Shadow IT

Shadow IT (ou Rogue IT) est un terme recouvrant l'ensemble des pratiques de traitement de l'information, en entreprise, à l'insu de la DSI (Direction des Systèmes d'Information) ou sans son approbation. Il s'agit des outils (logiciels) et méthodes apportés par les employés, voire développés par les employés.

Il s'agit dont, du point de vue de la direction des systèmes d'information, d'outils et méthodes qu'ils ne connaissent pas, qu'ils n'ont pas évalués, dont il n'ont pas mesuré l'innocuité ou la dangerosité, et qui traitent l'information d'une manière inconnue. C'est du traitement de l'information fantôme.

Les points de vue sont partagés à propos du Shadow IT :

• Cela peut apporter des solutions et méthodes bénéfiques, meilleures que celles mises en place, plus proche des besoins directs des employés et de l'entreprise. Cela peut être innovant par rapport à l'existant (solutions internes ou externes) et servir de prototypes pour des développements agrées par la direction.

• Cela peut constituer un danger considérable, aussi bien en termes de stabilité, continuité du traitement de l'information, corruption de l'information, corruption des structures de l'information, qu'en terme de pure sécurité informatique (fuite d'information, introduction de virus, de malveillances , etc.). Même si les solutions officieuses donnent satisfaction, elles ne sont pas admissibles en l'état car elles ne correspondent pas à une politique du traitement de l'information mise en place et qui s'impose à tous. Elle ne sont probablement pas documentées. Elles ne peuvent pas être maintenues dans le temps, principalement lorsque le code est inconnu. Le plus grand nombre de solutions Shadow IT est constitué de Macros Excel, or de très nombreuses macros ne sont pas développées par les employés mais recopiées depuis le Web et elles représentent l'un des meilleurs vecteurs de malveillances.

Selon les résultats d'une enquête conduite par Thomas Chejfec et publiée le 18 décembre 2012 (Shadow IT 2012 - pdf, 10 pages, anglais), sur le phénomène du Shadow IT (ou Rogue IT), les cas représentant les plus hauts niveaux de risque sont, par ordre décroissant de fréquence :

• Classeurs Excel comprenant des macros hors macros agrées ou développée par l'entreprise
• Logiciels hors catalogue de logiciels agrées par l'entreprise
• Solutions Cloud
• ERP hors catalogue de solutions agréées par l'Entreprise
• Systèmes décisionnels
• Site web développé par l'employé hors agrément de la DSI et de l'employeur
• Matériel informatique utilisé hors charte
• Solutions VoIP
• Informaticien hors DSI
• Projet sans appel à la DSI
• BYOD (AVEC)