Le Shadow IT ou les applications non gérées

Introduction

Avec la consommation de masse des technologies de l’information et la croissance constante du taux d’adoption des services basés sur le cloud, le Shadow IT est devenu un sujet important qui n’est pas prêt de disparaître.

En effet, les chiffres actuels montrent que les employés sont à l'origine de 50 % des achats d’applications cloud, tandis que 35 % sont effectués au niveau des services et seulement 15 % par les équipes informatiques. Cela signifie qu’au sein d'une entreprise la majorité des achats sont réalisés à l'insu du service informatique ou du service de sécurité.

Cet article est consacré à tous les aspects du Shadow IT : ses risques, coûts et avantages, et vous explique comment bien détecter et gérer ces logiciels qui passent sous les radars.

Qu’est-ce que le Shadow IT ?

Le Shadow IT désigne l’achat et l’utilisation d'un matériel informatique ou logiciel sans l’accord explicite du service informatique. Cela inclut le matériel informatique, les logiciels en vente libre, mais aussi, et surtout, les services cloud, en ce compris les services SaaS (software as service) et IaaS (infrastructure as service).

Même si les applications non gérées englobent de nombreuses choses, les entreprises se préoccupent surtout de l'augmentation du nombre d’applications SaaS qui ne sont pas approuvées par le service informatique. Les employés osent de plus en plus télécharger des applications et des services pour se faciliter la tâche.

Bien que ce phénomène relativement récent présente certains risques et problèmes, il compte également des avantages, tels qu’une plus grande productivité, une fluidité accrue et une capacité à résoudre immédiatement des problèmes. Cela creuse néanmoins un fossé entre le métier et l’informatique. L’informatique orientée métier mise sur l’innovation et la productivité, mais doit d’être gérée correctement afin d’allier efficacité, productivité et sécurité. Le Shadow IT ne mérite donc pas sa mauvaise réputation actuelle.

Évoquons à présent quelques exemples de Shadow IT et penchons-nous sur les trois principales catégories de logiciels concernées.

Quelques exemples de Shadow IT

La majorité des applications SaaS achetées par une personne et qui engendrent du Shadow IT relèvent de trois principales catégories : productivité, communication et collaboration. Face au flot continu de nouveaux fournisseurs et de nouvelles applications aux fonctionnalités variées, les employés choisissent généralement des applications qui répondent à leurs besoins et mettent à jour leurs logiciels à leur convenance. Voici quelques exemples types d’applications en Shadow IT.

Productivité : Dans la majorité des cas, il s’agit d’applications de gestion de projet, comme Trello ou Hive, qui permettent aux employés d’assigner des tâches et de suivre le calendrier et l'avancement du projet. D’autres applications de productivité sont réservées à la gestion des réseaux sociaux (Hootsuite par exemple) ou aident les employés à peaufiner leur qualité rédactionnelle, comme Grammarly.

Communication : Essor du télétravail oblige, les outils de communication sont plus importants que jamais. Les applications SaaS comme Slack facilitent la communication et les applications de visioconférence comme Zoom ou Webex permettent aux équipes en télétravail de participer à des visioconférences et de partager leur écran.

Collaboration : Comme l'envoi de documents volumineux n'est pas toujours évident par e-mail, la plupart des équipes se tournent vers des outils de partage de fichiers comme Dropbox ou OneDrive pour envoyer et partager leurs documents. Bien sûr, il existe également toute une série d’outils SaaS pour le travail d’équipe. Le meilleur exemple est GoogleDocs ou les applications pour améliorer le flux de travail grâce à des groupes de discussion et des notifications en temps réel.

Le Shadow IT concerne également le matériel informatique, par exemple les serveurs, les PC, les ordinateurs portables privés, les tablettes, les smartphones, les disques durs, etc.

Pourquoi les employés recourent-ils au Shadow IT ?

L’expansion des applications en Shadow IT dans presque toutes les entreprises s’explique de plusieurs manières. L’une d’elles est directement liée à la croissance rapide des services en cloud ou des logiciels en tant que services qui sont facilement accessibles à n’importe quel employé.

Pour rappel, 85 % des achats d’applications cloud sont effectués par des employés non informatiques qui deviennent de plus en plus technophiles et n'attendent généralement pas le feu vert du service informatique pour acheter une solution qui améliore leur efficacité et leur productivité.

