Interviews

Jean-Claude Laroche (Président, Cigref) : « l'obsolescence artificielle des matériels est un vrai problème »

Jean-Claude Laroche, DSI d’Enedis, a été élu président du Cigref en octobre 2021 après avoir été six ans vice-président.

Retrouvez cet article dans le CIO FOCUS n°202 !

Saisir les opportunités dans les difficultés

Obsolescences techniques, bouleversements réglementaires, pressions des fournisseurs, obligations en termes de responsabilité sociale et environnementale, cyber-attaques... Les problèmes qu'un DSI peut avoir à gérer sont nombreux. Il lui faut bien sûr résoudre les problèmes et réussir à surmonter...

Découvrir

Le Cigref regroupe 154 grandes organisations françaises utilisatrices d'IT pour un budget IT cumulé supérieur à 50 milliards d'euros par an. Jean-Claude Laroche, son président, prend ici position sur les sujets du moment : l'influence à avoir sur les organes de régulation, la coopération européenne, la sobriété numérique, la cybersécurité, la souveraineté numérique, les relations fournisseurs...

PublicitéAprès six ans comme vice-président, vous avez été élu président du Cigref en octobre 2021. Pouvez-vous nous représenter cette association, historiquement, il y a un demi-siècle, « club informatique des grandes entreprises françaises » ?

Le Cigref est une association de grandes entreprises et administrations utilisatrices de solutions numériques. A ce jour, nous avons 154 membres, ce qui représente une communauté de plus de 5000 personnes physiques impliquées individuellement dans nos activités. Un quart des adhérents est constitué d'organismes publics (CNAF, ministères...). En cumul, l'ensemble de nos membres représente un budget numérique annuel supérieur à cinquante milliards d'euros et un effectif de spécialistes IT d'environ 200 000.
Le Cigref a trois vocations. La première est l'appartenance. Le Cigref se veut un lieu d'échange entre responsables et entreprises ayant les mêmes problématiques. Nous voulons aussi être un lieu d'intelligence collective. Nos membres échangent et produisent des réflexions rendues publiques pour enrichir tout le monde, au-delà des adhérents. 89 % des adhérents ont contribué à nos groupes de travail durant la crise sanitaire. Cela draine énormément d'énergie. Enfin, le Cigref a un objectif d'influence. Nous voulons faire valoir les points de vue de nos adhérents devant tous les organes de régulation, non pas pour défendre un intérêt catégoriel mais avec une vraie préoccupation de défense de l'intérêt général, nos membres étant très variés dans leurs natures.

Beaucoup de décisions étant prises au niveau européen, le Cigref travaille-t-il avec des associations homologues européennes ?

Tout à fait. Le Cigref a un partenariat étroit avec trois associations homologues : CIO Platform Nederland (Pays-Bas), Voice (Allemagne) et Beltug (Belgique). Les présidents des quatre associations se réunissent une fois par mois. Bernard Duverneuil, mon prédécesseur à la présidence du Cigref, est actuellement vice-président aux affaires européennes. Les travaux et prises de positions en commun ont évidemment un poids plus important au niveau européen, par exemple notre prise de position sur la stratégie de Microsoft et ses impacts négatifs sur la sobriété numérique.
Nous essayons d'étendre ce partenariat à d'autres pays. Des discussions sont en cours avec des associations italiennes et espagnoles. Mais il y a très peu d'associations consacrées au numérique et réunissant des personnes morales en Europe. Nous n'en avons pas trouvé dans chaque pays qui soient à la fois représentatives et actives en matière de production de travaux. Plus fréquemment, il existe des associations de networking de DSI. Or le Cigref, je le rappelle, n'est pas un club de DSI et certains de nos adhérents, tous personnes morales, ne sont d'ailleurs pas représentés en notre sein par leur DSI.

Publicité
Jean-Claude Laroche pointe la difficulté de trouver des associations homologues au Cigref dans chaque pays européen.

Et avec d'autres associations non-homologues ?

