annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 
jbeisser
Retired

Avec l’arrivée de nouveaux usages mobiles, les logiciels libres, plus d’agilité dans le développement informatique, le Shadow IT ou l’informatique fantôme a une tendance à se développer. Vecteur d’innovation pour les Métiers, cette informatique non maîtrisée voire non connue échappe aux bonnes règles de gouvernance IT mises en place dans les entreprises.
Comment maîtriser son développement dans les entreprises ? Tel est l’enjeu pour les DSI, RSSI et DPO.

Le développement du Shadow IT dans les entreprises

Le Shadow IT constitue la partie de l’informatique dans une entreprise qui est réalisée hors de contrôle de votre Direction des Systèmes d’Information (DSI).

Sans faire face aux contraintes de moyens et de budgets des DSI, le développement du « Shadow IT » permet de faciliter la transformation métier de l’entreprise et ainsi de rester au plus proche de l’innovation. Les directions métiers s’approprient des solutions qui leur sont propres de manière plus souples et rapides que la DSI ne peut leur proposer à travers la mise en œuvre de démarches agiles, test & learn ou bien l’appropriation de solutions en mode POC.

Par exemple, votre département marketing a contracté pour son logiciel de gestion des prospects avec un éditeur proposant un service clé en main ou bien encore votre service comptabilité fait sortir hors de votre réseau les données comptables par un service de partage de fichier.

La capacité à développer des applications ou des sites Web de plus en plus facilement par des non-experts techniques ainsi que la multiplication des services cloud sont propices au développement de cet informatique de l’ombre.

Bien que ces pratiques constituent un levier immédiat de transformation digitale pour une entreprise, le « Shadow IT » sur le long terme fait cependant courir des risques pour les entreprises car cette informatique enfreint les règles de gouvernance IT : urbanisation du système d’information, gestion des données ou politique de sécurité des systèmes d’information. 

Le Shadow IT, des risques pour votre entreprise

Des exemples sont légions dans les entreprises, présentons quelques exemples de pratiques avec les risques encourus qui leur sont associés :

  • Prenons tout d’abord l’exemple d’un tableur Excel qui gère la flotte de véhicule de votre entreprise, et qui devient, au fur et à mesure des développements bien sûr réalisés hors de votre DSI, une application clef de l’entreprise. Ce fichier est par la suite échangé par mail et est stocké dans des zones hors de votre réseau.

Ces paramétrages non encadrés peuvent entraîner un risque de maintenabilité de l’application, ce qui peut entraîner des risques sur la continuité d’activité si le code de l’application n’est plus compris. Enfin, échanger ce fichier tableur hors du réseau peut entraîner un risque de sécurité si le fichier atteint des destinataires non souhaités.

  • Un autre exemple serait celui d’un POC qui a mis en place une application mobile permettant aux commerciaux de se déplacer sur site avec la liste des clients de l’entreprise. Cette application se retrouve par la suite finalement utilisée en production, et stocke des données strictement personnelles dans une base externalisée dans le Cloud dont votre DPO n’a pas connaissance.

Avec l’arrivée en mai 2018 du Règlement Général sur la Protection des Données (RGPD ou GDPR), si des données personnelles sont manipulées par des applications non connues alors votre entreprise encourt un risque important sur le plan juridique ou financier avec des amendes pouvant aller jusqu’à 20 M€ ou 4% du chiffre d’affaires annuel mondial (art. 83 du RGPD).

  • Un dernier exemple parlant sera celui d’une application d’élaboration budgétaire hébergée sur une Infrastructure As A Service qui met en œuvre plusieurs flux avec des échanges de données sensibles non sécurisées. Tout simplement car le RSSI n’a pas été impliqué et n’a donc pas pu superviser sa mise en place.

Dans ce cas, le non-respect de la Politique de Sécurité des Systèmes d’Information entraîne un risque de fuite d’information.

Ces exemples permettent de constater qu’à l'heure où la sécurité informatique ou bien encore la gestion des données personnelles deviennent des enjeux majeurs des entreprises, le développement de l’informatique fantôme apparaît comme opposé à ces contraintes.

L’enjeu est donc pour l’entreprise et en particulier la DSI de parvenir à contrôler ce « Shadow IT » tout en gardant l’innovation que ces démarches procurent. 

DSI, un facilitateur pour les Métiers

Pour contrer ce phénomène, être proactif plutôt que réactif est alors nécessaire pour la DSI afin d’agir dès la mise en œuvre des solutions. La DSI sera alors perçue comme un facilitateur par les Métiers. 

Pour apporter de la valeur ajoutée à vos métiers et éliminer le risque engendré par l’informatique fantôme, différentes actions peuvent être envisagées :

  • Gérer l’interopérabilité du système d’information en valorisant l’importance du rôle d’un architecte applicatif pour garantir une cohérence des échanges inter-applicatifs.
  • Mettre en place une gouvernance des données pour améliorer la qualité des données, identifier les données de références et les outils qui les manipulent. La nouvelle réglementation européenne sur les données personnelles doit être un levier dans ce sens pour inciter les métiers à transmettre des informations sur les applications qu’elles utilisent.
  • Aider vos métiers à se transformer en leur proposant des outils pour la définition des processus ou des parcours clients. Une fois les processus définis, les applications utilisées pourront alors plus facilement être captées par la DSI.

Coupler ces solutions avec une approche de gestion du portefeuille applicatif vous permettra d’avoir la vision globale de votre IT et vous aidera à gérer l’obsolescence technologique y compris de ce qui est externalisé.

Les démarches de type « Shadow IT » sont des éléments clefs de la transformation des entreprises qui ne peuvent pas être ignorées. Pour maîtriser son développement, les DSI sont forcées à se réinventer et à se rapprocher des métiers en étant gage de qualité aux solutions mises en œuvre plutôt que de les contraindre. Apporter des outils pour identifier ces démarches devient la réponse appropriée.


(*) https://www.cio-online.com/etudes/lire-quel-service-it-offrir-aux-metiers-a-l-heure-de-la-transforma...

contributeurs