Discussion :

[Stéphane le calme]

Que se passe-t-il lorsque des employés utilisent un logiciel qui n’a pas été approuvé ?
Quelques conseils face aux enjeux du Shadow IT

Il y a quelques mois, la vice-présidente d'un secteur d'activité en déclin s'est retrouvée aux prises avec des outils numériques pour l'aider à acquérir de nouveaux clients. En désespoir de cause, elle a utilisé sa carte de crédit personnelle pour payer un abonnement mensuel à un outil de gestion de la relation client (GRC) basé sur le cloud qui pouvait l'aider à lancer une campagne en ligne.

Peu de temps après, le DSI a détecté le projet et l'a traduite à un conseil de discipline. Après avoir entendu la réprimande sévère du DSI au sujet des atteintes à la sécurité que son initiative avait engendrées, le PDG a demandé à la vice-présidente pourquoi elle n’avait simplement pas demandé de l’aide du DSI. La vice-présidente a répondu : « J'ai demandé de l'aide à notre directeur informatique il y a des mois ».

Le directeur des systèmes d’information a admis qu'il avait été approché et expliqué qu'il avait informé la vice-présidente qu’un projet avec SAP était déjà en cours pour fournir ce dont elle avait besoin. « Oui, mais je n’aurais certainement pas pu m’en servir avant trois ans, et j’avais besoin de quelque chose immédiatement », a rétorqué la vice-présidente.

Le DSI est resté silencieux. Ensuite, le PDG s’est adressé à la vice-présidente en ces termes : « je vous connais depuis dix ans. Vous ne semblez pas être quelqu'un qui ferait quelque chose pour nuire à l'entreprise. Pourquoi avez-vous fait cela ? » La vice-présidente a immédiatement répliqué ;:« depuis que j'ai lancé ce programme d'acquisition de clients numériques, nous avons augmenté nos revenus d'un million de dollars par mois. Avant nous perdions des revenus. Si vous voulez, je peux l'arrêter maintenant. Que voulez-vous que je fasse ? »

Les conseils de la Harvard Business Review

Si vous ne pensez pas que cela se produit dans votre organisation, détrompez-vous. Dans certains cas, lorsque des solutions Shadow IT apparaissent, le DSI les ferme complètement, provoquant parfois un départ prématuré des responsables frustrés des unités commerciales concernées.

Cela peut parfois être une réponse appropriée, mais il arrive de voir un service informatique adopter adopter une approche ouverte et travailler avec succès sur le software/hardware non autorisé afin de sécuriser les données, normaliser les API et, finalement, assembler des solutions combinant des services internes et externes.

Selon la Harvard Business Review, il est plus intéressant de s’orienter vers cette dernière approche. D’ailleurs, son expérience en matière de conseil et de recherche auprès des entreprises confrontées à des défis de transformation numérique suggère que l'application des deux règles empiriques suivantes aidera les DSI à mieux anticiper et gérer leurs projets informatiques:

• Identifiez où vous devez être le plus performant. Puis, laissez les responsables décider de prendre les meilleures solutions dont ils ont besoin ou de les faire développer en interne. Cela peut donner lieu à un service informatique fractionné dans lequel une unité informatique centrale gère les projets structurels hérités, tandis qu'une équipe agile dédiée gère le numérique et l'innovation, en concurrence avec des fournisseurs de solutions externes. Cette approche flexible devrait permettre de réduire le nombre de problèmes informatiques surprises, car le service informatique fera au moins partie du processus d’approvisionnement en nouveaux projets.
• Commencez petit partout ailleurs. Les DSI sont souvent tentés de rechercher des solutions complètes chez les grands fournisseurs, mais comme HBR l’a déjà observé, cela signifie généralement qu’ils manquent le coche. Il convient de noter que, dans de nombreux secteurs, les meilleurs fournisseurs de solutions informatiques se concentrent sur un problème spécifique. HBR recommande aux responsables informatiques d'adopter une approche similaire. Plutôt que d'essayer de résoudre beaucoup de problèmes en même temps mais trop tard, essayez de résoudre rapidement des problèmes spécifiques en travaillant avec des fournisseurs spécialisés. En travaillant de cette manière, vous conservez la possibilité d’échanger des solutions nouvelles et meilleures à mesure qu’elles se matérialisent.

