Actualité

Shadow IT, une bête noire que le Centre de Service IT peut apprivoiser

shadow it
MANAGEMENT TRANSFO DIGITALE

Le shadow IT est rarement regardé d’un bon œil au sein des entreprises. Car si l’équipe IT ne sait pas quels outils logiciels sont vraiment utilisés dans l’entreprise, elle ne peut pas en valider la sécurité et la qualité. Mais le shadow IT a aussi une dimension positive. Il peut faire partie d’une démarche d’innovation qui laisse plus de liberté aux utilisateurs dans le choix de leurs outils. A condition tout de même d’encadrer les pratiques, en s’appuyant sur le Centre de Service IT. Cette approche peut aller jusqu’à promouvoir dans l’entreprise du « citizen development » par les utilisateurs eux-mêmes, avec des outils « no code ».

1. Quelle forme prend vraiment le Shadow IT ?

Comme son nom l’indique, le shadow IT est tapi dans l’ombre ou plutôt dans l’angle mort de la DSI.  L’expression fait référence à l’utilisation d’outils technologiques au sein des organisations, sans validation préalable de la direction des systèmes d’information. Laisser les collaborateurs installer des logiciels sans documentation, vérification de qualité ou de sécurité peut donc être source de risques.

L’explosion du Shadow IT coïncide en fait avec le développement du cloud computing. Car le SaaS (Software As a Service) a permis de démocratiser l’accès à de nombreux outils logiciels. Selon le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) et Symantec, les entreprises utilisent 50 fois plus de services cloud qu’elles n’en recensent officiellement. Dans leur inventaire de 2017, les entreprises utilisaient en moyenne 1 700 apps cloud. Alors qu’elles n’en connaissent officiellement que 30 à 40. Le plus petit inventaire recensait 287 solutions SaaS connues ou inconnues, et le plus gros 5 945 ! Le Shadow IT peut ainsi représenter entre 30% et 50% du budget IT des grandes entreprises (estimations Gartner et Everest Group).

Dans le « top » des services inconnus, on retrouve les réseaux sociaux et messageries personnelles, parfois tolérés et légitimes dans le cadre professionnel. Mais c’est surtout l’utilisation en grand nombre d’outils de transfert d’information et de partage de fichiers volumineux (comme Google Drive, Dropbox, Box, OneDrive) qui peut poser des problèmes de sécurité et confidentialité.

Depuis la Covid-19, les utilisateurs de plus en plus autonomes se sont aussi emparés d’outils de productivité comme Trello ou Asana. Disponibles gratuitement pour des comptes individuels ou de petites équipes. Et pour les réunions en ligne, les utilisateurs utilisent Teams Meeting, Zoom, Skype, WebEx ou encore GoToMeeting. Parfois sans guidage de la DSI.

2. Comment utiliser le Centre de Service IT pour encadrer le shadow IT ?

Pour encadrer le Shadow IT, il faut d’abord le rendre visible, par un inventaire des logiciels et services utilisés dans l’entreprise. Le Centre de Service IT peut mener cet inventaire avec NowBoard, la plateforme ITSM de NowServiceDesk qui intègre l’outil NowInventory®.

Démonstration de la visualisation d’inventaire avec NowBoard :

Nowboard : votre support en ligne

La seconde étape est l’analyse des risques. Car ces données d’inventaire peuvent permettre d’identifier des applications malveillantes (virus, ransomware, cheval de Troie) ; et du matériel non autorisé (ordinateurs, téléphones personnels et équipements connectés). Plus de 20% des entreprises auraient déjà été confrontées à un problème de sécurité informatique à cause d’une ressource IT non « autorisée » (Forbes Insight 2019). En complément, nos articles « Méfiez-vous des clés USB » et « Les principales failles de sécurité informatique en entreprise ». Le shadow IT expose aussi à des risques financiers (licences non maîtrisées ou en doublon). Et des risques de gouvernance (vol ou la perte de données sensibles).

Les agents du Centre de Service IT peuvent sensibiliser les utilisateurs à ces risques du Shadow IT. Cela implique qu’ils puissent consacrer plus de temps au dialogue avec les utilisateurs. Ce gain de performance et de QoS est possible avec une qualification intelligente et contextualisée des requêtes, l’automatisation des demandes répétitives et chronophages et le développement du service desk en libre-service. Plus de détails dans notre article « Service desk externalisé : 5 leviers pour améliorer vos KPIs et prévenir les risques ».

L’analyse des échanges entre le Help Desk et les utilisateurs permet aussi de suivre l’évolution des usages et des outils. En incluant l’analyse des logs des requêtes faites aux agents du helpdesk, via téléphone, email, ou un chatbot. Les statistiques de consultation d’un site de self-help peuvent aussi éclairer sur les sujets les plus recherchés par les utilisateurs.

3. Passer du shadow IT au « citizen development »

Mais il serait dommage de ne voir que le côté sombre du Shadow IT. Car cette liberté d’outillage peut aussi faire partie d’une démarche d’« empowerment » pour soutenir les initiatives internes d’innovation. On parle même désormais de « citizen developers » pour désigner des utilisateurs finaux qui créent leurs propres outils technologiques. De nombreux outils « no code », utilisables par des non développeurs, facilitent ainsi des démarches d’innovation par les utilisateurs eux-mêmes. Cette tendance n’est pas anecdotique, en effet 41 % des organisations IT auraient déjà des initiatives de citizen development. (étude Gartner 2019)

La DSI a cependant besoin de prioriser son temps et ses ressources humaines. Pour se concentrer sur l’UX (l’expérience utilisateurs), encadrer le « citizen development » et détecter des leviers d’optimisation dans les processus. Une DSI débordée et en mode pompier n’aura pas le recul nécessaire pour envisager ce type de projets et encore moins les piloter.

C’est pourquoi les équipes IT ont besoin d’être accompagnées dans cette transformation de leur métier et de leurs pratiques. Elles ont aussi besoin de pouvoir s’appuyer sur des équipes de helpdesk formées aux dialogues avec les utilisateurs. Afin de ne pas diaboliser le shadow IT (ce qui n’encouragerait pas les utilisateurs à en parler), tout en partageant des conseils de prudence. Pour aller plus loin, lisez notre article « Améliorer la priorisation pour faire avancer le portefeuille de projets IT ».

Conclusion

Dans le contexte d’augmentation des cybermenaces, le shadow IT reste un sujet mal maîtrisé dans la plupart des entreprises. Mais elles peuvent s’appuyer sur leur centre de Service IT pour mener un inventaire matériel et logiciel préalable à l’analyse des risques. Enfin, un helpdesk optimisé et plus proche des utilisateurs peut passer les bons messages de prudence pour encadrer le Shadow IT.

Pour un service desk externalisé et optimisé : découvrez l’approche NowServiceDesk.

Télécharger votre Replay
Remplissez les champs pour recevoir votre replay.

Ce champs est requis

Ce champs est requis

Ce champs est requis

Ce champs est requis

Ce champs est requis

Ce champs est requis

😃

Merci, rendez-vous dans
votre boite mail pour profiter
de votre contenu !