Shadow IT : laisser faire ou reprendre le contrôle ?

Évoquer le terme de Shadow IT avec des non-initiés suscite toujours la perplexité, l’interrogation. Comme si l’interlocuteur à qui vous vous adressez se met à fouiller dans sa mémoire pour essayer à la fois de comprendre ce que le terme revêt et analyser les mots pour en identifier le sens.

Mais que recèle le terme de Shadow IT ? Quelle est la meilleure définition ? Peu de définitions sont complètes, le phénomène étant très protéiforme et se basant plus sur des comportements que sur des technologies.

Quand les directions métiers revendiquent leur autonomie

Le Shadow IT est un concept qui désigne l’utilisation par les directions métiers de moyens informatiques non référencés par les directions des systèmes d’information. Cette informatique est ainsi mise en œuvre par les utilisateurs sans se préoccuper de consulter la DSI, pourtant officiellement mandatée sur ce périmètre. Exemples : la mise en place de tableaux de bord parallèlement à des systèmes décisionnels, la constitution d’une base client dans le cloud par une entité commerciale, l’embauche d’un stagiaire chargé de développer un programme de gestion des plannings, etc. On le voit, le phénomène est souvent difficile à déceler par la DSI.

Il ne faut toutefois pas confondre le Shadow IT et le business IT, qui, lui, désigne la conception ou l’utilisation légitime de systèmes informatiques par les directions métiers, sur mandat de la direction générale. On ne doit également pas confondre le Shadow IT avec des systèmes d’information qui, du fait de choix d’organisation au sein des entreprises, sont placés sous la responsabilité directe d’entités métiers ou fonctionnelles, par exemple des services de Recherche & Développement relativement autonomes quant à leurs choix technologiques.

Si le terme reste énigmatique, les recherches et les publications sur le Shadow IT commencent à émerger. On pourra se référer par exemple à un article paru en septembre 2012 sur le site Web de la Harvard Business Review dont le titre (« Shadow IT is out of the closet » : le Shadow IT sort du placard) résume bien la problématique. Le professeur Christopher Rentrop, de l’Université de Constance en Allemagne, mène depuis deux ans des travaux de recherche sur le sujet. J’ai moi-même approfondi cette problématique dans le cadre d’une thèse à HEC : « Shadow IT : de la menace à l’opportunité » (voir encadré page 5 « Pour en savoir plus »).

Le Shadow IT est même devenu partie intégrante du discours commercial des fournisseurs. Par exemple, une étude de Vanson Bourne pour VMware, a mis en avant la non-dangerosité des services en mode cloud, davantage dans un but commercial que dans un objectif de démystification du phénomène. Jusqu’à présent, le terme n’avait été employé que pour le qualifier. À l’origine, le Shadow IT n’a pas suscité énormément d’intérêt, ce n’est ni un produit ni un service, et il ne procure encore aucune source de revenus. Toutefois, cette situation évolue.

En réalité, le terme est presque exclusivement évoqué par les directions des systèmes d’information et très rarement par les directions métiers. L’aspect négatif du terme tend à classifier cette pratique comme néfaste pour l’entreprise. Mais l’est-elle vraiment ? Du point de vue des DSI, très certainement. Ces derniers arguent d’une problématique liée à la maîtrise du référentiel, à la sécurité et, bien sûr, à une possible remise en cause de leur métier ! Mais cette même pratique décrite par les directions métiers est qualifiée de bonne pratique, car elle permet de résoudre rapidement une situation de besoin non fournie, ou bien trop tardivement, par la DSI !

Dans un tel contexte, deux attitudes sont possibles : soit la DSI impose un mode de fonctionnement, fait régner l’ordre dans l’entreprise et consacre de l’énergie à contrôler, surveiller, interdire de telles pratiques. Soit, au contraire, elle tente de comprendre le mécanisme qui régit ce phénomène et, plutôt que de l’interdire, accompagne cette pratique pour mieux la canaliser. Pour illustrer ce point, on pourrait le comparer à l’action d’un judoka qui se sert de la force de son adversaire pour l’amener là où lui souhaite aller.

Il existe néanmoins une troisième option pour la DSI : laisser faire les utilisateurs, ce qui se révèle aussi dévastateur que d’interdire coûte que coûte. Dans l’enquête terrain réalisée pour les besoins de ma thèse, l’option de « blocage » est avancée par 8 % des DSI, l’option du « laisser-faire » par 15 %, 77 % se rangeant au fait qu’ils devaient accompagner ce mouvement.