Selon une nouvelle étude de Snow Software, réalisée auprès de 3 000 travailleurs dans le monde, 46% des employés accèdent à des documents personnels sur leur appareil de travail sans la permission du service informatique. Étonnamment, 41% des employés dans le monde se procurent des logiciels et des applications professionnels sans consulter le service informatique. Cela fait en sorte que l'utilisation de votre propre technologie pour faire votre travail est la deuxième infraction informatique la plus courante, se plaçant juste derrière les accès à d'autres types de contenu personnel comme des applications personnelles, de la musique, des vidéos et des photos.

Le Shadow IT peut présenter des risques pour la sécurité à partir du moment où les équipements et logiciels non pris en charge ne sont pas soumis aux mêmes mesures de sécurité que les technologies "corporate".

Par ailleurs, les technologies qui opèrent à l'insu du service informatique peuvent perturber l'expérience utilisateur des autres employés, par exemple en consommant de la bande passante et en créant des situations dans lesquelles les protocoles du réseau ou des applications entrent en conflit.

Le Shadow IT peut également créer un problème de conformité quand, par exemple, les utilisateurs font appel à DropBox ou à d'autres services d'EFSS gratuits de stockage dans le Cloud pour y stocker des données d'entreprise.

Trouver et étudier les zones où le Shadow IT se développe peut donc permettre de repérer les zones de souffrance du système d’information. Que ce soit parce qu'une application est manquante ou inadaptée, cela aide les DSI à identifier les domaines de l’entreprise où ils doivent agir et investir, car ils ne remplissent pas leur rôle. Attention cependant, trouver une zone où le Shadow IT sévit n’est pas facile et demande une véritable enquête auprès des métiers et au sein de la DSI.

Les sept commandements du CESIN face aux nouveaux enjeux du Shadow IT

Alain Bouillé, président du CESIN, présente le Shadow IT comme « un phénomène qui s’est développé avec la gratuité de nombreux services en ligne et auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise. »

Il explique que « Cela peut aller de la création d’un Réseau Social d’Entreprise hors contrôle de cette dernière avec des offres gratuites comme LinkedIn ou Facebook, à la constitution de services collaboratifs pour des besoins ponctuels en recourant à la gratuité avec à la clé une protection des données réduite à sa plus simple expression. La principale calamité en la matière restant les sites de partage de fichiers qui pullulent sur le WEB et dont la protection laisse le plus souvent à désirer. »

Voici les sept commandements du CESIN :

