Qu'est-ce que le Shadow IT ?

Avec l’arrivée d’outils toujours plus puissants et accessibles sur le marché, le Shadow IT est de plus en plus répandu dans le paysage professionnel. Cela peut avoir des implications profondes pour la sécurité, la gouvernance et la stratégie informatique au sein des organisations. Mais à quoi fait référence le Shadow IT concrètement ?

Shadow IT : de quoi parle-t-on ?

Le Shadow IT concerne les employés qui utilisent des logiciels, des applications et des services technologiques sans que leur département informatique n'en soit informé ou n'ait donné son accord.

Cette pratique est très courante en entreprise. Selon le cabinet Frost & Sullivan, 80 % des travailleurs ont admis avoir recours à des applications ou des services sans l'accord préalable de la DSI.

L'ampleur du Shadow IT est d'autant plus alarmante lorsque l'on prend en compte les chiffres de dépenses liées à cette pratique. Gartner estime ainsi que 40% des dépenses informatiques des entreprises sont liées au Shadow IT.

Les Raisons du Shadow IT

Réactivité et adaptabilité

L'un des principaux facteurs qui favorisent l'émergence du Shadow IT est la nécessité de réactivité et d'adaptabilité. Dans un monde où la technologie évolue à une vitesse fulgurante, les salariés cherchent souvent à utiliser les outils les plus récents et les plus efficaces pour accomplir leur travail.

Les processus d'approbation du service IT peuvent être perçus comme lents ou contraignants, ce qui pousse les collaborateurs à chercher des alternatives par eux-mêmes.

Autonomie et satisfaction des employés

Le Shadow IT peut renforcer l'autonomie et améliorer la satisfaction des travailleurs. Lorsqu’ils ont la liberté de choisir les logiciels qu'ils utilisent, ils peuvent se sentir plus investis et plus satisfaits dans leur travail.

Prenons l’exemple des outils Nocode. Leur utilisation est de plus en plus répandue car ils permettent à ces collaborateurs de développement des solutions digitales dont ils ont besoin dans leur quotidien sans nécessiter l’aide technique de développeurs.

Nous avons ici affaire à un dilemme : comment identifier ces usages et mieux les contrôler tout en permettant à l’ensemble des employés de contribuer à l’innovation et au développement de l’entreprise.

Concilier les deux est d’ailleurs devenu un vrai critère pour les équipes business et pour attirer les talents.

Facilité d'accès à des solutions IT alternatives

Enfin, l'émergence du Shadow IT est grandement facilitée par l'accessibilité des solutions IT alternatives. Avec l'essor du cloud et la prolifération des applications mobiles, il est devenu extrêmement facile pour n'importe qui de trouver et d'adopter de nouveaux moyens technologiques plus simples à la prise en main.

Des solutions Nocode comme Glide permettent par exemple de créer une application métier en quelques clics.

Exemples de pratiques de Shadow IT

Appareils

Les appareils constituent un premier usage de Shadow IT en entreprise. Voici quelques exemples de matériel informatique pouvant représenter des failles de sécurité :
‍

Les ordinateurs portables personnels et smartphones : Les employés apportent souvent leurs propres appareils au travail, une pratique connue sous le nom de BYOD (Bring Your Own Device). 

Ces appareils, qui ne sont pas gérés par le DSI, peuvent contenir des applications et des logiciels non approuvés. De plus, ils peuvent se connecter à des réseaux non sécurisés, présentant ainsi un risque pour la société.

Les disques durs externes, les cartes SD et les clés USB : Ces dispositifs de stockage peuvent être utilisés pour transférer des informations confidentielles d'un appareil à un autre, en contournant les dispositifs de sécurité. Ils peuvent aussi introduire des malwares dans le réseau de la compagnie s'ils sont utilisés sur des appareils infectés.

Par exemple, Edward Snowden a transféré des informations confidentielles de la NSA sur une micro carte SD et a réussi à éviter les portiques de sécurité en mettant la carte SD dans un Rubik’s Cube et en le passant au responsable de la sécurité pour éviter de passer le Rubik’s Cube dans le portique.

Les appareils IoT (Internet des objets) : De plus en plus d'objets connectés font leur apparition, allant des imprimantes intelligentes aux dispositifs de sécurité. Ces appareils, souvent mal sécurisés, peuvent être utilisés comme des points d'entrée par des acteurs malveillants pour accéder au réseau de l’établissement.

Utilisation d’outils tiers comme des outils nocode et low-code

Les plateformes de partage de fichiers en ligne : Un employé peut partager des fichiers d'entreprise sensibles via une plateforme de partage de fichiers en ligne non sécurisée ou non approuvée, comme Dropbox, Google Drive ou AirDrop. Cette pratique expose la société à un risque de vol ou de perte de données.

