Tribunes

Les 4 manières d'encadrer le Shadow-IT

Les 4 manières d'encadrer le Shadow-IT
Christophe Poudrai, est aujourd’hui responsable de la notation et de la surveillance des prestataires Saas chez Exaegis, agence de notation du Numérique.

Le Shadow IT est inéluctable et bon nombre d'organisations ne savent pas comment faire face à ce phénomène, puisqu'il touche une dimension presque sociologique de nos organisations et des relations de pouvoir y siégeant. Plutôt que de s'arcbouter, et de le combattre, il semble plus aisé de l'accompagner et de s'en servir comme levier au changement dans cette période de transition à laquelle les directions métiers et les DSI ont à faire face. L'encadrement par un processus transverse de sélection des solutions et des prestataires de service, une sensibilisation des directions métier aux travers des solutions Saas, une transformation des DSI comme urbaniste de SI, et enfin, une fois la solution Saas choisie, la surveillance du prestataire et la sécurisation de la solution, sont les piliers d'un virage vers le Saas en toute sérénité.

PublicitéLes forces et faiblesses du shadow IT

Le Shadow-IT montre des forces et faiblesses qui sont désormais largement connues de tous les DSI, sans doute beaucoup moins des directions métiers. Le phénomène quant à lui est connu par tous dans les structures de moyennes et grandes tailles, ce dernier a finalement existé de tout temps : qui n'a pas développé une macro VBA fusionnant des données extraites déci delà pour en faire un tableaux de bord tout beau, parfois au péril du pilotage par manque de fiabilité des informations agrégées ou par ignorance du processus de gestion sous-jacent à la production des informations.
Les forces sont à l'usage des directions métier, les solutions Saas, se caractérisent par la réactivité de la mise en oeuvre (la solution souvent standard est prête à l'emploi), par la facilité d'achat et installation d'un produit (tout en bénéficiant des mises à jour et des nouveautés), un passage dans un mode financier de charges récurrentes modestes plutôt que des investissements massifs. Les faiblesses portent sur des aspects organisationnels avec l'aggravation de la fracture entre la DSI (sentiment d'abandon), et les métiers (portés par une volonté d'autonomisation), avec à la clé une déstructuration du SI au niveau des interfaces entre les outils.
Les menaces adressent des thématiques à plus long terme sur des processus de support autrefois centralisés à la DSI : la gestion les licences et la gestion des droits d'accès, la gestion des changements, la gestion des fournisseurs ; autant de point qui peuvent faire l'objet d'une déresponsabilisation des DSI et d'une ignorance des impacts de mauvaise gestion pour les métiers, et à terme introduire des failles de sécurité. Les opportunités les plus visibles sont pour les métiers qui dans un contexte numérique en évolution permanente doivent gagner en réactivité pour rester compétitif ; la flexibilité, l'agilité, l'innovation apportées par les solutions « As a Service » permettent d'accroitre le niveau de réactivité. L'opportunité de réduire les coûts est également un argument majeur avancé par les métiers pour activer une démarche d'abonnement à un service.
Dans ce paysage, il n'est pas illusoire de penser que des opportunités se cachent pour les DSI et particulièrement pour les aider dans leur transformation qui va s'opérer dans les années à venir.