Depuis très longtemps, nous avons également des échanges constructifs avec des associations complémentaires, y compris celles représentant des fournisseurs. Par exemple, le 9 mars 2022, avec dix autres associations du numérique, nous avons organisé une audition des candidats à l'élection présidentielle autour de six sujets liés au numérique : l'inclusion numérique, la formation et les compétences, l'impact du numérique sur l'économie, l'empreinte environnementale, l'autonomie stratégique nationale ou européenne et enfin la sécurité de l'espace numérique.
Nos travaux avec nos partenaires ne sont pas forcément techniques. Nous avons travaillé sur le licencing avec l'USF (Utilisateurs de SAP Francophones). Avec Numeum (syndicat professionnel des fournisseurs IT), nous menons des réflexions sur les liens entre les start-ups et les grandes entreprises ; avec la DFCG sur l'économie du numérique ; etc. Et n'oublions pas notre participation à l'initiative Planet Tech'Care.

Planet Tech'Care est une initiative sur la réduction de l'empreinte environnementale du numérique et, depuis plusieurs années, le Cigref se veut le héraut de la sobriété numérique. Mais, concrètement, qu'est-ce que cela signifie pour les entreprises utilisatrices ?

Même si le sujet est encore émergent dans les entreprises utilisatrices, il ne s'agit pas de se donner bonne conscience.
Le premier problème, pour avoir une action concrète, est de mesurer l'empreinte environnementale du numérique. Il y a beaucoup de travaux sur le sujet et il commence à y avoir des convergences, un consensus. Ainsi, on peut dire que 70 % de l'empreinte environnementale du numérique sont liés à la production et à la distribution des équipements, 20 % au fonctionnement des datacenters (cloud inclus) et des réseaux ainsi que, enfin, 10 % aux usages effectifs en entreprises. Alors, certes, tout ce qui concerne les e-mails et autres usages sur les terminaux, au coeur d'un certain nombre de discours, cela a certes un impact mais mineur.
La première chose à faire, c'est par conséquent de prolonger la durée de vie des équipements (PC, smartphones, serveurs...). L'obsolescence artificielle des matériels est un vrai problème. En particulier, l'obsolescence provoquée par les montées de version des logiciels : les éditeurs ne doivent pas forcer à une évolution du matériel, d'où notre position en octobre 2021 critiquant le fait qu'un passage à Windows 11 peut entraîner une obsolescence matérielle. L'impact est potentiellement considérable pour les grandes entreprises si cela les conduit à accélérer le renouvellement de leur parc, à savoir des dizaines de milliers de postes. L'obsolescence du matériel est, pour nous, un véritable cheval de bataille. D'autant que cela gêne aussi le réemploi de machines déclassées, par exemple données à des associations, et l'économie circulaire. Pour réduire le coût environnemental, notamment en eau, de la fabrication des composants, il faudrait aussi pouvoir mieux recycler les matériels en fin de vie. Nous sommes conscients que si on multiplie la durée de vie du matériel par deux, l'activité des constructeurs est évidemment divisée par deux, mais cette évolution s'impose compte tenu du contexte environnemental. Or nous avons été en sens inverse depuis des années.
Concernant plus directement les utilisateurs (donc nos membres), il faut parler de l'empreinte environnementale des projets. Numériser un processus a certes un coût pour l'environnement mais cela peut remplacer une manière de faire antérieure plus impactante. La question est donc bien la mesure de la valeur d'un projet numérique non seulement sur le plan économique mais aussi en matière de RSE. La notion de business case doit être étendue.
Par ailleurs, quand, dans un projet, on crée du code, il faut l'optimiser (taille du code, consommation en mémoire...). Mieux le code est écrit, moins il a un impact environnemental élevé et plus il est fiable donc plus le système est résilient. Dans chaque projet, il ne faut jamais négliger la question de la résilience.
Au-delà des projets, dans le fonctionnement au quotidien des systèmes d'information, il y a par exemple de nombreuses techniques d'optimisation des datacenters (réglage fin de la fourchette de températures acceptables pour leur fonctionnement, amélioration de leur climatisation...).
Le Cigref peut produire des méthodes, soutenir des initiatives, pousser à appliquer de bonnes pratiques mais la réglementation a un rôle irremplaçable. Il faut notamment obtenir la publication des données environnementales de la part des fournisseurs et intégrer ces données aux critères d'appels d'offres.

