20 février 2023 eric

Le shadow IT du franchisé : menace ou opportunité pour le franchiseur ?

SOMMAIRE

Le shadow IT (ou rogue IT ou informatique parallèle) désigne l’utilisation de systèmes informatiques, de logiciels / applications, de services et d’appareils sans l’approbation explicite de la DSI.

Si sa pratique ne date pas d’hier, elle a explosé ces dernières années notamment grâce au cloud. Bien qu’aidant la productivité des salariés, elle pose de nombreuses questions de sécurité.

Qu’en est-il si vos franchisés y recourent ? Ce n’est pas parce que vous n’êtes pas régis par une relation hiérarchique que des problèmes ne se posent pas :

Votre recherche d’homogénéité pour votre chaîne réseau est-elle compatible avec l’indépendance et le besoin d’agilité de vos partenaires ? Et quelles seront les conséquences d’un tel phénomène ? Faut-il lutter contre ou l’accepter ? Et dans quelles limites ? …

Franchiseurs, Axe Réseaux vous sensibilise aux enjeux et opportunités du shadow IT, et vous propose un manuel de survie avec ce phénomène, parti pour perdurer.

Bonne lecture,

I/ Contexte, applications et ampleur du shadow IT

1/ Contexte

Le shadow IT ne sort pas de nulle part. Pratiqué à la Monsieur Jourdain depuis des lustres, s’est accéléré avec la digitalisation, et procède de nombreuses tendances :

  • Besoin de travailler plus vite et plus efficacement,
  • Evolution des usages IT professionnels : Saas, Cloud computing, gratuité ou freemium de nombreux applicatifs, usage du DIY et du BYOD, application de nos préférences personnelles aux outils de travail…
  • L’image de DSI pas toujours à la hauteur de leur rôle de business partner, lorsqu’elle se montrent freinantes, peu réactives par manque de ressources, voire incapables de soutenir l’évolution des métiers.

Sans surprise, 35% des employés ont la sensation de devoir contourner les règles de sécurité de leur entreprise pour pouvoir travailler.

2/ Domaines d’application de l’IT parallèle

La applications Saas engendrant du Shadow IT relèvent de 3 grandes catégories :

Catégorie

Outils

Productivité

• Des outils comme Trello ou Hive, pour assigner des tâches et suivre l’avancement de projets.

• Des applications de productivité éditoriale pour les réseaux sociaux comme Hootsuite, ou d’aide à la qualité rédactionnelle comme Grammarly.

Communication

• Des outils collaboratifs (Slack), ou de visioconférence et de partage d’écran (Zoom, Webex).

Collaboration

• Des outils de partage de fichiers lourds (Dropbox, OneDrive), mais aussi de travail d’équipe (GoogleDocs).

Voir le cas d’usage du groupe Alain Afflelou

A cela, s’ajoutent différentes catégories de matériels : serveurs, PC et laptops, tablettes, smartphones et disques durs externes.

3/ Ampleur du phénomène et conséquences pour un réseau de franchise

Quelques chiffres :

-Seuls 15 % des achats d’applications Cloud sont réalisés par les équipes informatiques ;

-80% des employés admettent utiliser ou avoir déjà utilisé des applications Saas non approuvées ;

-8% seulement des multinationales pensent avoir une idée du nombre d’applications non gérées qu’elles utilisent ;

-77 % des informaticiens estiment que les entreprises pourraient obtenir un avantage concurrentiel si elles géraient leur shadow IT .

La plupart des collaborateurs ne pratiquent pas le shadow IT par malice, simplement par recherche de productivité personnelle. Si les risques encourus sont largement inconscients, les processus tournant officieusement sont malheureusement hors de contrôle des DSI.

Et dans les réseaux, la marge de manœuvre du franchiseur est encore plus ténue. En effet, il existe moins d’outils contraignants qu’en environnement intégré, et un excès de cadrage exposerait dangereusement le franchiseur au risque d’ingérence.

Pour autant, ce dernier a d’incompressibles besoins de pilotage s’il veut garantir l’homogénéité de fonctionnement du réseau, l’intégrité de sa marque, et suivre l’ensemble des performances.

Abordons les avantages et les risques de cette informatique parallèle.

II/ Avantages et risques du Shadow IT

1/ Les avantages

  • La productivité : en choisissant certains outils non identifiés comme obligatoires par son enseigne, le franchisé se montre plus réactif et agile à ses besoins d’exploitation. Une liberté qui concourt à son épanouissement d’indépendant ;
  • La créativité de vos franchisés : l’usage d’outils que l’on a choisis et avec lesquels on a des réflexes est nature à la libérer ;
  • L’engagement : à l’instar de la QVCT du salarié, un franchisé satisfait de son l’enseigne renouvellera plus volontiers son contrat, voire se multi-franchisera. Et qui sait, demain une certaine latitude informatique s’invitera peut-être dans la négociation précontractuelle, comme l’est le télétravail pour un salarié ;
  • La préservation des ressources : en étant moins sollicitée et débordée de tickets, la DSI – plus modeste dans les structures en réseau que dans les grands groupes, peut privilégier des projets à plus forte valeur ajoutée.

