4 manières d’encadrer le Shadow-IT

L'émergence du cloud computing amplifie le phénomène de shadow IT et fait naître le besoin d'encadrer les risques liés à cette pratique. Loin de condamner ou d'encourager le shadow IT, cet article propose plusieurs axes d'accompagnement de ce phénomène nécessaire à la transformation.

Les forces et faiblesses du phénomène du Shadow-IT sont désormais largement connues de tous les DSI, sans doute beaucoup moins des directions métiers. Le phénomène quant à lui est connu par tous dans les structures de moyennes et grandes tailles, ce dernier a finalement existé de tout temps : qui n’a pas développé une macro VBA fusionnant des données extraites déci delà pour en faire un tableaux de bord tout beau, parfois au péril du pilotage par manque de fiabilité des informations agrégées ou par ignorance du processus de gestion sous-jacent à la production des informations.

Le phénomène s’est amplifié, Excel a repoussé les limites de ses fonctionnalités (tableaux croisés dynamique, graphiques automatiques), et doit être quoi qu’on en dise le premier ERP du marché. Le phénomène s’amplifie encore avec les applications SaaS qui, faciles d’accès permettent à toutes les personnes si tant est qu’elles disposent d’une carte bleue d’entreprise de s’abonner à un service de CRM, de RSE, de Gestion RH…

La tentation est forte pour les directions métiers de ne pas se soucier de la DSI, et de son schéma directeur quinquennal, pour disposer rapidement du produit qui correspond à son besoin. Plusieurs facteurs favorisent  ce fonctionnement ; le premier facteur concerne la DSI qui garde son image de géant aux semelles de plomb. Malgré le déploiement des méthodes agiles, elle n’arrive toujours pas à gagner en réactivité ; Méthodes agiles ou traditionnelles les facteurs de réussite reste les mêmes, avec en premier lieu la gouvernance bipartite DSI / Métier des projets. Beaucoup de DSI se sont éprises pour ces méthodes pour démontrer leur capacité à gérer autrement les projets et éviter les effets tunnels des développements traditionnels, en oubliant les fondamentaux dont notamment la présence des chefs de produit de la direction métier dans les projets Agiles. Le second facteur est le manque de maturité des métiers dans la conduite de projet qu’ils délèguent aisément à leur collègue de la DSI.

Fort de ce constat d’incapacité d’une organisation à gérer cette facture DSI / Métier, la direction peut jouer la carte du fatalisme et partir avec ses équipes sur l’axiome que le shadow IT fait partie du paysage et est inéluctable ; ne luttez pas contre ce fantôme. Si l’on tente d’identifier les causes de cette nouvelle forme de shadow-it, nous pouvons écrire : «  compte-tenu que l’objectif d’une démarche de déploiement SaaS est de mettre en œuvre rapidement une solution fonctionnelle, que ce choix est fait dans un délai court par des responsables métiers peu aguerris au management de projet, et ce, sans consultation des acteurs DSI : les risques sont grands que le retour sur investissement de la solution ne soit pas quantifié, et subséquemment  non garanti, que l’accompagnement au changement des équipes métier ne soit pas traité, pas plus que la réversibilité, la sécurité et les passerelles avec le SI ».

Les risques post mise en exploitation sont l’abandon progressif de l’usage de la solution (sans que le management ne s’en aperçoive et l’apparition de coûts cachés), l’accroissement de la fracture DSI/Métiers par la sollicitation de la DSI pour des actions d’assistance pour lesquelles elle sera réticente à intervenir n’ayant pas été consultée, le développement de passerelles « à tout va » sans structuration avec un effet spaghetti à la clé, et une dette technique à gérer dans le moyen terme. Le bypass de la DSI entrainera également une nécessité de mettre en place de nouveaux processus autrefois portés par les outils de la DSI pour la gestion des authentifications et des habilitations, et la cohérence données d’habilitation entre les différentes solutions SaaS.

L’enjeu est donc d’encadrer ces risques dans le choix du prestataire et de ses caractéristiques. Cet enjeu est de taille puisque le marché des éditeurs SaaS est une friche avec des acteurs de petites tailles, d’antériorité hétérogène et dont la caractéristique principale est d’avoir "saasifié" leur produit autrefois distribué en mode on-premise pour le mettre à la disposition en mode SaaS. Ce produit bien marketé et avec un investissement commercial pourra constituer une offre SaaS alléchante pour vos directions métier sans en avoir les caractéristiques services (pas d’engagement de service véritablement formalisé, pas de conditions de réversibilité,  pas d’engagement sur la sécurité, la continuité, performances, montées en charge). Ces structures, de petite taille, ne sont généralement pas armées d’un plan de continuité ou d’un plan de reprise de leur activité, un profilage précis du prestataire est par conséquent nécessaire.

Évidemment pour ce choix, il faudra obtenir la participation de l’IT sur la faisabilité des interfaces avec le SI, et obtenir un avis sur les aspects sécurité, continuité, réversibilité… Finalement, cette posture fataliste du dirigeant amène forcément la DSI à se transformer en intégrateur de solution, et en urbanisation ; si le shadow-it est inéluctable la transformation de la DSI l’est également. Ce processus de transformation de la DSI va être long et en attendant, vouloir saisir les opportunités présentées par le nouveau mode de consommation SaaS et ses innovations,  nécessite de prendre des précautions, avec en premier lieu une sensibilisation des directions métiers sur les risques, l’encadrement de ces risques par une politique de sélection intégrant des audits fournisseurs ciblés sur les caractéristiques SaaS, et enfin un accompagnement des DSI dans leur transformation. Enfin, la défaillance du prestataire SaaS est également à encadrer que ce soit pour des applications liées à l’exploitation (ERP par exemple)  puisque les inexécutions auront un impact direct sur la production ou que ce soit sur des applications sans impact sur la  production mais qui sont caractérisées par un haut niveau de sensibilité des données (portefeuille client, données ressources humaines) qui peuvent avoir un impact fort en cas de perte.

Enfin, imaginons une seconde qu’une direction métier ait identifié une start-up susceptible de rendre le service attendu, il n’est pas question de passer à côté de cette opportunité d’innovation parce la start-up est une start-up et qu’elle risque de disparaitre, ni parce que la DSI ne maitrise pas la technologie pourtant innovante, ni parce que le shadow-it est prohibé dans votre organisation et passible de sanction !

En synthèse, ne laissez plus  la DSI décider des orientations métiers dans des projets de longue haleine, ne laissez plus les métiers déléguer leur projet à la DSI, transformez votre organisation et prenez toutes les diligences en attendant que cette transformation soit opérée : profilez / évaluez vos fournisseurs SaaS, et sécurisez vos actifs SaaS.