Une étude menée par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et Symantec révèle qu’en moyenne 1.700 applications Cloud sont véritablement utilisées par entreprise. Les DSI (Direction des Systèmes d’Information) les estiment en moyenne à 30–40.
Le développement des applications Cloud offre de nouvelles opportunités pour les entreprises. En effet, elle démultiplie l’autonomie des directions métier qui ont de plus en plus recours à des solutions non validées par la direction
Vecteur d’innovation pour les Métiers, cette informatique non maîtrisée (Shadow IT), se soustrait à tous les protocoles mis en place dans les entreprises par les services IT.
Ces nouveaux usages peuvent donc impacter la confidentialité, la sécurité ou la disponibilité des systèmes d’information des entreprises.
Comment maîtriser son développement et reprendre le contrôle dans les entreprises ?
Un enjeu de taille pour les DSI et les responsables sécurité des systèmes d’information, quand on sait que la croissance estimée du chiffre d’affaires des services de Cloud public entre 2017 et 2020 est à + 58 % (de 220 à 411 milliards de dollars).
Shadow IT Définition
Le Shadow IT, également nommé informatique de l’ombre ou Rogue IT est un terme qui désigne les systèmes d’information et de communication qui sont utilisés dans une organisation. Mais sans que la Direction des Systèmes d’Information (DSI), n’ait donné son accord.
Si pour pour certains, le Shadow IT représente une source d’innovation, puisque qu’elle permet de tester des prototypes rapidement selon des besoins spécifiques. Pour la plupart des entreprises cette pratique est pénalisant car elle augmente les risque liés à la sécurité de l’entreprise.
Les outils les plus utilisé en Shadow IT sont les tableurs (avec macros), les solutions CLOUD (Saas, partages de documents, CRM, etc.), messageries grand public etc. En utilisant ces outils, non validés et non testés par la DSI, les salariés mettent en péril la sécurité de leur entreprise : vol et fuite de données, infection par un virus, vol d’identifiants etc.
Une évolution des usages
Ces nouveaux comportements répondent à la transformation des métiers de manière plus souple et plus rapide.
En effet, en évitant les contraintes budgétaires le Shadow IT permet aux collaborateurs de rester au plus proche de l’innovation.
Prenons l’exemple, de votre service qualité qui a choisi d’utiliser un logiciel de gestion des audits en contractant avec un éditeur de solution dédiées.
Ou bien les équipes maintenance qui utilisent un tableau Excel et qui devient, au fur et mesure de développements réalisés hors du contrôle de la DSI, une application clé de l’entreprise.
Ce fichier peut être échangé par mail, stocké en dehors des réseaux, entraîner un risque de maintenabilité dans le cas où les personnes qui l’alimentent et le font évoluer quittent l’entreprise.
Ces nouveaux usages s’expliquent également par les possibilités de développer des applications, de plus en plus facilement, sans expertise technique. La multiplication des services Cloud est aussi l’une des cause de cette montée en puissance du Shadow IT.
Perception VS réalité
L’enquête menée auprès des membres du CESIN , révèle un écart considérable entre la perception et l’usage réel du nombre d’applications et services Cloud dans les entreprises.
En effet, en moyenne 1.700 “CloudApps” sont véritablement utilisées dans les entreprises. Alors que l’estimation moyenne d’applications Cloud connues par les DSI est de 30 à 40. On apprend également que l’utilisation de ces applications est en croissance de + 30% depuis 2016.
En moyenne une entreprise utilise au minimum 287 solutions connues ou inconnues et 5945 pour le maximum. On est donc bien loin des chiffres annoncés par les DSI qui se retrouvent face à de nouveaux risques. A l’heure où la sécurité informatique ou bien encore la gestion des données personnelles sont des enjeux majeurs pour les entreprises, le développement du Shadow IT apparaît comme une menace.
L’enjeu est donc de parvenir à maîtriser ce phénomène et reprendre le contrôle tout en conservant l’innovation indispensable à la performance de l’entreprise.
Cette prise en main nécessite un changement dans les méthodes de travail et l’approche du métier de DSI qui doivent endosser de nouvelles responsabilités.
1. Instaurer la confiance
La communication représente une base solide pour construire une relation de confiance propice à la collaboration entre les Métiers et la DSI.
Un dialogue ouvert et une vision commune sont les clés pour trouver des solutions aux demandes fonctionnelles des équipes.
Pour être efficaces les utilisateurs doivent avoir confiance dans le fonctionnement de leur informatique et sa volonté à comprendre leurs problématiques.
2. Visualiser et analyser
Les DSI peuvent utiliser plusieurs indicateurs comme (logs, firewalls, switchs) qui filtrent les échanges vers l’extérieur.
Visualiser et monitorer les descriptions de ces flux va permettre de réaliser une analyse des risques afin de mieux contrôler les échanges d’information sortants de l’entreprise.
3. Coopérer avec les départements juridique, achat et finance
La définition d’une procédure d’acquisition des solutions informatiques peut constituer une clé pour contrôler le Shadow IT.
Il est nécessaire de simplifier au maximum les process pour faciliter la mise en oeuvre de solutions innovantes. A l’opposé, un processus lourd et peu agile entraînera les employés vers l’informatique de l’ombre.
4. Sensibiliser les utilisateurs
En parallèle, l’éveil des utilisateurs aux risques relatifs à la sécurité des données est une des actions nécessaires pour réduire le Shadow IT.
Un guide des bonnes pratiques à respecter en cas de doutes est indiqué pour lutter contre les comportements à risque.
Responsabiliser les salariés, leur donner les bons outils constitue une étape déterminante dans la lutte contre le Shadow IT.
5. Impliquer les Métiers.
Permettre aux équipes de co-construire leurs propres applications est aussi un moyen efficace pour enrayer le Shadow IT.
La collaboration des DSI avec les directions Métiers permet de valoriser le travail de chacun.
La simplicité et la rapidité de déploiement sur le terrain constitue également une condition au succès de cette dynamique.
6. Choisir des solutions transversales
Sélectionner une solution de digitalisation qui répond à tous les besoins métiers d’une entreprise va aider les DSI. à mieux maîtriser les usages informatiques. Cela va également apporter plus de sérénité en diminuant sensiblement leur charge de travail.
A la clé, une réduction du Shadow IT induite par la polyvalence de la solution.
Flexio est une méthode innovante qui permet aux entreprises de réussir simplement leur transformation.
Basée sur un accompagnement personnalisé et une solution unique, Flexio permet aux responsables opérationnels de créer eux-mêmes leurs applications métier.
Trop de tableurs et de papier ? Pas assez de communication et données cloisonnées? Vous avez trop de logiciels et ils ne répondent pas à vos besoins?
Nous pouvons probablement vous aider : Demander une démo.