Quand l’employé d’une organisation utilise des applications grand public ou des outils informatiques personnels à des fins professionnelles et que ceux-ci ne sont pas validés par la direction informatique, il penche du “côté obscur de la Force” et verse dans le “shadow IT”. Cette mauvaise habitude s’amplifie tant et si bien qu’elle pose aujourd’hui de réels problèmes de cohérence, d’efficacité et de sécurité.
L’expression shadow IT ou « informatique fantôme » fait référence aux applications déployées au sein de l’infrastructure informatique, sans avoir suivi le circuit élaboré pour vérifier qu’elles sont fonctionnelles et sécurisées. Aujourd’hui, dans les organisations, il y a donc, d’un côté, le système d’information “officiel” avec ses logiciels généralistes et métier, et, de l’autre, une quantité d’applications que les employés installent et utilisent de leur propre chef, sans en référer à la direction informatique.
Quand la volonté de bien faire tourne au casse-tête
Des applications dont ils estiment avoir besoin, car ils ne sont pas satisfaits des logiciels officiels et trouvent les leurs plus pratiques, plus ergonomiques, accessibles en mobilité, etc. Certes, cela leur permet de travailler mieux et dans un environnement connu, mais le danger pour l’organisation réside dans le fait que ces solutions sont installées et utilisées à son insu, et que des données stratégiques, voire confidentielles, peuvent y circuler. Avec, bien entendu, le risque qu’elles soient perdues, volées et qu’elles ne puissent pas être récupérées lorsque le salarié change de poste ou quitte l’organisation.
Ce phénomène de shadow IT est devenu vrai un casse-tête pour les directions informatiques.
Né du divorce entre l’informatique d'entreprise et l’informatique grand public, et amplifié par l’arrivée massive dans la vie active des “digital natives”, le shadow IT expose l'organisation à des risques non négligeables en termes de sécurité et d'interopérabilité, et met la direction informatique sous pression.
La direction informatique perçue comme une barrière superflue
Oui, mais voilà, comment faire pour sécuriser des applications dont la direction informatique n’a, la plupart du temps, même pas connaissance ? Car les salariés sont de plus en plus nombreux à contourner leur service informatique. D’après une étude Fuze (“La génération appli”), 40 % d’entre eux utilisent leur propre smartphone pour le travail et 69 % affirment que leurs technologies personnelles sont plus performantes que celles disponibles au bureau. C’est ainsi que 32 % utilisent la messagerie instantanée, 25 % passent régulièrement des appels vidéo et 21 % stockent des données dans le cloud, sans l’aval de leur service informatique. “Á la différence des salariés d’il y a dix ou quinze ans, ceux de la génération appli n’hésitent pas à adopter leurs propres technologies, confirme Luca Lazzaron, SVP opérations internationales pour Fuze. Ils ont grandi entourés d’ordinateurs portables, d’iPhone et d’applications internet, et l’idée d’installer une application pour exécuter une tâche leur vient tout naturellement”. D’ailleurs, ils ne voient pas dans les départements informatiques de la sécurité ou de la cohérence, mais des lenteurs bureaucratiques et des barrières superflues.
Interdire : une stratégie qui ne s’avère pas efficace
Pour rétablir un semblant d’ordre et de sécurité, certaines organisations ne font pas dans la demi-mesure et choisissent tout bonnement d'interdire l'accès à toute application non validée par la direction informatique. Réseaux sociaux, messageries instantanées et sites de e-commerce sont les premiers visés par cette restriction. Et ce, pour deux raisons. Primo, parce que Facebook, Skype et Twitter figurent au hit parade des sites abritant le plus grand nombre de malware. Secundo, parce que les organisations sont persuadées que ces réseaux rendent les employés moins productifs. Reste que cette stratégie n'est pas toujours efficace, car les utilisateurs trouvent souvent un moyen de la contourner. Aussi, plutôt que d'interdire, les directions informatiques pourraient devenir des prescripteurs et inciter les employés à se tourner vers des applications répondant aux contraintes professionnelles, tout en offrant la convivialité de celles qu'ils ont l'habitude d'utiliser à titre personnel.
Des app stores d’entreprise
D’où l’apparition des app stores d’entreprise. Autrement dit, des catalogues de services et d'applications simples d'utilisation, accessibles en mobilité, adaptés aux problématiques métier des utilisateurs et surtout maîtrisés par le département informatique. C’est l’essence même de la « digital workplace » (l'environnement de travail numérique), un concept prometteur censé réunir l'ensemble des outils numériques dont ont besoin les collaborateurs pour travailler dans de bonnes conditions, collaborer et être efficaces.
Remettre l’employé au coeur des préoccupations
In fine, au lieu de voir le shadow IT comme un fléau et de chercher à tout prix à l’éradiquer, la direction informatique aurait tout intérêt à en tirer parti pour faire évoluer ses propres outils et permettre aux employés de travailler avec des logiciels et applications qu’ils apprécient. Facebook et Google se sont d’ailleurs déjà immiscés sur ce créneau avec des offres d’entreprise comme Facebook at work et Google for work, combinant messagerie, chat, réseaux sociaux, calendriers, fonctions collaboratives et stockage cloud. Les organisations doivent également réfléchir à la façon dont elles recensent et favorisent l’utilisation, dans des conditions de sécurité optimales, d’applications et de services cloud dignes de confiance ou approuvés par leurs soins, et savoir aussi comment gérer ceux qu’elles n’avalisent pas.
L’important pour elles étant de placer l'employé au cœur des préoccupations et de repenser son environnement de travail. Faute de quoi, le shadow IT continuera à se généraliser, traînant avec lui son cortège de problèmes en termes de sécurité, de productivité, de confiance et de notoriété.