En 2024, le shadow IT est un terme surtout employé par les entreprises pour dénoncer la prolifération incontrôlée des SaaS - aussi appelée SaaS Sprawl en anglais.
En quelques mots : chaque employé peut installer des logiciels accessibles en ligne. Or ils ne réalisent pas toujours les implications en termes de sécurité et de confidentialité des données.
Le shadow IT pose historiquement un problème aux grandes entreprises (>1000 employés) pour lesquelles les équipes IT gèrent un parc étendu de licences logiciel et matériel informatique.
Mais avec l’avènement du cloud, même les plus petites entreprises (dès 50 salariés) sont exposées à cette contrainte. En effet, les abonnements SaaS s’accumulent sans traçabilité.
Et il en va de même pour le budget de ces apps et outils en ligne qui est devenu conséquent !
Comment contrôler le budget de ces abonnements logiciels ? Quels sont les exemples de shadow IT qui peuvent concerner les entreprises ? Et à quels risques peuvent-elle être exposées ?
Voici 6 exemples de shadow IT que LicenceOne a identifiés chez ses clients, et les solutions qui ont été mises en place pour le limiter.
Le format d’abonnement des SaaS permet un coût d’entrée relativement faible. Donc leurs achats sont perçus comme anecdotiques.
Par conséquent, les demandes d’un employé à son supérieur sont très souvent validées rapidement. Car il ne s’agit “que de quelques dizaines d’euros par mois”.
Cette situation devient un cas de Shadow IT quand aucune procédure n’existe pour prévenir, partager et suivre l’information en interne. Et plus précisément par les responsables de la sécurité.
Les employés - parfois au sein de la même équipe - souscrivent à des abonnements de logiciels qui font la même chose (chevauchement de fonctionnalités) ; et parfois même à des SaaS identiques sans forcément savoir qu’il sont déjà utilisés dans l’entreprise (!)
De nombreux éditeurs de logiciels proposent des prix qui dépendent du nombre d’utilisateurs.
Lorsque l’usage le permet, il est alors tentant de partager une adresse email générique et le mot de passe associé.
L’intention est également louable car c’est une certaine économie pour l’entreprise : tout le service marketing utilise le même compte avec l’adresse “communication@entreprise.com”
Mais le problème associé est qu’on ne maîtrise plus les accès ! Il y a même un risque que des externes aient la possibilité de s’identifier au logiciel.
Résoudre un problème de budget pour créer un risque de sécurité… Mauvais calcul.
Les pièces jointes aux emails sont rapidement limitées par leur volume.
Afin de contourner cette contrainte, les employés utilisent souvent des solutions tierces, avec des liens publics expirables. Comme WeTransfer, Smash, etc.
Une autre pratique consiste à donner des accès aux outils de stockage de l’entreprise. Qu’il s’agisse du DAM (Digital Asset Management), d’une Dropbox ou d’un Google Drive.
Les risques sont alors nombreux car on parle de la donnée de l’entreprise qui - une fois transmise - n’est plus traçable.
Certes des options de droit d’accès, de watermarking, et de tracking sont proposées par certains des outils cités plus haut ; mais encore faut-il savoir qui les utilisent, et surtout s’ils respectent ces bonnes pratiques.
Certains SaaS sont utilisés par essence pour stocker, ordonner ou publier des données pour l’entreprise. Un CRM, un logiciel de comptabilité, ou encore un outil de design par exemple.
Dans la plupart des cas d’usage, les SaaS vont avoir besoin d’accéder à de la donnée. Ces accès sont soumis à autorisation et - dans le cas de données tierces à caractère personnel - font l’objet d’une réglementation : le data processing agreement du RGPD.
En d’autres termes, certaines données de l’entreprise sont mises à disposition dans les SaaS utilisés par les équipes.
Au même titre que l’exemple précédent : le risque sous-jacent intervient lorsque l’équipe IT n’a pas l’information des accès et des droits à ces logiciels.
Une intégration entre plusieurs applications distinctes leur permet de communiquer, de partager des données.
Une information ajoutée ou actualisée dans une base de données peut alors déclencher des mises à jour, des routines, des événements au sein d’autres SaaS de l’entreprise.
