Lorsqu'on parle shadow IT avec des responsables informatiques, la plupart évoquent les questions de sécurité, les risques opérationnels et les enjeux d'intégration. Mais pour certains, le développement de cette pratique révèle surtout l'incapacité de l'IT à répondre à certains besoins technologiques des métiers.
Il ne s'agit pas de minimiser les risques inhérents au shadow IT. Selon un rapport de l'éditeur de solutions d'identité numérique Entrust, 77 % des professionnels de l'informatique sont en effet préoccupés par le sujet. Et pour cause, 41 % des employés achètent, modifient ou créent des outils pour combler leurs besoins sans en informer le service informatique. Enfin, selon une enquête de EY dans le monde entier, 52 % des personnes interrogées sur la gestion des risques ont subi une panne - et 38 % une violation de données - causée par des tiers au cours des deux dernières années.
Reste que le shadow IT n'est pas une informatique malveillante, comme évoqué à l'occasion de l'événement Coffee with digital trailblazers (un café avec les pionniers de l'informatique), organisé par CIO. L'informatique malveillante se développe lorsque les dirigeants ne font pas confiance à la DSI, la contournent délibérément et dérogent aux règles de l'IT interne. Le shadow IT est, généralement, moins conflictuel, et découle davantage d'un manque d'informations sur la façon d'impliquer le service IT. Ou encore, comme l'explique Dinesh Varadharajan, directeur général de l'éditeur de solutions no code/low code Kissflow, « d'un manque de soutien et de bande passante de la DSI pour résoudre les défis spécifiques auxquels sont confrontés les métiers ».
Une des stratégies face à cette situation consiste, non pas à la nier ou à la combattre, mais à en faire une opportunité d'améliorer la collaboration avec les équipes informatiques. Ce n'est une transformation ni rapide ni facile, car elle nécessite de traiter simultanément deux aspects de l'équation. D'une part, la manière dont la DSI gère les besoins technologiques des métiers et d'autre part, la façon dont ceux-ci sont étudiés et mis en regard de réponses technologiques. CIO a identifié sept étapes pour développer la démarche.
1. Développer la relation avec les métiers
« Une des façons de résoudre la question du shadow IT pour une entreprise, sans forcément l'éliminer, c'est de trouver des moyens d'intégrer les solutions choisies ou développées, mais non approuvées par les canaux officiels, en garantissant leur sécurité, leur conformité et une gestion efficace tout en conservant les capacités d'innovation et l'agilité qui ont conduit les employés à agir de cette façon », estime Brian Platz, PDG et cofondateur de l'éditeur de plateforme de données sécurisée Fluree.
Mais, pour ce faire, les responsables informatiques doivent d'abord identifier ce qui se passe dans l'ombre en accroissant le nombre de managers avec lesquels ils collaborent, en augmentant la fréquence des échanges et en se plongeant davantage dans les workflows des métiers. Certaines grandes entreprises créent des fonctions de responsables des relations avec les métiers. Un rôle clé dans la compréhension et la traduction des besoins technologiques en business cases. Les PME peuvent, quant à elles, élaborer un programme de communication pour impliquer les métiers et les parties prenantes, avec un processus d'idéation comme le design thinking pour identifier les nouveaux besoins.
2. Définir une gouvernance et mettre l'accent sur la collaboration
Il faut également définir un modèle de gouvernance et de delivery pour l'évaluation, l'achat et la mise en oeuvre de solutions technologiques métier. Il est tout aussi important de communiquer sur la manière de prendre en compte les demandes technologiques, de partager la manière dont elles sont hiérarchisées, de documenter les responsabilités des différentes parties prenantes dans la recherche de solutions et de fournir un état des programmes en cours.
C'est justement en l'absence d'un modèle de delivery et d'un plan de communication solide, que les utilisateurs sont susceptibles de se lancer dans du shadow IT. L'achat et la mise en oeuvre de solutions technologiques prennent du temps. Aussi, l'outil le plus simple dont dispose le DSI pour lutter contre ces pratiques est de donner aux métiers toute l'assurance que la collaboration va dans leur intérêt.
« L'élément humain est le plus important, déclare Brian Suk, CTO du cabinet de conseil en cloud Sada. La plupart des employés sont d'accord pour se conformer aux politiques IT, mais si la DSI est trop stricte ou crée trop de frictions, elle provoque le shadow IT. Il faut communiquer clairement et fréquemment sur ces politiques IT, leur origine et leurs avantages, créer une culture du feed-back et de la collaboration, et être souple et adaptable en fonction de l'évolution des besoins des utilisateurs. »
3. Cartographier les risques et promouvoir les contrôles financiers
Le shadow IT donne l'occasion de réévaluer les stratégies IT en ce qui concerne les solutions métiers. Il faut identifier les applications de shadow IT déjà installées et les gérer, travailler en partenariat avec les équipes de l'entreprise sur des alternatives, améliorer et assurer le support des applications et des technologies en place, étendre leur utilisation et améliorer l'expérience des employés, et enfin mesurer et ainsi démontrer la valeur générée. Un processus de priorisation formalisé et transparent est également important. Les DSI doivent identifier des business cases simples et mesurer la valeur business pour prioriser les nouvelles opportunités. Sans oublier, avec les RSSI et les responsables de la conformité, d'établir un cadre de gestion des risques associés au shadow IT.
