utilisateurs ont le sentiment que la DSI n’est pas en mesure de répondre assez rapidement à leur besoin.

Le développement du Shadow IT représente un risque multiforme pour l’entreprise :

  • Sécurité : les solutions mises en place sans l’aval de la DSI ne sont pas nécessairement conformes aux normes de sécurité en vigueur dans l’entreprise, des failles de sécurité peuvent engendrer des pertes ou fuites de données

  • Conformité : dans certains contextes soumis à des exigences réglementaires le contrôle de la DSI est un facteur de conformité, les solutions hors-DSI n’offrent pas toujours les mêmes garanties

  • Perte de temps : les utilisateurs passent un temps considérable à mettre en place et gérer des éléments du système d’information sans avoir l’expérience nécessaire

  • Morcellement des référentiels : la prolifération d’applications en dehors de la gouvernance établie par la DSI peut utiliser des sources de données non conventionnelles et nuire à la cohérence des référentiels

  • Pérennité : le manque de contrôle de la pertinence d’un éditeur peut créer un risque dans la durée si la stabilité ou la roadmap produit de l’éditeur n’est pas alignée avec les besoins de l’entreprise

S’il peut représenter un risque, le shadow IT est également une formidable opportunité pour les DSI d’intégrer l’innovation. Les solutions mises en place par les utilisateurs ou sourcées auprès de fournisseurs alternatifs ne sont pas mauvaises par principe et certaines présentent un potentiel d’innovation intéressant.

L’enjeu pour les DSI est donc de pouvoir identifier les solutions mises en place sans leur aval puis de définir une stratégie adaptée à chaque cas.

 

Une approche pragmatique

Nous proposons une approche pragmatique pour  identifier les applications Shadow IT, les évaluer et émettre des recommandations pour remédier à l’effet Shadow. L’accent est mis sur l’efficacité avec un ciblage du périmètre à traiter, une évaluation non chronophage et une gouvernance adaptée pour mettre en œuvre rapidement les recommandations opérationnelles.

La découverte des composants Shadow peut mettre à profit certaines fonctions d’outils techniques déjà présents dans l’entreprise (scan de macros, scan cloud, scan des postes de travail). Cette première base de travail est complétée par des entretiens de découverte guidés par trois principes clés :

  • Concentration sur le périmètre qui ne figure pas dans la cartographie officielle
  • Utilisation des formats et supports existants (modèles de cartographie et représentation du SI)
  • Restriction éventuelle aux métiers et fonctions traditionnellement générateurs de Shadow IT

Le résultat est une cartographie identifiant l’ensemble des composants Shadow et leur contribution aux fonctions métier.

 

L’évaluation des composants utilise une liste de critères adaptable suivant le contexte de chaque client, ainsi qu’une grille de notation permettant d’aboutir rapidement à un résultat factuel.

Les applications sont évaluées lors d’ateliers après adaptation du modèle d’évaluation. Les critères généraux d’alignement stratégique, potentiel d’innovation, conformité et qualité sont déclinés en sous-critères instanciés de façon spécifique au périmètre d’étude.

La notation aboutit à un positionnement des composants sur une matrice de décision.

Quatre stratégies peuvent être adoptées suivant l’évaluation finale :

  • Intégrer (solutions de qualité répondant à un besoin fort des métiers)
  • Tolérer (solutions répondant à un besoin métier réel  sans autant représenter un risque en termes de sécurité ou de conformité)
  • Reconcevoir (solutions répondant  à un besoin métier mais non alignées avec les standards de qualité ou conformité)
  • Eliminer (solutions de qualité ou de conformité médiocre ayant un impact business faible)

La dernière étape permet de mettre en place une gouvernance adaptée au contexte client avec trois composantes essentielles :

  • Le modèle de gouvernance (instance DSI/métiers permettant de traiter à une fréquence donnée les cas de shadow IT éventuels ou constatés, règles d’achat, principes d’architecture, etc.)
  • L’outillage pour la cartographie et l’évaluation récurrente, sur la base des outils utilisés lors de la première évaluation
  • Le cadrage du processus d’intégration dans la production pour les composants shadow qui le justifient

 

Le résultat est une gouvernance définie et mise en application pour accompagner l’exécution des recommandations et la gestion du Shadow IT dans la durée.

L’exercice de traitement du Shadow IT permet également de réaffirmer une gouvernance forte de la part de la DSI pour maîtriser les coûts et garantir la sécurité de l’information, de renouer le dialogue entre la DSI et les Métiers et de mettre en place une intégration saine de l’innovation, au service des utilisateurs.