Shadow IT

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Shadow IT (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

Pour ses partisans, le Shadow IT est considéré comme une importante source d'innovation, de tels systèmes servant de prototypes pour de futures solutions officielles. Pour ses détracteurs, le Shadow IT représente un risque pour l'organisation, les solutions de ce type étant réalisées au mépris des bonnes pratiques en vigueur, notamment en matière de tests, de documentation, de sécurité, de fiabilité, etc.

Problématiques de conformité[modifier | modifier le code]

Le Shadow IT désigne toute application ou processus de transmission d'information utilisé dans un processus métier sans l'aval de la direction des systèmes d'information. Le service informatique ignore fréquemment son existence, il ne l'a pas réalisé et il ne lui fournit aucun support. Un tel processus génère des données "officieuses", non contrôlées et qui peuvent contrevenir aux standards et réglementations en vigueur, tels que :

Exemples[modifier | modifier le code]

D'après une étude de 2012[1] portant sur 129 praticiens des systèmes d'informations en France, les exemples les plus fréquents de Shadow IT sont les suivants :

  • Classeurs Excel comprenant des macros
  • Logiciels hors catalogue
  • Solutions Cloud
  • ERP hors catalogue
  • Systèmes décisionnels
  • Site web
  • Matériel informatique
  • Solutions VoIP
  • Informaticien hors DSI
  • Projet sans appel à la DSI
  • BYOD

Les raisons de l'existence du Shadow IT[modifier | modifier le code]

Il est généralement admis que les utilisateurs ont recours au Shadow IT car ils pensent ne pas avoir d'autres moyens à leur disposition pour obtenir les données nécessaires à leurs missions. Ainsi, ils ont fréquemment recours aux tableurs pour analyser des données car ils savent utiliser ces outils, car les tableurs sont « gratuits », qu'ils permettent d'échanger de l'information avec n'importe qui et que, d'une façon ou d'une autre, ils leur permettent d'obtenir les résultats souhaités[2].

Une autre étude[3] confirme que 35 % des salariés estiment devoir contourner des procédures officielles ou des mesures de sécurité afin de pouvoir travailler efficacement. 63 % d'entre eux envoient des documents internes à leur adresse électronique personnelle afin de poursuivre à domicile le travail commencé au bureau, tout en ayant conscience que cela n'est probablement pas autorisé.

Conséquences[modifier | modifier le code]

Au delà des risques en matière de sécurité, les principales conséquences du Shadow IT sont[4]:

Chronophagie[modifier | modifier le code]

Le Shadow IT génère des coûts cachés pour l'organisation, principalement constitués en salariés non-informaticiens dans les services financiers, le marketing, les ressources humaines, etc., qui passent un temps considérable à évaluer et vérifier les données produites.

Morcellement des référentiels[modifier | modifier le code]

Si une application tableur (classeur) définit par elle-même ses propres définitions et indicateurs, il est probable que, sur la durée, des incohérences finiront par émerger, qui découleront de petites différences d'une version à une autre et d'un individu à un autre, les classeurs étant fréquemment dupliqués et modifiés. De plus, de nombreuses erreurs peuvent émailler ces classeurs, du fait d'un défaut de compétence technique, de l'absence de procédures de test rigoureuses et/ou de l'absence de procédure de contrôle des versions de documents.

Utilisation incorrecte[modifier | modifier le code]

Même lorsque les définitions, indicateurs et formules de calcul sont corrects, les méthodes d'analyse peuvent être faussées par l'utilisation de liaisons entre différents classeurs, les tableurs ne permettant que difficilement une analyse efficace des dépendances de données entre différents documents. Enfin, le processus entier peut lui-même être globalement erroné.

Dépréciations d'investissements[modifier | modifier le code]

Il peut arriver que les applications "Shadow IT" empêchent l'organisation d'obtenir un retour sur investissement (ROI) de la part des outils acquis pour réaliser les tâches qui sont à présent réalisées par le Shadow IT. Ce phénomène est fréquemment observé dans les projets d'entrepôts de données et d'informatique décisionnelle (BI), qui sont engagés avec les meilleures intentions mais dont l'utilisation cohérente et à grande échelle ne démarre jamais vraiment.

Augmentation des risques de perte de données[modifier | modifier le code]

Les applications de type Shadow IT peuvent ne pas comporter de procédures de sauvegarde de données, ou bien ces procédures peuvent être insuffisantes, mal conçues ou non exécutées. Il est fréquent que les utilisateurs impliqués dans la réalisation et l'utilisation de Shadow IT n'aient pas été sensibilisés à ces considérations.

Frein à l'innovation[modifier | modifier le code]

Le Shadow IT peut remplir un rôle d'innovation, permettant de tester des idées et concepts, mais il peut également être un frein à l'adoption de nouvelles technologies. En effet, si des tableurs sont impliqués dans la réalisation de tâches critiques, leur remplacement doit être envisagé avec la plus grande prudence. Ces tableurs peuvent, par ailleurs, parfaitement remplir leur rôle mais le manque d'une documentation complète et adéquate, les lacunes en matière de contrôle de cohérence et de traçabilité alourdit ces processus et les rend fragiles.

Références[modifier | modifier le code]

  1. RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/
  2. Sherman, R., 2004, Shedding light on Shadow Systems, DM Direct, Athena IT Solutions.
  3. RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from: http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf
  4. Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.

Liens externes[modifier | modifier le code]