Les applications clandestines, bêtes noires des DSI (épisode 1)

Thomas Chejfec, DSI du groupe Aldes, va nous intéresser au Shadow IT^(*) pendant trois semaines. Ce terme est souvent utilisé pour décrire des systèmes d'information et des solutions conçus et utilisés dans les entreprises sans l'approbation de l'organisation.Le Shadow IT ou Ghost IT est considéré par certaines directions comme une importante source d'innovation, susceptible de déboucher sur des prototypes pour des solutions futures approuvées. En revanche, les opposants pensent que ces solutions Shadow IT ne sont pas en ligne avec les prérequis de l'organisation en termes de contrôle, de documentation et de sécurité.Lorsque le terme Shadow IT est employé, ce n'est généralement pas dans la bouche des directions métier, mais bien dans celle des DSI ou de leurs managers, qui considèrent cette pratique comme contraire au bien commun de l'organisation et empiétant sérieusement sur leur cadre de délégation. De façon ironique, les directions métier rétorquent qu'elles ne font pas du Shadow IT, mais qu'elles tentent de “ mettre en place des solutions qui fonctionnent, afin de mieux servir le business ” ou qu'elles y ont recours pour “ favoriser la créativité et l'innovation ”.

Une remise en cause du mode de gouvernance des SI

Dans le cadre d'une enquête menée en septembre 2012 auprès de 150 managers des systèmes d'information, 117 d'entre eux donnent des exemples de la façon dont se manifeste le Shadow IT au sein de leur entreprise. Le développement de macros complexes sous Excel arrive en tête avec 20 %, suivi par la mise en œuvre ou l'installation de logiciels (17 %), des solutions contractualisées dans le cloud (16 %), la mise en place de progiciels de gestion intégrés (12 %), d'outils de reporting et de décisionnel (9 %), de sites internet (8 %). On le voit, 37 % des exemples de Shadow IT portent sur des technologies susceptibles de mettre à mal l'essence même de la bonne gestion des données de l'entreprise (solution cloud, ERP, décisionnel). Mal utilisées, mal contractualisées, mal implémentées, ces solutions peuvent se révéler de véritables dangers pour la sécurité de l'entreprise et pour son capital informationnel. A leur simple lecture, ces chiffres nous permettent de prendre toute l'ampleur du phénomène de Shadow IT.Si, aujourd'hui, le terme est à la mode, c'est que le phénomène est bien plus présent qu'avant, ou du moins nous en avons le sentiment. De plus, c'est une réelle remise en cause du mode de gouvernance des systèmes d'information : comment une DSI, dont le mandat est de gérer non seulement l'information numérique, mais aussi son stockage et son acheminement, peut se permettre de voir les règles élémentaires et ses missions fondamentales mises à mal par le phénomène du Shadow IT ? Ne nous voilons plus la face. Nous sommes réellement à l'un des tournants de la relation entre les directions métier et les directions des systèmes d'information, ou du moins à une modification substantielle de ses règles.

Le rôle ambigu des fournisseurs

Bien que le Shadow IT soit, par définition, un phénomène intervenant entre les directions des systèmes d'information et la direction métier, il existe un troisième acteur que nous négligeons dans cette définition. Il s'agit des acteurs ou des fournisseurs de solutions informatiques, dont le rôle n'est pas anodin dans cette relation. Au début de l'informatique, les entreprises qui employaient des directeurs informatiques faisaient reposer quasiment 100 % de l'activité propre à l'informatique au sein du département en question. Avec le temps, les directeurs informatiques ont mis en place des solutions non plus développées en interne, mais issues du commerce. Finalement, les années passant, attendu que ces solutions servent in fine les directions métier, les éditeurs, qu'ils l'aient anticipé, voulu ou pas, ont fini par avoir une certaine forme d'écoute auprès de ces directions métier. Ce fait, doublé de la simplification des solutions et de leur simplicité d'intégration, a permis aux directions métier de prendre conscience que la valeur ajoutée de la DSI n'était pas spécialement flagrante : la DSI ne développe pas, elle ne met pas en œuvre et, pourtant, les directions métier ont une écoute d'un tiers et des solutions qui leur offrent la possibilité de répondre aux besoins. Dans ces conditions, pourquoi s'en passer ? D'une certaine façon, l'offre de ces fournisseurs de solutions “ easy-to-use ” a favorisé le développement du phénomène.(*) La semaine prochaine, Thomas Chejfec s'intéressera au Shadow IT et aux nouveaux usages.