2/ Les risques et limites

  • De sécurité : 60 % des entreprises ne pensent pas au Shadow IT lorsqu’elles évaluent les menaces informatiques. Ainsi, l’usage de solutions de partage de fichiers non homologuées par la DSI peut faciliter des cyberattaques occasionnant des fuites de données. Et même par simple maladresse, l’IT parallèle fait peser des risques en matière de qualité, de fiabilité et de partage accidentel de données sensibles. De toute façon si vos services ignorent l’usage d’une application, ils ne pourront assurer la sauvegarde de ses data ni en assurer la maintenance ;
  • De coûts : une attaque subie par ransomware expose au paiement de rançon sous peine de divulgation. Aux États-Unis, une fuite de données coûte en moyenne 8,19 millions de dollars à une entreprise. Même sans aller aussi loin, le shadow IT génère un gaspillage budgétaire en engendrant des surcoûts de licences (sous-utilisation, redondance, remises manquées…). D’ailleurs dans le cas d’un réseau de franchise, la puissance d’achat de la centrale est tout simplement bypassée ;
  • De conformité : un salarié stockant des données de son entreprise sur son compte Dropbox personnel en compromet la confidentialité, et la met en situation d’infraction vis-à-vis du RGPD. Dans la relation franchisée, ce risque est moindre heureusement ;
  • De performance :des technologies et applications non autorisées affectent la bande passante de l’organisation, créent des conflits de protocoles et de configurations. Elles multiplient les téléchargements de fichiers, mais aussi les emplacements de stockage, créant alors des silos de données qui freinent la circulation de l’information. Enfin, si l’utilisateur d’un outil en shadow n’en effectue pas les MAJ nécessaires, cela devient problématique.

Pour ou contre, vous avez du mal à faire la balance ? Partagez-nous vos questions !

III/ Eléments de réflexion et mise en perspective

Difficile d’avoir une position tranchée face au shadow IT franchisé, tant le phénomène est ambivalent.

La décentralisation du réseau est un atout. Plus un système d’information est intégré et complexe, plus un « corps étranger » découlant du shadow IT est source de perturbations.

Ensuite, les dommages du shadow IT des franchisés sont moins directs, même s’ils sont conséquents : compromission de la capacité de service de la tête de réseau et réputation de la marque enseigne.

Pour autant et à défaut de pouvoir hiérarchique, les franchiseurs ont quand même un besoin de contrôle. Les indicateurs référents qu’ils instituent, les outils pour les suivre et leur politique d’animation servent cette finalité. Sans pratiques homogènes, les indicateurs communs perdent en signification et il est difficile de connaître la situation de chaque unité en temps réel. Si chaque franchisé utilise son propre langage, le jeu des données communes se rétrécit, entravant les capacités analytiques et décisionnelles du franchiseur.

Tant que le shadow IT a des implications « sous le radar » et qu’il remédie des lacunes fonctionnelles ou de service de la part du franchiseur, on ne peut le blâmer. Rappelons que pour une jeune enseigne, le shadow IT… c’est aussi la règle ! Quand rien n’a encore été prévu, par insuffisance d’expérimentation, l’initiative du franchisé fait temporairement foi, en attendant une normalisation future. Seuls le temps et l’expérience enseignent aux réseaux de quels outils IT ils ont vraiment besoin, surtout les plus éloignés de leur cœur de métier. Le rogue IT les accompagnera donc structurellement, surtout s’il croissent vite. Mais lorsque le phénomène atteint un seuil ou une échelle contrariant la capacité de pilotage du réseau et compromettant son homogénéité, alors le franchiseur doit reprendre la main…

… Jusqu’à un certain point seulement, car il n’est pas question de jouer la surenchère sécuritaire : ses moyens de coercition sont limités (risque d’ingérence), et l’on ne peut pas comparer la capacité d’un réseau de franchise à surveiller son parc, à celle d’un groupe intégré. Au contraire, les franchiseurs ont intérêt à préserver leurs cartouches pour d’autres sujets potentiels de conflit !

Il est intéressant de voir que le shadow IT pose la question des frontières informatiques d’un réseau de franchise : Quelles sont-elles ? Qu’est-ce qui est fondamental et qu’est-ce qui peut être géré en subsidiarité ? Qu’est-ce qui est personnalisable ou substituable sans trop de risques ? Idéalement, il faudrait distinguer plusieurs catégories d’applicatifs et usages : ceux qui sont « régaliens », les « légitimes », les « tolérés », les « discutables » et enfin les « proscrits ». Et il appartient à chaque tête de réseau de réfléchir pour son métier et dans l’intérêt de son concept, à établir un recensement précis de ces catégories.