Ces intégrations ne nécessitent pas toutes des compétences techniques. Un accès administrateur suffit pour un logiciel en mode SaaS qui propose des intégrations natives.
Pour s’assurer de la destination des données à partager, les SaaS demandent des clefs d’identification (API keys) accessibles dans les paramètres.
Quels risques dans ce cas ?
Une fois l’intégration paramétrée, la data est transférée, avec des tâches qui peuvent continuer même si la personne qui a paramétré l’intégration n’a plus de compte.
En plus d’être difficiles à tracer, ces flux ne nécessitent plus d’intervention ou de statut spécifique des utilisateurs qui les ont paramétrés.
Bref, une véritable trappe par laquelle des données sensibles peuvent fuiter.
Les logiciels évoluent au gré de leurs mises à jour. Souvent pour proposer de nouvelles fonctionnalités aux utilisateurs, mais aussi pour remédier à des erreurs (les bugs), ou à des failles de sécurité.
Ces dernières sont repérées à l’usage, ou en testant volontairement les mécanismes de protection et de sécurité.
Version après version, grâce aux mises à jour, les éditeurs peuvent garantir un niveau de sécurité toujours plus élevé.
Cette thématique et le risque de piratage sont bien connus des services informatiques. Mais les mises à jour ne sont pas un réflexe parmi tous les utilisateurs.
Ces retards ou manquements compromettent donc la sécurité des accès lorsque les licences ne sont pas à jour.
Malgré les risques listés plus haut, une politique trop contraignante pour l’ensemble des employés peut aussi avoir des aspects négatifs.
L’usage des solutions SaaS a aussi permis aux employés de gagner en productivité, ou même d'améliorer les ventes.
L’idée est de trouver un juste équilibre entre :
A vous de définir un cadre autour des abonnements logiciels : la politique de SaaS Management de l'entreprise.
Ce n’est pas une recette de cuisine à suivre à la lettre. Vous allez devoir l’ajuster au contexte de votre entreprise. Nous vous livrons ici les grandes lignes comme autant de pistes pour mettre en place une politique interne de SaaS management.
Et pour vous aider, vous pouvez consulter ces 2 ressources gratuites :
Voici les 4 étapes principales :
1/ Définir une source de vérité unique pour le suivi des dépenses
2/ Attribuer des responsables de suivi
3/ Gérer les accès salariés : onboarding et offboarding
4/ Suivi réglementaire et conformité
A vous d’établir la politique interne qui sera pertinente au contexte de votre entreprise. Il est important de définir les bonnes pratiques et d’engager les équipes.
Les employés doivent comprendre les implications financières, réglementaires et sécuritaires. Cela pourra orienter leurs choix d’applications en ligne et l’usage qu’ils en font.
Dans un article dédié et régulièrement mis à jour, nous avons réuni les 23 meilleures solutions de SaaS Management.
En résumé, nous distinguons 3 types de plateformes selon les besoins
L’objectif est de répondre aux questions “combien d’apps sont utilisées en interne ? Et quel est le budget associé ?”.
Ces outils surveillent les dépenses et traquent l’usage effectif (ou pas) des SaaS.
LicenceOne - Toutes les applications, leur coût, et les usages en moins de 15 minutes
Cledara - Centralise l’information via des cartes d’achat à utiliser pour souscrire aux SaaS
Trelica - Offre une fonctionnalité de feedback interne pour impliquer les utilisateurs
Cette catégorie va se focaliser sur les économies à réaliser grâce à des acheteurs externalisés. Ils proposent un service de négociation auprès des éditeurs de logiciel.
Vendr - le leader qui propose des deals pré-négociés sur leur marketplace
Welii.io - un acteur français dont le modèle garantit des économies et un ROI
Sastrify - dont la plateforme centralise également les contrats avec les éditeurs
Ces solutions sont orientées grand comptes, l’objectif est d’accompagner le service IT pour gérer la sécurité et les accès d’un très grand nombre de licences (>1000 salariés)
Torii - synchronisation SSO obligatoire pour cartographier les accès
BetterCloud - acteur historique, avec un système de classification des risques
Coreview - pour les grands entreprises qui utilisent Microsoft