Savez-vous exactement quels outils, applications et services sont utilisés par vos salariés et bénévoles ? Si votre équipe utilise des solutions qui ne sont ni contrôlées ni autorisées par votre organisation, vous êtes peut-être confronté à un phénomène appelé shadow IT.
Le shadow IT est un terme générique qui désigne les technologies utilisées par les salariés et les bénévoles sans avoir été examinées, approuvées ou validées par votre organisation. Il peut s’agir d’une application de gestion de projet utilisée par votre équipe marketing parce qu’elle n’apprécie pas la solution imposée à l’échelle de l’organisation. Il peut également s’agir d’un logiciel de design que votre équipe graphique finance elle-même sans que vous le sachiez. Ou encore d’un compte de messagerie personnel utilisé pour des activités liées à l’organisation, comme l’envoi de fichiers ou de communications destinées au conseil d’administration.
Ces outils restent dans l’ombre, pour ainsi dire, et peuvent vous exposer à de nombreux risques susceptibles de perturber vos activités.
Les risques liés au shadow IT
Sécurité
Les technologies non autorisées peuvent ne pas respecter les politiques de sécurité informatique de votre organisation. Par exemple, si votre structure exige une authentification multifacteur (MFA) ou gère les comptes utilisateurs via un système d’authentification unique (SSO), une application non approuvée peut échapper à ces exigences.
Autre exemple fréquent : l’outil ou le service utilisé sans autorisation n’est pas correctement configuré en matière de gestion des accès selon les rôles. Si certains utilisateurs disposent de privilèges excessifs, ils peuvent accéder à la facturation de l’application ou à des données qui ne correspondent pas à leurs responsabilités.
Lorsqu’un salarié quitte l’organisation, ses comptes liés à des outils de shadow IT peuvent rester actifs simplement parce que l’équipe informatique n’en a pas connaissance. Cela rend vos données plus vulnérables : un ancien compte pourrait être compromis sans que vous vous en rendiez compte.
Enfin, si votre organisation doit respecter des réglementations spécifiques en matière de protection des données, comme le RGPD ou d’autres exigences sectorielles, le shadow IT peut compliquer votre conformité.
Gouvernance des données
Lorsque vos données se trouvent dans des systèmes non approuvés, il devient beaucoup plus difficile de faire respecter vos politiques de propriété, de gestion et de conservation des données. Vous ignorez quelles données sont stockées, où elles se trouvent et qui y a accès. Vous ne savez pas non plus si les collaborateurs conservent les données qu’ils devraient conserver, ou au contraire des données qui devraient être supprimées.
De plus, comme les comptes utilisateurs ne sont pas gérés de façon centralisée, le risque de vol de données augmente. Imaginez un salarié mécontent qui conserve un accès à des informations sensibles via une solution de shadow IT après son départ de l’organisation. Les possibilités d’abus sont nombreuses.
Finances
Dans certains cas, vos collaborateurs paient eux-mêmes des outils ou des services dont vous ignorez l’existence, alors même que ces solutions deviennent essentielles au fonctionnement quotidien de votre organisation. Mais si vous n’en avez pas connaissance, vous ne savez pas combien elles coûtent et vous ne pouvez pas les intégrer à votre budget.
Continuité d’activité
C’est probablement l’un des risques les plus importants. Avec le shadow IT, les processus métiers sont souvent mal documentés. Lorsque des collaborateurs quittent l’organisation, une part importante des connaissances internes disparaît avec eux.
Et si les personnes qui géraient ces outils non documentés partent, qui prendra le relais ? Les autres pourront-ils accéder aux données ? Si la personne qui paie l’abonnement cesse de le faire, que se passera-t-il ?
Une organisation qui repose sur des processus non documentés et des outils non approuvés ressemble à un château de cartes : son effondrement n’est qu’une question de temps. Les activités essentielles à votre mission méritent mieux.
Comment prévenir le shadow IT
Si vous êtes responsable de l’informatique au sein de votre organisation, plusieurs mesures peuvent contribuer à empêcher l’installation durable de solutions de shadow IT.
Pour commencer, assurez-vous de disposer d’une politique d’utilisation acceptable des ressources informatiques claire et applicable. Définissez précisément ce qui constitue un usage approprié ou non des équipements, systèmes et données appartenant à l’organisation. Expliquez également les conséquences en cas de non-respect par les salariés ou les bénévoles.
Il ne s’agit pas de contrôler les individus, mais de protéger les données et de garantir la continuité des activités en cas d’incident ou d’interruption.
Vous pouvez également fournir à votre personnel une liste de tous les outils, applications, solutions et services approuvés. Ainsi, chacun sait quelles ressources sont disponibles avant de rechercher lui-même une solution à un problème de processus.
Chez TechSoup, par exemple, nous disposons d’un catalogue interne regroupant toutes les applications et tous les services auxquels nous avons accès, accompagné d’exemples d’usages pour chaque solution.
Cela dit, ne craignez pas l’innovation. Dans votre politique d’utilisation acceptable, vous pouvez prévoir un processus permettant aux collaborateurs de tester ou de demander de nouveaux outils. Si vous choisissez cette voie, définissez clairement dans quelles conditions l’expérimentation d’un outil non approuvé est possible, ainsi que les personnes habilitées à l’autoriser.
Par exemple, vous pouvez permettre à vos équipes de tester de nouvelles applications d’intelligence artificielle, à condition qu’elles ne soient pas utilisées avec des informations confidentielles ou sensibles et qu’elles ne servent pas à exécuter des processus critiques pour l’activité.
Enfin, gardez l’esprit ouvert. Essayez de développer une culture organisationnelle qui encourage les nouvelles idées et dans laquelle les collaborateurs se sentent à l’aise pour proposer de nouvelles solutions. Facilitez la remontée de suggestions et la présentation d’arguments en faveur de nouveaux outils.
J’ai déjà un problème de shadow IT : que faire maintenant ?
Si votre personnel utilise déjà des solutions informatiques non documentées, que peut faire une association ?
Une bonne première étape consiste à demander aux collaborateurs de signaler les outils non officiels qu’ils utilisent, la manière dont ils les utilisent et les éventuels coûts qu’ils assument eux-mêmes. Expliquez clairement qu’il ne s’agit pas de sanctionner qui que ce soit, mais simplement de mieux comprendre ce qui se passe au sein de l’organisation.
Vous pourrez ensuite examiner chaque produit ou solution afin de déterminer s’il s’intègre à votre stratégie technologique globale et répond à vos besoins. Rappelez à vos utilisateurs que le service informatique est là pour favoriser leur réussite, et non pour les empêcher de travailler efficacement.
Au final, l’écoute, la réactivité et la confiance sont souvent les meilleurs moyens de faire sortir votre informatique de l’ombre et de la mettre en pleine lumière.
Michael Enos, vice-président Infrastructure, Sécurité et Conformité chez TechSoup, a contribué à la rédaction de cet article de blog.
Thumbnail photo: Shutterstock