Shadow IT : des lignes de désir au bureau

vendredi 25 juin 2021 par SocraticDev

Shadow IT (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

L'enfer est pavé de bonnes intentions et le shadow IT affaiblie souvent les grandes organisations où les employés contournent les outils informatiques autorisés. Les employés contournent les règles pour accomplir leur travail ; leurs objectifs. Par exemple, au lieu de demander le développement de rapports BI et attendre, un employé habile avec Excel pourrait effectuer lui-même l'exploitation de données (de la prod...) sur son poste de travail personnel ou dans le cloud. Un autre employé trouvant l'utilisation du système de messagerie de l'employeur trop restrictif pourrait faire la promotion d'applications de communication alternatives moins contraignantes et plus divertissantes.

C'est avec les meilleures intentions du monde que les employés dévient des solutions technologiques autorisées afin d'être plus productif. Toutefois, dans la plupart des cas, la santé de l'organisation en paie le prix. L'utilisation de matériel et logiciel non fourni par l'organisation entraîne plusieurs risques :

  • L'utilisation d'applications gratuites en mode infonuagique peut collecter des données que l'organisation souhaite garder sous son contrôle

  • L'intégration de technologies non supportées dans les processus d'affaires met leur pérennité en péril. En cas de pépin, l'équipe d'intrastructure technologique ne sera pas en mesure d'offrir un support efficace à cette unité d'affaires.

  • Le transfert de données via des comptes personnels. Les employés aiment utiliser des applications comme Dropbox ou Evernote dans leur vie personnelle. Parfait pour partager des fichiers entre amis. Mais entre collègues il vaut mieux se fier à ce que l'Active Directory permet. Quitte à ralentir le rythme et passer à un autre dossier le temps qu'une demande d'accès soit complétée.

Suivre une ligne de désir

En urbanisme, on nomme ligne de désir ces chemins que les piétons utilisent comme raccourcis au lieu de marcher sur les trottoirs. Ces pistes où la pelouse est arrachée par le fréquent passage de piétons pressés mettent au jour le chemin idéal selon les piétons qui transitent dans un espace.

L'utilisation de technologies non approuvées par le département de technologie de l'information est analogue à ces lignes de désir. Ça indique comment les employés aiment travailler et se sentent productifs.

La première étape pour l'organisation demeure non négociable : identifier l'usage de technologies non approuvées et les bloquer.

La deuxième étape est de répondre au besoin des employés. Par exemple, si on découvre que l'exploitation de données se fait à partir de macros codées dans Excel, on conclura que beaucoup d'employés de bureau ignorent comment utiliser des outils modernes d'analyse de données. On pourrait leur offrir de suivre des cours du soir pour apprendre à se servir d'outils plus efficaces.

La formation continue est la meilleure solution pour consolider les acquis et limiter les risques que posent le shadow IT à l'organisation :

  • formation en cybersécurité (les concepts de Access Control, Data-loss prevention et encryption)
  • formation dans l'utilisation des applications de communication autorisées
  • formation sur les outils modernes d'exploitation de données
  • formation sur les fondements de la cryptographie et l'encryption
sources

https://www.wikiwand.com/fr/Shadow_IT

https://www.mcafee.com/enterprise/en-ca/security-awareness/cloud/what-is-shadow-it.html

SocraticDev ailleurs sur le web