Par ailleurs, se rapprocher des DAF permet aussi de mettre en lumière les coûts d'acquisition et les risques liés au shadow IT. Le point de vue de l'architecte d'entreprise permet, lui, d'éclairer l'organisation sur les capacités de réutilisation, levier essentiel pour garder les coûts sous contrôle. « Le shadow IT gaspille souvent les ressources, car les logiciels ne sont accompagnés d'aucune documentation qui faciliterait la réutilisation par d'autres, explique Anant Adya, vice-président exécutif de l'éditeur de solutions cloud Infosys Cobalt. Une gouvernance ambitieuse, ainsi qu'une documentation systématique des privilèges d'accès applicatifs découragent la pratique et contribue à la mise en place de modèles d'exploitation collaboratifs. »
4. Définir des modèles de gouvernance low-code et no-code
Les trois premières étapes de la démarche contribuent à réduire le shadow IT, mais elles ne tiennent pas compte du fait que les services informatiques disposent rarement du personnel, de l'expertise ou du budget suffisants pour mener à bien tous les programmes prioritaires.
Pour pallier cette pénurie de ressources, les DSI peuvent encourager le citizen development et définir des modèles de gouvernance pour les solutions low code et no code. Ces modèles doivent couvrir l'examen des idées de nouvelles solutions, les rôles et responsabilités, l'intégration, la gestion des versions, la documentation et d'autres exigences visant à garantir la fiabilité et la sécurité des processus métier. Le no-code est efficace face au shadow IT, car il fait basculer la mise en oeuvre et le support du côté des métiers. Les utilisateurs vont, par exemple, convertir des feuilles de calcul en workflow, développer des bases de connaissances ou intégrer du SaaS.
Toutefois, là-encore, la gouvernance est essentielle ainsi qu'un plan d'architecture de solutions pour accompagner la sélection de plateformes low code et no code. Sans oublier de répertorier les utilisations pertinentes de celles-ci, de décrire le cycle de vie de développement et d'assurer un support continu. « Les business cases doivent être organisés en fonction de trois critères : la complexité business, la complexité technique et les exigences de sécurité et de conformité, insiste Dinesh Varadharajan. Tout business case pour lequel l'un de ses critères est important doit passer par le service informatique, tandis que les autres peuvent être délégués aux entités opérationnelles. »
5. Développer la citizen data science et des fonctions en libre-service
Les DSI ont adopté la citizen data science parce que les outils de dataviz et autres plateformes BI en libre-service sont désormais faciles à utiliser par les métiers pour du reporting et des requêtes ad hoc que les services IT prenaient en charge jusque-là. Ces approches diminuent le shadow IT à condition que les DSI encouragent une gouvernance proactive des données et mettent en place des pratiques d'intégration, de catalogage et de qualité des données. Choisir des solutions solides pour gérer les data et des plateformes standards permettant aux employés des métiers, du Data Office et de la DSI d'exploiter les données dans leurs prises de décision contribue à réduire la prolifération des outils et le shadow IT.
6. Définir et partager une stratégie d'IA générative
Prochaine étape, sans aucun doute, la shadow IA. Les métiers explorent déjà l'IA générative et risquent d'exposer des informations propriétaires ou confidentielles. Des études récentes de la société de capital-risque Sequoia Capital montrent le nombre important d'outils d'IA générative qui arrivent sur le marché dans le domaine des ventes, du marketing, de la conception, de l'ingénierie logicielle, du support client, du juridique, etc.
C'est un domaine idéal pour le shadow IT, car les dirigeants sont avides d'exploiter la technologie pour dégager de nouvelles sources d'efficacité. Rien n'empêche aujourd'hui un chef de service ou un employé d'essayer un nouvel outil et de lancer un autre shadow program. Lorsque la conformité réglementaire est assurée, les DSI ont tout intérêt à éviter de refuser une expérimentation d'IA générative. Des refus répétés menacent de provoquer une explosion des usages en shadow IA.
Les DSI doivent plutôt définir, mettre à jour et partager une stratégie d'IA générative qui englobe à la fois les perspectives à court et à long terme. Les plans à court terme devraient préciser dans quels métiers expérimenter, vers quels résultats et opportunités d'affaires tendre, ainsi que les outils à utiliser, les données à exploiter ou les entraînements de modèles à expérimenter. Il leur faut aussi mettre à jour la stratégie de transformation digitale pour tenir compte de l'impact des LLM sur le secteur d'activité.
7- Favoriser une culture de la co-création
La dernière étape est probablement la plus importante et doit être gérée parallèlement aux six premières. Le shadow IT est plus qu'un risque ou une opportunité manquée, il traduit un fossé opérationnel et culturel entre les métiers et l'informatique que les DSI doivent s'efforcer de combler. Pour ce faire, il faut développer un sens du métier au sein de l'IT en établissant des relations avec les différentes parties prenantes de l'entreprise, en développant une forme d'empathie pour les besoins des clients et des employés et en améliorant la communication. Cela suppose également que les DSI opèrent un « shift left » (anticipation des problèmes en cours de développement), afin que les employés les plus à l'aise avec le numérique dans les fonctions commerciales, marketing, RH, etc. disposent d'outils approuvés et d'un processus sous contrôle pour répondre à leurs besoins technologiques en libre-service.
Les DSI qui suivent ces sept étapes peuvent transformer le shadow IT en avantage concurrentiel en répondant à un plus grand nombre de besoins des métiers de leur organisation, en réduisant les risques liés à ces applications et en permettant à davantage de métiers de répondre en libre-service à leurs besoins propres, en matière de workflow et de données.