Du shadow IT au shadow Darty

D’abord, il s’est agi du BYOD ou Bring Your Own Device : dans les dîners en ville, le dernier chic était de prétendre que dans sa boîte on laissait les employés arriver avec leur propre matériel pour travailler. Il a fallu tout de même que des voix s’élèvent (on se souvient de la sortie tonitruante de l’ancien directeur de l’Anssi et son célèbre « le pouvoir de dire non » adressé aux RSSI désemparés devant le phénomène) pour qualifier ce qui n’est rien de moins qu’une imposture technique et sécuritaire. Actuellement, peu d’entreprises ont une réelle politique BYOD, et la plupart du temps la connexion est autorisée sur des Vlan ou SSID isolés du reste du réseau. D’ailleurs, dans les séminaires de sécurité SI, on trouve beaucoup de fournisseurs de solutions pour le BYOD, mais curieusement peu de clients officiels. Bref, le BYOD pur et dur, c’est comme le sexe au collège : tout le monde en parle mais personne n’en fait.

Ensuite, cela a été le BYOC (Bring Your Own Cloud) et le BYOA (Bring Your Own Application). Le Web 2.0 confère une extraordinaire facilité pour les utilisateurs lambda avec un minimum de jugeote de créer en trois clics des formulaires ou applications plus ou moins complexes à l’aide des apps Amazon ou Google. Là, ce n’est rien de moins qu’un pan entier du SI qui échappe aux DSI. Pour ce qui concerne les BYOA, les DSI ont longtemps verrouillé l’usage des PC internes en retirant les droits d’installation aux utilisateurs, mais de plus en plus d’applications s’installent sans requérir de droits particuliers (j’en veux pour preuve d’avoir trouvé à peu près toutes les versions d’Adibou sur les PC de plusieurs établissements de santé).

Tous ces mouvements participent peu ou prou à ce que l’on appelle le shadow IT, en d’autres termes le SI parallèle mis en place par les utilisateurs eux-mêmes (aaah, le piège des stagiaires qui développent de l’Access à tout va !) et inconnu de la DSI et de la DG. En général, la DSI a connaissance de ce genre de bidouille au moment où cela tombe en panne (aucune sauvegarde) ou encore au moment du départ de Kevin le stagiaire (qui n’a bien entendu ni documenté ni sauvegardé son boulot).

Et puis dernièrement je suis tombé sur ce que l’on peut appeler le shadow Darty, à savoir un service qui s’équipe à la Fnac de matériels ou progiciels plus ou moins complexes et autonomes, quand il ne se le fait pas donner, prêter, offrir par un fournisseur ou une association dans le cadre d’un projet Tartempion dont fourmille le monde de la santé (il paraît qu’il n’y a plus de sous dans le monde de la santé, mais le jour où l’on comptabilisera la masse de l’argent dépensé au petit bonheur de cette façon, on se trouvera plus riches tout d’un coup). Ce sont alors des iPad offerts (merci de les connecter à Internet), des portables pour la rééducation (merci de changer la batterie qui vient de claquer), une imprimante multifonction (merci d’acheter les cartouches). Je n’ai pas encore trouvé d’imprimantes 3D, de montres connectées, de podomètres, de stations météo ou que sais-je, mais cela ne saurait tarder. Pour me tenir au courant des dernières nouveautés en matière de gadgets, je vais me promener dans certains services connus pour ce faire, cela m’évite d’acheter la presse informatique.

Allez, on reste zen, c’est l’été.