On parle beaucoup de “Shadow IT” dernièrement. Sans doute parce que les études pour le mesurer se multiplient et permettent enfin d’en réaliser l’ampleur.
Comme toujours, ce phénomène a des racines profondes et anciennes. On peut affirmer que ce “SI caché” a commencé lorsque les utilisateurs les plus débrouillards ont décidé de résoudre leurs petits problèmes informatiques via des feuilles de calcul truffées de macros plutôt que de faire appel à la DSI afin d’obtenir une application en bonne et due forme et de s’entendre répondre que 1) il fallait décrire le besoin de façon détaillée via un cahier des charges précis et rigide et que 2) le délai d’attente était de six mois minimum (ou plus, bien plus !) avant de commencer à voir le début de quoi que ce soit…
La tendance s’est accélérée dernièrement avec l’essor de l’offre d’outils sur le cloud qui permet effectivement de mettre en place des applications rapidement et sans installation. Aujourd’hui, si l’on croit le Gartner et le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), le “shadow IT” est un phénomène de très grande ampleur et qui touche toutes les organisations.
Une enquête réalisée (en 2017) par le CESIN et Symantec révèle qu’en moyenne 1700 “CloudApps” sont véritablement utilisées par chaque entreprise étudiée. Et ce, alors que l’estimation moyenne d’applications cloud connues par ces entreprises jusqu’alors était de trente à quarante. « Une fois les applications SaaS officielles éliminées, le nombre de services inconnus par entreprise, donc en mode shadow, reste impressionnant » note l’étude.
En dehors des services de webmail, des plateformes de streaming vidéo et des services de partage de fichiers (comme Google Drive ou DropBox) qu’on pouvait effectivement s’attendre à trouver dans ce type de recensement, on s’aperçoit que les utilisateurs ont eu recours spontanément à Worplace by Facebook alors que ces entreprises n’ont pas souscrit à ce service de manière officielle comme solution de réseau social d’entreprise (RSE), ce qui est tout de même gênant. Car le jour où un RSE sera enfin désigné de manière officielle, ce choix risque bien de se heurter aux habitudes déjà prises par les utilisateurs qui ont “agi sans attendre que la DSI se réveille”…
Pour se rendre compte du fossé qui s’est creusé ainsi entre les utilisateurs et la DSI, je vais reprendre ici un extrait d’une chronique rédigée par Fred Cavazza et dont les termes expriment parfaitement la nature de la rupture qui est en train de s’élargir…
(…) des systèmes d’information très rigides (de par leur conception ou l’empilement de couches technologiques hétérogènes) qui réduisent les possibilités d’évolution et d’adaptation aux besoins des utilisateurs; des équipes IT qui sont avant tout préoccupées par des contraintes d’exploitation (“moi je livre des outils qui tournent”) et pas forcément par la pertinence des fonctions qu’ils remplissent (“de toute façon, les utilisateurs ne savent pas ce qu’ils veulent”); des utilisateurs qui ont beaucoup de mal à exprimer ce dont ils ont besoin et qui démontrent de plus une certaine défiance à l’égard des outils fournis par la DSI (“ça plante tout le temps”).
Il en résulte une situation généralement très tendue entre les directions métier et les DSI qui ne parviennent plus à se comprendre et finissent par rompre le dialogue.
Selon moi, le tournant décisif qui a conduit à cette situation remonte au phénomène du BYOD dans le courant des années 2000…
BYOD, abréviation de l’anglais « bring your own device » (« apportez vos appareils personnels ») ; en français, PAP pour « prenez vos appareils personnels »1 ou AVEC pour « apportez votre équipement personnel de communication »2, est une pratique qui consiste à utiliser ses équipements personnels (smartphone, ordinateur portable, tablette électronique) dans un contexte professionnel.
Aujourd’hui, on voit bien que le BYOD a largement triomphé et que les organisations qui tentent encore de tout régenter vis-à-vis de leurs utilisateurs sont de moins en moins nombreuses. Attention, il ne s’agit pas de dire que cette évolution est forcément positive, car elle a son côté sombre aussi. Ne serait-ce que pour des raisons évidentes de sécurité, il est très risqué de laisser n’importe quoi se connecter au réseau privé de l’entreprise… Selon une récente étude de Gartner, un tiers des failles de sécurité seront dues au shadow IT d’ici à 2020.
Quand on se penche sur cette problématique, on trouve pléthore d’articles et de recommandations marquées par le coin du bon sens comme “Montrer une attitude d’ouverture”, “Proposer des solutions maîtrisées par la DSI, plus que des alternatives” et aussi “Participer aux réunions des directions métiers sur la stratégie technologique”… Je dois dire que cette musique convenue me laisse perplexe !
Et si, au lieu d’être un épiphénomène qu’il convient de remettre à sa place (voire de l’éradiquer), le shadow IT était en fait une évolution naturelle à la fois de l’informatisation des entreprises (“power to the people”, les “citizens developer” prennent le pouvoir !) et aussi une mutation (profonde) du rôle de la DSI ?
En effet, les rôles joués par la DSI n’ont pas arrêté d’évoluer au fil des décennies, finalement. Au tout début de l’informatique d’entreprise, la DSI (qui ne s’appelait même pas ainsi d’ailleurs) avait un rôle de défricheur de ces techniques qui étaient complexes et avaient des impacts importants : ordinateurs coûteux (les premiers “mainframes”), personnel spécialisé nécessaire (les “pupitreurs” qui ont depuis disparu), salles climatisées, etc.
Lors de cette période, on peut dire que la DSI avait un rôle très “boulons-rondelles” en plus de découvrir les affres du logiciel (car il fallait tout développer, les progiciels n’existaient pas encore !). La DSI a dû faire face à de nombreuses situations nouvelles et où, en conséquence, son rôle a changé (comme lors de la vague des PC où il a fallu jouer les intégrateurs…).
De plus, on constate que les acteurs “historiques” des DSI sont plutôt sur le déclin (IBM, Oracle) alors que le marché est désormais dominé par des acteurs qui n’ont pas de relations profondes ni anciennes avec les directions informatiques et n’ont aucun scrupule à traiter directement avec les directions métiers (Google, Amazon).
Donc, peut-être que cette vague d’applications cachées ou non officielles n’est que le signe extérieur d’une nouvelle mutation en cours… C’est encore un peu tôt pour définir les contours de ce nouveau rôle, mais il me semble évident qu’il contiendra moins de contrôle et plus d’assistance.
Il est vraisemblable d’imaginer que l’offre de la DSI sur ce segment puisse se décliner à plusieurs niveaux. Dans une première étape plutôt que subir cette mutation, elle peut l’anticiper et sélectionner une plateforme d’entreprise qui puisse supporter les besoins de ces citizens développeurs. Au delà des services d’administration que nécessite une telle plateforme, il y a également la mise à disposition d’accès aux données de références, les services d’accès à des services proposées par les applications coeurs de métier. Et bien entendu (il s’agit du service qui pourra avoir le plus d’impact à moyen terme), la définition du cadre d’usage de la plateforme (gouvernance, formation) et l’appui aux “citizens developer” pour leur permettre d’exploiter au mieux les possibilités offertes par ces plateformes tout en garantissant pérennité, confidentialité et intégrité des données traitées. Un point essentiel dans un contexte où la nouvelle réglementation européenne de protection des données personnelles impose une vigilance sur ce sujet.
https://www.redsen.com/fr/directions/direction-compliance/gdpr
Est-ce que celà sognifie qu’il fait laisser fsire?