C'est ce qui m'est arrivé cette semaine en voyant circuler dans un tweet une infographie de Thomas Chejfec sur le "shadow IT" et de le contacter via Twitter pour lui proposer d'écrire ensemble un article sur GreenSI. Et une semaine plus tard de le rencontrer "in real life" par hasard, a la cérémonie de remise du prix du DSI de l'année (01Business&Technologies). Car Thomas, DSI du groupe ALDES entre 2007 et 2012, a été DSI de l’année 2010 catégorie PME. Actuellement il suit un programme "executive" à temps partiel à HEC où il défriche dans le cadre de son mémoire le "Shadow IT: de la menace à l’opportunité”.
Son infographie présente le résultat d'une enquête qu'il a menée auprès de 129 "managers IT" sur le thème du "Shadow IT", ou l'informatique invisible, car conçue et utilisée sans autorisation de la Direction, et suivez mon regard, sans implication de la DSI. On parle bien sûr des applications sous Excel, des bases de données fantômes, d'ordinateurs ou de terminaux achetés dans le commerce et non déclarés à l'inventaire et même d'ERP... qui impacteraient le fonctionnement de l'entreprise s'ils venaient à disparaître.
"Shadow IT" est une terminologie apparue il y a 5 ans, mais qui révèle un phénomène bien plus ancien, peut être apparu avec les premiers ordinateurs individuels dans les entreprises, qui ont laissé une liberté infinie aux utilisateurs par rapport aux terminaux de sites centraux (mainframes). Surtout avec l'arrivée consécutive des logiciels bureautiques (Lotus 123, Wordperfect... puis Microsoft Office, sans oublier Access) directement dans les mains des utilisateurs. Cette "liberté" fut même le thème très porteur du marketing de Microsoft à l'époque et aussi d'un certain Apple qui fabriquait des Macintoshs...
Le schéma ci-après représente le pourcentage de fois où le terme est cité comme exemple de Shadow IT. En tête, les macros Excel mais aussi des phénomènes plus récents comme le BYOD - Bring Your Own Device - qui lui a été dopé par le développement des réseaux 3G et du Cloud.
Informatique fantôme, mais besoins réels
Au-delà des chiffres, ce qui intéresse GreenSI dans ce phénomène, c'est le côté révélateur à la fois du fossé qu'il peut y avoir entre une DSI et des besoins de l'entreprise... ou du moins de certains utilisateurs. Et donc l'effort de transformation a accomplir côté DSI mais aussi utilisateurs, pour le combler et profiter pleinement du potentiel des technologies informatiques. Car certes, les initiatives des utilisateurs au plus près des besoins peuvent être perçues comme de l'innovation et en sont certainement parfois, mais n'oublions pas qu'elles font aussi courir un risque à l'entreprise, par exemple en cas de départ des petits génies. C'est donc la charnière création-industrialisation qui doit fonctionner et pas uniquement création ou industrialisation.Les chiffres de l'étude montrent cependant que le phénomène est plus développé dans les structures où le ratio "effectif DSI / effectif total" est le plus faible (pour 50% des sociétés avec du Shadow IT, ce ratio est inférieur a 2%). Ce qui tend a montrer que finalement c'est aussi un indicateur de dimensionnement de la DSI. Si la DSI n'existe plus, les utilisateurs vont la recréer!
Une évidence dans les petites PME où la DSI n'existe pas. Et j'ai même rencontré dans ma carrière une société où le Directeur Financier était le père du SI facturation et comptabilité et le mettait à jour le week-end. Remplacer son SI par un progiciel pouvait être perçu comme un acte d'infanticide, pas toujours simple à gérer... Pour une PME entre 50 et 100 personnes, le seuil de structuration de la DSI et de gouvernance du SI est atteint, et des décisions doivent être prises par la DG.
Le cas d'Excel est intéressant. Où est la limite entre un simple tableur financier et une application masquée de reporting des comptes aux marchés financiers?
Et pourtant si une erreur se glisse dans ce dernier, c'est le cours de l'action qui peut chuter... et les auditeurs financiers avec. Des auditeurs qui n'aiment d'ailleurs pas que des états sortent de tableurs qu'ils seraient censés auditer et certifier, comme ils le font avec les applications. Dans ma DSI ce sont même les demandes de changement et de mise en production des applications sensibles qui sont auditées. Sur Excel a part la date de création et la dernière date de modification du fichier on ne peut pas dire grand chose de plus. Et combien de CRM, de gestion de stocks voire de facturation sont sous Excel?