Par ailleurs, la plupart des entreprises souffrent d’un manque de développeurs qui amène les équipes à prendre les choses en main au lieu d’attendre que les experts informatiques trouvent le temps de mettre au point des solutions internes à leur problème.

Un décalage est souvent constaté entre le métier et les développeurs. De nombreuses applications réservées aux développeurs négligent certains aspects métier, ce qui incite les responsables et leurs équipes à rechercher eux-mêmes des solutions rapides.

Les derniers chiffres sur le Shadow IT

Le Shadow IT semblant être dans l'œil du cyclone, de nombreuses recherches sont menées sur son utilisation et son impact sur les entreprises du monde entier. Voici cinq statistiques récentes concernant le Shadow IT qui ne manqueront pas de vous surprendre :

• D’après une étude réalisée par McAfee, 80 % des employés admettent utiliser ou avoir déjà utilisé des applications SaaS non approuvées dans le cadre de leur travail.
• Une étude menée par Everest Group révèle que plus de 50 % de l’ensemble des dépenses sur le cloud ne proviennent pas du service informatique.
• Le NCSC (National Computer Security Center) a découvert que 60 % des entreprises ignorent le Shadow IT lorsqu'elles évaluent les menaces informatiques.
• Dans le cadre d'une étude menée par Entrust Datacard, 77 % des informaticiens sondés estiment que les entreprises pourraient obtenir un avantage concurrentiel si elles géraient leur Shadow IT.
• Selon une étude dirigée par The Cloud Security Alliance, seulement 8 % des multinationales interrogées pensent avoir une idée du nombre d’applications cloud non gérées qu'elles utilisent.

Comme en témoignent ces chiffres, le Shadow IT est difficile à contrôler et constitue un domaine encore inexploré dans la majorité des entreprises. Cependant, son impact sur l’entreprise n’est pas nécessairement négatif. Il peut être une source de productivité et de responsabilisation des employés. Mais commençons par explorer les risques propres au Shadow IT.

Quels sont les risques du Shadow IT ?

Étant donné le nombre d’employés qui acquièrent des applications SaaS sans l'autorisation du service informatique, la progression du Shadow IT s’accompagne de certains risques. Cependant, si les services informatiques et les directions ont conscience de ces enjeux, ils ont la possibilité de prendre des décisions plus avisées et de résoudre les problèmes en amont.

Voici les 5 principaux risques du Shadow IT dont vous devez tenir compte :

Problèmes de sécurité : Ignoré par plus de la moitié des entreprises lorsqu'elles évaluent leurs menaces informatiques, le Shadow IT peut provoquer de nouvelles failles de sécurité. Bien que certaines applications soient vraisemblablement inoffensives, d’autres peuvent engendrer des fuites de données. Les services informatiques doivent à tout le moins avoir connaissance des applications utilisées pour le partage de fichiers et d'autres finalités.

Non-conformité : Afin de protéger leurs clients et partenaires commerciaux, les entreprises sont soumises à des réglementations strictes édictées par leurs gouvernements respectifs. En cas de manquement résultant du Shadow IT, les entreprises s'exposent à de lourdes amendes si un logiciel non approuvé vient à compromettre la confidentialité de données sensibles.

Gestion des configurations : Les services informatiques consacrent beaucoup de leur temps à créer le flux informatique parfait à l’aide d’une base de données de gestion des configurations (CMDB). Lorsque le Shadow IT est introduit, il est probable qu’il ne soit pas pris en compte par la CMDB puisque les personnes concernées ne sont pas au courant de son existence. Cela pourrait venir perturber le flux de travail existant.

Inefficacités de collaboration : Lorsque les équipes s'appuient sur plusieurs applications dans leur travail, la collaboration risque de diminuer ou de perdre en efficacité. Prenons un exemple : si une équipe utilise Google Drive pour le partage de fichiers et qu’une autre utilise Dropbox, des documents seront téléversés, téléchargés et édités plusieurs fois.

Manque de visibilité : Le Shadow IT porte bien son nom : il est bel et bien invisible aux yeux des services informatiques. Bien que les applications SaaS ne prennent généralement pas beaucoup d’espace, elles peuvent peser sur la bande passante ou tout simplement planter. Si une équipe dépend fortement d’une application inconnue du service informatique, il sera difficile pour ce dernier de contourner ou de régler le problème.