L'environnement n'est pas votre seul combat. La cybersécurité fait partie de vos grandes préoccupations, y compris en matière de sensibilisation, par exemple avec la campagne Hack Academy en 2015. Concrètement, qu'est-ce qu'un DSI peut faire ?

Jadis, on caractérisait la cybersécurité avec une approche en gestion de risques. Aujourd'hui, les attaques ont lieu partout, ce n'est plus une menace ou un risque mais bien une réalité et une confrontation permanente. Les cyber-attaques connaissent une très forte croissance en sophistication comme en nombre. L'ANSSI a ainsi rappelé que les intrusions avérées se sont accrues de 37 % entre 2020 et 2021. C'est pourquoi, en 2019, le Cigref a soutenu l'Appel de Paris pour la confiance et la sécurité dans le cyberespace.
Face aux cybermenaces, les organisations publiques et privées membres du Cigref ont réalisé de gros efforts pour améliorer leur sécurité. Elles ont mis en place des dispositifs pour poursuivre l'activité même en cas d'attaque. Dans les grands groupes, l'affaire Saint-Gobain a permis de débloquer des investissements sérieux. A l'inverse, les PME, les centres hospitaliers et les collectivités locales sont nettement plus fragiles.
En 2020, nous avions écrit au Premier ministre pour souligner que le danger était majeur malgré les efforts déjà consentis. En 2021, nous avons soutenu une doctrine en quatre piliers. D'abord, il s'agit de renforcer la sécurité des systèmes d'information. Si le niveau d'investissement s'est accru dans les grandes entreprises, ce n'est pas encore le cas ailleurs. Ensuite, il faut mieux lutter contre la cybercriminalité. Les moyens de la police et de la justice, en la matière, sont très insuffisants et une action diplomatique s'impose pour que les cybercriminels ne puissent pas se cacher dans des pays qui aujourd'hui les laissent faire. Les politiques devraient s'en saisir comme d'un sujet majeur. En troisième pilier, il faut intensifier la cyberdéfense en profondeur. Le sujet est approfondi par d'autres organisations que le Cigref, et il s'agit bien d'un problème régalien : quand on a repéré des acteurs malveillants, il faut pouvoir les neutraliser et le Cigref est par principe hostile au hack-back [« pirater les pirates » en se faisant justice soi-même, NDLR]. Enfin, il faut une régulation européenne pour accroître la sécurité par conception (« security by design »). Quand on achète un jouet à ses enfants, il existe des quantités de normes pour en garantir la sécurité. Mais il n'existe rien de similaire en matière de cybersécurité. Il existe des certifications de haut niveau pour certains produits sensibles mais c'est à peu près tout. L'Union Européenne mène actuellement des consultations en vue d'un prochain Cyber Resilience Act. Si les quatre piliers ne sont pas mis en oeuvre, les problèmes vont aller en s'aggravant. Et la digitalisation de l'économie en sera menacée.

Empreinte environnementale, cybersécurité et confiance dans les fournisseurs sont des sujets majeurs pour Jean-Claude Laroche.

Après l'environnement et la cybersécurité, vous vous intéressez aussi la souveraineté numérique. Vous appuyez ainsi l'initiative Gaia-X. Quelle est votre approche de la question ?