Certainement beaucoup, car la Finance avec les Services aux professionnels, sont les deux secteurs qui ressortent du sondage comme les plus friands en ShadowIT.
Mais ces tableurs, à l'apparence anodine, ne sont pas en dehors de la loi de la pesanteur informatique: la montée de version. Car même Excel change de version et la compatibilité ascendante n'est pas toujours assurée sur les macros. Et quand elle l'est, la bonne gouvernance voudrait qu'elle soit testée. Or c'est là que le bât blesse, car comment tester des milliers de tableurs sous Excel, non répertoriés et reposant sur des utilisateurs dont ce n'est pas toujours uniquement la seule activité. Les DSI encore sous XP/Office 2003 savent bien que le passage à 2007 et surtout à 2010 (et bientôt 2013), amène des changements importants pour les utilisateurs avec le risque de saturer leur helpdesk. Alors tant qu'Office 2003 marche... mais une vrai bombe a retardement dans certains cas.
Pour la Business Intelligence c'est un peu le même sujet, avec cette fois-ci la problématique d'être sûr que les données que l'on analyse et que l'on a prises dans les applications (sans demander) sont les bonnes et donc que les décisions que l'on prendra avec aussi. Car les applications sources évoluant, il n'est pas rare par exemple que l'on décide, de ne plus mettre les avoirs dans le fichier des factures, mais dans un fichier à part, et le décisionnel qui continue sans le savoir à lire un seul fichier devient faux.
Pour le Cloud c'est clairement la désintermédiation de la DSI qui est en jeu. Et là la DSI doit réagir en proposant de "légaliser" le système et en y amenant plus de sécurité, notamment sur les droits d'accès. Car des droits d'accès des applications contenant les données de l'entreprise, gérés par des fournisseurs, il n'y a pas besoin de lire des romans d'espionnage pour comprendre que c'est très risqué et sans trace d'audit.
Pour le BYOD, les utilisateurs veulent reprendre la main sur les outils de leur productivité et de leur collaboration. L’informatique personnelle que l’on achète en supermarché est souvent plus puissante que celle fournie par l’entreprise. La réponse de la DSI devrait être de proposer le BYOD, avec le contrat entre le SI et l'utilisateur qui va bien et de donner a chacun ses responsabilités. Une action vue par GreenSI comme un très bon moyen de gagner en image auprès des utilisateurs, qui en plus ne demandent qu'a payer leurs terminaux et à la DSI juste de les homologuer.
Vers une nouvelle répartition des tâches entre DSI et utilisateurs?
D'un autre côté la DSI est bien contente qu'on ne vienne pas la chercher pour gérer ces applications visiblement nombreuses et presque à traiter au cas par cas avec chaque utilisateur. Car c'est bien la limite d'un modèle DSI très centralisé.Et si c’était le message porté par le développement du "shadow IS team", cet utilisateur qui assure le support informatique autour de lui avec pour seul bénéfice la reconnaissance de ses collègues.
Avec le développement des compétences informatiques chez les utilisateurs depuis les années 2000, pourquoi ne pas imaginer un support en réseau impliquant aussi les utilisateurs. Par exemple en utilisant un réseau social d'utilisateurs comme remontée d'information et chercher a stimuler l'entraide efficace entre utilisateurs, tout en restant vigilant pour faire intervenir le support au bon moment. Le modèle du centre d'appel centralisé a peut être vécu. Le support de Free avec des clients qui mettent eux même à jour les FAQ quand de nouveaux terminaux sortent, doit quand même faire réfléchir. Et pourquoi pas un bouton "Feedback" sur chacune de nos applications comme on le trouve sur les sites internet pour automatiser ce lien entre le moment où l'utilisateur à besoin de support (où à une idée) et cette communauté de support mêlant DSI et utilisateurs?
Autant d'idées qui montrent qu'il est peut-être urgent de repenser les responsabilités de la DSI, d'en partager clairement certaines avec les utilisateurs et d’entamer le dialogue avec les métiers, mais surtout avec chaque utilisateur. Le temps des utilisateurs illettrés numériques est peut être révolu et avec le lancement du "plan numérique pour l'école" par Vincent Peillon cette semaine, les nouvelles recrues le seront encore moins.
Alors prêt à partager des responsabilités avec les utilisateurs ?
En attendant, je vous laisse découvrir l'infographie et le blog de Thomas (en cliquant sur l'image) :