Shadow IT, opportunités et risques
Dans le cadre du MOOC PiloPro 2020 - Pilotage des organisations et processus métiers - , l’un des ateliers permettait de réflechir sur le shadow IT, à savoir l’équilibre entre la DSI et les métiers.
Toujours sur le fond de l’urbanisation (la maîtrise et la cohérence de l’évolution et de la construction du système d’information), nous vous invitons à réfléchir sur cette thématique qu’est le Shadow IT en répondant aux deux questions suivantes :
Quels en sont les risques et les opportunités pour les organisations ?
Les risques inhérents au shadow IT peuvent être de plusieurs natures:
- risque réglementaire : les processus métiers utilisant du shadow IT peuvent contrevenir aux standards et réglementations – sciemment ou non – ce qui peut exposer l’entreprise à un risque d’image, financier ou commercial.
- risque de cybersécurité : en offrant une surface d’attaque supplémentaire inconnue par la DSI, les mesures de sécurité ne sont pas appliquées et peuvent être un vecteur d’entrée dans le SI ou de perte de données.
- risque opérationnel : un système maintenu hors de la DSI ne bénéficie pas de la même qualité de service et de la résilience que les systèmes « officiels ». En cas de soucis, il faudra plus de temps pour identifier et corriger la situation.
- risque de pérennité: la solution peut être remise en cause si la personne en charge quitte son poste ou si le service externe (cloud) ferme.
- risque organisationnel: le service Metier va cherche du support – généralement en urgence – auprès de la DSI quand son application ne fonctionne plus alors qu’elle n’a pas d’existence officielle. Cela crée des tensions et des situations désagréables.
Les opportunités inhérentes au shadow IT peuvent être de plusieurs natures :
- rapprochement de la DSI et des services Metiers
- faire évoluer les procédures et mesures de sécurité en montrant les limites actuelles
- améliorer les processus métiers et la productivité des équipes
- source d’innovation (prototypes):
- vecteur d’amélioration technique
- vecteur d’amélioration des usages
Quelles préconisations pouvez-vous faire à une DSI pour qu’elle garde la maîtrise du système d’information tout en profitant de l’opportunité des initiatives prises par des métiers ?
Il est impossible de nier l’existence et l’intérêt du shadow IT mais il faut s’en servir pour améliorer l’entreprise au lieu de la mettre en péril. Voici quelques préconisations qui permettraient de profiter des avantages du shadow IT et d’en limiter les inconvénients :
- encourager et améliorer le dialogue entre la DSI et les autres services. Cela permettra d’établir une attitude d’ouverture et à terme de confiance, pour tester identifier les besoins à traiter.
- mettre en place un process IT léger pour mettre en place des phases de prototypage (MVP : minimal viable product) afin de valider la solution avec le demandeur et ceci à moindre coût. Cela permet d’intégrer le demandeur dans la sélection, de s’assurer qu’on identifie le besoin source et non un besoin partiel et ceci en limitant les coûts.
- éduquer et responsabiliser les services sur le shadow IT. Quand un moyen officiel existe pour supporter le shadow IT, la DSI peut monitorer son SI et cadrer ceux qui ne rentrent pas dans les rangs. Garantir l’intégrité du DSI reste l’une des prérogatives de la DSI et cela permet aussi de conserver sa légitimité/crédibilité.