00:00:07 Shadow IT et ses implications.
00:00:34 Le concept de Shadow IT dans les entreprises modernes.
00:02:30 La prévalence du Shadow IT dans divers départements.
00:04:42 Les raisons de l’émergence du Shadow IT dans les organisations.
00:07:09 La prise de conscience par la direction du Shadow IT et ses conséquences potentielles.
00:09:33 Les avantages et inconvénients du Shadow IT, y compris l’efficacité et les risques de sécurité des données.
00:11:17 Les impacts du Shadow IT sur la sécurité des données et des exemples concrets.
00:13:15 Les points de vue de la direction sur la prévention du Shadow IT et les solutions possibles.
00:15:25 La persistance du Shadow IT et les forces motrices qui le sous-tendent.
00:16:42 Encourager l’enthousiasme tout en gérant l’orientation du Shadow IT.
00:17:01 Éviter les énormes erreurs et les risques de sécurité.
00:18:06 Conclusion.

Résumé

Dans une interview avec Kieran Chandler, Joannes Vermorel, fondateur de Lokad, aborde le sujet du Shadow IT, un phénomène où les employés utilisent une technologie non autorisée pour pallier les lacunes des systèmes de l’entreprise. Vermorel soutient que les entreprises devraient reconnaître l’inévitabilité du Shadow IT et le gérer efficacement. Il déconseille d’éliminer le Shadow IT, car cela pourrait démotiver le personnel et freiner les solutions innovantes. Au contraire, les organisations devraient encourager les employés à dévoiler les initiatives de Shadow IT pour une gestion et une supervision appropriées. Vermorel insiste sur l’importance de maintenir la sécurité et d’éviter des erreurs majeures, comme l’exposition de données sensibles des clients. En acceptant et en supervisant le Shadow IT, les entreprises peuvent prévenir de graves erreurs, assurer la sécurité et favoriser l’innovation ainsi que la résolution de problèmes par leurs employés.

Résumé étendu

Dans cette interview, Kieran Chandler et Joannes Vermorel, le fondateur de Lokad, discutent du concept de Shadow IT, de sa prévalence dans les entreprises et des défis qu’il présente. Le Shadow IT désigne les systèmes IT installés sans l’approbation explicite de la direction, souvent en raison de la volonté des employés de travailler de manière plus efficace. Ces systèmes peuvent être difficiles à maintenir et représenter une menace pour la sécurité des données.

Vermorel explique que les entreprises modernes sont extrêmement complexes, et bien que enterprise software comme ERP et les systèmes CRM soient également complexes, ils n’englober pas toutes les subtilités d’une entreprise. Cela conduit à des lacunes opérationnelles où les systèmes existants ne répondent pas aux besoins des employés, ou lorsque la technologie en évolution rapide dépasse le rythme du IT department. Par conséquent, des systèmes parallèles, connus sous le nom de Shadow IT, émergent pour combler ces lacunes.

Fait intéressant, le Shadow IT n’est pas toujours déployé sans l’approbation de la direction. Vermorel partage son expérience avec supply chain management, où il a vu des responsables déployer leurs propres systèmes Shadow IT. Dans ces cas, le Shadow IT est géré par du personnel hors du service IT.

Le Shadow IT n’est pas exclusivement réservé à la gestion de la supply chain ; on le retrouve dans divers départements, tels que le marketing et la finance. Cependant, la supply chain est un cas particulièrement propice au Shadow IT en raison de sa nature complexe, qui nécessite de gérer de nombreuses contingences du monde réel. Par exemple, les entreprises peuvent être confrontées à des situations inattendues comme des warehouses inondés, des quantités minimales de commande (MOQ) inhabituelles de la part des fournisseurs, ou des problèmes de compatibilité spécifiques à un secteur, qui ne sont pas facilement pris en charge par les systèmes standards.

Typiquement, les systèmes de Shadow IT se composent d’une collection de feuilles Excel spreadsheets et de bases de données Microsoft Access utilisées pour traiter ces scenarios. Ils apparaissent lorsque les employés rencontrent des problèmes qui ne peuvent être résolus avec les systèmes existants ou lorsqu’il est nécessaire de suivre des informations qui ne sont pas facilement gérées dans la configuration actuelle.

Ils ont discuté de la présence du Shadow IT dans les entreprises et des implications que cela a sur l’efficacité et la gestion des données. Ils examinent les raisons de la persistance du Shadow IT et son impact sur les entreprises.