1. Instaurer la confiance : le dialogue doit être le plus ouvert possible avec les utilisateurs afin de montrer que les services IT sont à leur disposition pour étudier ensemble leurs attentes fonctionnelles. Les utilisateurs doivent avoir confiance dans le fonctionnement de leur informatique et les relations avec leurs partenaires pour être efficaces. La confiance s’appuie sur l’écoute et la compréhension des cas d’utilisation.
2. Analyser les flux : iI est nécessaire que le DSI utilise les indicateurs qu’il a à sa disposition, notamment ceux relatifs aux logs des firewalls et autres switchs qui permettent de filtrer les échanges vers l’extérieur. Un tableau avec la description du flux va permettre de faire une analyse de risques sur les flux et prendre les décisions pour contrôler les échanges d’informations sortant de l’entreprise.
3. Réduire le risque : compte tenu des échanges d’une entreprise avec d’autres fournisseurs de services ou de partenaires, il est nécessaire de faire une analyse de risque des flux les plus critiques. Le RSSI doit classer les flux entre ceux déjà enregistrés pour lesquels le risque est connu et accepté, ou les transférer vers des nouveaux acteurs de la sécurité.
4. Piloter l’infrastructure : l’architecture et le paramétrage de l’infrastructure, clef de voûte de tous les accès au SI d’entreprise, permettent l’existence du Shadow IT ou l’interdire. Le recours à un outil de monitoring de la sécurité des « Apps » tel que les solutions de type CASB (Cloud Access Security Broker) est devenu une nécessité. La DSI doit, au même titre que tous les autres accès, les filtrer et les classer dans le tableau de suivi, pour en surveiller l’activité et être en mesure de réagir en cas de problème de sécurité avec un des fournisseurs
5. Coopérer avec les départements juridique, achat et finance : la définition d’une procédure d’acquisition des solutions informatiques est une étape clef dans le contrôle du Shadow IT. Le RSSI doit être informé par l’un des acteurs de la demande pour effectuer une analyse des risques sur l’information échangée. Il proposera un plan d’action pour les réduire s’il estime qu’il y a un risque sur le capital informationnel de l’entreprise. Il est nécessaire que cette procédure d’acquisition soit simple d’utilisation pour faciliter la mise en œuvre de solutions innovantes. À l’opposé, un processus lourd et peu agile entraînera les employés vers le Shadow IT.
6. Éduquer les utilisateurs : en parallèle, l’éveil des utilisateurs aux risques relatifs à la gestion des données de l’entreprise est une des actions nécessaires pour réduire le risque de Shadow IT. Il est illusoire de penser qu’on pourrait avoir un officier de sécurité surveillant toutes les actions des utilisateurs, de fait, il est nécessaire de leur donner les moyens de rester vigilants lorsqu’une action peut exposer les données de l’entreprise au monde externe.
7. Positionner le curseur ( on-prem vs. off-prem) pour délimiter « l’environnement de travail » : l’idée est de définir pour chaque domaine si l’entreprise est capable de gérer le risque de perte d’information ou de déni de service relatif à l’outsourcing de son information, ses services, son organisation ... À titre d’exemple, voici des domaines qui doivent être documentés pour positionner le curseur entre « géré en interne » ou en « externe » : les terminaux, la gestion et le maintien opérationnel des serveurs, les données, les applications, la gestion des identités, la supervision des solutions de sécurité… Le RSSI doit définir en fonction de l’activité de l’entreprise et avec l’aide des utilisateurs si les informations, les services ou la gestion de l’information sont mieux gérés en interne ou avec l’aide d’un service hébergé dans un cloud externe.

Source : HBR

Et vous ?

Avez-vous utilisé ou utilisez-vous des outils logiciels ou services cloud non approuvés par la direction informatique pour pouvoir avancer dans votre travail ?
Cela a-t-il toujours eu des retombées positives ou y a-t-il déjà eu des retombées négatives ? Lesquelles ?
Que pensez-vous des approches proposées par HBR et le CESIN ?

Voir aussi :

Les employés avec le plus de pouvoir utilisent souvent du software/hardware qui n'est pas approuvé par la DSI pour faire leur travail
Des employés de Snapchat auraient abusé de leurs accès privilégiés aux données des utilisateurs pour les espionner, d'après des sources
Les actionnaires et des milliers d'employés d'Amazon tentent de convaincre la société d'abandonner les combustibles fossiles, mais en vain
Le SDK de Windows Media Center se retrouve sur GitHub, à l'initiative de Charlie Owen, un ancien employé de Microsoft
40 % des employés de la génération Z regrettent d'avoir accepté une offre d'emploi, selon Gartner

[sergio_is_back]

Alain Bouillé, président du CESIN, présente le Shadow IT comme « un phénomène qui s’est développé avec la gratuité de nombreux services en ligne et auxquels les utilisateurs se sont inscrits sans toujours se rendre compte du danger que cela pouvait représenter pour le patrimoine informationnel de l’entreprise. »

Monsieur Bouillé n'a pas du mettre les pieds souvent dans une entreprise.

Le principal problème qui amène le "shadow IT" dans une société c'est le manque de réactivité du service IT ! Parfois il faut des mois pour un simple logiciel à trois francs six sous donc les gens se débrouillent par eux-mêmes. L'exemple le plus criant que j'ai vu c'est avec SAP (mais c'est valable aussi avec d'autres) : le moindre petit développement doit être planifié des mois (quand c'est pas des années) à l'avance et coute un bras. Alors les gens bidouillent des solutions dans leur coin ou ils nous commandent un développement qui sera installé sur un serveur acheté pour l'occasion avec un fond de budget... Serveur qui ne sera jamais joint au domaine et qui sera inconnu du service IT, bref c'est le manque de souplesse des grandes structures IT qui génère une grosse partie de ce problème.

