Comme je l'écrivais dans le premier billet de la série, le Shadow-IT n'engendre pas uniquement des problèmes de fuite de données à l'extérieur de l'organisation. Il peut également s'installer à l'intérieur même du système d'informations de votre organisation. J'appelle Shadow IT interne l'ensemble des données non pilotées de façon globale par l'organisation. En effet, des données et des applications peuvent tout simplement échapper à la gouvernance de la Direction des systèmes d'information, plus à l'aise lorsqu'il s'agit de gérer des données d'applications métiers que d'applications bureautiques.

Or, Le capital informationnel à risque d'une organisation ne figure pas uniquement dans les applications métiers et les boites emails. À ce titre, deux logiciels historiques de la suite Microsoft Office sont fréquemment considérés, par la Direction des systèmes d'information, comme les logiciels-champions du Shadow-IT interne : il s'agit d'Access et d'Excel.

Comme je l'ai expliqué dans mon livre de SharePoint à Teams (1), SharePoint représente la solution idéale pour créer des applications métiers à part entière à partir de ces types de fichiers tout comme plus simplement des formulaires construits sur Word.

Access, le "grand sacrifié" de la suite Office

Prenons tout d'abord Access. Il existe 3 types d'application Access au sein des organisations :

• Les applications Métiers complètement isolées

• Les applications Métiers connectées au S.I.

• Les applications "techniques" connectées au S.I. Pour être connectées au système d'information et au reporting de l'organisation, comme tout grands systèmes informatiques centraux ou progiciels, Ms Access demande alors un accompagnement de la DSI pour créer une connexion de type ODBC.
  

Dans la réalité, un collègue m'a raconté que, généralement, une organisation ne connait que 10% des solutions Ms Access réellement déployées… La Direction des systèmes d'information ignore l'existence de la majorité de ces applications et des îlots de données qu'Access engendre.

La DSI n'ayant pas été ass au moment de leur mise en place, elle découvre parfois son existence après la mise en place, au moment où on lui demande de fournir un quelconque support, ce qu'elle est généralement bien en peine de faire. Surtout, la DSI va considérer que ces solutions génèrent des données "officieuses" et non contrôlées : du Shadow-IT au sein même de l'organisation ! Le moment clé arrive lorsque l'on réalise que ces applications peuvent, en plus, contrevenir aux standards et réglementations générales en vigueur s'appliquant à votre organisation comme le Règlement Général sur la Protection des Données (RGPD), le Total Quality Management (TQM), l'Information Technology Infrastructure Library (ITIL) ou plus spécifiques à votre secteur comme Sarbanes-Oxley, Bâle II, l'International Financial Reporting Standards (IFRS) dans le secteur financier, l'Health Insurance Portability and Accountability Act (HIPAA) dans le secteur de la Santé, que j'avais déjà précité dans le billet d'introduction de cette série.

Pareil cadre réglementaire de plus en plus contraignant a coûté très cher à Access. Dans certaines organisations, MS Access a déjà été complètement éradiqué, car il représentait trop d'inconvénients et c'est parfois Excel lui a succédé… tant bien que mal.

Si l'organisation ne proposait pas un nouveau logiciel pour remplacer Access, la nature n'aimant pas le vide, les utilisateurs se sont alors portés sur Excel.

Excel, plus tableur que jamais

Drôle de choix, me direz-vous ?! Si vous vous faites cette remarque, c'est que vous ignorez que beaucoup d'utilisateurs usent toujours d'Excel comme simple tableur de données : ils savent généralement mieux utiliser Excel qu'Access et les fichiers qu'ils produisent permettent d'obtenir les résultats qu'ils souhaitent et d'échanger de l'information avec n'importe qui, d'une façon ou d'une autre. Malgré le fait qu'Excel depuis son édition 2007 ait été repositionné par Microsoft comme outil de tableau de bord, et non plus comme simple tableur, rien n'a réellement changé : Excel est dans le Top des logiciels internes impliqués dans le Shadow-IT ! Il peut entrainer la création d'îlot de données dont la qualité des données n'est pas gérée par le S.I., alors que les métiers s'appuieront dessus pour prendre des décisions !