Vermorel explique qu’une des raisons de la prévalence du Shadow IT est la complexité de la réalité, qui rend difficile pour les services IT de suivre les besoins de leur personnel. Les entreprises investissent une somme importante dans l’IT, mais constatent souvent que leurs systèmes d’enterprise resource planning (ERP) sont insuffisants pour capter l’étendue totale de leurs besoins. Cela conduit les employés à recourir au “shadow IT” ou à des systèmes et processus non officiels pour combler les lacunes.

La direction de ces entreprises n’est pas toujours consciente de l’existence du Shadow IT, car les employés gardent souvent leurs solutions de contournement secrètes en raison des politiques de l’entreprise. Vermorel raconte une anecdote à propos d’un directeur supply chain qui avait mis en place sa propre base de données Access pour stocker des informations sur les fournisseurs. Cette base de données était contraire à la politique de l’entreprise, mais le directeur la trouvait utile et la gardait pour lui. Par la suite, un autre employé a également mis en place une base de données similaire sans que son supérieur ne le sache. Cela a conduit à une situation où le Shadow IT existait à plusieurs niveaux de la direction au sein de l’entreprise.

Chandler se demande si le Shadow IT est nécessairement un problème, étant donné qu’il semble rendre les employés plus efficaces. Vermorel répond que le Shadow IT peut être une arme à double tranchant. D’une part, son existence implique que les employés se soucient de leur travail et veulent améliorer leur performance. D’autre part,

Ils abordent la question du “shadow IT”, qui désigne l’utilisation par les employés d’outils logiciels non approuvés pour créer leurs propres solutions lorsque les outils existants ne répondent pas à leurs besoins. Vermorel estime que le Shadow IT est un signe d’engagement, d’imagination et de dynamisme chez les employés, tout en reconnaissant les problèmes qu’il peut engendrer.

Le Shadow IT peut entraîner une duplication du travail, des difficultés à faire évoluer et maintenir les solutions, ainsi que des préoccupations concernant la sécurité des données. Vermorel le compare à une dette technique et organisationnelle qui doit être remboursée en intégrant ces systèmes ad hoc dans l’infrastructure IT principale.

La sécurité des données est une préoccupation majeure dans le Shadow IT, car les employés peuvent stocker des informations sensibles sur leurs appareils personnels ou utiliser des méthodes informelles pour consolider les données. Vermorel cite un exemple récent d’une banque britannique ayant subi une fuite de données parce qu’un employé avait stocké des millions de dossiers clients sur son disque dur personnel. Il soutient que si de telles pratiques se généralisent, les violations de données deviendront inévitables.

Vermorel suggère que les entreprises peuvent atténuer les risques du Shadow IT en adoptant des solutions programmatiques qui offrent un équilibre entre le besoin de personnalisation et le besoin de contrôle. Lokad, par exemple, est une plateforme programmatique qui permet aux praticiens de la supply chain d’écrire des scripts personnalisés pour créer des rapports et des logiques tout en restant dans un environnement contrôlé. Cette approche permet aux employés de répondre à leurs besoins spécifiques sans recourir à des outils non approuvés.

D’autres entreprises, telles que SAP et Oracle, offrent des capacités programmatiques similaires. En adoptant ces plateformes, les organisations peuvent offrir aux employés un moyen de satisfaire leurs besoins uniques tout en maintenant le contrôle sur la sécurité des données et la maintenance des logiciels. Cela peut aider à prévenir la croissance du Shadow IT et ses risques associés.

Vermorel déconseille de mener une chasse aux sorcières pour éliminer le Shadow IT, car cela pourrait démotiver le personnel et priver l’organisation des avantages pouvant découler de l’enthousiasme et des solutions innovantes des employés. Il suggère que les organisations devraient encourager les employés à mettre en lumière les initiatives de Shadow IT, permettant ainsi à l’organisation de les surveiller et de les gérer efficacement.

L’un des aspects clés que Vermorel souligne est l’importance de maintenir la sécurité et d’éviter des erreurs significatives, comme laisser des données sensibles de clients non cryptées sur l’ordinateur portable d’un employé. Pour y parvenir, il suggère que les organisations devraient autoriser l’existence d’initiatives de Shadow IT à condition qu’elles soient supervisées par le service IT de l’organisation. Cela permettrait aux entreprises de prévenir les erreurs majeures et de garder le contrôle sur leur environnement technologique interne tout en favorisant l’innovation et la résolution de problèmes par les employés.

