Accueil Shadow IT : Le DSI peut-il reprendre le contrôle ?

Shadow IT : Le DSI peut-il reprendre le contrôle ?

Sommaire du dossier

Bousculée par le phénomène du shadow IT mais aussi par la nécessaire transformation numérique des entreprises, la DSI traditionnelle doit se réinventer. L’informatique doit instaurer un nouveau dialogue avec les métiers et ses fournisseurs technologiques.

Avec le phénomène du BYOD, la multiplication des applications Cloud et maintenant l’essor du digital, le rôle de la DSI est fortement remis en cause par les métiers. L’usage d’applications Cloud hors du contrôle de la DSI, ce que l’on nomme aujourd’hui le shadow IT témoigne de cette perte de poids de la DSI dans les entreprises. Face à ces bouleversements, mais aussi à la nécessaire transformation numérique des entreprises, les DSI doivent se transformer afin de devenir non plus un centre de coûts pour l’entreprise, mais véritablement un atout en termes d’innovation. Une uberisation qui est aujourd’hui devenu nécessaire.

Le shadow IT, une pratique désormais généralisée

Qui n’a pas utilisé un système de partage de fichier dans le Cloud pour envoyer à un client les photos d’avancement d’un chantier, un dossier parce que la messagerie interne n’offrait pas assez d’espace ? Les outils gratuits disponibles sur le Web sont souvent bien plus simples à utiliser que ceux proposés par la DSI. La tentation est grande pour les employés d’utiliser des services Cloud hors de tout contrôle de leur service informatique. Le Shadow IT est une pratique courante, et si les DSI en sont conscients, l’ampleur de ce phénomène dépasse sans nul doute tout ce qu’ils imaginent. Une étude réalisée par NTT Research révèle que 78 % des responsables métiers avouent utiliser des services Cloud sans en avertir leur DSI et 83 % d’entre eux avouent qu’ils vont intensifier encore ce type d’usages. Faut-il voir dans cet essor du shadow IT une fronde contre la toute puissance direction informatique ? Pour 62 % des répondants, c’est la rapidité de mise en place qui motive ce choix, la simplicité d’utilisation pour 52 % et le prix pour 29 %. Seulement 28 % accusent leur DSI de ne pas comprendre leurs besoins. Aux membres de la direction générale qui pensent que cette pratique est limitée au service marketing, habitué à une gestion un peu plus libérale de son informatique, l’étude montre qu’il n’en est rien. 57 % des responsable métiers estiment que ce shadow IT est une réalité dans plus de la moitié de leur entreprise. Pour 27 % d’entre eux, il s’agit d’une pratique répandue dans la majorité des services.

SIT12P20

La sécurité du SI remise en question

Cette montée en puissance de ces services Cloud «clandestins» n’est pas sans conséquences sur le plan de la confidentialité des données et de leur sécurité. 80 % des répondants estiment que les données qu’ils sauvent sur des services tels que Google Drive, Dropbox ou iCloud d’Apple sont critiques pour leur entreprise. 56 % reconnaissent ne pas savoir où ces informations sont effectivement stockées. Enfin, 73 % sont pleinement conscients d’enfreindre les règles édictées par la RSSI. A quoi bon sécuriser les serveurs et baies de stockage de l’entreprise avec des firewalls derniers cri, des systèmes de détection d’intrusion et du chiffrement partout où cela est possible si les utilisateurs préfèrent stocker et partager leurs fichiers de travail sur des services gratuits ?

Face au phénomène, les DSI ne peuvent se contenter de tout interdire au risque de ne pas être suivis par les directions métiers dont l’objectif numéro 1 reste l’amélioration des marges. Elles doivent reprendre les rênes de manière plus constructive. La notion d’ « amnistie Cloud » est évoquée par l’étude NTT Research. La DSI passe l’éponge sur ces utilisations clandestines en échange d’un minimum de contrôle de ces usages. 70 % des directions métiers se disent prêtes à livrer leurs comptes Cloud à la direction informatique, même si certains services, trop peu sécurisés, doivent être interrompus. Yves Eychenne, Cloud Advisor chez IBM France, prend le cas de sa propre entreprise : «Pour prendre le cas d’IBM, nous avons le droit d’utiliser des services externes, que ce soit Box, Slack et d’autres. Box est autorisé, mais Dropbox interdit. Simplement ceux qui sont sélectionnés par la DSI apparaissent parmi les services auxquels chacun a droit sur son PC, sa tablette.» En échange de cette allégeance aux choix de la DSI, chaque service bénéficie du Single Sign On de l’entreprise et donc d’un accès simplifié. «Cela veut dire aussi que la société s’accorde le droit de savoir ce que chacun place sur ces services, de mettre en place l‘encryption qui permet de protéger des données. Des alertes sont envoyées aux utilisateurs lorsque ceux-ci tentent de copier sur certains services des données classifiées. La DSI ne lutte pas contre les services Cloud externes mais accompagne les usages. Le réseau a un rôle important à jouer afin de détecter le type de trafic et la capacité de couper les flux non autorisés le cas échéant.»