Les plateformes de gestion de projets : Un employé pourrait utiliser des applications comme Slack, Trello ou Notion pour gérer ses projets et collaborer avec ses collègues sans l'approbation de l’équipe informatique.

Les services de messagerie : Malgré les politiques de la firme interdisant l'utilisation de services non approuvés, certaines personnes peuvent continuer à utiliser des services comme Gmail ou WhatsApp pour leurs activités professionnelles.

Les outils nocode et low-code : Très accessibles, ces outils peuvent être rapidement adoptés par les équipes business sans qu’on puisse avoir pris le temps de les sensibiliser sur les sujets de la sécurité par exemple. Des risques de fuite de données via des clés API laissés en clair peuvent arriver. Cela peut notamment arriver avec des outils d’automatisation comme Zapier, Make ou n8n lorsqu’un utilisateur souhaite partager un workflow avec des pairs.

Pour atténuer ces risques, il est important que les entreprises établissent des politiques et des lignes directrices claires concernant l'utilisation des outils Nocode. Les départements informatiques doivent être impliqués pour évaluer et valider les applications créées, ainsi que pour fournir un soutien technique et des conseils en matière de sécurité.

Nous verrons quelles solutions s’offrent à nous dans la dernière partie.

Risques liés au Shadow IT

Perte de données

Inaccessibilité des données : Lorsque des salariés utilisent des comptes personnels pour stocker des documents ou d'autres actifs de la société, ces informations peuvent devenir inaccessibles. Par exemple, si un employé démissionne ou est licencié, il peut conserver l'accès à ces actifs stockés dans le cloud, tandis que la compagnie peut en perdre l'accès. Cela peut avoir des conséquences importantes.
‍

Rétention des actifs par les anciens employés : Dans le même ordre d'idées, si un employé qui a utilisé des services non approuvés quitte l’entreprise, il peut continuer à avoir accès à des informations sensibles. Non seulement cette dernière perd l'accès à ces informations, mais elle risque également qu'elles soient partagées ou utilisées de manière inappropriée.
‍

Difficultés à localiser et contrôler les données : Lorsque ces dernières sont stockées ou traitées en dehors des infrastructures de l'entreprise, il peut être difficile pour l'entreprise de savoir où elles se trouvent exactement et qui y a accès. Cela peut poser des problèmes de conformité et de sûreté, car il est plus difficile pour la société de garantir la protection de ces informations et d'empêcher les accès non autorisés.
‍

Au-delà de la simple perte d’informations confidentielles, le Shadow IT ouvre également la porte à des problématiques encore plus préoccupantes, à savoir les vols de données.

Selon un rapport de Forbes, l'utilisation de technologies informatiques non approuvées serait en effet responsable de 21% des cyberattaques enregistrées.

Perte de contrôle sur les usages

Le pratique de Shadow IT par un employé peut poser des problématiques lors de son absence ou de son départ – notamment s’il est le seul à avoir travaillé sur des projets d’envergure.

C’est pourquoi il est très important d’instaurer rapidement dans chaque équipe (et pas seulement les équipes IT) une culture de la documentation des processus métier.

Cela vient limiter la dépendance vis-à-vis d’un employé et aussi de mieux faire circuler l’information.

Problèmes de conformités légales

Chaque pays et continent vient avec son lot de réglementations pour protéger certaines industries et les citoyens (RGPD en Europe par exemple ou l’HIPAA aux États-Unis).

Celles-ci peuvent être complexes à comprendre et nécessitent des responsables en interne ou des représentants externes qui ont pour objectif de sensibiliser les collaborateurs sur les sujets afin d’appliquer de bonnes pratiques.

Mais il est difficile d’avoir un contrôle sur les pratiques de l’ensemble des employés et des équipes d’une organisation. Il arrive alors fréquemment que des personnes et des services  ne répondent pas à ces normes de sûreté, ce qui peut entraîner des amendes ou des poursuites judiciaires à l'encontre de l'organisation.

Ainsi, une amende pouvant aller jusqu'à 20 millions d'euros ou équivalente à 4% du chiffre d'affaires d'une entreprise peut être imposée en cas de non-respect des règles régissant le traitement des données, ou si les conditions légales pour le traitement de ces informations privées ne sont pas remplies.

Modification des données

Ne pas avoir un système de gouvernance clair, c’est s’exposer au risque de compromettre tout un système technologique basé sur des données et des automatisations en entreprise.