Comme les utilisateurs élaborent des systèmes parallèles et des silos d’informations non intégrés, les Directions des systèmes d'information préfèreraient éliminer Access et Excel car, en plus des problèmes de fiabilité de l'information, les données produites exposent l'Organisation à 3 natures de risque, qui s'ajoutent à la fuite de données abordée dans le billet de blog précédent :

• La perte de données,

• L'indisponibilité sévère,

• Enfin, le risque de ne pas pouvoir démontrer la traçabilité d'une donnée sensible que ce soit à l'extérieur ou à l'intérieur du système d'information de l'Organisation. Après qu'elle a retirė Access, imaginez-vous le tollé si une DSI d'organisation venait à retirer Excel, sans rien proposer pour le remplacer ? Les entreprises doivent être en mesure de se protéger contre l'ensemble de ces risques tout en proposant une solution améliorant la situation des métiers en termes de construction d'applications et de tableaux de bord. C'est là qu'intervient SharePoint, comme un recours à ces outils produisant du Shadow-IT interne !
  

SharePoint en première ligne contre le Shadow-IT interne

Dans mon livre "De SharePoint à Teams", j'ai détaillé la création d'applications métiers basées sur des listes SharePoint. C'est aussi au chapitre 7 que l'on lit que Teams, avec l'aide de SharePoint, n'est pas condamné à n'être utilisé que pour des usages simples car l'onglet Site Web de Teams permet une totale interactivité avec les pages SharePoint. La modification d'une ligne d'un tableau ne passe plus par l'ouverture d'un fichier : - La modification d’un élément du tableau passe par une fiche, - Le poids de l’élément enregistré est faible comparé à un fichier Excel et la synchronisation est immédiate lors d’une modification, - Il est possible de faire des calculs à partir des données des autres colonnes (2) Techniquement parlant, troquer un fichier Excel contre une liste SharePoint permet de charger les données dans la base de données SQL ! SharePoint va donc représenter une formidable occasion de rapprocher les données bureautiques des décideurs de l'organisation. Je dira, même que SharePoint permet de réussir la réconciliation entre le monde bureautique et le système d’information « Métier ».

Vous n'aimez pas la Modern Experience sur les listes, les formulaires de saisie ne vous semblent pas adaptés, ni sur votre ordinateur et encore moins en situation de mobilité sur votre portable ou votre tablette ?

PowerAPPS en complément de SharePoint, si besoin

Microsoft a joint, à SharePoint, PowerAPPs, la solution pour créer des écrans personnalisés, sans développement… lourd (l'application est faite pour des "citizens developpers" car PowerAPPS s'apparente davantage non pas à un outil de développement mais à une application permettant de créer des applications avec en minimum de code ("low code application"). À ce titre PowerAPPs se présente comme le successeur d'InfoPath et d'Access pour faculté à réaliser des formulaires.

Tout comme Access, PowerAPPs adore SharePoint mais il lui apporte les écrans mobiles et un puissant cadre de connecteurs qu'il partage avec Power Automation (Flow) et Power BI. Les données gérées dans SharePoint peuvent continuer à faire l'objet de tableau de bord Excel mais peuvent également profiter de l'affichage "temps-réel" de PowerBI (réactualisation automatique des tableaux de bord toutes les 5 minutes).

Cet ensemble d'informations constitue une des raisons pour lesquelles Gartner a positionné dans quadrant 2019/2 "Analytics and Business intelligence Platforms" Microsoft comme Leader de la catégorie

Enfin, en guise de conclusion de ce billet et de lien vers le suivant, vos données chargées dans le SQL de votre SharePoint bénéficient de l'entière protection de votre Office 365 et de son centre Sécurité et conformité, lequel va permettre de couvrir les risques induits du Shadow-IT :

• La fuite de données,

• La perte de données,

• L'indisponibilité sévère,

• Le risque de ne pas pouvoir démontrer la maitrise de la traçabilité d'une donnée sensible. Le prochain billet et dernier billet de la série Office 365 contre le Shadow-IT sera donc consacré au centre Sécurité et conformité. (1) le chapitre 9 de mon livre "De SharePoint à Teams" (2) les formules calculés dans les listes à cette URL officielle