Joannes Vermorel recommande que les organisations acceptent l’inévitabilité du Shadow IT et se concentrent sur sa gestion efficace. En reconnaissant son existence et en assurant une surveillance, les entreprises peuvent prévenir les erreurs majeures, maintenir la sécurité et tirer parti de la créativité et des compétences en résolution de problèmes de leurs employés.

Transcription complète

Kieran Chandler : Aujourd’hui, nous allons comprendre exactement pourquoi ces systèmes sont installés et ce que la direction peut faire pour les empêcher de devenir une menace pour leur organisation. Alors, Joannes, peut-être devriez-vous nous en dire un peu plus sur ce qu’est exactement le Shadow IT.

Joannes Vermorel : Oui, les entreprises modernes sont d’une complexité incroyable, et bien que je dirais que les enterprise software sont tout aussi complexes, comme ces ERPs et CRMs, ils n’englober pas tous les détails de l’activité. Ainsi, on se retrouve fréquemment avec le système informatique principal qui fait beaucoup de choses mais pas tout. Par conséquent, les gens se heurtent à des lacunes opérationnelles lorsque le système existant ne répond pas à leurs besoins. Parfois, la technologie évolue très rapidement et de nouveaux besoins émergent, comme avec les smartphones. Soudainement, tout le monde veut avoir un accès mobile à tout, si bien que l’IT au sein de l’entreprise n’est pas toujours en mesure de suivre tout ce qui devrait être livré. En conséquence, on se retrouve avec des systèmes parallèles qui ne sont pas exactement complètement planifiés et qui sont surnommés Shadow IT.

Joannes Vermorel : De plus, d’après mon expérience dans la supply chain, ce qui est intéressant, c’est que le Shadow IT, qui peut être la définition courante, n’est pas nécessairement quelque chose qui est uniquement déployé sans l’approbation de la direction. J’ai vu de nombreuses entreprises où c’est la supply chain management qui a déployé son propre système shadow. Typiquement, le Shadow IT s’oppose à ce qui est déployé par le service IT, et parfois il est fortement entre les mains de la direction, sauf que ce n’est pas le directeur IT.

Kieran Chandler : Ce sont donc essentiellement des systèmes que les gens créent afin de mettre en place une solution de contournement et de travailler un peu plus efficacement, mais en créant leurs propres systèmes. S’agit-il seulement d’un problème de supply chain, ou est-ce quelque chose que l’on observe dans l’ensemble de l’entreprise ?

Joannes Vermorel : Je pense qu’il y a un peu de Shadow IT dans chaque département, comme en contrôle de gestion et en marketing, selon l’étendue de la configuration du CRM. Mais je soupçonne que la supply chain est un candidat de choix pour le Shadow IT. La réalité est que le monde réel est étonnamment complexe, et la supply chain consiste à gérer les contingences totalement accidentelles du monde réel. Nous avons des clients confrontés à des situations bizarres, telles que des warehouses inondés. Avez-vous une case à cocher pour indiquer que mon warehouse est inondé dans le système ? Peut-être pas. Vous pouvez avoir un MOQ bizarre de la part d’un fournisseur, exprimé par exemple en mètres de tissu par couleur. Ou peut-être que votre MOQ est simplement en unités ou en pouces, mais pas en mètres de tissu. Dans l’aérospatiale, vous avez ces compatibilités unidirectionnelles bizarres, qui sont très spécifiques et ne correspondent vraiment à aucun système.

Joannes Vermorel : Donc, vous avez toutes ces choses, et parce que le monde réel présente un flot infini d’étrangetés, les gens finissent par construire des systèmes de Shadow IT, ce qui revient généralement à décrire une forêt de feuilles Excel et peut-être quelques bases de données Microsoft Access en guise d’outils.

Kieran Chandler : D’accord, donc c’est ainsi que ces problèmes commencent en fait, parce que nous entrons dans des scénarios où ils ne peuvent pas réellement les résoudre avec leurs systèmes actuels. Est-ce ainsi que cela se produit ?

Joannes Vermorel : Oui, et parfois il s’agit simplement d’un besoin très banal de suivre certaines choses. Par exemple, comment puis-je suivre le fait que j’ai 500 fournisseurs avec des MOQ exprimés en mètres ?

