Transformation Digitale

Le Shadow IT, un atout majeur pour encourager la créativité ?

4 décembre 2017

author:

Le Shadow IT, un atout majeur pour encourager la créativité ?

N’avez-vous jamais été tenté d’utiliser WhatsApp, Google Drive ou Evernote pour accélérer la conduite d’un projet, ou d’utiliser votre clé USB personnelle pour transporter quelques fichiers en rendez-vous ? Ces tentations sont bien naturelles, mais le fait d’y céder soulève des problèmes de sécurité : c’est ce que l’on appelle le Shadow IT, ou “informatique de l’ombre”.

Les DSI s’efforcent donc de lutter contre ces usages, de façon à garantir la sécurité des flux d’information. De l’autre côté, les métiers engagés dans leur transformation numérique réclament toujours plus de flexibilité. Chacune de ces deux aspirations est légitime : il est donc primordial de trouver comment les concilier, de façon à ce que la menace se change en levier de performance.

Les DSI et la tentation du blocage :

À quel moment franchit-on la ligne rouge ? Beaucoup glissent vers le Shadow IT sans même vraiment s’en rendre compte. Prenez cette équipe envoyée sur un salon à la recherche de clients ou de nouveaux partenaires : rapidement, ses membres abandonnent l’email protégé au profit d’outils de communication personnels pour organiser leurs rendez-vous. Après tout, pourquoi ne pas créer un groupe WhatsApp et échanger par ce biais ? Ce sera bien plus pratique pour convenir d’un restaurant pour le déjeuner.

La situation devient problématique quand on commence à utiliser cette plateforme tierce pour débriefer les rendez-vous de l’après-midi ou transférer rapidement un fichier à son collègue pressé. On entre en effet dans une zone grise qui alerte à juste titre les personnes chargées de protéger l’intégrité du SI : utiliser un service extérieur à l’entreprise, c’est s’exposer à des risques tels que la perte ou le vol d’informations.

Il n’est que rarement question de malveillance intentionnelle : le problème vient du fait que les outils grand public qui se retrouvent adaptés à des usages professionnels n’offrent pas toujours le niveau de sécurité ou de conformité requis par les politiques internes de l’entreprise.

L’exemple le plus courant, c’est sans doute celui de ces documents à caractère stratégique que l’on partage ou stocke via des services en ligne de type Dropbox, Gmail et autres WeTransfer. Ils sont gratuits, pratiques, mais quid de la sécurité, de la fiabilité ou des « petites lignes » des conditions générales d’utilisation ?

La DSI, dont la nature même fait qu’elle est réfractaire au risque, est donc tentée de verrouiller les accès et d’interdire tous les usages apparentés à du Shadow IT. L’alternative serait de réaliser en interne les outils réclamés par les métiers, mais répondre à chaque projet représente un investissement en temps et en argent qu’il est impossible d’absorber. Le constat est d’autant plus problématique que les directions et le marché poussent à toujours plus d’agilité.

Garantir la sécurité et encourager l’autonomie ?

Conscientes des bénéfices induits par l’utilisation d’outils hébergés, les directions informatiques s’efforcent de combler une partie du retard. Elles développent donc un service de partage de fichiers sur leur propre infrastructure, ou dégagent les ressources nécessaires à l’achat ou à la certification de l’outil collaboratif que réclame les unités business. Cette démarche, conçue en réaction au Shadow IT, est nécessaire, mais elle n’est que rarement suffisante pour faire face à la multiplication de l’offre en matière de services innovants.

Les générations habituées aux réseaux sociaux et aux outils en ligne ont pris l’habitude de jongler entre des outils très divers. Elles ont surtout découvert qu’elles pouvaient gagner beaucoup de temps en exploitant des services en ligne.

Un collaborateur a besoin de recueillir des avis utilisateurs après l’organisation d’un événement en interne ? Créer un sondage sur Surveymonkey et envoyer le lien par mail aux participants prendra nettement moins de temps que la demande de création d’un outil dédié ou la validation d’une publication dans l’intranet. Et dans l’éventualité où les utilisateurs seraient des internautes recrutés en ligne ? Le collaborateur ira nettement plus vite à créer sa propre liste de diffusion chez Mailchimp qu’à solliciter les équipes en charge des campagnes d’emailing au sein de la direction marketing.

