Shadow IT

Shadow IT (parfois Rogue IT) est un terme fréquemment utilisé pour désigner des systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information (Source Wikipédia).

Bon, OK une fois que l'on a dit cela, on ne se rend pas bien compte des dégâts que cela peut poser au sein d'une entreprise et ce, quelle que soit sa taille !

shadow-itImaginez un peu, vous êtes Directeur Commercial au sein d'une PME et vous prenez l'initiative de contacter un plombier pour refaire les sanitaires de votre établissement, sans en parler au Directeur Technique en charge des Moyens Généraux, donc de la gestion des bâtiments de votre entreprise… Cerise sur le gâteau, vous commandez et faites effectuer les travaux et votre Direction Générale vous félicite pour ces magnifiques sanitaires ! Alors moi, si j'étais le Directeur Technique, j'irais voir une boîte de Comm. et je commanderai une nouvelle charte graphique pour l'entreprise ainsi que de nouvelles brochures commerciales… Euh, il n'y a pas comme un « schmilblick » quelque part ou comme une grossière erreur de casting ? Détrompez-vous, bienvenue dans l'entreprise 2.0 !

2.0, vous êtes sûr ? J'aurais tendance à dire -1.0 (moins un point zéro)…

Restons dans les anglicismes et je parlerai alors de deux termes, à priori que je viens d'inventer, et qui sont :

- « The Necessity Shadow IT », sous-entendue la prolifération de systèmes d'information, en dehors de la DSI (Direction des Systèmes d'Information), pour pallier à un manque certain de votre DSI...,

- « The Dark Shadow IT », sous-entendue la prolifération de systèmes d'information, en dehors de la DSI (Direction des Systèmes d'Information), faite en dépit de tout bon sens, par des membres de la Direction de l'entreprise se croyant plus forts que les autres, du style « jeunes loups aux dents longues » et n'ayant aucune légitimité en la matière...

Dans les deux cas, le DSI (la DSI) est mis à mal et, quelque soit la réussite des ces projets effectués dans ces conditions (si si, il y en a qui réussissent...), l'entreprise est mise à mal également, elle devient instable, difficile à gouverner et moins « sécurisée »...

Pour ceux d'entre vous qui me suivent un petit peu, vous savez que je suis le DSI d'une ETI (Entreprise de Taille Intermédiaire soit une GROSSE PME) et que mon entreprise appartient à deux grands (grands grands...) groupes français... Dans un de ces groupes, j'ai appris récemment qu'au sein d'une division, un tiers des applications « métier » n'étaient pas supportées par la DSI... Pourquoi ? Tout simplement parce que ces applications sont le résultat de développements et de systèmes achetés à l'extérieur sans aucune implication de la DSI de l'entreprise. Je pensais alors que certains « métiers » avaient acheté des solutions « tout-en-un », en mode SaaS (Software as a Service – en français : l'application tourne sur les systèmes mêmes du fournisseur de la solution) ce qui ne choquait qu'à moitié mais NON… Il y a des endroits dans ce grand groupe où tournent des serveurs qui ne sont pas gérés par la DSI !!! Ben comment ils font alors pour la sécurité, la gestion des identités, la gestion des licences et tout le reste ? Mystère...ou plutôt « misère »...

Il y a quelques semaines, j'ai eu vent d'un incident sur une de ces applications dans la mouvance du « Shadow IT » et le mail envoyé par le responsable de cette application fait froid dans le dos, je cite : « le serveur s'est arrêté suite à une panne de courant (ben oui, c'est du « shadow » alors ce n'est pas protégé…) et quand le serveur a redémarré, il s'est emballé (comme un œuf de Pâques?) et la macro Excel s'est plantée !... » Véridique ! Elle n'est pas belle la vie ? En creusant un peu (je suis curieux…), cette macro Excel se connecte à une base de données de l'entreprise (gérée par la DSI...) pour y extraire quelques informations et les renvoyer sur un serveur FTP je ne sais trop où… A priori, il n'y a pas de mal, on sait qu'Excel (beurk…) est l'outil décisionnel et de reporting plébiscité par la majorité des entreprises (c'est sûr ? Oui...oui…) mais quand on apprend que cette extraction quotidienne de données est vitale pour la production d'une partie de cette division, alors là, c'est le pompon de la pomponette...sous-entendu c'est « trop fort », c'est le bouquet, c'est du n'importe quoi, on marche sur la tête…etc... !

Messieurs les dirigeants et autres Directeurs Généraux, soit votre DSI n'est pas le bon et vous lui faites un chèque afin qu'il aille installer Windows 3.11 (for Workgoups!) ailleurs, soit vous virez votre Directeur Commercial mais, de grâce, ne laissez pas votre jardinier faire le réglage du turbo de votre Maserati, vous risquez d'en perdre la garantie !

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

LeCastillan

D.S.I autodidacte d'une E.T.I (Entreprise de Taille Intermédiaire) de 400 personnes ayant une activité internationale 24/7 - Passionné - Aime écrire - Aime les choses "simples" - Aime la Liberté - Aime l'Open Source - Curieux - Pragmatique...

Nombre de posts de cet auteur : 47.Voir tous les posts

3 thoughts on “Shadow IT

  • Tu as raisons, surtout pour les directeurs commercials qui veulent mêlé de tout

    Répondre
  • Je le vis au quotidien étant membre d’un service informatique d’une entreprise de plusieurs milliers d’employés !

    Il y a aussi des DSI qui ne servent à rien puisqu’incapable de prendre des décisions de peur de froisser tel ou tel, jouant à l’anguille du matin au soir en faisant acte de présence à des réunions dont rien ne sort.
    Il laisse donc les petites mains gérer tout ce qu’elles peuvent sachant qu’il en récoltera les lauriers si tout se passe bien et trouvera un coupable sans difficulté à l’inverse.
    Le service public est à la pointe dans cette façon de manager.

    Répondre
  • Cet article résume bien mon expérience au sein d’une grande entreprise lors de mon apprentissage, il y’a déjà 10 ans de cela. Le directeur du bureau d’étude avait fait appel à un prestataire externe pour mettre en place une solution basée sur Apache, PHP … et une simple base de donnée avec toutes les données confidentiels de l’entreprise concernant les articles sans l’approbation de notre DSI mais validé par le PDG.
    Le serveur sur lequel tournait cette solution n’était jamais mis à jour, ce qui représentait un grand risque de sécurité, on avait pas la main dessus. Et une fois que les utilisateurs s’habituent à un outil et l’intègrent dans leurs routines de travail, il devient presque impossible de le retirer mais si celui-ci présente un risque élevé et surtout si le DSI n’a pas son mot à dire

    Répondre

Répondre à makram Annuler la réponse

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.