Côté Cigref, nous n'utilisons pas l'expression « souveraineté numérique ». La souveraineté est en effet un attribut des états et concerne donc les actions des états. De plus, nos adhérents ont souvent une présence mondiale avec des SI ayant une dépendance forte envers des acteurs eux-mêmes mondialisés. Votre PC est fabriqué en Chine, avec des composants conçus aux Etats-Unis, avec un système d'exploitation américain, tout comme la bureautique.
Le Cigref souhaite seulement que les DSI puissent réaliser leur métier en maîtrisant leur destin et en protégeant les données sensibles. La question se pose surtout dans le cloud. Il faut, selon nous, surtout établir des règles et créer un référentiel de cloud de confiance. Concrètement, qu'est-ce que cela signifie ? D'abord, c'est une relation contractuelle transparente (contrat clair, facturation de la consommation réelle...). Deuxièmement, la cybersécurité doit être de bon niveau. Ensuite, nous voulons être protégés des autorités étrangères. L'extraterritorialité des lois est un problème et, si l'on parle beaucoup du Cloud Act, l'article 702 du Foreign Intelligence Surveillance Act (Fisa) est bien pire et constitue d'ailleurs la base des arrêts Schrems. En aucun cas, un juge américain ne doit avoir accès à nos données.
Les initiatives de type Bleu (co-entreprise Capgemini et Orange), même si elles utilisent des technologies Microsoft, vont dans le bon sens. Bien entendu, si nous pouvions disposer de solutions européennes, nous y serions très favorables.
En fait, la question est pour nous plus celle de la confiance que celle de la souveraineté. Et la compétitivité des acteurs français et européens est une des dimensions du problème.
Il faudrait aussi voir plus loin que le cloud et reprendre la main sur les composants [point aussi soulevé par Nicolas Fournier, DGNUM du Ministère des Armées, NDLR] comme sur les solutions proposées aujourd'hui par les grands éditeurs. Pour construire ces solutions européennes, la question des ressources humaines est critique.
Enfin, sur la souveraineté, un point récent est à prendre en compte : dans les très grands groupes, on utilise l'harmonisation des systèmes d'information pour unifier les fonctionnements à une maille mondiale. Mais, avec le cloud, les conflits géopolitiques impactent les DSI. Par exemple, si l'on a une présence en Russie et si les Etats-Unis y coupent le cloud, la filiale locale qui utilisent des outils Saas américains peut y perdre son système d'information ! Récemment, certains membres se sont aussi posés la question de changer leurs solutions de sécurité s'ils utilisaient celles de Kaspersky. La nationalité du fournisseur devient de ce fait un problème émergent.

Sur le sujet des fournisseurs, vous disposez de plusieurs groupes de travail. La relation entre les organisations utilisatrices de technologies et les grands fournisseurs est-elle toujours aussi catastrophique ?

Ces groupes de travail sont très utiles car ils permettent de mettre en relation nos membres et les dirigeants des fournisseurs. Nous avons besoin de nous parler parce que nous avons des intérêts contradictoires et nous avons besoin de bien comprendre les stratégies, les roadmaps, les tarifs, etc de nos fournisseurs. Les confinements nous ont pénalisé parce qu'ils n'ont pas simplifié les contacts. Dans ces échanges, le Cigref porte les intérêts de ses membres. Nous exprimons d'ailleurs volontiers nos désaccords. Même si chaque membre du Cigref achète parfois pour plusieurs dizaines de millions d'euros de produits aux grands fournisseurs, nous restons individuellement des petits clients pour certains acteurs mondiaux, et nous gagnons à nous regrouper.
Nous devons lutter contre des abus de position dominantes sur ces marchés oligopolistiques. Le problème se pose évidemment sur la bureautique mais pas seulement.

Jean-Claude Laroche insiste sur la nécessité de lutter contre les abus de position dominante des fournisseurs.

Certaines fonctions transverses (comptabilité, paye...) ne sont pas sources d'avantage compétitif et on pourrait imaginer que les entreprises mutualisent leurs efforts pour développer et maintenir des solutions open-source. C'est ce que fait l'Adullact pour les collectivités locales. Pourquoi cela n'a-t-il pas lieu ?

