Le côté obscure de l’adoption du Cloud : Le Shadow IT et le paradoxe du contrôle

Posted on by

Fiche de Lecture n°15

Référence : Haag, S., Eckhardt, A., & Bozoyan, C. (2023). The dark side of cloud adoption: Shadow IT and the paradox of control. European Journal of Information Systems, 32(1), 54-76.

MOTS-CLÉS & DÉFINITIONS

  • Paradoxe du contrôle : Phénomène selon lequel le renforcement des mesures de sécurité informatiques entraîne une augmentation proportionnelle des comportements de contournement de ces mêmes règles.

  • Réactance psychologique : Mécanisme de défense d’un individu qui, se sentant privé de sa liberté d’action (ici, le choix de ses outils de travail), adopte une attitude de rébellion pour la retrouver.

  • Conformité de façade : Fait pour un département de valider formellement une procédure de sécurité DSI tout en utilisant des processus parallèles non sécurisés pour le travail réel.

SYNTHÈSE S. Haag et ses co-auteurs exposent scientifiquement le côté obscur des politiques de sécurité strictes dans le Cloud. L’obsession du “zéro risque” (souvent motivée par la souveraineté ou le RGPD) déclenche une réactance psychologique massive chez les collaborateurs. Plus la DSI verrouille, plus elle génère de failles de sécurité via l’informatique occulte.

DÉVELOPPEMENT 1. L’ampleur du phénomène : L’illusion sécuritaire L’étude quantitative révèle un chiffre paradoxal : les organisations ayant les politiques de blocage (pare-feux stricts, interdiction d’installation) les plus dures sont celles qui connaissent le plus fort taux d’incidents de sécurité liés au Shadow IT.

  • La politique stricte ne supprime pas le besoin métier d’aller vite ; elle le pousse simplement dans la clandestinité.

2. Le comportement humain : La rébellion opérationnelle L’employé moderne est numériquement éduqué. S’il utilise le Cloud dans sa vie privée avec une fluidité totale, il refuse d’être ralenti au bureau par des règles archaïques. La réactance psychologique se traduit par l’usage du smartphone personnel ou de clés 4G pour contourner le réseau de l’entreprise et utiliser le Cloud de son choix.

3. Les risques : La faille créée par la règle L’étude prouve que la DSI crée elle-même le danger qu’elle tente d’éviter :

  • En voulant éviter le Vendor Lock-in ou les GAFAM au nom de la souveraineté (en France notamment), la DSI impose des outils souverains souvent moins ergonomiques. Les employés rejettent l’outil souverain et retournent secrètement sur l’outil américain non sécurisé.

4. La solution : L’ergonomie comme sécurité La sécurité ne doit plus être “coercitive” mais “transparente”. La DSI doit offrir des plateformes Cloud officielles dont l’expérience utilisateur (UX) est si excellente que les employés n’ont plus le désir (ni le besoin) de chercher une alternative fantôme.

CONCLUSION C’est la pièce maîtresse pour clore notre argumentation sur l’Axe de la Souveraineté. Nous soutenons que la rigidité réglementaire est contre-productive. L’article apporte la caution académique FNEGE 1 indispensable pour valider définitivement notre Proposition 3 : “La peur du gendarme crée le marché noir”. Il permet de faire le pont parfait entre le panel France (où la réactance est liée au RGPD) et le panel CIV (où elle est liée aux règles de l’ARTCI).

Références bibliographiques : Haag, S., Eckhardt, A., & Bozoyan, C. (2023). The dark side of cloud adoption: Shadow IT and the paradox of control. European Journal of Information Systems, 32(1), 54-76.