Il est une idée qui circule actuellement, qu’avec le cloud et le SaaS le Shadow IT devient une composante de l’informatique de l’entreprise. Qu’en est-il, quels sont les fondements de cette pratique, et comment le DSI peut-il réagir ?
Trois études récentes sont venues relancer la polémique et la prise de conscience des DSI autour du Shadow IT :
- Cisco a estimé que l’utilisation du Shadow IT serait 15 fois supérieure à celle estimée par les DSI.
- Gartner a estimé à 40 % la part des dépenses IT consacrée au Shadow IT.
- Brocade a constaté que plus de 80 % des DSI ont observé au moins une forme d’utilisation non autorisée du cloud/SaaS.
La bonne question qu’il faut se poser sur ces pratiques est de savoir comment elles sont nées. En effet, les DSI considèrent le Shadow IT comme un symptôme, souvent lié à la perception d’un manque de rapidité chez les services informatiques. Ainsi qu’à un manque de collaboration avec les clients internes.
Il s’agirait moins, pour ceux qui pratiquent le Shadow IT, de choisir des solutions de manière autonome que de rechercher plus d’agilité et de compétences. A ce jeu, le DSI collaboratif, qui passe plus de temps avec ses clients pour comprendre leurs besoins, serait mieux armé.
En effet, ce sont les besoins non satisfaits et le manque d’innovation qui incitent à aller chercher ailleurs. Ce qui, paradoxalement, donne de la valeur aux utilisateurs du Shadow IT. A la condition cependant que le DSI crée des règles et des exigences pour l’intégration de l’informatique, qui par ce biais serait moins ‘fantôme’.
Le Shadow IT est un modèle en soi, qui s’auto-alimente et progresse au fur et à mesure de son utilisation. C’est pourquoi les DSI ont tout intérêt à travailler avec les 'fantômes' plutôt que contre eux. Dans le même temps, ils doivent faire montre d’autorité pour mettre fin aux projets parallèles qui risquent d’être préjudiciables à l’entreprise.
Ils doivent également prendre conscience que les principaux risques portent sur le manque de compétence de leurs équipes comme des utilisateurs, sur l’inefficacité des processus et sur les données erronées. Sans oublier le partage de fichiers sur des systèmes extérieurs, qui devrait s’accélérer avec la prolifération des périphériques IoT !
Le RGPD apporte un nouvel éclairage sur ces pratiques, et aux potentielles atteintes à la sécurité des données qui en découlent. Le risque prend une dimension énorme, perte et vol de données, perte de réputation, réduction de la valeur de la marque, chute de la valeur de l’action, amendes élevées...
Alors oui, le Shadow IT peut être une opportunité d’améliorer l’alignement de l’informatique avec les métiers et les objectifs de l’entreprise. A la condition pour la DSI de s’assurer que les capacités métier fonctionnent correctement dans l’architecture de l’entreprise, conformément aux normes, et dans le respect des règles de sécurité. Au DSI de (re)prendre l’initiative.