2007 - 2014 - 2021 : deux septennats, pour changer le monde des Systèmes d’Information (deuxième partie)
La peur du Cloud : le point sur la la néphophobie - Le diagnostic

Cloud fantôme : risque ou potentiel ?

 

DPC Ghost boat S 48963495J’ai écrit récemment deux textes, première partie et deuxième partie, sur l’informatique fantôme.

Une nouvelle famille d’informatique fantôme débarque : le « Cloud Fantôme », qui s’appuie sur une offre très riche de solutions d’infrastructures et d’applications, nées au cours des sept dernières années.

Le Cloud fantôme peut être vu comme :

  • Une catastrophe supplémentaire qui va s’abattre sur les entreprises.
  • Une opportunité majeure de renouer le dialogue entre les équipes informatiques et les directions métiers.

Tous les responsables informatiques sont aujourd’hui confrontés à ce dilemme ; il n’est pas trop tard pour faire... le bon choix. 

 

Cloud fantôme : les principes 

L’informatique fantôme (Shadow IT en anglais) correspond à tous les usages, tous les outils qui sont mis en œuvre dans l’entreprise sans l’autorisation ou sans la connaissance des équipes informatiques.

Cloud companies logosAujourd’hui, en 2014, armé d’une simple carte de crédit, le salarié d’une entreprise peut :

  • Aller sur AWS, Google ou Microsoft et disposer de ressources de calcul et de stockage importantes pour déployer ses applications.
  • S’abonner à des centaines de solutions applicatives SaaS.
  • Ouvrir des comptes sur Box, DropBox ou Gdrive et y stocker des To de données, structurées ou peu structurées.

Tous ces services Cloud disposent de versions d’essai ou de versions légères gratuites, qui permettent de les mettre en œuvre à coût zéro.

Reasons for using non approved SaaS solutionsUne étude de septembre 2013, par Frost & Sullivan, dont j’ai extrait ce graphique, résume les principales raisons pour lesquelles les métiers (LOB, Line of Business) et les informaticiens (IT) utilisent des applications « non approuvées ».

La principale raison est, et de très loin :

        J’en ai besoin pour mieux faire mon métier !

J’en tire deux enseignements importants et positifs :

  • C’est pour la bonne cause ! L’immense majorité des collaborateurs de nos entreprises ont envie de bien travailler et sont prêts à aller chercher eux-mêmes les outils qui peuvent les y aider.
  • Métiers et informaticiens sont aussi désobéissants les uns que les autres ! Nous connaissons tous dans nos entreprises des informaticiens qui installent sur leurs PC ou utilisent sur le Cloud des applications « non agréées », souvent avec l’excuse de pouvoir les... tester !

Il y a donc un double accélérateur très puissant du Cloud fantôme : 

  • Une offre de solutions Cloud de plus en plus riche, de plus en plus variée, de plus en plus performante et économique.
  • Un besoin universel de tous les collaborateurs, métiers et informaticiens, de disposer de bons outils pour mieux travailler.

 

Cloud fantôme : les risques 

L’étude de Frost & Sullivan, déjà citée, met aussi en évidence l’ampleur du phénomène « Shadow Cloud ». En moyenne, les entreprises interrogées utilisaient 20 applications SaaS, dont 35 % non approuvées par la DSI. Ceci confirme une autre étude du Gartner Group qui évalue à 35 % les dépenses IT non prises en charge par la DSI.

CLoud Fantome - App used today & tomorrowCes chiffres confirment aussi que :

  • Tous les domaines applicatifs sont concernés.
  • Le niveau d’usage du Cloud fantôme va fortement augmenter dans les prochaines années.