Un phénomène qui s'amplifie avec le SaaS

Le phénomène s'est amplifié, EXCEL a repoussé les limites de ses fonctionnalités (tableaux croisés dynamique, graphiques automatiques), et doit être quoi qu'on en dise le premier ERP du marché. Le phénomène s'amplifie encore avec les applications Saas qui, faciles d'accès permettent à toutes les personnes si tant est qu'elles disposent d'une carte bleue d'entreprise de s'abonner à un service de CRM, de RSE, de Gestion RH, ...
La tentation est forte pour les directions métiers de ne pas se soucier de la DSI, et de son schéma directeur quinquennal, pour disposer rapidement du produit qui correspond à son besoin. Plusieurs facteurs favorisent ce fonctionnement ; le premier facteur concerne la DSI qui garde son image de géant aux semelles de plomb. Malgré le déploiement des méthodes agiles, elle n'arrive toujours pas à gagner en réactivité ; Méthodes agiles ou traditionnelles les facteurs de réussite reste les mêmes, avec en premier lieu la gouvernance bipartite DSI / Métier des projets. Beaucoup de DSI se sont éprises pour ces méthodes pour démontrer leur capacité à gérer autrement les projets et éviter les effets tunnels des développements traditionnels, en oubliant les fondamentaux dont notamment la présence des chefs de produit de la direction métier dans les projets Agiles. Le second facteur est le manque de maturité des métiers dans la conduite de projet qu'ils délèguent aisément à leurs collègues de la DSI.
Fort de ce constat d'incapacité d'une organisation à gérer cette facture DSI / Métier, la direction peut jouer la carte du fatalisme et partir avec ses équipes sur l'axiome que le shadow IT fait partie du paysage et est inéluctable ; ne luttez pas contre ce fantôme. Si l'on tente d'identifier les causes de cette nouvelle forme de shadow IT, nous pouvons écrire : « compte-tenu que l'objectif d'une démarche de déploiement SaaS est de mettre en oeuvre rapidement une solution fonctionnelle, que ce choix est fait dans un délai court par des responsables métiers peu aguerris au management de projet, et ce, sans consultation des acteurs DSI : les risques sont grands que le retour sur investissement de la solution ne soit pas quantifié, et subséquemment non garanti, que l'accompagnement au changement des équipes métier ne soit pas traité, pas plus que la réversibilité, la sécurité et les passerelles avec le SI ».
Les risques post mise en exploitation sont l'abandon progressif de l'usage de la solution (sans que le management ne s'en aperçoive et l'apparition de coûts cachés), l'accroissement de la fracture DSI/Métiers par la sollicitation de la DSI pour des actions d'assistance pour lesquelles elle sera réticente à intervenir n'ayant pas été consultée, le développement de passerelles « à tout va » sans structuration avec un effet spaghetti à la clé, et une dette technique à gérer dans le moyen terme. Le bypass de la DSI entrainera également une nécessité de mettre en place de nouveaux processus autrefois portés par les outils de la DSI pour la gestion des authentifications et des habilitations, et la cohérence données d'habilitation entre les différentes solutions Saas.

PublicitéL'encadrement des risques propres au SaaS : un enjeu majeur pour bénéficier de ce nouveau mode d'usage en toute sérénité

L'enjeu est donc d'encadrer ces risques dans le choix du prestataire et de ses caractéristiques. Cet enjeu est de taille puisque le marché des éditeurs SaaS est une friche avec des acteurs de petites tailles, d'antériorité hétérogène et dont la caractéristique principale est d'avoir « saasifié » leur produit autrefois distribué en mode on-premise pour le mettre à la disposition en mode Saas. Ce produit bien marketé et avec un investissement commercial pourra constituer une offre Saas alléchante pour vos directions métier sans en avoir les caractéristiques services (pas d'engagement de service véritablement formalisé, pas de conditions de réversibilité, pas d'engagement sur la sécurité, la continuité, performances, montées en charge). Ces structures, de petite taille, ne sont généralement pas armées d'un plan de continuité ou d'un plan de reprise de leur activité, un profiling précis du prestataire est par conséquent nécessaire.
Evidemment pour ce choix, il faudra obtenir la participation de l'IT sur la faisabilité des interfaces avec le SI, et obtenir un avis sur les aspects sécurité, continuité, réversibilité, ... Finalement, cette posture fataliste du dirigeant amène forcément la DSI à se transformer en intégrateur de solution, et en « urbaniste » ; si le shadow-it est inéluctable la transformation de la DSI l'est également. Ce processus de transformation va être long et en attendant, vouloir saisir les opportunités présentées par le nouveau mode de consommation Saas et ses innovations, nécessite de prendre des précautions, avec en premier lieu une sensibilisation des directions métiers sur les risques, l'encadrement de ces risques par une politique de sélection intégrant des audits fournisseurs ciblés sur les caractéristiques Saas, et enfin un accompagnement des DSI dans leur transformation. Enfin, la défaillance du prestataire Saas est également à encadrer que ce soit pour des applications lié à l'exploitation (ERP par exemple) puisque les inexécutions auront un impact direct sur la production ou que ce soit sur des applications sans impact sur la production mais qui sont caractérisées par un haut niveau de sensibilité des données (portefeuille client, données ressources humaines) qui peuvent avoir un impact fort en cas de perte.
Enfin, imaginons une seconde qu'une direction métier ait identifié une startup susceptible de rendre le service attendu, il n'est pas question de passer à côté de cette opportunité d'innovation parce la startup est une startup et qu'elle risque de disparaitre, ni parce que la DSI ne maitrise pas la technologie pourtant innovante, ni parce que le shadow-it est prohibé dans votre organisation et passible de sanction !
En synthèse, ne laisser plus la DSI décider des orientations métiers dans des projets de longue haleine, ne laisser plus les métiers déléguer leur projet à la DSI, transformer votre organisation et prenez toute les diligences en attendant que cette transformation soit opérée : profilez / évaluez vos fournisseurs Saas, et sécurisez vos actifs Saas.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis

    La question du moment
    Lors de la modernisation ou du remplacement d’une application, le passage au mode SaaS est-il une option systématiquement étudiée ?