Shadow IT : limitez les risques et tirez profit de ses avantages pour votre PME

Les données sont une denrée précieuse pour nos PME. Lorsqu’elles sont décentralisées et disséminées dans des outils et des applications qui ne sont ni connus, ni approuvés par la DSI, elles perdent de leur fiabilité et deviennent difficilement exploitables. Pire, en cas de cyberattaque, elles peuvent même s’avérer nuisibles pour l’entreprise.

Dans ce contexte, il n’est guère étonnant que le Shadow IT soit un sujet de préoccupation croissant pour les PME. Pourtant, malgré les risques sécuritaires qu’il peut présenter, le Shadow IT a aussi de sérieux atouts, notamment en ce qui concerne l’innovation et la productivité d’entreprise. Découvrez avec nous ce qu’est exactement le Shadow IT, ses bons et mauvais côtés, et, nos conseils pour minimiser ses risques et maximiser ses avantages.

Shadow IT : définition

Le terme ne vous dit peut-être rien, pourtant, il est fort probable que le Shadow IT ou informatique fantôme en français, soit pratiqué au sein même de votre PME. Il désigne tout simplement l’usage par les collaborateurs de logiciels, d’applications ou d’appareils, qui n’ont pas reçu la validation de la DSI de l’entreprise. Si le Shadow IT a toujours existé, le phénomène a pris une ampleur sans précédent ces dernières années.

Boostés par les innovations technologiques et la digitalisation, nous sommes tous devenus dans nos vies personnelles de plus en plus exigeants en matière d’outils informatiques. Nous avons toutes et tous nos applications et nos outils de prédilection et lorsqu’un besoin nouveau émerge, nous sommes habitués à la flexibilité et à la rapidité offerte par le Cloud pour rechercher – et trouver – des solutions adéquates pour le combler.

Portés par l’essor du Cloud Computing, le développement du télétravail et la tendance BYOD (Bring Your Own Device), nous sommes de plus en plus enclins à répliquer ces réflexes dans nos vies professionnelles. Ainsi, les employés sont nombreux à utiliser leur messagerie électronique personnelle, leurs outils de téléphonie VoIP (Voice over IP) ou encore leurs appareils privés pour travailler.

Quelques exemples courants de Shadow IT au sein des entreprises :

• Les applications de stockage et de partage de fichiers P2P (Dropbox)

• Les outils de travail collaboratifs (Slack, Trello)

• Les macros Excel

• Les applications de messagerie ( Snapchat, Facebook Messenger) ou de téléphonie VoIP (WhatsApp)

• Google Workspace

• Les messageries personnelles

• Les ordinateurs, tablettes, smartphones, disques durs externes… En bref, tous les équipements susceptibles de se connecter au réseau d’entreprise sans avoir reçu l’agrément du service informatique.

Il est impossible d’éliminer totalement l’informatique fantôme des entreprises. Ce n’est d’ailleurs pas souhaitable, car en dépit des risques, le Shadow IT offre aussi des avantages.

Il stimule la productivité et l’efficacité en permettant aux employés de trouver les solutions qui correspondent réellement à leurs besoins et il ne fait aucun doute que les utilisateurs métiers sont mieux placés que le service informatique pour déterminer quels outils leur conviennent.

Les PME ne doivent pas se tromper d’enjeu. Le véritable défi n’est pas de supprimer le Shadow IT de l’entreprise, mais plutôt d’implémenter des solutions qui lui permettront de minimiser ses risques, tout en conservant la liberté et la flexibilité qu’il offre et qui sont plébiscitées par les collaborateurs.

Pourquoi les employés utilisent-ils l’informatique fantôme ?

Lorsque les collaborateurs ont recours au Shadow IT, c’est en général avec de bonnes intentions. Dans la majorité des cas, il s’agit simplement d’employés à la recherche d’outils qui leur permettront d’accomplir leurs tâches plus efficacement.

S’ils passent outre les règles de sécurité établies par la DSI et omettent de demander les autorisations nécessaires, il ne faut pas y voir une volonté malicieuse de nuire à leur entreprise. Cela peut être simplement la conséquence d’une mauvaise image de la DSI dont les règles sont souvent perçues par les employés comme trop strictes – voire contre-productives – et le processus d’approbation comme une succession d’étapes chronophages.

Le fait que les collaborateurs aient recours à leurs propres moyens pour trouver des solutions à des problèmes professionnels démontre l’écart profond entre les solutions proposées par le service informatique et les besoins réels des employés. C’est un problème majeur que les PME doivent tenter de résoudre, plutôt que de tenter d’éliminer le Shadow IT à tout prix et se priver ainsi d’un vecteur puissant de productivité.

Quels sont les risques du Shadow IT ?

En utilisant des outils qui n’ont pas reçu la validation du service informatique, les employés créent un univers parallèle de données qui est particulièrement vulnérable aux cyberattaques.