[el_slapper]

Monsieur Bouillé n'a pas du mettre les pieds souvent dans une entreprise.

Le principal problème qui amène le "shadow IT" dans une société c'est le manque de réactivité du service IT ! Parfois il faut des mois pour un simple logiciel à trois francs six sous donc les gens se débrouillent par eux-mêmes. L'exemple le plus criant que j'ai vu c'est avec SAP (mais c'est valable aussi avec d'autres) : le moindre petit développement doit être planifié des mois (quand c'est pas des années) à l'avance et coute un bras. Alors les gens bidouillent des solutions dans leur coin ou ils nous commandent un développement qui sera installé sur un serveur acheté pour l'occasion avec un fond de budget... Serveur qui ne sera jamais joint au domaine et qui sera inconnu du service IT, bref c'est le manque de souplesse des grandes structures IT qui génère une grosse partie de ce problème.

Et pas que pour le shadow IT. Anecdote. 2004. En intercontrat, je suis soudainement assigné en urgence sur un projet chez un client. bon, c'est normal, c'est la vie de prestataire. Seulement, on me dit que pendant une semaine, je vais m'appeller Alexandre Dukakis(je n'ai pas oublié ce nom). En fait, l'équipe savait qu'ils allaient avoir quelqu'un, mais ils ne savaient pas qui. Et il fallait une semaine pour créer un compte utilisateur. "Alexandre Dukakis est hélas indisponible, mais el_slapper fera parfaitement l'affaire aussi" (bon, c'était pas ma mission la plus difficile, ils ne prenaient pas un gros risque)

J'irais plus loin : une des raisons pour lesquelles Jérôme Kerviel a pu passer outre toutes les sécurité sans que ça n'affole personne, c'est que tout le monde fait ça pour arriver à bosser. Personne n'a imaginé que ça pouvait être à des fins "hors cadre". au moment ou l'affaire éclate, je viens de quitter la SG(dommage, les ragots ont du être rigolos, j'ai raté ça), je suis chez un assureur, ou une directrice de projet me montre comment pirater mon propre poste de travail pour arriver à bosser maintenant et pas dans 3 semaines. C'est la même dynamique.

[NBoulfroy]

Dans ma société, on utilise Google Drive donc ... Non je n'ai pas utilisé de logiciel cloud non autorisé à ce jour (chez mon ancien employeur, même chose).

Ce que je pense des recommandations ? Si déjà, un dialogue peut réellement exister entre le SI et le reste, cela serai merveilleux mais hélas, ce n'est pas ainsi trop souvent. Il y a des abus dans l'industrie du développement logiciel (le coût de développement parfois est déraisonnable face au travail demander) et j'ai déjà eu cette conversation avec mes collègues. Nous sommes toujours ébahis par le prix demandé par les entreprises alors que pour nous, c'est quelque chose de simple.

[tanaka59]

Cela va même au délà des logiciels.

Intérimaires, CDD , stagiaires, alternants ... On passe d'entreprises en entreprises parfois dans des délai très courts (3 à 6 mois). On doit être operationnel très vite. Concerver des "copies" à titre privés, de macros, exemples d'algorithmes, exemples logiques, formules , méthodologies ...

Quand on développe des chaines de traitements qui demandent parfois 3 à 4 jours de dev et refaire la même chose tous les 3 mois ... Croyez moi , avoir une boite a outils que l'on peut déployer ilico , sans rien demander à personne parfois niveau productivité vous êtes contraint de "tourver un solution de contournement" pour avoir vos docs à dispositions.

C'est aussi vrai en finance, compta, marketing et gestion .

Des services gros consommateur d'excel , d'access , BDD et autres solutions de reportings et SQL.

Quand vous avez de votre "savoir" , on ne peut pas tout retenir de tête. Et internet ne dispose pas de toutes les infos non plus ...