À l’origine du Shadow IT : l’incapacité des DSI à délivrer les bons services

Il ne faut pas croire que la pratique du Shadow IT est courante. Lorsqu’elle intervient, elle électrise les débats et semble poser une problématique réelle sur le moment. Néanmoins, peu de situations mènent réellement jusqu’à ce point. Tout d’abord, les utilisateurs auront tendance majoritairement à utiliser ce qui existe déjà, et demanderons généralement à la DSI que le service soit fourni. Si la DSI n’est pas en capacité de fournir des services, simplement ou de façon rapide, c’est généralement à ce moment-là que les utilisateurs auront tendance à se tourner vers le Shadow IT. Pour l’avoir vécu personnellement ou à travers des échanges avec mes confrères, c’est presque exclusivement sur la non-capacité de la DSI à fournir que les situations de Shadow IT apparaissent. Il est rare, voire exceptionnel, que les utilisateurs souhaitent contourner les règles édictées par la DSI, surtout s’ils les connaissent.

Un phénomène irréversible

Lorsque l’on creuse le concept du Shadow IT, on a l’impression de progressivement soulever un voile opaque sur un phénomène sous-jacent, et de découvrir soudainement une réalité souterraine que l’on n’avait pas vue jusqu’à présent. Il est une certitude, même si elle reste difficilement démontrable : le Shadow IT n’est pas un phénomène de mode, mais bien une lame de fond qui bouleverse les relations entre tous les acteurs des systèmes d’information : utilisateurs, directions métiers, entreprises, directions des systèmes d’information.

Beaucoup affirment que le phénomène n’est pas nouveau. C’est vrai. Son apparition a sans doute coïncidé avec celle du premier PC sur le bureau d’un utilisateur. Il lui a été donné, à ce moment-là, la possibilité d’effectuer une partie de son traitement informatique directement, sans passer par ce que l’on appelait à l’époque le centre de calcul. Depuis, l’apparition de nouvelles technologies toujours plus faciles à utiliser et à concevoir n’a fait que renforcer ce phénomène d’indépendance.

Historiquement, la DSI a majoritairement été là pour fournir ces technologies aux entreprises et en faire un moyen de gagner en efficacité. Mais, aujourd’hui, la tendance est à la démocratisation de ces outils. Et avec les « digital natives », pour qui Internet et les outils informatiques sont une évidence, nul besoin, de leur point de vue, en rentrant dans le monde de l’entreprise, de se voir dicter par la DSI les services qu’ils doivent utiliser, encore moins d’y être formés.

Le sujet devient de plus en plus d’actualité, avec le rapprochement entre les mondes professionnel et privé. Cet état de fait implique que, dans l’inconscient des utilisateurs, une fois sur leur lieu de travail, ces derniers n’estiment pas qu’il soit « mal » de mettre en place des solutions sans passer par la DSI, d’autant plus qu’ils les maîtrisent quand ils sont dans leur environnement personnel.

L’évolution de l’informatique, dans son émergence au sein des organisations, a subi plusieurs mutations, synthétisées sur le schéma ci-dessous (théorie des trois cônes), représentant la détention du savoir technologique en fonction de la période. Un cône symbolise la maîtrise des directions métiers (qui va croissant), un cône symbolise les fournisseurs de technologies (côté directions métiers ou DSI) et, enfin, le dernier cône représente la maîtrise de la DSI. Au début de l’informatique, seule la DSI possédait la maîtrise des technologies (A). Progressivement, des transformations se sont opérées, tout d’abord par une externalisation d’une partie du SI auprès de fournisseurs (B) et par une légère appropriation par les directions métiers (C). Aujourd’hui, l’ensemble des phénomènes s’amplifie (D) et les directions métiers elles-mêmes font parfois appel à l’externalisation de leur applicatifs. Dès lors, à quoi s’attendre demain (E) ? A une DSI qui n’aura qu’une faible maîtrise du SI pour n’avoir pas su progressivement accompagner l’évolution au sein de son organisation ? C’est là que se trouve l’enjeu du Shadow IT.