Quelques chiffres clés récents :

• 50 % des PME françaises ont été la cible d’une cyberattaque en 2020. (source : ANSSI)

• 61 % des entreprises attaquées rapportent que leur activité a été affectée négativement : perturbation de la production, compromission d’informations, perte financière, atteinte de l’image de l’entreprise, etc. (source : OpinionWay pour CESIN)

• Le coût d’une cyberattaque s’élève en moyenne à 50 000 euros pour les PME. Mais l’addition peut être encore plus salée, puisque 60 % d’entre elles ne parviennent pas à se remettre d’une l’attaque et ferment boutique dans les 18 mois suivants.

• Dans 21 % des cas, les cyberattaques ont été causées par l’utilisation de ressources informatiques non autorisées (source : Forbes)

Mais la sécurité n’est qu’un des problèmes soulevés par l’informatique fantôme.

Le Shadow IT, par les silos de données qu’il génère, affecte également l’intégrité des données d’entreprise. Lorsque les données sont éparpillées, comment obtenir une source unique de données fiables ? Comment éviter les doublons et les informations obsolètes lorsque les départements utilisent des outils différents qui ne communiquent pas entre eux ? Comment éviter la perte de précieuses informations clients si elles sont stockées sur des appareils privés et que leur propriétaire quitte la société ? Et surtout, comment la DSI peut-elle protéger – et assurer la conformité obligatoire au RGPD – de données sur lesquelles elle n’a pas de visibilité et dont elle ignore tout ?

Rassurez-vous, il est tout à fait possible de se prémunir contre les nombreux écueils de l’informatique fantôme. Voici quelques recommandations :

5 conseils pour exploiter les avantages du Shadow IT tout en minimisant ses risques

• Éduquer

Bien souvent, les collaborateurs ne mesurent pas les risques engendrés par l’informatique fantôme. Sensibilisez tous vos employés aux bonnes pratiques en matière de cybersécurité et à l’importance du respect des règles relatives à la protection des données. Vous pouvez par exemple utiliser le site du gouvernement dédié aux actes de cyber malveillance et les former à leur rythme sur Trailhead.

Lorsque tout le monde s’accorde sur une définition commune de ce que sont les données privées, publiques ou confidentielles, les directives sont plus simples à comprendre et il est plus aisé pour les collaborateurs de déterminer quels types de données peuvent être utilisés ou stockés sur quels appareils.

• Connecter

Comme nous l’avons dit, le Shadow IT part d’une bonne intention : résoudre des difficultés pour travailler plus efficacement. Pour réduire le recours au Shadow IT, la rationalisation et la connexion des processus métier de votre PME est une étape fondamentale.

Devancez également les besoins de vos collaborateurs en leur proposant des outils simples et sécurisés pour sauvegarder les données, partager des fichiers, organiser des vidéo-conférences ou encore, se connecter aux réseaux sociaux.

Lorsque les processus métier sont parfaitement connectés, la gouvernance des données est optimale. Les données générées par ces outils et activités peuvent être correctement gérées et stockées sur une plateforme centralisée sécurisée. Le résultat ? Des données plus facilement exploitables par les PME, prêtes à être utilisées pour éclairer leur prise de décisions stratégiques et par les collaborateurs, pour faciliter les choix quotidiens. Pour obtenir une productivité optimale, rien ne vaut une gestion efficace des données !

• Communiquer

Faites le tour des collaborateurs, discutez de leurs difficultés et des moyens qu’ils utilisent pour les surmonter. Est-il possible d’intégrer ces outils dans votre pile informatique afin d’en sécuriser l’accès ou, est-il préférable de créer une application low-code en interne, avec des fonctionnalités similaires ?

• Transformer

Votre PME utilise-t-elle encore des systèmes hérités sur site ? C’est le moment de passer au Cloud. La transformation digitale offre de nombreux avantages aux PME. Elle permet notamment de réduire la complexité informatique, facilite et sécurise la collaboration entre les départements. Elle ouvre aussi de nouvelles opportunités commerciales et permet d’optimiser la gouvernance des données. Et surtout, elle est indispensable pour préparer les entreprises aux aléas du futur.

• Auditer

Explorez votre PME de fond en comble pour recenser toutes les applications d’informatique fantôme utilisées. Une fois votre inventaire réalisé, centralisez toutes les données utiles trouvées afin qu’elles puissent être correctement sécurisées et exploitées et éliminez toutes les informations susceptibles de compromettre la sécurité de l’entreprise.

Les solutions technologiques universelles appartiennent au passé. La PME du futur est connectée, agile et flexible et elle offre à ses employés des outils parfaitement adaptés à leurs besoins. À votre tour de faire passer votre Shadow IT de l’ombre à la lumière.

Découvrez dans notre guide pourquoi la connexion des processus métiers est efficace pour limiter les risques liés à la cybersécurité et comment la mettre en œuvre dans votre PME.