Risques de sécurité, perte de données, coûts imprévus… Les systèmes d’information sont menacés par les dangers du shadow IT. Votre entreprise fait partie de celles qui ont réussi à éliminer le shadow IT ? Félicitations, vous n’avez pas besoin de lire cet article ! Si ce n’est pas encore le cas, nous vous proposons une démarche en 5 étapes pour prendre le taureau par les cornes et garantir la sécurité et la gouvernance dans votre SI. En d’autres termes : reprendre le contrôle sur le shadow IT.
Comme le disait à juste titre Lord Kelvin, physicien du XIXᵉ siècle : « On ne peut améliorer que ce que l’on sait mesurer ». La première étape pour lutter contre le shadow IT, c’est de regarder ce qui se passe à la sortie de votre réseau.
Une fois ces premiers éléments de contexte définis, il est temps de mesurer l’ampleur du shadow IT avec des outils. Ces derniers permettent d’analyser le trafic entrant et sortant de votre réseau pour identifier les services SaaS utilisés en shadow IT par vos utilisateurs, mais aussi par certaines applications qui accèdent à des ressources externes. L’objectif est d’établir une cartographie complète des usages shadow IT, d’évaluer les risques associés aux applications concernées, et de fournir des informations permettant de remonter aux utilisateurs et aux applications.
Une fois cette étape franchie, deux options s’offrent à vous : couper brutalement les accès réseau non autorisés, arrêter la lecture de l’article et attendre la réaction de vos directions métiers. L’option à privilégier reste de sensibiliser les métiers aux risques que fait courir le shadow IT à l’entreprise, puis de passer à l’étape 2.
Une fois que vous avez identifié l’ampleur du phénomène, nous vous recommandons de reprendre contact avec les métiers pour comprendre les raisons qui les ont conduits à utiliser des applications non autorisées.
Il est essentiel de comprendre leurs motivations pour passer à l’étape 3, tout en les réorientant vers la politique IT de l’entreprise. Deux arguments phares peuvent faciliter votre travail de sensibilisation et de conviction.
Tout d’abord, vous pouvez souligner le manque de sécurité qu’ils font courir à « leurs » données, lorsqu’elles passent clandestinement la frontière du SI de l’entreprise. Cela inclut le risque de se faire dérober des données clients, sensibles au RGPD, mais aussi des données commerciales, R&D ou légales qui peuvent également tomber entre de mauvaises mains. Il est par ailleurs crucial de sensibiliser chacun au risque encouru par les collaborateurs qui utilisent des outils d'IA sur des LLM publics avec des données de l’entreprise. Pour garantir leur collaboration, proposez-leur de nommer un (ou une) référent(e) sécurité au sein de chaque équipe métier. Cette personne sera votre interlocuteur privilégié pour infuser et renforcer la culture de la sécurité.
Le deuxième argument est plutôt d’ordre financier. En collectant les besoins de chaque BU et en rationalisant les choix technologiques, les métiers pourront bénéficier de tarifs préférentiels négociés au niveau de l’entreprise. En bonus : si vous proposez de mettre en place une cellule FinOps, permettant à chacun d'optimiser ses coûts SaaS ou Cloud, vous serez encore plus apprécié !
Vient ensuite le besoin de planifier la réduction du shadow IT existant en coordination avec les métiers qui, rappelons-le, ont trouvé dans les applications externes des avantages pour leur performance. Pour justifier leurs actions, ils pourraient revendiquer une nécessité d’indépendance dans les choix techniques, l’accélération du time-to-market et le besoin d’éviter les délais parfois longs associés à une production informatique formelle.
À partir de la vue d’ensemble obtenue lors de la phase 1, la meilleure approche consiste à associer chaque application (ou groupe d’applications) déployée en shadow IT au besoin métier qu’elle satisfait. Ce travail permet d’établir une priorisation basée sur les besoins réels pour désamorcer progressivement le shadow IT.
Du côté de la DSI, il est probable que certaines des applications “officielles” déjà déployées offrent des fonctionnalités similaires à celles qu’apportent les applications shadow IT. Il faut donc évaluer la possibilité d’intégrer les fonctionnalités manquantes à votre application officielle, en chiffrant les ressources financières et humaines nécessaires.
