Les pratiques relevant du shadow IT ne sont pas apparues récemment, et sont aussi anciennes que les technologies de l’information. Il résulte le plus souvent d’utilisateurs insatisfaits des outils que l’organisation met à leur disposition, et qui prennent l’initiative de recourir à d’autres moyens techniques pour faire leur travail. Ce faisant, ces utilisateurs sont souvent amenés à stocker des données sensibles hors du contrôle du département IT.
La montée en puissance du cloud alimente celle du shadow IT. Il est en effet très simple pour un utilisateur, voire une unité opérationnelle, de recourir à des services cloud et de créer des silos de données échappant au contrôle du département IT. Voici quelques-uns des principaux problèmes associés à cette situation.
Sécurité et confidentialité des données
Partout dans le monde, la protection des données fait l’objet de réglementations ; les organisations sont souvent dans l’obligation, par exemple, de signaler tout incident affectant les données personnelles de leurs clients. Le shadow IT peut présenter de réels problèmes de conformité, dès lors qu’il est exigé que les données sensibles soient stockées au sein de systèmes dont la sécurité est assurée, et conformément aux réglementations relatives à la protection des données.
Les organisations qui ne se conforment pas à ces réglementations s’expose par ailleurs à d’autres menaces : selon Gartner, d’ici 2020 un tiers des actes de piraterie commis au détriment des entreprises exploiteront les ressources IT occultes de celles-ci.
Si vous souhaitez en savoir plus sur le shadow IT, lisez notre guide La sécurité IT en 2018.
Coûts associés au shadow IT
Même si les services cloud semblent peu onéreux, les coûts peuvent rapidement s’élever dès lors que plusieurs unités opérationnelles agissent indépendamment les unes des autres et achètent des services similaires. De nombreux fournisseurs – notamment ceux qui offrent du stockage ou des systèmes de gestion dans le cloud – vendent leurs services sans passer par le département IT.
Si chaque unité opérationnelle achète les mêmes services de son côté, cela peut au final s’avérer nettement plus coûteux qu’une souscription globale initiée par le département IT, qui sera davantage en capacité de négocier au nom de l’organisation. Un autre risque à ne pas négliger est le fait d’employés qui, individuellement ou en groupe, utilisent des outils grand public, gratuits ou très peu coûteux, dont la conformité en termes de sécurité et de niveaux de service n’est absolument pas garantie.
Silos de données et accumulation d’informations
La principale raison pour laquelle des employés ou des unités opérationnelles ont recours au shadow IT est que leur département IT ne leur fournit pas les systèmes ou les services dont ils ont besoin, à un moment ou à un autre, dans le cadre de leur travail. Ces employés sont alors tentés d’utiliser des outils qui, même s’ils répondent à certains besoins spécifiques, peuvent ne pas être compatibles avec les procédures mises en place au sein de l’organisation, notamment en matière de partage et de stockage des données.
Le recours au shadow IT peut ainsi générer de la duplication incontrôlée de données, avec des risques de fuites d’informations, des problèmes liés au contrôle des versions de fichiers, et autres incidents affectant le bon déroulement des activités.
Sauvegardes et restauration
Un élément essentiel pour la continuité de l’activité est de s’assurer que les données ne sont pas seulement sauvegardées, mais peuvent être également restaurées rapidement et aisément.
Le recours au shadow IT répond le plus souvent à un besoin immédiat. Mais ces solutions de fortune n’offrent généralement pas les fonctionnalités requises, en termes de sauvegarde et de restauration, pour limiter les risques de pertes d’information et respecter les niveaux de service requis.
Il arrive même que des solutions relevant du shadow IT soient utilisées pour des tâches importantes de gestion. Il est par conséquent essentiel de s’assurer que les employés soient pleinement conscients des risques que ces solutions font courir à l’organisation. Les différentes unités doivent collaborer avec le département IT afin de s’assurer que les données critiques sont convenablement sauvegardées et que les procédures de restauration répondent aux exigences quant à la continuité de l’activité et à la récupération après incident.
Que peut faire l’IT ?
Les employés et unités opérationnelles ont essentiellement recours au shadow IT dès lors que les systèmes ou les services disponibles au sein de l’organisation ne répondent pas totalement à leurs besoins.
S’ils souhaitent endiguer le shadow IT, les responsables IT doivent donc adopter une approche proactive et s’assurer que chacun dispose des outils adaptés et satisfaisants. Cela peut être mis en pratique par l’attribution d’un rôle dédié au sein du personnel IT, avec pour mission d’identifier les lacunes en ce domaine, et d’y remédier en concertation avec les responsables concernés.
Plus généralement, rester à l’écoute des utilisateurs et de leurs besoins est essentiel si l’on souhaite éviter qu’ils se tournent vers des solutions alternatives, présentant potentiellement des risques non négligeables pour l’organisation.