"Dans un monde connecté, l’agilité est vitale, les offres de services des plateformes changent tous les jours"

DÉCIDEURS. Quelles sont aujourd’hui les principales problématiques organi­sationnelles des DSI et CDO ?

Thierry Cartalas. La réindustrialisation des processus avec les plateformes numé­riques comme Snow ou SAP S/4, et l’agi­lité à l’échelle sont les sujets majeurs de transformation de nos clients en France. Ces transformations ont du mal à progres­ser dans les entreprises du fait de la pé­nurie de compétences en progiciels, cloud et agiles, compétences qui dépendent trop des partenaires externes. Il est par exemple difficile d’internaliser des profils pointus comme un architecte cloud, cyber ou encore un data scientist SAP.

En outre, il y a actuellement un vrai questionnement de la filière IT elle-même car la moyenne d’âge des DSI reste élevée, notamment dans les métiers de la production IT, avec des populations difficiles à reconvertir vers les métiers du numérique. En parallèle, les jeunes qui sortent des grandes écoles préfèrent travailler chez Google plutôt qu’au sein d’une DSI, jugée moins attractive. Pour la génération Z, le projet d’entreprise nu­mérique compte autant que le salaire et les DSI doivent aujourd’hui travailler sur leur responsabilité RSE pour les attirer.

À l’instar des pays anglo-saxons, la pro­blématique des DSI aujourd’hui reste de convaincre leur DG de déployer les méthodes agiles avec les métiers. Un sujet complexe, car ces métiers sont remis en cause dans leurs fondamen­taux managériaux par les principes de collaboration et d’autonomie promus par l’agilité. Les équipes internes de MOA ne comprennent pas la nécessi­té de déléguer à des équipes produits autonomes la mise en place des pro­jets IT. Pourtant, comme partout dans un monde connecté, l’agilité est vitale aujourd’hui pour un bon nombre de secteurs comme le retail, où les offres de services changent tous les jours. Il faut donc s’améliorer en continu au risque de perdre ses clients. Ces programmes d’agilité IT représentent aujourd’hui une activité significative. Nous met­tons plus récemment en oeuvre l’agilité à l’échelle dans la fonction publique ; ce secteur étant actuellement en train de passer un vrai cap dans sa transfor­mation numérique, poussé par le pro­gramme France relance.

"L’approche “cloud first” est plus facile à mener car les nouvelles applications cloud-native vont remplacer les anciennes"

Quelles sont les clés d’une migration cloud réussie ?

Faire de la migration de chaînes applica­tives existantes vers le cloud un objectif est une erreur. La raison ? Ces applica­tions n’ont pas été conçues pour fonc­tionner sur du cloud, leur migration sur le cloud (lift & shift) ne démontre pas un ROI incontestable. Certaines entre­prises s’y sont engagées, dans ce cas, la migration cloud doit avoir l’appui inconditionnel de la direction générale pour arrêter les data centers et tout bas­culer sur le cloud. Il faut en effet en sup­porter les coûts, les risques "business" et les conséquences sur certaines archi­tectures de données qui peuvent être difficiles à migrer sur le cloud, comme une vieille version Oracle. Pour cela, une forte expertise des architectures cloud est bien évidemment requise, elle s’acquiert avec des tests pilotes puis l’expérience des migrations successives du CCOE cloud, plutôt sur une durée entre 18 et 24 mois.

L’autre option est celle de l’approche "cloud first", ce qui signifie que tout nouveau projet est déployé sur le cloud, sauf contre-indication. C’est une dé­marche plus facile à mener car les nou­velles applications cloud-native vont remplacer les anciennes, et de facto permettre de décommissionner les in­frastructures associées dans les data centers. Cette approche est également plus efficace car les équipes projet n’ont pas les contraintes des anciennes appli­cations à migrer. Il est également plus facile de trouver des prestataires certi­fiés sur un opérateur cloud, public ou privé, de confiance, et qui pourront à leur tour former les salariés. Une opéra­tion qui sera par ailleurs financée par le projet lui-même puisque celui-ci a be­soin du cloud. Pour tous les nouveaux projets, nous recommandons donc cette approche "cloud first" qui nécessite néanmoins d’avoir une gouvernance forte pour apporter les démonstrations et convaincre certains métiers, inquiets d’être hébergés sur le cloud, ou refusant d’abandonner leurs data centers.

"Cette approche
“cloud first” nécessite d’avoir
une gouvernance forte pour
apporter les démonstrations
et convaincre certains
métiers, inquiets d’être
hébergés sur le cloud, ou
refusant d’abandonner leurs
data centers"

Se lancer dans le cloud nécessite de revoir sa politique en matière de cybersécurité. Vous avez ainsi déve­loppé en 2021 une nouvelle activité de cybersécurité avec l’arrivée d’une nouvelle équipe d’un Big 4. Quel est le spectre de son expertise ?

Les projets sur le cloud doivent au­jourd’hui intégrer les exigences du RGPD et de la cybersécurité (ISO, NIST), comme le "Security by Design » [sécurité par la conception, Ndlr] pour être dotés d’architectures résilientes, c’est-à-dire que l’application doit pou­voir s’éteindre et se rallumer sur un autre environnement du cloud en cas de détection d’une attaque, et ce, sans que l’attaquant s’en rende compte. Ces coûts de cyber-résilience ne sont géné­ralement pas anticipés par les métiers, car pour eux, la sécurité est d’abord intégrée dans les infrastructures, avec des data centers jugés impénétrables comme un château fort. Aujourd’hui, la cyberdéfense se joue au même niveau pour les données et les applications, il faut les protéger d’elles-mêmes, ce qui modifie les cahiers des charges avec de nouvelles exigences. Nous accom­pagnons nos clients pour objectiver les débats avec une équipe de juristes RGPD, des architectes cyber et une forte connaissance sectorielle des métiers pour savoir ce qui doit être inclus, ou non, dans un produit Secure by Design.

Sur l'auteur. Thierry Cartalas est associé chez TNP Consultants