Pourquoi il ne faut pas avoir peur de l’informatique fantôme !

Damien Alexandre Directeur international en systèmes d’information  

La shadow IT, informatique de l’ombre ou informatique fantôme n’est pas si mystérieuse en soi. Elle peut être clairement définie, de même que les raisons de son existence. Il s’agit de traitements logiciels, de périphériques, d’éléments de réseau, de systèmes, de données et de supports de stockage d’information qui ne sont pas élaborés dans le cadre de la gouvernance officielle des systèmes d’information de l’entreprise.

Cette informatique peut être mise en place pour diverses raisons, qui peuvent d’ailleurs parfois se combiner : par souci de réactivité par rapport à un besoin métier ou client, et d’optimisation du « timeto- market » ; pour réduire les coûts par rapport à une solution plus structurée ; pour réaliser rapidement une maquette, une preuve de faisabilité, un démonstrateur ; pour satisfaire un besoin qui était initialement vu comme temporaire ; pour pallier un manque d’outils applicatifs disponibles dans l’entreprise ; pour traiter une demande confi dentielle d’un client ou de la Direction Générale, en impliquant le moins possible d’acteurs dans sa mise au point…

Cette informatique fantôme est souvent élaborée et maintenue par un nombre restreint d’acteurs. Même si ces outils peuvent parfois être utilisés largement, le nombre de personnes avisées, de « sachants », capables de les faire vivre, évoluer et de les corriger, est souvent restreint. À ce titre, du fait de la consumérisation de l’informatique, les responsables métiers se sentent familiarisés avec les technologies, et se considèrent donc, pas toujours à raison, autonomes pour sécuriser un projet ne s’appuyant que sur leur équipe et éventuellement sur un fournisseur externe piloté uniquement par leurs soins .

À QUI L’INFORMATIQUE DE L’OMBRE PORTE-T-ELLE OMBRAGE ?

La shadow IT déroge souvent au processus d’achat de l’entreprise. Elle ne s’intègre donc pas nécessairement dans les contrats cadres, ne bénéfi cie pas des tarifs négociés, et ne donne pas toujours lieu aux ristournes fournisseurs liées à la consolidation de chiff res d’aff aires. La shadow IT peut même faire appel à des fournisseurs non recommandés, voire blacklistés, ou trop chers, de manière consciente ou non.

La shadow IT déroge en général aux règles de gouvernance des systèmes d’information de l’entreprise. Elle n’entre ainsi pas dans le portefeuille des projets, ni dans les budgets informatiques, ni ne fait l’objet du suivi consolidé des investissements. L’informatique fantôme peut ainsi passer sous les radars de la direction fi nancière, de la direction des programmes, du PMO, de la direction des systèmes d’information, de la direction de l’organisation ou de la maîtrise d’ouvrage.

Enfi n, la shadow IT déroge aussi souvent aux règles de la sécurité, sa mise en place échappant alors au Chief Security Offi cer et aux audits internes.

QUAND LA SHADOW IT SORT-ELLE DE L’OMBRE ?

Les révélateurs de cette informatique initialement cachée sont nombreux : la fin d’un stage réalisé par un jeune d’une école de développement ou d’ingénieur ; le départ en retraite d’un expert ; la démission du développeur de l’application fantôme ; une régression de la solution ; le besoin d’intégrer davantage une solution de l’ombre au reste du système d’information ou aux référentiels d’entreprise ; etc.

Quand la shadow IT sort de l’ombre, il y a souvent urgence à sécuriser la situation, à mettre en place de nouveaux sachants, à adapter les couches logicielles ou techniques, à corriger la régression, car ce sont des pans stratégiques du métier de l’entreprise qui peuvent être couverts par cette informatique cachée (calculs de tarifs, bases CRM, simulations financières, consolidations de données de sources internationales, etc.).

CETTE INFORMATIQUE SOUS-MARINE PEUT-ELLE COULER L’ENTREPRISE ?

Si l’informatique fantôme est maintenue par la direction métier qui en est à l’initiative dans les règles de l’art des applications ou plateformes informatiques, et si la solution de shadow IT est durablement découplée du reste du SI de l’entreprise, alors le risque est minimisé.