Plus une organisation croît, plus elle va créer de dépendances entre les services. Il est nécessaire d’avoir des responsables qui vont avoir la connaissance de l’architecture afin de pouvoir mettre en place des outils de monitoring afin de rapidement identifier des modifications non voulues dans les systèmes.

À titre d’exemple, la modification d’un champ dans une base de données peut casser l’ensemble des workflows qui vont y être connectés. Les conséquences peuvent être très critiques.

Quels sont les enjeux ?

Le Shadow IT met en lumière un enjeu crucial pour les entreprises : comment concilier le besoin d’innover rapidement des équipes “Business” avec le respect des bonnes pratiques prônées par le service IT.

Au cœur du terrain et des opérations, ces équipes Business peuvent être tentées d'adopter de nouveaux outils et moyens technologiques non approuvés par le service IT pour être toujours plus productifs et répondre rapidement à leurs besoins.

De l'autre, la division IT, garante de la sûreté des systèmes d'information, a pour mission d'assurer que les technologies utilisées sont sécurisées et conformes aux réglementations en vigueur. L'enjeu est donc de trouver le juste équilibre entre ces deux impératifs, pour permettre à l'entreprise de rester compétitive tout en préservant la sécurité de ses données.

Quelles sont les solutions ?

Sensibiliser et former les employés aux bonnes pratiques

Une formation sur les bonnes pratiques en matière de sécurité informatique est essentielle pour prévenir le Shadow IT. C’est une culture d’entreprise à mettre en place le plus tôt possible car les enjeux deviennent de plus en plus grands au fur et à mesure que l’organisation croisse et se complexifie.

C’est aussi très important pour les grands groupes de se faire accompagner régulièrement – particulièrement aujourd’hui, où l’écosystème technologique évolue extrêmement rapidement.

Nous accompagnons déjà des grands groupes comme Franprix ou L’Oréal pour sensibiliser les équipes sur le Nocode afin que son adoption vienne stimuler la croissance du groupe en conciliant agilité et sécurité.

Si vous êtes également intéressé·e, nous sommes disponibles pour échanger avec vous.

Coopérer avec le département IT

Les approches Nocode et Low-code peuvent également redonner le contrôle à la DSI en offrant aux employés des réponses clés en main.

Ainsi, les Business Developpers peuvent conserver l’agilité octroyée par les approches Nocode tout en gardant la DSI dans la boucle, ce qui leur donnera le niveau de visibilité nécessaire pour se prémunir de tous risques pour l’organisation.

Si vous avez besoin d'utiliser un nouvel outil ou service, assurez-vous de faire une demande auprès du service IT pour que ces derniers vérifient la fiabilité de l’outil et d’autres paramètres.

Enfin, les employés peuvent prototyper une application ou site web et la section IT s’en charge pour la créer. 

Mettre en place un système de gouvernance clair

Comme énoncé plus haut dans l’article, identifier des personnes responsables des opérations inhérentes à chaque service est très important afin de garder le contrôle et de construire un environnement qui va pouvoir scaler avec le temps.

Ce sont de bonnes pratiques à adopter – qui certes peuvent être chronophage – mais permettront d’assurer la croissance à moyen et long terme de l’entreprise.

Travailler avec les bons outils

Pour faire écho aux enjeux de gouvernance, travailler avec les bons outils est souvent déterminant. De plus en plus de solutions Nocode proposent des options de gouvernance centralisées, notamment dans leurs plans Entreprise. Airtable propose une solution de gouvernance par exemple.

Des solutions bien connues des équipes techniques ont aussi développé des solutions Nocode, très prisées des grands groupes. Prenons l’exemple d’Appsheet, la solution Nocode de Google, où la configuration des droits et des accès des applications produites est la même que pour les autres données de l’entreprise. Microsoft fonctionne de la même façon avec sa solution Nocode PowerApps.

Conclusion

En conclusion, le Shadow IT représente un défi de taille pour les organisations – de petites ou de grandes tailles. Bien qu'il puisse sembler attractif pour les employés en termes d'autonomie et de flexibilité, il comporte des risques significatifs en matière de sécurité des données, de conformité légale et de perte de contrôle sur les systèmes informatiques de l'entreprise. S’il paraît illusoire d’empêcher le phénomène, Il est essentiel pour les entreprises de mettre en place des mesures proactives pour sensibiliser et former les employés aux bonnes pratiques en matière de sécurité informatique, ainsi que de favoriser une collaboration étroite entre les équipes métier et le département IT. En adoptant une approche coopérative et en encourageant la transparence, les entreprises peuvent trouver un équilibre entre innovation et sécurité, garantissant ainsi une gestion efficace de la technologie au sein de l'organisation

‍