Pour compliquer les choses, de nombreuses entreprises n’ont pas conscience du problème tant qu’elles ne sont pas obligées de le combattre par elles-mêmes. Il y a quelques mois, je discutais avec un DSI qui était certain qu’aucune application cloud « non autorisée » ne se trouvait sur son réseau. Je lui ai dit que cela me paraissait peu probable mais que je serais impressionné, si c’était le cas.

Le DSI se berçait en fait d’illusions. Un outil de monitoring a détecté que le service Dropbox, pourtant non autorisé, était utilisé. Evernote synchronisait les notes des employés dans le cloud, un logiciel non autorisé lui aussi, et la liste ne s’arrêtait pas là.

Il s’est avéré que les employés n’appréciaient pas les nombreuses applications que le service informatique avait développées pour eux et qu’ils exprimaient leur mécontentement en ne les utilisant pas. Ils ont également signalé qu’obtenir les serveurs et autres services d’infrastructure, dont ils avaient besoin, prenait trop de temps lorsqu’ils s’adressaient aux équipes informatiques internes.

Une pratique très répandue

Dans des cas comme celui-ci, on peut difficilement reprocher aux employés et aux directeurs commerciaux d’utiliser d’autres applications que celles autorisées par l’entreprise, notamment lorsque celles  proposées par le service informatique sont inadaptées à leurs attentes.

Par contre, il est possible de reprocher au service informatique et aux directeurs commerciaux de ne pas collaborer suffisamment pour comprendre pourquoi ces applications cloud alternatives sont utilisées, et de ne pas mettre en place une évaluation des risques liés aux données et aux utilisateurs qui y accèdent. Ils sont aussi responsables de ne pas surveiller le trafic réseau afin d’avoir un aperçu précis des applications en cours d’exécution dans leur environnement et des personnes  qui les utilisent.

Certains experts du secteur affirment même que ces services « rogues » (je préfère l’expression « shadow IT »  puisqu’il est tout à fait légitime que les utilisateurs aient besoin d’être productifs) doivent être développés, comme nous l’avions démontré dans notre article Pourquoi faut-il encourager le Shadow IT et le Cloud public.

David Linthicum, dans son article Why CIOs should encourage rogue clouds, se montre encourageant sur le Shadow IT, et démontre certains avantages :

• La capacité des utilisateurs à s’enthousiasmer pour l’utilisation de ressources basées dans le cloud.La plupart d’entre eux ne comprennent pas ce qu’est le cloud computing, ce qu’il offre et comment ils peuvent en profiter.
• La possibilité de mieux comprendre les véritables besoins des entreprises.Ceux qui utilisent la technologie cloud sans y être autorisés le font car ils ont des besoins auxquels le service informatique n’apporte pas de solution.
• La capacité de recueillir davantage de données sur la technologie cloud en voyant ce qui est utilisé dans le Shadow IT. Les informations provenant des personnes utilisant la technologie cloud aideront les DSI à définir leur orientation stratégique pour le cloud.

Tous ces avantages existent assurément. Mais les risques de sécurité peuvent être très sérieux, en particulier lorsque des informations protégées ou des secrets de propriété intellectuelle se retrouvent dans des services cloud qui ne disposent pas des contrôles ou protections appropriées.

Saisissez les occasions d’informer les utilisateurs

Tout d’abord, essayez d’enseigner aux utilisateurs professionnels la réelle nature de ces risques. Ces utilisateurs ne pensent pas à mal lorsqu’ils se tournent vers le Shadow IT. Et ils n’ont sans doute pas conscience de l’ampleur des risques qu’ils créent pour leur entreprise : ils cherchent simplement à faire leur travail. Ils doivent être formés et il convient de leur rappeler  constamment les obligations en matière de sécurité, de conformité réglementaire, de contrôle d’accès et de monitoring concernant certaines des informations qu’ils gèrent.

Le mieux est de concevoir le Shadow IT comme un outil pédagogique, enrichissant pour les équipes informatiques : non seulement elles ont la possibilité d’intervenir avant l’apparition d’un problème mais elles peuvent également découvrir les applications et les services dont les équipes commerciales ont besoin et les leur fournir en toute sécurité et en respectant les obligations de conformité.

Cet article a été écrit par George V. Hulme.