Des métiers qui contournent sciemment les directives des DSI pour leurs besoins et projets informatiques, l’incursion des outils et pratiques privés IT sur les lieux de travail : ces tendances que l’on regroupe sous le nom de Shadow IT sont désormais bien connues. Quel est le rôle du financier des SI dans la reprise en main de ces territoires perdus ?
Les métiers investissent de plus en plus directement dans les technologies de l’information. Selon les études d’analystes (IDC, Gartner), la proportion représenterait entre 25 et 40 % des dépenses IT, IDC prévoyant même 50 % à l’horizon 2019. Plusieurs raisons facilitent aujourd’hui le maintien, voire la croissance, du Shadow IT au sein des entreprises, y compris celles dont les DSI ont travaillé à la fluidification de leurs relations avec leurs clients :
- Des fournisseurs au discours commercial séduisant pour les métiers, qui proposent des solutions adaptées aux besoins et clés en main.
- Une génération Y qui pousse vers une libéralisation décomplexée des usages.
- Des métiers qui estiment avoir toute l’expertise nécessaire pour piloter de bout en bout le cycle de vie des applications acquises sans passer par la DSI.
- Les tendances au BYOD qui accélère la confusion entre les outils privés et les outils corporate (utilisation d’un compte personnel Skype, par exemple, pour suivre ou organiser une conférence téléphonique, ou le recours à son compte Dropbox pour partager des documents de travail).
- Des DSI, encore trop peu réactives vis-à-vis des besoins métiers, pénalisées par leur inertie, symbolisée par des phases d’étude ou des comités d’engagement qui cristallisent les frustrations des métiers.
C’est dans ce contexte que les DSI se posent la question des moyens disponibles pour intégrer ces outils dans leur giron. Le financier placé au cœur des DSI (qu’il le soit à titre de contrôleur de gestion ou de business partner) a, lui aussi, un rôle à jouer afin de faire passer ces usages et leurs coûts induits de l’ombre à la lumière d’un pilotage économique transparent appelé de ses vœux par la DAF.
Comment permettre au couple DAF-DSI de mesurer ces réalités et ces coûts ? Trois arguments peuvent être utilisés : l’argument du contrôle, l’argument financier et l’argument de l’alignement.
L’argument du contrôle : identifier les acquisitions « doûteuses » par une alliance DSI-DAF-Achats
Par le jeu des processus de contrôle budgétaire, le contrôle de gestion SI possède quelques moyens d’identifier des achats ou des souscriptions à des offres et applications informatiques contournant la DSI. En effet, avec l’appui de la direction des achats, la DAF est en mesure d’effectuer un premier filtre (ne concernant que les montants les plus importants et/ou récurrents) et, le cas échéant, de faire basculer ces coûts IT du côté de la DSI.
Cette alliance DAF-DSI-Achats peut aussi s’exprimer légitimement en coordonnant leurs efforts de contrôle des matériels utilisés en mode BYOD par les salariés. On peut imaginer un remboursement, partiel ou total, sous condition d’un cahier des charges qui viendrait cadrer ces achats. Cela permettrait un recensement de fait des matériels et un premier resserrement de la diversité du matériel en présence.
L’argument financier : factualiser les coûts induits et démontrer économiquement les conséquences du recours au Shadow IT
- Pour ce faire, le financier doit en premier lieu identifier les inducteurs de ces coûts, il peut se baser, par exemple, sur plusieurs éléments :
- Les besoins supplémentaires en terme de sécurité qu’occasionnent les outils concernés. Il peut s’agir de contrôles classiques d’intégration et de cohérence des données, mais aussi d’accessibilité des données et de leur protection.
- Les risques de rupture de conformité interne et externe à l’entreprise mis à jour lors d’un audit du SI. Par exemple, les travaux de reconstruction ou de rétablissement d’une piste d’audit, peuvent être chiffrés et réalloués. De plus, ces démarches mettent en exergue la nature transverse d’un système d’information, que certains utilisateurs ont tendance à oublier.
- Les coûts de reconnexion de ces outils à l’ensemble du système ou, à minima, à ses bases de données.
- Les aléas d’une absence de pilotage juridico-technique des contrats, notamment pour les modalités de réversibilité qu’offrent (ou pas) les outils achetés.
- Le temps des opérationnels passé à administrer les applications, à rassembler et réconcilier les référentiels ainsi dispersés ou, pire, à remplacer des données perdues.