Par leur nature même, les usages Cloud fantôme sont porteurs de risques majeurs pour les entreprises. Il est quand même rassurant de constater que les utilisateurs de ces solutions fantômes disent clairement, dans cette étude, qu’ils sont conscients des risques encourus, tels que :

DPC Risk in cloud S 58010620

  • Pertes, vol de données confidentielles.
  • Mots de passe faciles à casser, porte ouverte sur des accès non autorisés.
  • Image de l’entreprise mise à mal s’ils sont à l’origine de fuites graves.
  • Mauvaises décisions liées à des erreurs de modélisation ou de programmation des outils utilisés.
  • Non-respect des normes et standards de son industrie : santé, gouvernement...
  • ...

Faire l’autruche devant le phénomène Cloud fantôme, publier des normes de sécurité aberrantes, critiquer le comportement des directions métiers... ce sont les meilleures méthodes pour aggraver les risques liés à la croissance inéluctable des usages du Cloud par les métiers.

Il existe, heureusement, d’autres moyens, plus positifs, pour accompagner le Cloud fantôme.

  

Cloud fantôme : les potentiels  

DPC flexible woman S 61788667Plus les entreprises sont grandes, plus le besoin d’informatique flexible est fort, pour compléter les usages très structurés, souvent à base d’ERP, et qui ne sont absolument pas adaptés pour répondre à tous les besoins « légers ».

Les responsables informatiques ont aujourd’hui une opportunité majeure de reprendre la main. Ils vont aller vers les directions métiers en leur disant : 

« Et si nous travaillions main dans la main ? ».

DPC two hands in cloud S 16128835C’est une démarche innovante, qui peut se mettre en œuvre immédiatement.

Les principales étapes : 

  • La DSI accélère sa veille technologique pour proposer une palette de solutions SaaS répondant à des besoins universels, tels que la Business Intelligence, le BPM ou le développement d’applications légères.
  • Les métiers collaborent avec la DSI pour rechercher des solutions spécialisées BPaaS (Business Process as a Service). Ce sont les métiers qui sont les mieux placés pour faire le choix final, la DSI jouant simplement un rôle de conseil technologique pour vérifier que la solution répond aux choix d’infrastructures : navigateur, SaaS....
  • Ensemble, informaticiens et métiers établissent une place de marché où sont listées toutes les applications SaaS mises au catalogue. 
  • Cette place de marché peut démarrer petite et grandir chaque mois par l’ajout des nouvelles solutions.

Vous l’avez bien compris : l’objectif n’est pas d’interdire aux directions métiers de déployer des usages flexibles, au contraire ! Il s’agit de rendre visible cette informatique fantôme, de faire tomber les masques et d’en assumer, d’en promouvoir l’usage.

DPC venitian mask S 68496444Encore un avantage non prévu des solutions Cloud : elles permettent de :

  • Réduire fortement la dimension « fantôme » de beaucoup d’applications existantes.
  • Améliorer la qualité de ces applications « ex fantôme » en les portant sur des outils plus performants et plus industriels, donc plus fiables.
  • Favoriser la diffusion de ces usages innovants en permettant à la filiale allemande de répliquer ce qui c’est fait au Brésil.

Et une bonne nouvelle de plus pour les directions informatiques !

 

Contrôler le Cloud fantôme ? C’est possible !

Favoriser les usages du Cloud par les directions métiers n’interdit pas pour autant d’en garder le contrôle. A l’inverse des applications historiques qui étaient installées sur les postes de travail et plus difficilement détectables, les usages d’applications SaaS sont plus faciles à repérer.

CipherCloud for Cloud Discovery

Il existe aujourd’hui des outils très performants pour « découvrir » les applications Cloud fantômes utilisées dans une entreprise ; « Ciphercloud for cloud discovery », proposé par l’excellent expert en sécurité Ciphercloud en est un bon exemple.

En résumé :

  • L’informatique fantôme actuelle n’est pas une fatalité.
  • Le basculement vers des solutions Cloud permet de la rendre visible et officielle.
  • Tout le monde est gagnant : l’entreprise, les directions métiers et la DSI.

 

Commentaires