 

 

Une autre explication trouve son origine dans l’essence même du comportement des individus : c’est le besoin de créer (y compris de la valeur pour l’entreprise), qui se trouve en partie assouvi grâce aux outils informatiques : « Si en tant qu’employé je m’accomplis en créant une solution qui apporte de l’efficacité pour mon entreprise et me permet de valoriser mon travail, le Shadow IT ne devient qu’une considération secondaire pour moi. »

Une dernière raison explique l’actualité du Shadow IT : c’est sans conteste la simplification extrême des technologies utilisées dans les entreprises. Il suffit de remonter seulement dix ans en arrière et d’imaginer s’il était vraiment possible, pour un néophyte en informatique, de construire un portail Web pour faire du e-commerce ou héberger une base de données clients. Ce n’est pas certain… L’émergence du cloud computing sous toutes ses formes a ainsi radicalement changé la donne sur le savoir-faire des utilisateurs.

La mesure du Shadow IT

Dans le cadre de mes recherches, j’ai effectué une enquête terrain sur le sujet. J’ai volontairement pris le parti d’examiner la thématique vue par les DSI et leur perception du sujet. Une population de cent-vingt-neuf personnes a répondu à mes sollicitations, généralement des managers au sein de DSI ou les DSI eux-mêmes. Pour les exemples cités par les répondants, les fichiers et macros Excel arrivent en tête (19 %), suivis des logiciels hors catalogue (17 %). Un trio étonnant suit, avec les solutions en mode cloud (16 %), les ERP hors catalogue (12 %) et les systèmes décisionnels (7 %).

On voit donc que le Shadow IT touche des éléments parfois essentiels de l’organisation des entreprises. Une des questions permettait aussi de comprendre l’ampleur du phénomène en fonction des entreprises. Un taux de Shadow IT sur une base de cent a été calculé de deux façons différentes, privilégiant ou non le positionnement hiérarchique. Le résultat donne un SIR (Shadow IT Rate dont le mode de calcul est précisé dans la thèse HEC, voir encadré « Pour en savoir plus ») de 25 % ou 31 % en fonction du mode de calcul choisi. On observe donc un phénomène qui n’est pas présent de façon massive, mais semble néanmoins quand même fortement ancré.

Comment réagissent alors les DSI face à ce phénomène ? Comme nous l’avons vu plus haut, les DSI tentent de contrôler le phénomène, quand il est présent, mais l’ont-ils anticipé ? Quand on leur demande s’ils ont adapté la gouvernance des SI, seuls 5 % l’ont spécifiquement fait, 29 % ont une gouvernance qui le permet. Les autres 66 % n’ont, soit jamais entendu parler du phénomène (21 %), soit l’ont identifié, mais n’ont rien prévu (45 %). On le voit donc, le phénomène, s’il semble identifié, n’est pour autant pas pris en compte de façon anticipative par les DSI.

Le résultat le plus instructif de cette enquête réside dans une série de questions pour comprendre si le service rendu ou la compréhension de l’IT par les métiers a une influence sur le taux de Shadow IT. Plus le service rendu et la compréhension de l’IT par les métiers sont bons, plus le SIR est faible (minimum treize). Inversement, le SIR peut s’envoler à des taux avoisinant les 80 % dans le cas contraire.

Considérer le « business light »

Pour résumer, nous avons, d’un côté, une DSI avec ses règles, son souhait d’harmonisation et d’industrialisation des pratiques IT. De l’autre, des utilisateurs et des directions métiers, toujours plus au fait des nouvelles technologies, bénéficiant d’une redoutable simplification des solutions du marché par des éditeurs ou concepteurs de solutions.

Que faire ? Chacun doit-il camper sur ses positions ? La DSI doit-elle surveiller et tenter de récupérer les pratiques déviantes ? Les utilisateurs tentent-ils de minimiser, auprès de la DSI, ce qu’ils ont mis en place ? Et la direction générale dans ce contexte ? Mettons-nous à la place d’un chef d’entreprise : « En quoi devrais-je m’intéresser au Shadow IT ? Un terme abscons avec des répercussions qui échappent à ce jour aux principaux acteurs. »

L’évocation du terme Shadow IT pose donc problème. Ce terme est très orienté IT et sonne comme une labélisation par la DSI d’un problème qui semble finalement ne regarder qu’elle. Pourquoi, inversement, ne parle-t-on pas de « business light » ? C’est pourtant ce que l’on devrait faire. Chaque DSI devrait se poser la question de savoir si les services qu’elle procure servent le business et non pas : « Est-ce que le business respecte les standards de la DSI ? ».

La DSI se doit d’être, avant tout, une entité structurante de l’entreprise et de son capital numérique. Mais elle doit également tenir compte, plus que tout, de l’évolution sociétale et se rapprocher encore plus des utilisateurs pour décider ensemble des bonnes pratiques et des solutions. Plusieurs DSI ont déjà relevé le challenge, en mettant en place, par exemple, des groupes de réflexion entre DSI et métiers pour décider ensemble des standards d’utilisation et faciliter ainsi le dialogue, et donc le choix qui puisse convenir aux deux parties.