Je ne crois pas à la scission entre SI transverses et métiers en termes de création de valeur. Par exemple, pour un ERP, soit on migre avec une vision purement technique et un coût net, soit on profite de cette migration pour revoir les fonctionnements et dégager de la performance. C'est d'autant plus vrai que la numérisation des processus trouble les frontières. Où sont les référentiels de données ? Dans les SI métiers ou dans les ERP ? C'est très variable selon les entreprises. Donc, oui, nous sommes à la merci d'éditeurs qui font ce qui n'est en aucun cas notre métier mais qui est au coeur de nos métiers.
Dans ce contexte, nous cherchons des relations contractuelles équilibrées et à garantir le bon fonctionnement du marché.

L'actualité des deux dernières années, avec la crise sanitaire, a montré l'importance du système d'information dans le fonctionnement des entreprises. Le Covid-19, de ce fait, a-t-il été le Grand Soir des DSI ?

Non mais, sans aucun doute, la crise sanitaire a constitué un accélérateur de la prise de conscience de la place des systèmes d'information dans nos organisations. Les DSI qui ont pu faire face ont bénéficié d'une vraie estime en retour. Depuis la crise sanitaire, quand ce n'était pas encore le cas, le DSI n'est plus une fonction support mais au centre du jeu.
La pandémie a été un tournant qui a amené de nouvelles manières de fonctionner, bien sûr en entreprises mais pas seulement. Cela a été aussi le cas, par exemple, dans les écoles. Et on a ainsi pu constater l'ampleur du problème de l'inclusion numérique tant le numérique a pris un poids important. Dans le même temps, chacun a aussi pu prendre conscience de l'importance du contact humain.
Cela étant dit, les entreprises ont vécu la crise sanitaire de manières très différentes. La logistique alimentaire ou les centres hospitaliers ont eu une activité démultipliée tandis que, à l'inverse, le transport s'est effondré. Dans les secteurs en surchauffe, les DSI ont dû faire face dans un contexte difficile. Dans les secteurs en effondrement, il a fallu que les DSI préparent l'après-crise dans un contexte beaucoup moins porteur.
Globalement, la crise a amené une croissance du nombre de projets numériques. L'IT est devenue une bouée de sauvetage et a obtenu un rôle encore plus central.

Quelles grandes tendances voyez-vous à l'IT dans les prochains mois et années ?

Je vous renvoie bien sûr à notre Rapport d'orientation stratégique présenté lors de notre assemblée générale 2021. Nous y avons étudié les enjeux technologiques face aux nouveaux usages, les risques IT liés aux cybermenaces comme aux questions géopolitiques, les nouvelles formes de travail, les questions environnementales...
Nous avons ainsi défini des scénarios types pour l'avenir, du monde régulé au far west. Des groupes de travail ont ensuite été créés pour nous préparer à chacun des scénarios évoqués.

Podcast - Jean-Claude Laroche (Président, Cigref) : « la sobriété numérique ne se limite pas aux usages que l'on a dans nos entreprises »

Le Cigref réunit 154 membres, de grandes organisations publiques et privées utilisatrices de solutions numériques, cumulant un budget IT supérieur à cinquante milliards d'euros par an. Parmi les sujets du moment, la sobriété numérique est au premier rang. Or celle-ci ne se limite pas aux usages, finalement avec un faible impact environnemental. L'essentiel réside dans le matériel et sa fabrication. Jean-Claude Laroche, Président du Cigref, insiste donc ici pour lutter contre l'obsolescence programmée, en particulier avec l'obsolescence impliquée inutilement par des évolutions logicielles, Windows 11 étant un exemple particulièrement significatif.

Sur le même sujet
- 14 Octobre 2021 : Jean-Claude Laroche élu président du Cigref
- 14 Octobre 2021 : AG 2021 du Cigref : en route vers des horizons numériques radieux
- 23 Janvier 2019 : Le Cigref soutient l'Appel de Paris
- 9 Décembre 2021 : Planet Tech'Care : un point pratique
- 13 Octobre 2021 : La stratégie de Microsoft condamnée par les DSI européens au nom de la sobriété numérique