Si la stratégie de votre entreprise est « Cloud first », vous devrez certainement officialiser l’utilisation d’applications SaaS semblables à celles utilisées en shadow IT, et les intégrer à votre catalogue de services. Quoi qu’il en soit, il faudra co-construire avec les métiers une feuille de route des actions à mener pour réduire pas à pas le shadow IT.
L’établissement d’une telle charte peut nécessiter du temps pour aligner les intérêts de toutes les parties prenantes. Pour avancer plus rapidement, vous pouvez explorer les possibilités offertes par les solutions Low-Code/No-Code.
Les métiers ne sont pas toujours disposés à attendre des mois pour retrouver les fonctionnalités offertes par les applications en shadow IT.
En prenant le leadership sur une approche Low-Code/No-Code (LC/NC), vous pouvez vous rapprocher des développeurs disséminés dans les BU métiers, qui ont fait preuve de créativité en répondant aux attentes de leurs directions, et insuffler un vent de standardisation bénéfique à tous. À vous de proposer la ou les solutions LC/NC les mieux adaptées pour reprendre les développements clandestins, classés par ordre de priorité lors de l’étape n°3.
À ce stade, il importe de mettre en place un comité de gouvernance pour suivre l’avancement des projets LC/NC, intégrant à la fois des représentants IT et métiers. Toute solution LC/NC devra s'intégrer au SI existant et garantir notamment la conformité réglementaire, la sécurité des données et le respect des tests avant mise en production.
Les développements effectués en shadow IT par les métiers sont très souvent le fait de collaborateurs ayant une appétence pour la technologie sans disposer des compétences techniques d’un développeur confirmé. Il est crucial d’identifier les meilleurs développeurs « métier » pour en faire des Citizen Développeurs . Ces Citizen Développeurs sont des collaborateurs qui vont s’approprier les outils LC/NC afin de développer des codes respectant les politiques sécuritaires et réglementaires.
Si vous n’êtes pas encore très familier avec le Low Code/No-Code, n’hésitez pas à télécharger le document technique « AFNOR Spec 2312 - LowCode / No Code : nouvelle ère pour le développement informatique » publié en Juin 2024 par l’AFNOR et le Syndicat Français des Professionnels du No Code (SFPN).
Si la politique Low-Code/No-Code est souvent plébiscitée par vos métiers et leurs Citizen Developers, il arrive parfois qu’elle crée un sentiment de frustration chez les développeurs officiels de l’entreprise (les Pro Dev dans le jargon LC/NC), qui se voient déposséder d’une partie de leurs prérogatives.
Pour éviter une bipolarisation néfaste, il devient nécessaire de faire cohabiter, puis collaborer deux populations qui partagent un but commun : apporter plus de valeur au SI de l’entreprise.
Vous pouvez par exemple proposer aux Pro Dev de mentorer des Citizen Dev. C’est une démarche gagnant-gagnant. Les nouveaux développements LC/NC se feront dans le respect des politiques de l’entreprise (sécurité des données, procédures de tests, conformité réglementaire…) tout en valorisant la contribution des Citizen Dev. Les applications Citizen Dev les plus performantes pourront même passer à l’échelle, avec l’aide des Pro Dev, pour devenir des applications officielles adoptées dans toute l’entreprise.
Avec la prolifération de nouvelles applications SaaS, de nouveaux services managés proposés par les Cloud Service Providers, sans oublier l’explosion des IA génératives, la tentation de recourir au shadow IT reste forte.
Mais grâce à vos efforts de sensibilisation et de formation à la sécurité, puis à l'engagement des équipes métiers à respecter une charte de travail avec la DSI, vous pourrez transformer la menace réelle du shadow IT en une menace fantôme.
Découvrez comment nos experts peuvent vous accompagner dans la gestion du shadow IT pour renforcer la sécurité de votre SI tout en favorisant l'innovation.
Découvrez comment nos experts peuvent vous accompagner dans la gestion du shadow IT pour renforcer la sécurité de votre SI tout en favorisant l'innovation.
