Comment gouverner le Shadow IT

Posted on by

Fiche de Lecture n°16

Référence : Bley, K., Leyh, C., & Schäffer, T. (2021). How to govern shadow IT: A systematic literature review. Information & Management, 58(8), 103544.

MOTS-CLÉS & DÉFINITIONS

  • Business-managed IT : Évolution sémantique et organisationnelle du Shadow IT, où les directions métiers gèrent officiellement leurs propres outils informatiques avec l’accord de la DSI (cf. Bley et al., p. 4).

  • Gouvernance décentralisée : Modèle où le pouvoir de décision technologique est partagé entre l’informatique et les opérations.

  • Service Broker (Courtier en services) : Rôle de la DSI consistant non plus à interdire, mais à sécuriser les accès aux outils choisis par les métiers.

  • Silos d’information : Risque majeur du Shadow IT où les données de l’entreprise sont fragmentées et impossibles à consolider.

SYNTHÈSE Les auteurs démontrent à travers cette revue systématique que la guerre de la DSI contre le Shadow IT est officiellement perdue. L’article théorise un changement de paradigme vital : le Shadow IT ne doit plus être vu comme une anomalie à détruire, mais doit être institutionnalisé sous le nom de “Business-managed IT”.

DÉVELOPPEMENT 1. L’ampleur du phénomène : L’échec des politiques répressives L’analyse de 15 années de littérature montre que l’interdiction stricte (blocage d’URL, pare-feux) a un taux d’échec de près de 100 % sur le long terme. Les utilisateurs trouvent toujours une parade (4G personnelle, usage hors réseau). Le Shadow IT représente aujourd’hui le principal moteur d’innovation des processus métiers (cf. Bley et al., p. 8).

2. Le comportement organisationnel : Du contrôle à l’orchestration La DSI traditionnelle souffre du “syndrome d’omniscience”, pensant savoir mieux que les métiers ce dont ils ont besoin. L’article explique que pour survivre, la DSI doit accepter de perdre le monopole de l’achat technologique pour devenir le garant de l’intégration architecturale (gestion des API, des identités).

3. Les risques : La perte de cohérence globale Si la DSI n’accompagne pas ce mouvement (et maintient le Shadow IT dans l’illégalité), elle s’expose à la fragmentation totale du système d’information. Les données métiers deviennent inaccessibles pour la direction générale.

4. La solution : Le cadre du “Business-managed IT” La DSI doit fournir un environnement (Cloud Hybride) où les métiers ont la liberté de contracter avec des solutions SaaS, à condition de respecter un cahier des charges de sécurité de base défini par la DSI (le rôle de Courtier).

CONCLUSION Ces travaux constituent la clé de voûte de nos recommandations managériales. Nous soutenons que la solution au paradoxe de notre Proposition 3 (La peur du gendarme crée le marché noir) réside dans la gouvernance décentralisée. En entretien, il sera particulièrement intéressant d’évaluer si les DSI français et ivoiriens sont prêts à lâcher prise sur le choix des outils pour se concentrer sur la gouvernance des données. Nous concluons que le passage du statut de “Constructeur” à celui de “Courtier” est la condition sine qua non pour transformer le Shadow IT en Business-managed IT.

Références bibliographiques : Bley, K., Leyh, C., & Schäffer, T. (2021). How to govern shadow IT: A systematic literature review. Information & Management, 58(8), 103544.