Shadow IT : définition et gestion du risque

Le phénomène du Shadow IT a pris de l'ampleur avec la montée en puissance des applications SaaS (Software as a Service) et des outils cloud. Si cette pratique peut favoriser la productivité des employés, elle expose aussi les organisations à de sérieux risques en termes de sécurité, de conformité et de gestion des données. 

Alors, faut-il avoir peur du Shadow IT ?

‍

Définition du Shadow IT

Le terme Shadow IT désigne l'utilisation de systèmes, de logiciels ou d'applications au sein d'une organisation sans que le service informatique (ou le service compétent, quel qu’il soit) n’en soit informé. 

Les collaborateurs peuvent par exemple utiliser, sans que l’employeur ne le sache, des services de stockage en ligne comme Dropbox ou Google Drive ou encore des plateformes de gestion de projet comme Asana ou Trello. Ces outils, bien qu’efficaces, sont souvent intégrés de manière non contrôlée, créant des failles potentielles dans la gestion des données et la sécurité des systèmes.

‍

Les risques liés au Shadow IT

✓ Sécurité

L'utilisation non contrôlée d’applications n’ayant pas été soumises aux processus de validation appliqués par l’entreprise pose des problèmes en termes de sécurité. Cette pratique rend difficile le suivi des données par le service informatique et rend de fait l’organisation vulnérable. Un logiciel installé sans approbation ou un envoi de fichier par mail peuvent rapidement exposer l’entreprise à des cyberattaques. 

Une étude de 2022 avait d’ailleurs révélé que 69 % des cadres techniques considèrent le Shadow IT comme la principale préoccupation en matière de sécurité. De plus, lorsque des employés quittent l'entreprise, ils peuvent encore avoir accès à ces applications non gérées, augmentant le risque de fuite de données.

✓ Conformité

Les entreprises sont souvent soumises à des réglementations strictes en matière de protection des données, comme le RGPD. Le recours à des applications non autorisées complique leur capacité à s’y conformer. Elles peuvent alors se retrouver en infraction, sans même en avoir conscience.

✓ Coûts cachés

Le Shadow IT entraîne des coûts cachés pour les entreprises. Quand elles ne savent pas quelles applications sont utilisées, elles n’ont pas non plus conscience de celles qui sont sous-utilisées. Résultat ? Un retour sur investissement insuffisant sur les outils métiers. 

Dans la pratique, vous payez pour 20 licences d'un outil de gestion de projet, mais seulement 10 personnes l'utilisent réellement, les autres l’ayant délaissé pour d’autres solutions jugées plus adaptées, sans que vous en soyez informé. Ou alors, vous avez des frais récurrents pour des services de stockage cloud que vos équipes utilisent de manière sporadique, alors qu'une solution centralisée ou un espace partagé pourrait suffire.

‍

Quelles solutions pour éviter le Shadow IT ?

Considérant ces risques, pourquoi vos collaborateurs ont-ils recours au Shadow IT ? 

• Méconnaissance : pour beaucoup, ils n’ont pas forcément conscience des problèmes de sécurité liés à cette pratique ;
• Efficacité : les processus de validation en entreprises peuvent paraître trop longs ou inadaptés aux besoins des collaborateurs ;
• Productivité : vos collaborateurs peuvent trouver des solutions plus adaptées à leurs missions que celles que vous leur proposez, qui leur permettent d’être plus productifs. 

Pour contrôler la pratique du Shadow IT et limiter les risques pour l’entreprise, il faut commencer par faire prendre conscience des risques aux collaborateurs. Il faut éduquer sur la question, pour qu’ils saisissent les enjeux de la pratique, et clairement définir les limites de ce qui est faisable ou non en termes de pratiques informatiques. 

Dans un second temps, pour se prémunir au mieux contre les risques du Shadow IT, l'idéal est d'opter pour une solution de gestion de votre parc informatique et de vos licences. Ces solutions permettent en effet de mettre en place des politiques de sécurité sur les appareils et les solutions utilisées dans l’entreprise et d’identifier et de contrôler les applications non autorisées utilisées par les collaborateurs. 

En adoptant une solution de gestion de votre IT, vous prenez le contrôle sur votre sécurité et votre conformité et vous maîtrisez vos dépenses en ne subissant plus les coûts cachés.