Kieran Chandler : Alors, Joannes, pouvez-vous nous dire où vous enregistrez les chiffres de tissu pour votre entreprise ?

Joannes Vermorel : J’ai besoin d’enregistrer 500 numéros de tissu. Je vais créer une feuille Excel pour les contenir. C’est banal, mais je dois mettre ces données quelque part pour pouvoir les récupérer plus tard quand j’en aurai besoin. J’ai besoin de cette information lorsque je passe une commande à l’un de mes fournisseurs.

Kieran Chandler : Il semble étrange que quelque chose d’aussi simple soit négligé dans des entreprises disposant de grands services IT. Qu’en pensez-vous ?

Joannes Vermorel : Oui, c’est surprenant. Les entreprises investissent énormément dans l’IT, et c’est tellement important. Cependant, les services IT sont souvent en retard par rapport aux besoins des entreprises. La réalité de la complexité est souvent négligée. Le logiciel est censé refléter la réalité, mais c’est difficile. Beaucoup de clients que nous avons possèdent un ERP avec plusieurs milliers de tables, mais seulement la moitié de ce dont ils ont besoin. Le besoin évolue également constamment, ce qui rend la situation complexe.

Kieran Chandler : Cela semble effectivement complexe. Qu’en est-il des entreprises comme ACP, qui tentent de capturer la complexité de tous les secteurs réunis ?

Joannes Vermorel : Même avec des décennies d’investissements très importants de l’industrie IT, la réalité est qu’il existe encore d’innombrables lacunes à combler. Le Shadow IT reste omniprésent.

Kieran Chandler : La direction est-elle au courant de ces solutions de contournement, ou est-ce un secret qui se trame en sous-sol ?

Joannes Vermorel: Je me souviens en avoir discuté avec un directeur supply chain il y a quelques années. Il disposait d’informations sur des fournisseurs qui n’existaient dans aucun autre système. Lorsque je lui ai demandé d’où provenaient les données, il m’a montré sa propre base de données Access. Il l’avait configurée de manière astucieuse, mais cela allait à l’encontre de la politique d’entreprise. Il la gardait pour lui. Par la suite, nous avons découvert qu’il existait des fournisseurs non couverts par sa base de données, mais nous avions quand même l’information. Lorsque nous avons interrogé la personne qui travaillait sous ce directeur, il a dit qu’il avait créé sa propre base de données Access, et que son patron n’en était pas informé. Il y avait une IT de l’ombre dans l’IT de l’ombre. C’était amusant de réaliser à quel point c’était omniprésent et récursif.

Kieran Chandler: Cela ressemble à une duplication du travail, mais est-ce un problème ?

Joannes Vermorel: L’IT de l’ombre est une arme à double tranchant. Le simple fait de son existence signifie que les gens tiennent à leur travail et veulent faire les choses mieux.

Kieran Chandler: Ils veulent être plus efficaces, quitte à tout faire. Et s’il n’existe pas d’outils adéquats, alors ils vont simplement créer leurs propres outils, ce qui, je crois, est un signe que les gens sont engagés, un peu motivés et imaginatifs. Je veux dire, ce sont toutes des qualités très positives. Donc, ça se produit. Je veux dire, beaucoup des entreprises avec lesquelles nous travaillons, qui sont rentables, à forte croissance, etc., ont ce genre d’appétit pour la stabilité. Je ne dirais donc pas nécessairement que c’est une si mauvaise chose, en effet.

Joannes Vermorel: Le problème, c’est qu’on se retrouve avec beaucoup de travail dupliqué, que cela ne s’adapte pas bien à l’échelle, que c’est à peine maintenable, et qu’en termes de sécurité des données, c’est un petit cauchemar. Il y a beaucoup de problèmes qui n’attendent qu’à surgir. À mon sens, c’est un peu comme une dette technique que l’entreprise s’est contractée envers elle-même, une dette organisationnelle où tous ces systèmes font fonctionner l’entreprise, et il y a des dettes qui doivent être remboursées en intégrant correctement toutes ces découvertes et processus dans l’IT standard de manière à ce qu’ils puissent être rationalisés et maintenus au cours des prochaines décennies.

Kieran Chandler: Vous avez mentionné la sécurité des données. Comment ces outils peuvent-ils avoir un impact sur l’ensemble d’une entreprise ? Nous avons vu dans les nouvelles, je pense qu’il y a quelques semaines, qu’une banque au Royaume-Uni avait connu une fuite parce qu’un employé détenait les données de millions de clients sur l’un de ses disques durs personnels.

