Sortir de l’ombre : Une approche configurationnelle pour expliquer les conséquences de la découverte des systèmes de Shadow IT.

Posted on by

Fiche de Lecture n°14

Référence : Fürstenau, D., Rothe, H., & Sandner, M. (2021). Leaving the shadow: A configurational approach to explain post-identification outcomes of shadow IT systems. Business & Information Systems Engineering, 63(2), 97-111.

MOTS-CLÉS & DÉFINITIONS

  • Post-identification : Phase de gouvernance qui débute au moment exact où la DSI découvre l’existence d’un système Shadow IT utilisé par les métiers.

  • Remplacement par la confiance : Stratégie de la DSI consistant à légitimer l’outil “sauvage” en l’intégrant au système d’information officiel, plutôt que de l’interdire.

  • Shadow IT innovant : Outil non autorisé qui apporte une réelle valeur ajoutée et compense une carence de la DSI officielle.

SYNTHÈSE Fürstenau et al. offrent une vision avant-gardiste du Shadow IT. Ils démontrent que l’informatique fantôme ne doit pas être traitée systématiquement comme une menace à éradiquer, mais comme un laboratoire de Recherche & Développement gratuit mené par les employés. La réussite d’une DSI moderne réside dans sa capacité à intégrer ces innovations “par la confiance”.

DÉVELOPPEMENT 1. L’ampleur du phénomène : La découverte inévitable L’étude montre qu’avec la prolifération du Cloud SaaS, la DSI finit toujours par identifier les poches de Shadow IT. La question n’est plus “Comment les empêcher ?” mais “Que faire une fois qu’on les a trouvés ?”. Dans près de 50 % des cas étudiés, les outils découverts remplissaient des fonctions critiques pour le business.

2. Le comportement managérial : L’échec de la répression L’article identifie plusieurs configurations de réponses :

  • La politique de la terre brûlée : Interdire l’outil et couper les accès. Résultat : chute de productivité, colère des métiers et création de nouveaux Shadow IT encore plus cachés.

  • Le statu quo : Fermer les yeux (tolérance silencieuse). Résultat : maintien du risque cybernétique.

3. Les risques : Le conflit ouvert DSI/Métiers Si le DSI agit en “Constructeur” rigide, il perçoit le Shadow IT comme une insulte à son autorité et entre en guerre avec les directeurs métiers, bloquant ainsi l’agilité de l’entreprise.

4. La solution : La configuration d’intégration L’approche optimale est la “Gouvernance par l’intégration”. Le DSI audite l’outil, le sécurise (gestion des identités, SSO), le finance officiellement et en laisse l’administration fonctionnelle aux métiers. Il agit alors comme un pur Service Broker.

CONCLUSION C’est un article clé pour formuler nos recommandations managériales en fin de mémoire. Nous soutenons que la maturité d’une DSI se mesure à sa gestion de l’imprévu. Cette étude consolide notre Proposition 3 en montrant la voie de sortie du paradoxe de la souveraineté. En entretien, la question de la Phase 3 (“Comment gérez-vous l’informatique fantôme ?”) nous permettra de classer directement le DSI interrogé : est-il dans la répression inefficace ou dans le “remplacement par la confiance” ?

Références bibliographiques : Fürstenau, D., Rothe, H., & Sandner, M. (2021). Leaving the shadow: A configurational approach to explain post-identification outcomes of shadow IT systems. Business & Information Systems Engineering, 63(2), 97-111.