Cette liste d’inducteurs ne saurait évidemment être exhaustive et leur chiffrage se targuer d’être juste. Afin d’effectuer cette analyse de coûts, le financier devra à la fois s’appuyer sur des abaques, des historiques de coûts, mais aussi sur son étroite connaissance des métiers de la DSI. Ceci est d’autant plus vrai que d’autres éléments peuvent être identifiés comme inconvénients du recours au Shadow IT, sans pour autant être chiffrables, par exemple l’augmentation du nombre de silos de données, qui ne vont pas dans le sens de la collaboration transverse et interprocessus.
La finalité de cette démarche n’est pas tant de refacturer ou de réallouer ces coûts aux directions métiers, en s’appuyant sur les recensements par nature discutables du Shadow IT, mais d’appuyer le discours porté par la DSI sur la sécurité et la nécessité de centraliser le pilotage des outils informatiques. Ainsi, l’argument financier donne de la substance aux actions menées dans le but de sécuriser et d’optimiser le SI et le financier se fait dès lors support pédagogique, plus que contrôleur coercitif.
L’argument de l’alignement : être moteur dans le rapprochement entre la DSI et les métiers, leurs besoins et leurs usages
En complément des actions d’appui à la DSI pour une meilleure compréhension des enjeux liés au Shadow IT, le financier peut, en collaboration avec ses partenaires de la DSI, être force de proposition afin de rapatrier, au moins en partie, le Shadow IT dans le giron balisé de la DSI.
Alléger ou faciliter l’accès aux décisions d’investissements informatiques, constitue un premier pas fait vers les métiers. Il se traduit à la fois dans l’assistance pour compléter les informations requises (calcul de ROI, estimation des coûts projet/Run…), mais aussi par la capacité à anticiper les besoins ou, a minima, les identifier le plus rapidement possible par l’animation d’un portefeuille projet de proximité.
Si le financier consolide les différents tableaux de bord de pilotage, il peut aussi y intégrer les applications et outils acquis hors pilotage DSI, afin de responsabiliser leurs utilisateurs (et leur management). Même si cette action n’est souvent que formelle, les lignes et colonnes vides au sein d’un reporting attirent souvent l’œil et les questions.
Enfin, le financier, en partenaire du DSI, a toute sa légitimité à participer à la mise à jour du catalogue de services. Une fois passée au banc des schémas directeurs et de l’urbanisation des architectes SI, l’intégration rapide des innovations proposées par le marché participe à annihiler les tentations autodidactes des métiers, par la constitution de comparaisons objectives des solutions disponibles, sur un même périmètre coût.
Cet article a été écrit par Nicolas de Prade, manager chez Mazars Advese.
Ce que recouvre le Shadow IT
La notion de Shadow IT peut recouvrir plusieurs réalités au sein des entreprises. Nous en retiendrons principalement deux :
- Le Shadow IT « légal » dans lequel on trouve les achats directs des métiers auprès des fournisseurs IT et n’intégrant pas naturellement le budget et les politiques IT, cela recouvre, par exemple, les souscriptions à une solution CRM de type Salesforce.
- D’autre part, le Shadow IT individuel, dont personne n’a réellement connaissance. Il s’agit ici de contournements mis en œuvre directement par les utilisateurs, souvent pour remédier à un dysfonctionnement du système d’information. Nous pensons ici à des « macros » développées et mises en œuvre afin de masquer certains défauts d’interface et dont l’entreprise peut devenir dépendante à son insu.
Pour ces deux définitions, la notion de Shadow n’est pas considérée comme mauvaise a priori. Toutefois, elle est associée à plusieurs actes manqués :
- Une absence de réelle décision en conformité avec les politiques de l’entreprise (solutions souvent décidées dans l’urgence en mode « silo »).
- La non prise en compte du cycle de vie complet et du coût total de ces solutions (design, Build, Run, backup, réversibilité…), conduisant à un risque d’entreprise et à une non intégration au budget de la DSI, créant ainsi une absence de visibilité sur les actifs numériques de l’entreprise.
Par ailleurs, la notion de Shadow induit également deux situations typiques :
- La découverte de l’existence de l’élément en question au pire moment, par exemple à l’occasion d’un incident ou de la constatation d’une absence de sauvegarde des données.
- L’incapacité d’inventaire de ces solutions qui, pourtant, participent à la bonne exécution des services rendus.