Le Shadow SaaS, de plus en plus prégnant, pose clairement la question de la propriété informatique. Chiffres à l’appui, Snow analyse le phénomène.

Le Shadow IT, gageure de l’après-pandémie. Alors que 96 % des CIO ou IT Managers déclarent « avoir confiance ou fortement confiance » dans les mesures de sécurité prises par leur organisation pour assurer l’intégrité des applications SaaS, il apparaît que le pire obstacle auquel ils sont confrontés est « l’acquisition de nouvelles applications SaaS sans en avertir le service IT », ce qui donne à penser que ces responsables pourraient sous-estimer l’importance de la visibilité en matière de sécurité.

Avec des utilisateurs de plus en plus à l’aise avec le digital, les projections évoquent l’hypothèse que 80% des applications des organisations pourraient être utilisées en mode SaaS d’ici 2031 (contre 17 % aujourd’hui), selon une projection de KPMG. 

Becky Trevino, Snow Software : “Dans un contexte marqué par des risques de cybersécurité accrus et une pression croissante pour réduire les coûts, les responsables IT se rendent compte qu’ils ont besoin de mieux encadrer l’utilisation des applications SaaS inconnues et non approuvées…”

Le risque de voir le Shadow SaaS se développer dans toute l’entreprise est donc bien bien réel. En quelques années, les solutions SaaS ont séduit la quasi-totalité des organisations. Parfois même sans qu’elles le sachent, dans la mesure où tout collaborateur peut souscrire un abonnement et accéder sans restriction à la solution via un simple navigateur. Et c’est bien le problème…

Distinguer Shadow IT et Shadow SaaS

On parle bien de Shadow SaaS. A ne pas confondre avec le Shadow IT -une absence de rationalisation qui a conduit à des pertes de visibilité sur l’existant et donc à des risques et dérives, notamment en matière de coûts. Le Shadow SaaS, élément du Shadow IT, est le recours par des utilisateurs métiers à des solutions SaaS, sans en référer à la direction IT, une situation rendue possible par le principe intrinsèque du mode SaaS, qui réunit fonctionnalités et infrastructure en un seul abonnement, que les métiers peuvent souscrire directement.

« Les équipes IT postpandémiques constatent une forte augmentation des applications SaaS acquises sans en notifier les responsables IT, indique Becky Trevino, Executive VP, Products, Snow. Dans un contexte marqué par des risques de cybersécurité accrus et une pression croissante pour réduire les coûts, les responsables IT se rendent compte qu’ils ont besoin de mieux encadrer l’utilisation des applications SaaS inconnues et non approuvées. En fin de compte, ce sont les IT Managers qui sont responsables de la sécurité et de la gestion des applications SaaS, quelle que soit leur provenance, et pour assurer efficacement cette tâche, ils ont besoin d’une visibilité totale quant aux éléments à sécuriser. »

La notion de propriété informatique devient trouble

Aujourd’hui, la « gestion de la sécurité des applications SaaS » serait la première priorité selon l’étude d’IDC menée pour Snow (1.000 décideurs interrogés). Elle serait suivie par « l’identification de l’utilisation de toutes les applications SaaS au sein de l’organisation ».

Toutefois, la perception change selon le niveau hiérarchique. Les propriétaires (76 %), les cadres de la suite C (70 %) et les principaux cadres (61 %) sont de loin les plus confiants dans les mesures de sécurité SaaS de leur organisation. A l’inverse, plus les titres descendent dans l’échelle, le niveau de confiance baisse. Il est de 33 % pour les managers. Parce que plus proches de la réalité ?

L’étude montre encore que la propriété informatique est trouble. Elle ne serait pas le seul fait de la responsabilité du CIO ou de l’IT Manager, comme le croient souvent les cadres supérieurs. L’achat et la gestion du SaaS ainsi que l’atténuation de ses problèmes de sécurité relèvent en réalité de deux groupes, selon les répondants à l’enquête : d’un côté les CIO / IT Managers ; de l’autre, les équipes ITAM/SAM. En fait, 39 % déclarent que les CIO/IT Managers sont responsables des achats et de la gestion, 42 % indiquant que les équipes ITAM/SAM détiennent cette responsabilité.

Qui sont, aujourd’hui, les gardiens du temple ?

Fait intéressant, lors de l’examen des titres des répondants, les niveaux les plus subalternes (gestionnaire, directeur et vice-président) ont classé l’ITAM/SAM comme responsable des achats et de la gestion, tandis que les rôles les plus élevés (propriétaires, vices-présidents, cadres supérieurs) classent les CIO/IT Managers comme la partie principale. Les cadres supérieurs se tournent vers le leadership CIO/IT pour assumer la responsabilité des achats SaaS et des problèmes de sécurité sur d’autres départements et rôles, tandis que les niveaux plus subalternes confient la responsabilité à leurs pairs au sein d’ITAM/SAM.

Malgré des points de vue contradictoires sur la propriété, la gestion de la sécurité, la posture de sécurité et le pouvoir d’achat, il est clair que les responsables informatiques ne sont pas -ne sont plus- les seuls gardiens de la technologie qu’ils ont pu être autrefois. Bien qu’il soit très évident que les responsables informatiques aimeraient reprendre le contrôle de chaque partie du processus d’achat et de gestion des technologies, en particulier pendant les périodes difficiles. Cependant, il existe toujours un manque fondamental de visibilité qui afflige de nombreuses organisations et crée un risque exponentiel pour les responsables informatiques. L’obtention d’une visibilité complète, malgré la propriété disparate de technologies telles que les applications SaaS, est la base de la protection d’une organisation.