Les avantages du Shadow IT

Même si le Shadow IT présente des risques et des problèmes que nul ne peut nier ou ignorer, il présente également plusieurs avantages que les entreprises commencent à percevoir.

• Une plus grande productivité. Lorsque les employés jugent les solutions en usage insuffisantes, ils cherchent des moyens d’augmenter leur productivité à l'aide d'applications SaaS qui leur conviennent davantage. ils peuvent ainsi utiliser leurs outils préférés.
• Satisfaction des employés. La lenteur des procédures d’approbation informatique est parfois source de frustration et de démotivation. Cependant, si les employés sont autorisés à trouver des solutions par leurs propres moyens, leur satisfaction augmentera ainsi que la qualité de leur travail. Du reste, les nouvelles technologies sont adoptées beaucoup plus rapidement si l’ensemble des employés se tient au courant de l'actualité des logiciels.

Cependant, n’oubliez pas qu’il est important de sensibiliser vos employés aux risques du Shadow IT et de permettre à vos équipes informatiques d’évaluer les nouvelles solutions de manière impartiale.

Les coûts du Shadow IT

Sans surprise, les risques du Shadow IT décrits ci-dessus ont un coût. Différents types de coûts peuvent apparaître lorsque le Shadow IT engendre plus de problèmes que d'avantages. Mais d’où viennent ces coûts ? La plupart appartiennent à l’une des deux catégories ci-dessous :

• Coûts relatifs à la sécurité : En l'absence de supervision technique, votre entreprise est très exposée aux fuites de données et aux attaques de rançongiciels. Dans le pire des cas, ces incidents peuvent coûter des millions de dollars aux entreprises. Aux États-Unis, une fuite de données coûte en moyenne 8,19 millions de dollars à une entreprise. Viennent ensuite les coûts de conformité : Les entreprises évoluant dans des secteurs très réglementés encourent des sanctions si elles utilisent des applications non autorisées.
  
  
• Coûts opérationnels : Le Shadow IT peut entraver les stratégies informatiques à long terme et engendrer des coûts opérationnels qui pourraient être évités et qui ont pour origine des licences sous-utilisées ou redondantes, ainsi que les remises manquées en cas d’achats groupés pour toute l’entreprise. Par ailleurs, il est fort probable que le Shadow IT ne soit pas correctement intégré, et engendre ainsi des coûts de compatibilité et nuit à la collaboration entre les équipes.

Comment détecter le Shadow IT et le gérer ?

Plus votre entreprise adopte l’approche cloud-first, plus vous serez confronté au Shadow IT. Il est néanmoins possible d'éviter les problèmes qu’il présente et leurs conséquences financières. Afin de réduire les risques et de tirer parti des avantages du Shadow IT, celui-ci doit être détecté et géré correctement.

La procédure de gouvernance du Shadow IT décrite ci-dessous vous permettra de déceler, de gérer et vérifier toute application inconnue utilisée par des employés de votre entreprise.

1. Automatiser la recherche du Shadow IT pour une visibilité totale

Cette première étape consiste à faire la lumière sur ce que contient réellement votre environnement. Détectez toutes les applications qui composent votre portefeuille logiciel grâce au SaaS Management automatisé, aux plateformes de gestion des actifs logiciels (SAM) ou au sondage des employés (feuilles de calcul). N'oubliez pas que les méthodes de recherche manuelle sont fastidieuses et chronophages, surtout dans les grandes entreprises.

Une fois que vous disposez de votre inventaire complet, vous pourrez enregistrer diverses informations concernant chaque application, comme son responsable, le nombre de licences, de postes et d’utilisateurs, le coût total, le type d’achat, la date de renouvellement, etc. Toutes ces informations vous permettront de mieux connaître vos applications et d'agir en conséquence.

2. Planifier des évaluations des risques

Ces applications respectent-elles les normes de votre entreprise ? Une vue d'ensemble vous permet de réaliser des évaluations des risques sur chacune des applications détectées lors de la première étape. Vous pourrez également déterminer si une application est liée à une faille de sécurité récemment publiée. Les évaluations décrites ci-dessous vous aideront à classer par priorité les mesures que vous prenez. Ces évaluations peuvent être faites sur la base des critères suivants :

• Risques en matière de sécurité des données : Analysez les certificats de sécurité et les mesures techniques appliquées par le fournisseur.
• Conformité réglementaire : Rassemblez des informations concernant l’emplacement des données, les personnes qui y ont accès ainsi que les certificats de conformité du fournisseur (RGPD, CCPA, SOX et HIPAA).
• Risques commerciaux : Évaluez si vos fournisseurs sont pérennes et peuvent générer une valeur durable pour les clients et parties prenantes.