Mais si la continuité des compétences ou la pérennité du fournisseur ne sont pas surveillées régulière- ment, si la confidentialité ou l’intégrité des données n’est pas assurée, si la disponibilité des fonctionnalités est aléatoire, si la recette d’une telle application a été menée par le développeur seul, alors cette informatique fantôme peut constituer un point d’attaque dans le réseau ou un cheval de Troie dans le reste du SI de l’entreprise. Si les bonnes pratiques d’Informatique et Libertés ne sont pas respectées, si la cohérence ou la conformité des données ou des traitements fantômes ne sont pas certaines, alors la shadow IT, appliquée dans un secteur coeur de métier, peut mettre en péril, au moins temporairement, la qualité de service au client, ou un processus entier de l’entreprise.

Imaginons qu’un audit des Commissaires aux Comptes mette en évidence une shadow IT critique dont les données sont utilisées par plusieurs directions, peut-être même en dehors de l’entreprise… Le Commissaire questionnera alors la traçabilité, l’auditabilité de l’application fantôme révélée au grand jour, ainsi que des données qu’elle manipule. Il pourra demander des comptes sur la sécurisation des changements de cette solution de shadow IT, sur la recette des versions évolutives, sur la capacité de retour en arrière, sur le plan de continuité métier, etc.

LA SHADOW IT NE CONSTITUE-T-ELLE PAS FINALEMENT UNE OPPORTUNITÉ ?

Le fait que des directions optent pour des solutions d’informatique cachée peut aussi être vu comme un révélateur de certaines attentes importantes que le reste de l’entreprise gagnera à comprendre et à traiter.

Par exemple, par la mise en place de « digital factories » ou usines numériques, du travail en mode agile, selon les approches Scrum et Kanban notamment, qui constituent des éléments de réponse pour réduire les délais de traitement des besoins et favoriser la flexibilité de l’entreprise, et pour délivrer plus vite et plus souvent, il est possible de réduire les initiatives d’informatique cachée.

De plus, une généralisation des approches cloud, tenant aussi compte des services assurés en interne dans l’entreprise, dans une approche globale de vision d’architectures processus, applicative et fonctionnelle cohérente, peut également conduire à éviter des initiatives souterraines.

La shadow IT peut donc être vue comme un axe collectif de progrès. Une meilleure collaboration entre DSI et métiers est en eff et à la source de la résolution du problème initial. Les pistes de réflexion à creuser incluent ainsi : le renforcement de la conception conjointe dans des projets de construction de core solution internationale ; l’amélioration de la conduite du changement dans des projets de déploiement de core modèle ; l’écoute régulière des acteurs du terrain aussi bien dans le cadre des schémas directeurs métiers et SI, que dans des enquêtes d’usage proches du terrain ; la tolérance à des initiatives passées de shadow IT et l’encouragement à contribuer à une nouvelle gouvernance des réponses aux besoins métiers.

UNE GOUVERNANCE RÉELLE, MAIS LÉGÈRE POUR LA SHADOW IT

Les enjeux de maîtrise dans la durée de la sécurité des services et des services de l’entreprise doivent faire réfléchir l’ensemble des parties prenantes. Dans ce contexte, la collaboration de ces acteurs constitue un challenge majeur. L’enjeu se situe éventuellement au niveau-même de l’image de la marque et de la valeur de l’action.

Il peut être tout à fait acceptable qu’une direction métier soit autorisée à développer sa propre solution, surtout si cela est fait dans une concertation initiale et une gouvernance légère qui s’assure que les risques sont maîtrisés au vu des enjeux. Une validation sur mesure de telles initiatives aurait pour vertu d’informer les parties prenantes de l’entreprise, d’éviter que ces solutions soient fantômes, et permettrait une mise en oeuvre adaptée au contexte (indépendance vis-à-vis des autres services et SI de l’entreprise, vision d’architecture globale et de roadmap partagée, sécurisation des compétences et des contributions, priorisation globale, etc.).

L’implication en amont de la direction générale dans de telles initiatives permettrait de trouver un meilleur compromis entre le respect d’un processus standard unique pouvant être jugé peu adapté au traitement de certains besoins métiers, et la prise de risque concentrée sur une petite équipe métier qui peut ne pas être en capacité de peser les risques encourus et d’y remédier au juste nécessaire.

ADOPTER LA BONNE POSTURE

Je vous propose donc de voir l’informatique cachée comme le révélateur de besoins d’optimisation, comme le stimulateur d’approches nouvelles et créatives de création, comme le déclencheur d’une gestion concertée des risques et du time-to-market dans une approche plus collective, au service de la valeur de la marque, des actionnaires et de ses clients externes.