Qu’est-ce que le shadow IT et pourquoi est-ce un risque ?
Le shadow IT, logiciel utilisé par les employés sans approbation informatique, est plus répandu et dangereux que ce que la plupart des organisations imaginent. Ce que c’est, comment il apparaît et comment le gérer.
- 1 octobre 2024
- 5 min
Le shadow IT est l’un des plus grands angles morts dans la gestion des logiciels d’entreprise. Ce terme désigne toutes les technologies, logiciels, applications, stockages cloud, outils de communication utilisés par les employés sans autorisation explicite des services informatiques ou achats. Et sa croissance est plus importante que ce que la plupart des organisations réalisent.
Comment apparaît le shadow IT ?
Le shadow IT naît presque toujours d’un problème réel. Un employé a besoin d’un outil pour faire son travail, la procédure d’approbation prend trop de temps ou l’alternative proposée par l’informatique est peu pratique. Le chemin le plus court est alors de créer un compte gratuit ou de souscrire un petit abonnement avec la carte de crédit professionnelle.
Ce qui commence avec une personne et un outil se développe rapidement. Des collègues se joignent, des fichiers sont partagés via des plateformes non approuvées et des données sensibles de l’entreprise sont stockées sur des serveurs hors de l’UE, sans que personne ne s’en aperçoive.
Pourquoi le shadow IT est-il un problème ?
Le shadow IT a trois conséquences concrètes :
1. Risques de sécurité. Les outils non approuvés ne sont pas soumis à des contrôles de sécurité, ne sont pas mis à jour ni surveillés. Ils constituent une porte ouverte aux fuites de données et aux cyberattaques.
2. Risques de conformité. Les données traitées via ces outils échappent au contrôle RGPD de l’organisation. En cas de fuite, l’organisation reste néanmoins responsable.
3. Gaspillage. Les organisations paient pour des outils centralisés alors que les employés utilisent en parallèle des alternatives gratuites ou peu coûteuses. La consolidation est impossible sans visibilité.
Shadow IT et NIS2
Avec l’arrivée de la directive NIS2, le shadow IT devient un risque encore plus important. L’obligation de diligence impose aux organisations d’avoir une vue à jour de tous les logiciels et fournisseurs, y compris ceux acquis en dehors du processus formel d’achat. Le shadow IT rend cette visibilité par définition incomplète.
Comment gérer le shadow IT ?
La démarche ne commence pas par interdire, mais par comprendre. Pourquoi les employés utilisent-ils certains outils ? Qu’est-ce qui manque dans l’offre approuvée ? Ce n’est qu’en répondant à ces questions que vous pourrez consolider efficacement et améliorer l’offre logicielle officielle.
Des étapes pratiques : analysez les relevés des cartes de crédit et factures pour y déceler des abonnements inconnus, réalisez une enquête auprès des employés sur les outils utilisés, et faites remonter les résultats aux services informatique et achats pour une approche consolidée.
Questions fréquentes
Les questions les plus posées à propos de ce sujet.
Qu’est-ce que le shadow IT exactement ?
Le shadow IT regroupe tous les logiciels et technologies utilisés par les employés sans l’approbation ni la connaissance des services informatiques ou achats. Cela inclut les outils gratuits, le stockage cloud personnel ou les plateformes de communication non approuvées.
Quelle est l’ampleur du problème du shadow IT dans une organisation moyenne ?
Les études montrent qu’en moyenne 40 à 60 % des outils SaaS dans une organisation ne sont pas gérés de manière centralisée. L’ampleur réelle du shadow IT est systématiquement sous-estimée.
Comment identifier le shadow IT dans mon organisation ?
Commencez par un audit logiciel via les relevés de carte de crédit, l’analyse des factures et une enquête auprès des employés. Des outils comme Zylo, Torii ou Blissfully peuvent également aider à détecter automatiquement l’utilisation des SaaS.
Prêt à économiser sur les logiciels ?
SoftVaro négocie pour vous les meilleures offres auprès de plus de 4 000 fournisseurs. Indépendant, transparent, en moins de 24 heures.