Joannes Vermorel: Le simple fait qu’un seul employé puisse détenir des copies étendues de bases de données contenant des millions de clients sur son ordinateur personnel est un désastre qui n’attend que de se produire. Il n’y a aucune situation où, si vous faites cela une fois, peut-être aurez-vous de la chance et il n’y aura pas de désastre, mais si cela devient une pratique, la probabilité qu’un désastre se produise au fil du temps est proche de 1. Donc, cela arrivera ; ce n’est qu’une question de temps. Dès que les gens commencent à consolider des bases de données d’une proportion significative et qu’ils le font de manière complètement informelle avec leurs propres bases de données bricolées sous Excel ou Microsoft Access, la fuite se produira. S’il s’agit d’une base de données de fournisseurs ou de SKUs, eh bien, c’est acceptable. Si ces derniers sont divulgués, ce n’est pas grave, ce n’est pas personnel, ce ne sont pas des données super sensibles. Évidemment, vous pourriez légèrement agacer quelques fournisseurs en divulguant ce qui fait partie de l’accord qu’ils ont négocié avec vous, mais dans l’ensemble, cela reste un problème modeste. Mais dès que vous commencez à stocker des bases de données de clients, oui, cela peut être très grave.

Kieran Chandler: Voyons les choses d’un point de vue managérial. Y a-t-il quelque chose qu’ils peuvent faire pour empêcher que cette IT de l’ombre se produise ? Que peuvent-ils faire pour empêcher leur personnel de prendre ces questions en main ? Je veux dire, en toute promotion sans vergogne, Lokad peut contribuer à la solution.

Joannes Vermorel: L’une des idées est de disposer de solutions programmatiques, des plateformes programmatiques. Par exemple, l’une des manières dont Lokad répond à ce besoin est que Lokad lui-même est une plateforme programmative. Qu’est-ce que je veux dire par là ? Je veux dire qu’un praticien de la supply chain, s’il a…

Kieran Chandler: Lokad permet aux utilisateurs d’écrire des scripts personnalisés pour les rapports et la logique, rendant la plateforme accessible aux utilisateurs avancés d’Excel. Comment cela répond-il à la problématique des besoins en IT de l’ombre au sein d’une entreprise ?

Joannes Vermorel: En offrant des capacités programmatiques, Lokad et des plateformes similaires permettent aux équipes de créer leurs propres extensions tout en restant dans un environnement IT géré. Cela garantit que des pratiques de sécurité sont en place, contrairement à recourir à des méthodes non sécurisées comme le partage de feuilles Excel ou de bases de données Access sur des dispositifs non protégés.

Kieran Chandler: Alors, étant donné que l’IT de l’ombre est un phénomène conduit par l’humain, pensez-vous que nous pourrons un jour l’éliminer complètement ?

Joannes Vermorel: Je crois que l’essentiel est de comprendre les forces motrices derrière l’IT de l’ombre. Les entreprises évoluent constamment, et les systèmes IT seront toujours en retard dans une certaine mesure. Ce n’est pas que l’IT soit mauvaise, mais parvenir à un système entièrement maintenable et de qualité production prend du temps. D’abord, nous devons accepter que l’IT de l’ombre est là pour rester, et au lieu d’essayer de l’éliminer, nous devrions accueillir l’enthousiasme de nos employés pour améliorer les processus. Nous devrions les orienter vers des solutions plus gérées et surveiller leurs activités pour éviter les erreurs majeures, comme des bases de données clients non cryptées sur des ordinateurs portables perdus.

Kieran Chandler: Donc, les entreprises devraient tolérer l’IT de l’ombre dans une certaine mesure, mais sous une stricte supervision par les départements IT afin d’éviter des erreurs significatives ?

Joannes Vermorel: Exactement. Si vous interdisez complètement l’IT de l’ombre et menacez de renvoyer les contrevenants, les gens ne vous informeront tout simplement pas de leurs actions. Il vaut mieux la tolérer à condition qu’elle soit supervisée par l’IT, afin qu’ils puissent empêcher de grosses erreurs de se produire.

Kieran Chandler: Super, merci pour votre temps aujourd’hui, Joannes. C’est tout pour cette semaine. Merci d’avoir suivi, et nous nous retrouverons la prochaine fois. Au revoir pour l’instant.

Joannes Vermorel: Merci et au revoir.