Le “Shadow IT” désigne l’utilisation par certains employés de technologies non autorisées par la DSI, sans que cette dernière en soit informée. Ce phénomène – qui s’est largement développé suite à l’essor du “Cloud” – résulte bien souvent d’un manque de fonctionnalités ou d’une frustration à l’égard d’outils jugés peu adéquats par divers salariés. Ces derniers se tournent donc vers des alternatives applicatives disponibles en ligne, sans forcément mettre au courant le service IT.
Réduire ce phénomène de Shadow IT en 5 étapes
Identifier les cas de Shadow IT
Le Shadow IT n’est pas anodin pour une organisation: sur la effet l’emploi régulier d’outils non autorisés – et en conséquence externes au SI – entraîne une sortie régulière du données vers des environnements externes, sous violation de la gouvernance des données en vigueur dans l’entreprise. Le risque majeur lié à cette pratique? La multiplication de failles de sécurité et une certaine perte de contrôle sur les données.
Comment limiter ce phénomène au maximum? Voici plusieurs conseils utiles. Identifier les cas de figure de Shadow ITCe premier conseil semble tomber sous le sens au premier regard mais il n’est pas aussi simple qu’il n’y paraît.
Pour lutter contre le Shadow IT, il est indispensable d’en recenser les cas avérés, une tâche souvent délicate puisqu’elle nécessite une inspection minutieuse et exhaustive des usages relatives au chaque collaborateur. Organiser des échanges, poser les bonnes questions puis lister chaque application relative au Shadow IT requiert une organisation rigoureuse et un temps considérable. Mais il s’agit d’une phase indispensable pour cerner l’ampleur du phénomène et espérer un circonscrire.
Écouter et sensibiliser plus que réprimander
La découverte d’une culture touchant à Shadow IT peut provoquer des tensions entre les équipes concernées, les managers ainsi que une direction. La plus fréquemment, l’énervement et ces remontrances l’emportent en ce qui concerne une approche plus méthodologique. Pourtant, le fameux Shadow IT a la possibilité être vu autrement que comme un problème. En réalité, c’est un symptôme révélateur d’une défaillance dans fond dans la société. Les employés ne sont pas équipés des outils dont ils ont besoin pour travailler efficacement et ont ainsi cherché une solution pour obtenir façon arbitraire. Une meilleure approche consiste donc dans un premier temps important à ne pas adopter une posture agressive, qui serait contre-productive car susceptible de cristalliser les tensions.
Par la suite, l’objectif est au sein de comprendre des raisons ayant entraîné l’emploi des logiciels “non-officiels”: manque de fonctionnalités, difficultés à obtenir des données fiables et consolidées, instruments peu pratiques dans utiliser… Ces informations sont précieuses, puisque ce sont elles qui permettront concernant le combler les fente ayant entraîné l’apparition du Shadow IT.
Faire évoluer cette culture d’entreprise afin de mieux prévenir la majorité des dérives
Si les réprimandes et avertissements pas sont pas vraiment efficaces, les collaborateurs doivent néanmoins prendre conscience des risques qu’ils font courir à l’entreprise par leurs pratiques. L’une des missions de la DSI consiste donc à faire monter de compétence les brigades sur le sujet pour développer notre culture d’entreprise data-driven et minimiser l’apparition de nouveaux foyers de Shadow IT à l’avenir.
Fournir les outils manquants aux utilisateurs
Pour éviter que l’histoire non se répète, la plupart des demandes des employés doivent non seulement être prises dans compte, mais également se traduire par des actes: modules complémentaires, développements sur-mesure… Parfois, il se trouve que les logiciels utilisés “dans l’ombre” peuvent aussi s’avérer très pertinents et se voir intégrés – officiellement par la DSI cette fois! – au système d’information.
Adopter une politique “Zero trust”
Pour renforcer la sécurité un ensemble de données vis-à-vis proposent un potentiels nouveaux schéma de Shadow IT, la mise dans œuvre d’une stratégie Zero Trust est généralement nécessaire. Il s’agit là d’un modèle de sécurité informatique qui consiste à systématiquement contrôler les demandes d’accès à des ressources internes ou externes. Cela permet d’empêcher la fuite d’informations à l’extérieur ou à l’inverse, relatives bloquer par défaut l’accès au QUAND à des technologies non approuvées. En parallèle, la DSI a la faculté de paramétrer des alertes l’informant de création de potentiels clusters de Shadow IT et largement réduire les risques informatiques auxquels sont soumises les données.
