Shadow IT : les quatre mesures que la DSI doit prendre pour l’éviter
Afin que l’entreprise ne soit pas mise en danger par le déploiement d’outils non validés, la DSI doit monitorer son réseau et mieux écouter les métiers pour proposer des alternatives satisfaisantes.
Selon une récente étude de Gartner, un tiers des failles de sécurité seront dues au shadow IT d’ici à 2020. Le déploiement de technologies par les collaborateurs sans passer par la DSI, à savoir la définition du shadow IT, est un phénomène que l’on rencontre de plus en plus car les salariés et tout particulièrement les nouveaux entrants ont intégré ces usages dès leur enfance.
Pour être plus rapides, pour communiquer plus vite, les collaborateurs utilisent des applications, des services, des fonctions de stockage et de partage d’information sans passer par la DSI car ils estiment que ce sera plus efficace et moins cher. Mais cette pratique, le shadow IT, a un impact évident sur la sécurité de l’entreprise et rend plus complexe les actions de support, car on passe outre les mesures de gestion, d’intégration, de protection et de conformité nécessaires.
Pour résoudre cette problématique, les DSI peuvent mettre en place quatre mesures qui leur permettront de mieux collaborer avec les métiers et ainsi construire ensemble un plan d’action contre les failles et les coûts du shadow IT.
1/ Cherchez des solutions en monitorant le shadow ITIl appartient à la DSI de faire l’inventaire de qui utilise quoi dans l’entreprise. Cet inventaire va permettre d’identifier les risques et de proposer des solutions plus adaptées. Pour y parvenir, il est possible de monitorer le réseau à l’aide de « sniffers » et autres outils de scan de sécurité. Même si ces scans ne résolvent pas les failles de sécurité, ils font apparaître les flux des applications inconnues ou nouvelles, lesquels constitueront une base de connaissances pour que la DSI puisse déterminer les meilleures alternatives possibles.
2/ Proposer des solutions maîtrisées par la DSI, plus que des alternative
La volonté de la DSI étant surtout d’apporter des améliorations pour éviter les problèmes de sécurité, trouver une alternative à une solution déployée par les métiers eux-mêmes n’est pas forcément la solution. Parfois, il suffit juste de remettre un outil sous la responsabilité de la DSI, afin que celle-ci en contrôle la conformité technique et contractuelle.Il m’est arrivé de devoir évaluer un outil qui avait déjà été validé et approuvé par une direction métier. Ici, la solution la moins chère et la plus facile pour maîtriser cet outil a été l’achat par la DSI de quelques licences supplémentaires, juste pour repartir sur un nouveau contrat que nous pouvions dès lors contrôler.
Il est important que la DSI ne considère pas comme mauvais tout ce qu’elle va découvrir en menant des investigations au sujet du shadow IT. Les outils et les applications révélées par cette investigation sont la voix des utilisateurs, ils sont ce dont les équipes ont vraiment besoin pour réussir dans leur travail. Mieux : ces solutions pourraient même bénéficier à d’autres directions métier.
3/ Montrer une attitude d’ouvertureParallèlement, la DSI doit lutter contre sa tendance naturelle à se fermer quand il faut répondre aux nouvelles demandes des salariés. Il s’agit là du point de départ du shadow IT : ne pas travailler ensemble, c’est s’interdire de savoir quelles technologies sont susceptibles d’être déployées, quels risques sont à éviter et quelles alternatives sont possibles. Prenons par exemple les télétravailleurs. Si la DSI ne leur propose pas spontanément les moyens pour collaborer à distance, ils en trouveront eux-mêmes, sans même se demander s’il était pertinent d’en parler à la DSI. Et c’est à partir de ce moment-là que les complications commencent. La DSI doit plutôt anticiper incitant les métiers à la consulter pour partager leurs besoins. Les salariés de l’entreprise doivent être considérés comme les clients internes de la DSI. À ce titre, il est important de créer le dialogue en écoutant leurs retours d’expérience et les problèmes qu’ils essaient de résoudre.
4/ Participer aux réunions des métiers sur la stratégie technologiquePour créer un climat de pleine collaboration entre les métiers et la DSI, cette dernière a tout intérêt à rencontrer régulièrement chaque direction afin de discuter avec elle de ses stratégies technologiques. Cette participation aide non seulement à éradiquer la fracture entre le « nous » et le « eux », mais elle offre aussi l’avantage de se préserver contre les découvertes tardives : Établir un dialogue ouvert avec les métiers est le meilleur moyen de rendre transparente la question des solutions à adopter et d’éviter le problème des technologies non approuvées en production. Participer aux réunions de planning stratégique réduit considérablement les surprises liées au shadow IT.