Ces usages ne sont pas nécessairement problématiques. En réalité, ils représentent même un potentiel bien réel pour l’entreprise, dans la mesure où ils permettent aux collaborateurs d’avancer plus vite et avec un haut niveau d’autonomie sur le projet qui les occupe. Ils répondent à un besoin précis et éliminent un obstacle dans le parcours global du projet, conformément à la logique agile.

La transformation numérique impose de repenser les vieux schémas selon lesquels tout ce qui est situé en dehors du périmètre maîtrisé constitue un danger pour encourager cette énergie créatrice. De la même façon qu’il est possible de faire de la gestion des risques un levier de performance, on peut mettre à profit ces usages moins maîtrisés pour gagner en compétitivité, responsabiliser les collaborateurs et globalement faire progresser l’entreprise.

Intégrer le problème pour passer à l’échelle :

Comment maintenir une sécurité efficace sans compromettre l’émergence de ce potentiel ? C’est à cette épineuse question que doit s’atteler la DSI, de façon à encourager le phénomène.

Le premier niveau d’action consiste à revisiter les risques auxquels est exposé le SI, en gardant en tête qu’avant les outils, les pertes de données découlent souvent d’erreurs humaines. Fin octobre, une clé USB contenant tous les plans de l’aéroport d’Heathrow a été trouvée dans la rue par un passant. S’il ne s’agit pas d’une fuite délibérée, il n’est évidemment pas normal qu’un collaborateur transporte des informations aussi sensibles sur un périphérique mobile, à plus forte raison si ce dernier n’est pas chiffré.

On s’attachera donc à informer, éduquer et sensibiliser les utilisateurs finaux qui la plupart du temps pèchent par maladresse, pensant gagner un peu de temps ou de confort. Il est important que chaque utilisateur maîtrise la notion de périmètre du SI et prenne conscience de ce qui pose réellement problème dans l’utilisation de services tiers.

On cherchera enfin comment passer à l’échelle. C’est-à-dire industrialiser et standardiser les bonnes pratiques ainsi que les outils efficaces, de façon à ce qu’ils contribuent à la créativité et à la performance des différents métiers. La démarche est complexe, tant les besoins ou les contraintes peuvent varier entre la direction qui initie l’utilisation d’un outil et celle qui l’exploitera demain, mais elle est indispensable.  

La DSI doit en premier lieu définir le cadre des usages acceptables, c’est-à-dire déterminer quels sont les outils ou les services sur lesquels il est possible de laisser de l’autonomie aux collaborateurs. L’adaptation n’a rien de triviale, dans la mesure où elle impose de sortir de la logique de compartimentation stricte, mais une flexibilité encadrée vaut mieux qu’un Shadow IT sauvage. Churchill suggérerait d’abandonner l’approche allemande (tout est interdit, sauf ce qui est explicitement permis) et d’avoir une vision à l’anglaise, en expliquant que tout est permis, sauf ce qui est interdit !

Les départements IT pourront ensuite se concentrer sur l’accompagnement, en étudiant par exemple comment accélérer et sécuriser les interactions entre les différents outils, internes et externes, mis à disposition des collaborateurs.

Plutôt que de simplement ériger des barrières, la direction informatique revient ainsi à ses compétences clé : créer des workflows efficaces, sécurisés et correctement orchestrés de façon à soutenir tous les pans de l’activité. Ce faisant, elle conserve son rôle fondamental mais s’ouvre dans le même temps à de nouvelles méthodes inspirées de la mouvance agile, capables d’amener à terme les métiers vers une plus grande autonomie.

Par conséquent, elle accompagne la transition de l’entreprise vers une culture agile : elle lève les obstacles qui freinent les projets des métiers, aide les équipes à acquérir de nouvelles compétences et participe à l’amélioration continue de l’organisation. De censeur, elle devient facilitateur et participe à la migration vers le management 3.0.

 

A technology enthusiast, Yves Nicolas is leading the Digital Enablers Streams at Sopra Steria group digital transformation office.
Leave a comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *