Cybersécurité et acculturation, passages obligés pour une transition cloud réussie
Comment atteindre 100% d'infrastructures cloud en 2030 ? La question a servi de fil rouge au récent symposium Isaca-Afai. Deux conditions ressortent comme des prérequis pour atteindre cet objectif : la cybersécurité et l'acculturation de l'ensemble des parties prenantes.
PublicitéEn 2030, 100% des systèmes d'information reposeront-ils sur un cloud ? Autour de cette question, des entreprises utilisatrices et des fournisseurs ont débattu au cours de deux tables rondes organisées par l'Isaca-Afai pour son 8e symposium. La première était consacrée aux enjeux d'avenir et à la façon de gérer la complexité du cloud, tandis que la suivante portait sur la création de valeur et l'accélération de la transformation.
Au cours de la première table ronde, Stéphane Rousseau, vice-président du Cigref et DSI d'Eiffage, a souligné que le marché du cloud était aujourd'hui très riche, mais avec pas mal d'écarts dans les offres en termes de niveau technologique. « Or les entreprises cherchent d'abord une capacité technologique, observe le vice-président du Cigref. Les grands hyperscalers ont des offres très élaborées, d'autres acteurs sont sur les couches plus basses. Or, sur celles-ci, il n'y a pas forcément d'économies à aller chercher ». Un avis partagé par Vincent Coudrin, chef de la mission cloud à la Dinum : « Une entreprise privée se tourne vers le cloud avant tout pour gagner de l'argent, pas en économiser. » Mais, pour un Etat, l'enjeu est un peu différent : « il s'agit de gagner en résilience ». Pour Julien Levrard, RSSI d'OVHcloud, une deuxième bataille se joue toutefois sur la maturité des produits cloud. « Il reste de la place et des choses à apporter, afin de permettre aux entreprises d'avoir une stratégie cloud adaptée à leurs enjeux, leur métier », affirme-t-il. Thomas Fauré, PDG de Whaller, plateforme collaborative en mode SaaS, pointe de son côté la présence d'autres enjeux, notamment juridiques : « Le 100% cloud en 2030 signifie que 100% des services que consomment les clients sont hébergés chez d'autres. Mais tout ne se résume pas à une question de services et de réduction des coûts. Il faut aussi regarder chez qui sont hébergés services et données, et sous quelle législation ? »
Le cloud rebat les cartes en matière de sécurité IT
Avec les nouvelles menaces qui accompagnent l'évolution des environnements technologiques, Thomas Fauré plaide pour remonter la cybersécurité au niveau des comités de direction, afin d'en faire un sujet à part entière : « Il faut nommer des directeurs de la cybersécurité, plutôt que des responsables. » Stéphane Rousseau reconnaît lui aussi l'importance du sujet, mais estime que c'est la confiance entre les directions générales et les personnes chargées de la cybersécurité qui prime. « Par ailleurs, même si le passage au cloud est de plus en plus regardé comme une démarche positive par les conseils d'administration, il n'est pas forcément perçu comme une protection, alors qu'il donne pourtant davantage de garanties en matière de sécurité que ce qu'un DSI seul peut assurer dans son datacenter », note le représentant du Cigref.
PublicitéLe PDG de Whaller s'inquiète aussi d'une possible perte des compétences, et des risques associés en termes de souveraineté : « nous risquons de perdre la maîtrise des couches basses sans une politique de diversification des clouds », affirme-t-il. Pour Vincent Coudrin, « on ne reste libre et indépendant que si on est capable de contribuer. Il faut une communauté européenne autour des technologies cloud ». Le chef de la mission cloud a aussi évoqué le sujet des compétences, mettant en avant le changement de pratiques conséquent qui va de pair avec la transition vers le cloud. « Notre doctrine cloud first s'accompagne de pratiques comme le DevOps, le mode produit, le Lean. C'est un enjeu en termes de ressources humaines et un sujet de transformation : le 100% cloud en 2030 implique que tous les agents de l'État travailleront dans ce mode de fonctionnement. »
Pas de valeur sans une vraie culture cloud
Pour créer de la valeur avec le cloud, il faut en effet travailler sur l'acculturation de l'ensemble des parties prenantes, un aspect développé durant la 2e table ronde du symposium. Hichame Rahoui, directeur des infrastructures et des technologies d'Auchan, identifie deux piliers fondamentaux : « d'abord, avoir la culture de l'innovation, c'est-à-dire gérer cette innovation, l'incarner, la diffuser ; mais aussi s'ouvrir, regarder ce que font vos partenaires, qui sont souvent prêts à proposer des innovations ». Pour lui, il faut aussi être capable d'embarquer les métiers très rapidement, afin de faciliter le passage en production et d'accélérer. « Cela peut se faire par exemple à travers des learning expéditions vers des entreprises innovantes, pas forcément dans votre secteur, en embarquant aussi bien métiers et IT », souligne le directeur infrastructures et technologies.
Mickaël Nestout, directeur des infrastructures cloud chez Engie IT, pointe aussi le rôle clef de la formation et de l'acculturation. « Nous avons entamé notre démarche cloud vers 2016 », témoigne-t-il. Cette transition s'est jouée à deux niveaux. D'un côté, les métiers, qu'il a fallu embarquer et sensibiliser à l'agilité - à ne pas confondre avec la vitesse, selon Mickaël Nestout, même si le cloud a indéniablement permis au groupe d'accélérer son time-to-market, notamment lors de l'intégration de nouvelles entreprises. De l'autre, les équipes IT, pour lesquelles le cloud représentait aussi un changement culturel. « Il a fallu comprendre ce qu'était le cloud, les évolutions qu'il permettait. » Le cloud favorise notamment le lien entre les équipes chargées des applications et celles venant des infrastructures. « L'un de ses avantages est de mettre l'infrastructure dans le monde du code, on peut essayer facilement et retenter si nécessaire », explique le directeur des infrastructures cloud d'Engie. Pour accompagner le changement, le groupe a lancé sa Cloud Academy il y a quelques années. « Nous avons réussi à former les équipes internes, à la fois au niveau technique et culturel, avec un accompagnement afin de monter en compétences petit à petit et de diffuser les bonnes pratiques dans toutes les équipes travaillant sur les infrastructures. »
Répondre aux enjeux collectifs
Patrick Laurens-Frings, DSI du groupe Caisse des Dépôts, met quant à lui en avant l'intérêt d'une approche en écosystème pour accélérer l'obtention de valeur avec le cloud. Pour lui, le vrai défi porte sur la valorisation des données, « un enjeu majeur de compétitivité et de souveraineté ». Prenant l'exemple des politiques RSE, il estime ainsi que sur un tel sujet, il est impossible d'agir seul. « En 2022, le numérique responsable a été notre premier objectif. Nous voulons embarquer nos filiales, notre écosystème, nos partenaires autour d'une plateforme ESG souveraine. Il faut absolument que nous mettions nos données en commun sur ces sujets », indique-t-il. Et pour faire ensemble, « faisons dans le cloud, de confiance dans notre cas. »
In fine, le 100% cloud en 2030, une utopie ou pas ? « En 2030, beaucoup d'entreprises seront probablement full cloud, mais pas forcément car elles auront tout migré ; aussi parce qu'elles auront remplacé des systèmes obsolètes par du neuf », affirme Stéphane Rousseau, qui observe toutefois qu'il existe aujourd'hui encore peu d'expériences réussies de grandes migrations dans le cloud. Engie n'en est toutefois pas loin, comme l'explique Mickaël Nestout. « Nous nous posons actuellement la question de savoir si nous restons sur du on-premise ou pas et nous prendrons une décision d'ici fin 2023. Nous avons encore des filiales soumises à des contraintes réglementaires qui nécessitent de rester on-premise, mais c'est l'exception. » Le groupe arrive à un stade où les coûts résiduels du on-premise sont importants par rapport au faible nombre d'applications restant sur ces environnements.
« Le voyage vers le cloud prend du temps », avertit de son côté Vincent Guesdon, VP Strategy & Cloud Infrastructure Services chez Orange Business Services. « En revanche, je suis prêt à parier que 100% des entreprises utiliseront le cloud en 2030, car pour rester pertinent dans le monde numérique, il faut faire du cloud - c'est de là que provient l'innovation. Mais il faut gérer les risques associés et l'onboarding des métiers. » Julien Levrard, d'OVHcloud, note quant à lui que les nouvelles applications sont d'emblée développées pour être nativement cloud, mais se montre lui aussi pessimiste sur la migration de l'ensemble des legacy vers le cloud. Pour Vincent Coudrin, « il n'y a pas d'enjeu à migrer des actifs dans le cloud si ceux-ci tournent bien, d'autant que toute sortie est définitive : ceux qui commencent à faire du cloud ne font pas marche arrière. » Selon Stéphane Rousseau, seuls les échecs de migrations resteront on-premise. « Des applications que nous laisserons mourir tranquillement dans nos datacenters. En 2030, les experts des technologies legacy auront pour beaucoup pris leur retraite, il n'y aura plus de ressources pour gérer ces actifs. Le risque est davantage là à mon sens », pointe le DSI.
Article rédigé par
Aurélie Chandeze, Rédactrice en chef adjointe de CIO
Suivez l'auteur sur Linked In,
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire