"Dans un monde connecté, l’agilité est vitale, les offres de services des plateformes changent tous les jours"
DÉCIDEURS. Quelles sont aujourd’hui les principales problématiques organisationnelles des DSI et CDO ?
Thierry Cartalas. La réindustrialisation des processus avec les plateformes numériques comme Snow ou SAP S/4, et l’agilité à l’échelle sont les sujets majeurs de transformation de nos clients en France. Ces transformations ont du mal à progresser dans les entreprises du fait de la pénurie de compétences en progiciels, cloud et agiles, compétences qui dépendent trop des partenaires externes. Il est par exemple difficile d’internaliser des profils pointus comme un architecte cloud, cyber ou encore un data scientist SAP.
En outre, il y a actuellement un vrai questionnement de la filière IT elle-même car la moyenne d’âge des DSI reste élevée, notamment dans les métiers de la production IT, avec des populations difficiles à reconvertir vers les métiers du numérique. En parallèle, les jeunes qui sortent des grandes écoles préfèrent travailler chez Google plutôt qu’au sein d’une DSI, jugée moins attractive. Pour la génération Z, le projet d’entreprise numérique compte autant que le salaire et les DSI doivent aujourd’hui travailler sur leur responsabilité RSE pour les attirer.
À l’instar des pays anglo-saxons, la problématique des DSI aujourd’hui reste de convaincre leur DG de déployer les méthodes agiles avec les métiers. Un sujet complexe, car ces métiers sont remis en cause dans leurs fondamentaux managériaux par les principes de collaboration et d’autonomie promus par l’agilité. Les équipes internes de MOA ne comprennent pas la nécessité de déléguer à des équipes produits autonomes la mise en place des projets IT. Pourtant, comme partout dans un monde connecté, l’agilité est vitale aujourd’hui pour un bon nombre de secteurs comme le retail, où les offres de services changent tous les jours. Il faut donc s’améliorer en continu au risque de perdre ses clients. Ces programmes d’agilité IT représentent aujourd’hui une activité significative. Nous mettons plus récemment en oeuvre l’agilité à l’échelle dans la fonction publique ; ce secteur étant actuellement en train de passer un vrai cap dans sa transformation numérique, poussé par le programme France relance.
"L’approche “cloud first” est plus facile à mener car les nouvelles applications cloud-native vont remplacer les anciennes"
Quelles sont les clés d’une migration cloud réussie ?
Faire de la migration de chaînes applicatives existantes vers le cloud un objectif est une erreur. La raison ? Ces applications n’ont pas été conçues pour fonctionner sur du cloud, leur migration sur le cloud (lift & shift) ne démontre pas un ROI incontestable. Certaines entreprises s’y sont engagées, dans ce cas, la migration cloud doit avoir l’appui inconditionnel de la direction générale pour arrêter les data centers et tout basculer sur le cloud. Il faut en effet en supporter les coûts, les risques "business" et les conséquences sur certaines architectures de données qui peuvent être difficiles à migrer sur le cloud, comme une vieille version Oracle. Pour cela, une forte expertise des architectures cloud est bien évidemment requise, elle s’acquiert avec des tests pilotes puis l’expérience des migrations successives du CCOE cloud, plutôt sur une durée entre 18 et 24 mois.
L’autre option est celle de l’approche "cloud first", ce qui signifie que tout nouveau projet est déployé sur le cloud, sauf contre-indication. C’est une démarche plus facile à mener car les nouvelles applications cloud-native vont remplacer les anciennes, et de facto permettre de décommissionner les infrastructures associées dans les data centers. Cette approche est également plus efficace car les équipes projet n’ont pas les contraintes des anciennes applications à migrer. Il est également plus facile de trouver des prestataires certifiés sur un opérateur cloud, public ou privé, de confiance, et qui pourront à leur tour former les salariés. Une opération qui sera par ailleurs financée par le projet lui-même puisque celui-ci a besoin du cloud. Pour tous les nouveaux projets, nous recommandons donc cette approche "cloud first" qui nécessite néanmoins d’avoir une gouvernance forte pour apporter les démonstrations et convaincre certains métiers, inquiets d’être hébergés sur le cloud, ou refusant d’abandonner leurs data centers.
"Cette approche “cloud first” nécessite d’avoir une gouvernance forte pour apporter les démonstrations et convaincre certains métiers, inquiets d’être hébergés sur le cloud, ou refusant d’abandonner leurs data centers"
Se lancer dans le cloud nécessite de revoir sa politique en matière de cybersécurité. Vous avez ainsi développé en 2021 une nouvelle activité de cybersécurité avec l’arrivée d’une nouvelle équipe d’un Big 4. Quel est le spectre de son expertise ?
Les projets sur le cloud doivent aujourd’hui intégrer les exigences du RGPD et de la cybersécurité (ISO, NIST), comme le "Security by Design » [sécurité par la conception, Ndlr] pour être dotés d’architectures résilientes, c’est-à-dire que l’application doit pouvoir s’éteindre et se rallumer sur un autre environnement du cloud en cas de détection d’une attaque, et ce, sans que l’attaquant s’en rende compte. Ces coûts de cyber-résilience ne sont généralement pas anticipés par les métiers, car pour eux, la sécurité est d’abord intégrée dans les infrastructures, avec des data centers jugés impénétrables comme un château fort. Aujourd’hui, la cyberdéfense se joue au même niveau pour les données et les applications, il faut les protéger d’elles-mêmes, ce qui modifie les cahiers des charges avec de nouvelles exigences. Nous accompagnons nos clients pour objectiver les débats avec une équipe de juristes RGPD, des architectes cyber et une forte connaissance sectorielle des métiers pour savoir ce qui doit être inclus, ou non, dans un produit Secure by Design.
Sur l'auteur. Thierry Cartalas est associé chez TNP Consultants