D’autres procèdent régulièrement à une journée « vérité » : tous les utilisateurs peuvent déclarer leurs applications fantômes sans risquer de se voir jugés ni sanctionnés. Ils peuvent ainsi adapter la solution pour la faire coller le plus possible aux standards pratiqués. D’autres solutions existent. C’est aux DSI de les inventer, de les concevoir. Il est incontestable que le dialogue et la compréhension mutuelle constituent les clés de cette opposition latente. La solution n’est ni d’un côté ni de l’autre. Personne n’a raison ou tort.

La vérité me semble équilibrée entre les deux mondes et peut s’illustrer sur le schéma ci-dessous :

Si l’on veut faciliter l’innovation des utilisateurs en leur offrant la latitude de pouvoir utiliser des solutions non référencées sous prétexte de rapidité, facilité, efficacité, cela engendre progressivement un désalignement IT. Et plus on favorise cette innovation, plus le désalignement IT sera important, au point parfois de mettre en péril la stabilité du patrimoine informationnel de l’entreprise. À l’opposé, si on essaie de minimiser le désalignement IT en faisant respecter les standards les plus absolus, la capacité des utilisateurs sur les mêmes critères de rapidité, facilité, efficacité s’en trouve réduite et met cette fois en péril la capacité globale d’innovation de l’entreprise. C’est pourquoi la vérité doit très probablement se situer au milieu, sur une zone variable où chacune des parties pourra trouver un équilibre entre contraintes et libertés.

Cet article a été écrit par Thomas Chejfec, DSI d’Aldes.


Les DSI contournées par le cloud computing

Le cabinet d’études Vanson Bourne a mené début 2013 une étude européenne (1 500 décideurs informatiques et 3 000 salariés d’entreprises interrogés) pour mesurer le coût des services achetés en mode cloud par les salariés sans passer par la DSI. L’étude, réalisée pour le compte VMware, révèle que 75 % des DSI français comprennent les avantages pour les utilisateurs des services en mode cloud acquis sans leur permission, mais que 40 % y voient une menace en terme de sécurité. Presque un tiers des DSI français (33 %) soupçonnent les salariés d’acheter des services de cloud sans les en avertir. Ils estiment qu’en 2012 ces acquisitions représentaient, au sein de chaque entreprise, en moyenne 1,7 million d’euros, soit environ 15 % de leur budget informatique total. Les entreprises entre 500 et 1 000 salariés sont les plus concernées (47 % au niveau européen). Les services les plus utilisés par les salariés sont par ordre d’importance : les services collaboratifs et de partage de fichiers (55 %), les messageries en mode cloud du type Gmail, Hotmail, ou Yahoo Mail (47 %) et les messageries instantanées (44 %).

Par ailleurs, 39 % des DSI en Europe pensent que les dépenses en services dans le cloud computing sont inévitables du fait de leur incapacité à répondre à certaines demandes des différents services de l’entreprise. La nécessité de maintenir le contrôle et l’augmentation de la charge de gestion étaient les principales raisons évoquées par la majorité (55 %) de ceux qui s’opposent à l’achat non autorisé de services de cloud computing en France. Fait intéressant, alors que la sécurité était la seconde préoccupation des personnes interrogées en Europe (54 %), elle ne se trouve qu’en troisième position des préoccupations des DSI français (40 %), en indiquant qu’ils sont plus préoccupés par la création de silos entre les produits et les données (55 %).

Une pratique néanmoins bénéfique pour l’entreprise

En France, 75 % des DSI (le taux le plus élevé, derrière l’Italie et l’Allemagne) estiment que ces achats hors protocole, et souvent hors direction des systèmes d’information, profitent à l’entreprise. Au niveau européen, les DSI invoquent comme raison majeure de ces achats la capacité pour les demandeurs de répondre plus rapidement à leurs besoins et à ceux de leurs clients.

Les DSI français y voient, eux, d’autres avantages : ils sont notamment 48 % (contre 31% en moyenne en Europe) à estimer que ces services et produits cloud achetés sans leur accord contribuent à la croissance et à l’innovation de l’entreprise. En France, le département des achats (37 %), des ventes (36 %) et logistique (36 %) sont perçus comme les plus gourmands en produits et services cloud.