3. Analyser l’utilisation des applications

Durant cette étape, vous allez utiliser vos intégrations et connexions API pour surveiller les schémas d’utilisation des applications et identifier les achats sous-utilisés. Voici les principales bonnes pratiques pour analyser les applications :

• Concentrez-vous tout d’abord sur les services les plus onéreux, puis sur le reste de votre portefeuille. Cela vous aidera à déterminer si les applications que vos employés utilisent sont suffisamment rentables.
• Rassemblez les données d’utilisation et mesurez l’utilisation pour détecter les applications inactives et sous-utilisées.
• Classez les applications par catégories et comparez les utilisations en tenant compte des redondances fonctionnelles.

4. Évaluer et rationaliser les applications

À l'aide des données rassemblées au cours des étapes précédentes, rationalisez vos applications en fonction des besoins, de leurs utilisateurs et de la durée d'utilisation. À ce stade, les entreprises doivent définir leurs besoins et prendre des mesures afin d’optimiser ou de retirer les logiciels inutilisés. Voici quelques bonnes pratiques à appliquer pour l’évaluation et la rationalisation :

• Classez toutes les applications en différentes catégories ou attribuez-leur une note : application non essentielle ou une étoile (à résilier immédiatement), application redondante ou deux étoiles (si possible, migrer vers une application plus utilisée), application sous-utilisée ou trois étoiles (fournir une formation supplémentaire ou mettre en œuvre une meilleure solution) et application cruciale ou quatre étoiles (rien à modifier).
  
  
• Commencez par les logiciels qui supportent des flux de travail essentiels, par exemple les applications de gestion de projets, de partage de fichiers, de prospection commerciale, etc.
  
  
• Tenez compte des dates de renouvellement et établissez un calendrier de suppression des outils redondants.

5. Mettre en œuvre des procédures d’acquisition et de renouvellement

Les entreprises ont tout intérêt à établir une procédure d'achat des applications SaaS axée sur une consommation contrôlée et une utilisation rationalisée pour éviter les réajustements trop fréquents. Les bonnes pratiques en matière de procédures d’acquisition et de renouvellement consistent à :

• Implémenter un modèle de demande de logiciel qui repose sur une analyse de rentabilité effectuée par le responsable budgétaire afin de déterminer la place de l'outil au sein de l’entreprise.
• Étendre la procédure aux nouveaux outils et aux outils à renouveler ; établir un calendrier des renouvellements et configurer des rappels.
• Nouer des relations avec les responsables des différents services, communiquer les procédures aux employés et les intégrer au processus d'intégration des nouveaux employés.

6. Assurer une surveillance et une évaluation continues

Un environnement cloud étant en mouvement perpétuel, vous devez continuer de surveiller votre réseau et de documenter les nouvelles applications. Par ailleurs, de nombreuses applications SaaS font l'objet de mises à jour quotidiennes, pouvant s'accompagner de modifications de politiques à ne pas manquer.

La surveillance automatisée garantit une rationalisation constante et réduit la nécessité de mesures de centralisation excessives ou de coupes dans l’entreprise au sens large. Des examens réguliers permettront de garantir que :

• les données internes sensibles ne sont pas transmises à des fournisseurs non vérifiés, limitant ainsi les risques de sécurité ;
• les employés utilisent des applications qui respectent les politiques de conformité ;
• les coûts logiciels sont gérés avec efficacité et maîtrise.

Le Shadow IT, une opportunité ?

Le Shadow IT, partie intégrante des environnements basés sur le cloud, est difficile à éviter. C’est pourquoi vous avez tout intérêt à miser sur ses avantages, tout en gérant avec soins les risques connexes.

En ayant une idée précise du Shadow IT et de son impact potentiel sur votre entreprise, vous pouvez traiter les problèmes et mettre en place une culture axée sur la responsabilisation et la productivité de vos employés. Cela implique une recherche stratégique du Shadow IT, d’obtenir l’adhésion de tous les services et d’être ouvert aux innovations techniques même si elles entraînent une rupture.

Après tout, un employé satisfait est plus productif, ce qui a un impact positif sur vos produits, vos clients et votre croissance globale.