Dans toutes les collectivités, le rôle des directions des systèmes d’information consiste avant tout à donner aux agents les outils informatiques nécessaires pour assurer leurs missions. En contrepartie de cette mise à disposition, l’agent s’engage à les utiliser dans les conditions et les règles établies par la DSI. En théorie…
Ce schéma idéal ne résiste toutefois pas à la réalité du terrain, et le phénomène du « shadow IT », que nous nommons en général « système d’information parallèle », est une problématique forte pour les DSI.
Le shadow IT en collectivité
Le shadow IT désigne l’ensemble des « logiciels, services ou appareils informatiques qui n’appartiennent pas au service informatique d’une organisation ou sont hors de son contrôle ».
Les collectivités ne font pas exception à ce phénomène. Les missions que nous menons en collectivité le prouvent :
- tous nos audits de SI mettent en évidence l’existence de systèmes d’information parallèle,
- un tiers de nos missions d’AMO logiciel consistent à équiper un service d’un progiciel pour remplacer des opérations faites actuellement sur des outils non structurés, Excel en tête.
Au hit-parade des systèmes d’information parallèle : fichiers Excel avec macros, logiciels installés sans contrôle, toutes les solutions en ligne dont la plupart proposent une version gratuite (messagerie et stockage en tête), sites internet et comptes sur les réseaux sociaux, et bien sûr l’ensemble du matériel personnel utilisé par les agents dans le cadre professionnel.
La vision habituelle du DSI
Ce phénomène bien identifié par les DSI constitue une part non négligeable de leur temps et de leurs inquiétudes. Et pour cause : en 2020 on prévoit qu’un tiers des cyber-attaques réussies porteront sur des outils non contrôlés par les DSI.
La menace est parfaitement identifiée : manque de sécurité, pertes de données potentielles sur des outils non sauvegardés, absence de confidentialité, sans parler de tous les problèmes causés par des services qui, n’utilisant pas les mêmes outils, ne peuvent pas travailler ensemble.
Dans ce contexte, il est naturel de voir chaque DSI lutter contre ce phénomène, par les méthodes généralement assénées à longueur d’article traitant du sujet : meilleure formation aux outils, sensibilisation des agents à la sécurité informatique, et surtout restrictions, restrictions, et encore restrictions.
Pourtant, année après année, ces pratiques perdurent et vont même en s’amplifiant. Nous tromperions-nous de cible ?
La vraie bonne approche
Comprendre son ennemi : pourquoi le shadow IT existe ?
Aussi étonnant que ça puisse paraître tant la pratique est répandue, utiliser d’autres outils que ceux préconisés par la DSI n’est pas l’objectif premier des utilisateurs !
S’il y a shadow IT, c’est toujours pour l’une des raisons suivantes :
- les utilisateurs n’ont pas les outils corrects pour travailler,
- les utilisateurs pensent ne pas avoir les outils corrects pour travailler,
- les utilisateurs pensent que d’autres outils leur permettraient d’être plus efficace.
Les raisons ne sont donc pas forcément objectives mais parfois psychologiques, et sont souvent étroitement liées à des paramètres que la DSI ne peut contrôler :
- les habitudes des utilisateurs sur d’autres outils (utilisés à la maison par exemple),
- l’ergonomie des outils proposés, qui prend de plus en plus d’importance.
Le shadow IT n’est pas une maladie, c’est un symptôme
Le shadow IT doit donc être considéré non comme une menace à détruire, mais comme un indicateur permettant de cibler les manques de son système d’information.
Là où il y a du shadow IT, il y a écart entre ce que les utilisateurs ont et ce dont ils ont ou pensent avoir besoin.
Choisir ses batailles, pour ne pas toutes les perdre
Une fois ce constat accepté, la tâche est vaste. Tout est alors question de priorité, et le DSI malin saura cibler en priorité les domaines les plus sensibles et concentrer ses efforts dessus.
On pense évidemment aux sphères RH et Finances qui manipulent des données sensibles. On peut également songer à certaines sphères métier qui, si elles venaient à faillir, toucheraient le plus d’usagers (état civil pour les communes par exemple).
Faire la chasse aux systèmes d’information non structurés
Véritable fléau, les tableaux Excel avec macros (que nous voyons partout) et les bases Access (que nous en voyons encore régulièrement) sont des cibles de choix qu’il convient de remplacer le plus rapidement possible par des progiciels.
Ils sont bien souvent maintenus par une seule personne, mal ou pas sauvegardés, sans parler des multiples bugs qu’ils peuvent contenir, comme autant de bombes à retardement.
Adresser proprement la question du travail collaboratif
Les outils de travail collaboratif et de gestion de projet sont des domaines où le shadow IT explose, tellement les offres gratuites en ligne sont légion : systèmes de stockage, messagerie et agendas partagés, outils de gestion de tâches et de projet.
Le sujet mériterait un article à lui seul, mais le raz-de-marée actuel en collectivité créé par Office 365 pourrait bien changer la donne, en permettant enfin une intégration des systèmes de partage en ligne et de la bureautique. Une bureautique que les agents utilisent au quotidien et dont ils ont bien du mal à se séparer, si on en juge par la grande difficulté à déployer LibreOffice en collectivité (voir notamment cet article sur le déploiement de l’open source qui, bien que très positif sur la question, affiche une carte pour le moins clairsemée des collectivités sur LibreOffice).
Le shadow IT est juste un symptôme, c’est la maladie qu’il faut traiter
Le shadow IT est donc avant tout le signe d’une inadaptation, réelle ou ressentie, des outils par rapport aux besoins des utilisateurs.
Les DSI doivent le prendre non comme une menace à vaincre à coup de restrictions, mais comme un symptôme de dysfonctionnements à résoudre et une piste à suivre pour améliorer le SI de la collectivité.
Laisser un commentaire
Vous devez être identifié pour poster un commentaire.