Ces réflexions vous inspirent ? N’hésitez pas à rejoindre la conversation sur LinkedIn !

IV/ Manuel de survie avec le shadow IT 😊

Ne rêvons pas, le shadow IT existera toujours. Pour tirer parti du phénomène et le subir le moins possible, Axe Réseaux vous partage ces repères méthodologiques :

#1 – Si elle n’existe pas encore, créez une instance dédiée

  • Légitime, elle doit suffisamment représenter les franchisés ;
  • Elle doit homologuer les nouvelles applications et suivre régulièrement l’état du shadow IT ;
  • Elle doit se réunir suffisamment régulièrement pour que ses travaux aient un effet ;

#2 – Assignez-lui de définir une politique des risques supportables pour votre réseau

  • Cette politique peut s’appuyer sur le découpage en 5 natures d’applicatifs et usages précité (régaliens / légitimes / tolérés / discutables / proscrits) ;
  • Limitez autant que vous pouvez votre exposition au cloud, même si c’est compliqué pour une organisation décentralisée ;
  • Votre « containment » du shadow IT doit se décliner par typologie de postes, d’usages et de risques associés ;
  • En corollaire à une certaine tolérance, renforcez la sécurité et l’intégrité de vos données comme le cryptage ou une limitation de l’accès aux data sensibles ;
  • Instituez un protocole d’acceptation et d’achat des solutions IT tierces. Les franchisés ou leur collaborateurs doivent en démontrer leur utilité dans leur travail ;
  • Et à titre préventif, encouragez l’ « hygiène informatique » de vos franchisés : en amont (cf. la charte des usages) comme en continu (actions de formation, communication récurrente, culture de responsabilisation…) ;

#3 – Programmez un audit initial de votre parc applicatif

  • Sondez votre réseau par enquête globale ou au cas par cas via les animateurs, pour savoir pourquoi vos franchisés optent pour des solutions non officielles ;
  • Veillez à ce que cet audit soit exhaustif et récurrent ;

#4 – Créez votre catalogue d’apps homologuées

  • Il doit constituer une base suffisamment opposable à vos partenaires ;
  • Il peut reprendre la catégorisation précitée ;
  • Privilégiez les applications no-code rapides à déployer et évolutives ;
  • Plus vous êtes force de proposition (pertinente), plus le réseau rentrera de son plein gré « dans la seringue ». Cela vous donnera aussi un argument de poids dans le recrutement de nouveaux franchisés ;
  • Publiez-en chaque année une mise à jour (cf. point 7) ;

#5 – Formalisez votre policy dans une charte des usages

  • Annexez-lui votre catalogue applicatif ;
  • Pour lui donner une base juridiquement opposable, annexez la charte à votre contrat-type de franchise ;
  • Pour lui donner une base métier opposable, abordez le sujet en formation et annexez la charte à votre manop ;

#6 – Surveillez votre parc en continu

  • Plutôt que fermer par principe l’accès aux applications tierces, organisez la surveillance continue de votre parc par des outils dédiés. Ils fourniront à votre DSI le nom des services cloud utilisés par vos franchisés et signaleront les risques de sécurité potentiels en découlant ;
  • Une surveillance automatisée de votre portefeuille peut se faire grâce à des plateformes de gestion des actifs logiciels ;
  • Incluez votre faculté de surveillance dans votre contrat-type, après consultation de votre avocat-conseil ;

#7- Réalisez une mise à jour périodique de votre policy

  • Faites une review annuelle des solutions du marché, pour mettre à jour votre catalogue et votre charte ;
  • Communiquez-la au réseau par vos différents canaux : intranet, push mail, annonces par les animateurs, convention annuelle… ;
  • Répercutez-le dans les versions en vigueur de votre contrat-type et de votre manop ;

#8 – Menez l’acculturation interne

  • Communiquez en interne de manière volontariste et continue sur le sujet : par exemple, une mise en lumière de pratiques acceptées Vs pratiques proscrites.

Notre approche vous intéresse et vous aimeriez la mettre en oeuvre ? Parlons-en !

Conclusion

Le Shadow IT a ceci de perturbant qu’il est autant un angle mort – source de risques et de menaces, que la source d’un cercle vertueux.

Plus que jamais, le franchiseur doit distinguer le bon Shadow IT du mauvais, et trouver une position juste. A lui de cadrer ce qui est essentiel voire important pour le collectif, et aux franchisés de prendre leur espace en termes d’usages IT, dans les limites des garde-fous suggérés dans nos recommandations.

  • Axe Réseaux accompagne les réseaux dans l’évolution de leurs usages de toutes sortes : soumettez-nous votre cas et nous saurons vous aiguiller dans un éventuel projet.
  • Que vous doutiez ou partagiez mon point de vue, n’hésitez pas à entamer la discussion en commentaires, ou sur la page LinkedIn Axe Réseaux.
  • Enfin, retrouvez sur notre chaîne Youtube notre mini-série sur les fonctions clés des réseaux de franchise.