Yves-Eychenne---IBM« La DSI ne lutte pas contre les services Cloud externes mais accompagne les usages. »

Yves Eychenne, Cloud Advisor chez IBM France

La DSI est aujourd’hui prise en ciseau entre des métiers qui demandent un SI plus ouvert vers le Cloud, et une réglementation relative aux fuites de données qui est en train de se durcir. La nouvelle réglementation européenne va imposer des pénalités pouvant atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Des pénalités particulièrement fortes qui doivent pousser les DSI à réagir : « Plus l’entreprise va s’ouvrir, plus l’éducation des employés au risque sera importante », ajoute Yves Eychenne. «Il est de notre devoir d’éduquer nos clients sur la façon de protéger leurs données, les chiffrer, mais il est aussi le devoir des DSI de placer des garde-fous. Il faut mettre en place des mécanismes pour détecter si quelqu’un se met à collecter et copier toutes les données à sa portée dans l’entreprise, et bloquer des comportements qui n’ont pas lieu d’être tant à l’intérieur de l’entreprise qu’à l’extérieur. Cela nécessite une éducation des employés, mais aussi des clients de l’entreprise.» De la même façon qu’une banque bloque les retraits d’argent et achats en ligne réalisés avec une carte bancaire dans certains pays sensibles où le titulaire ne réside pas, le système d’information doit proactivement refuser le téléchargement par un salarié d’un fichier confidentiel sur Google ou Dropbox si la DSI l’interdit. De fait, les DSI peuvent s’appuyer sur un portefeuille de solutions qui leur permettent de sécuriser les accès à ces services Cloud, de protéger les données par leur chiffrement, leur sauvegarde et désormais de vérifier à tout instant le comportement des employés pour que ceux-ci se plient aux règles de gouvernance édictées dans l’entreprise. Philippe Croix, consultant senior chez ServiceNow souligne : «Nous avons des outils qui permettent de mesurer la vulnérabilité de votre SI même si vous avez externalisé votre plateforme dans le Cloud. ServiceNow fournit les outils qui permettent d’être réactifs lorsqu’on fait face à une attaque, mais aussi d’évaluer les vulnérabilités de tel ou tel service, et d’anticiper les problèmes de sécurité.»

La DSI doit-elle devenir un broker de services Cloud ?

Si un recadrage des pratiques internes semble inévitable vis-à-vis de la sécurité des données, les DSI ne doivent pas perdre de vue que si ce shadow IT s’est développé aussi massivement, c’est que l’informatique interne ne répondait pas aux attentes des métiers. Pour Sébastien Moriceau, DSI de LinkbyNet, la direction informatique doit revoir sa copie : «Les DSI doivent simplifier les usages, les procédures. Quand on sait qu’il faut parfois des semaines à une DSI pour simplement provisionner une VM dans son infrastructure, il faut apporter plus d‘agilité aux métiers. Et le Cloud est un moyen d’y parvenir. » LinkbyNet se positionne aujourd’hui en tant que broker de services Cloud et propose avec son offre SelfDeploy un portail par lequel le DSI va pouvoir proposer aux directions métiers un portefeuille de solutions Cloud internes ou publiques avec lesquelles l’entreprise à contractualisé une relation. « Les DSI doivent passer par des intermédiaires pour acquérir cette compétence sur les nouveaux services Cloud, déléguer à un CSB (Cloud Service Broker) dont c’est le métier » ajoute le DSI. «Il est simple de monter en compétence sur des acteurs du Cloud public tels qu’Amazon Web Service ou Softlayer, mais lorsqu’il faut le faire avec des acteurs du Cloud chinois tel qu’Alyun, par exemple, c’est plus compliqué. Lorsqu’on est un groupe international, faire cela sur les offres Saas, IaaS ou Paas dans le monde entier, cela devient très compliqué. » Avec une plateforme de brokering, le DSI peut mettre à disposition des services qui embarquent de facto toute la couche de sécurité définie par le RSSI de l’entreprise. Les métiers peuvent venir activer les services dont ils ont besoin, que ce soit une messagerie Office 365, un compte Box, une machine virtuelle Amazon Web Service ou un login sur une application Saas en quelques clics, aussi simplement qu’on achète un morceau sur iTune mais en toute conformité avec la politique de sécurité de leur entreprise. Philippe Croix de ServiceNow ajoute : « Les DSI doivent être suffisamment proactives pour proposer ce catalogue de services et être perçues comme un vrai centre de valeur ajoutée par les utilisateurs. »

 Sébastien-Moriceau---Link« Les DSI doivent simplifier les usages, les procédures quand on sait qu’il faut parfois des semaines à une DSI pour simplement provisionner une VM dans son infrastructure. Il faut apporter de l’agilité, et le Cloud est un moyen d’y parvenir. Et si la DSI ne s’empare pas du sujet, ce sont les utilisateurs qui le feront de manière détournée avec l’apparition de ce phénomène de shadow IT. »
Sébastien Moriceau, DSI de LinkbyNet

Cette mise à disposition d’un catalogue de services unifié où l’on trouve des services internes et d’autres piochés dans le Cloud public est en quelque sorte une évolution du modèle de l’IT as a Service apparu voici quelques années. Les DSI se sont transformées en centres de services et se muent aujourd’hui en broker ou courtier de services Cloud hybrides : «L’IT as a Service, c’est avant tout un portail où l’on montre que l’on traite les incident en cours, où l’on montre que la DSI travaille pour eux et pas pour elle-même. Un portail où les métiers peuvent solliciter un support, des fournitures, de l’accueil, des services à l’IT », conclut Philippe Croix.

Une entreprise française a totalement adopté cette approche, Sodexo. L’entreprise de restauration collective a créé des centres de services partagés afin de regrouper ses datacenters, puis s’est tournée vers le Cloud public pour porter ses applications. Sodexo a choisi Amazon Web Services, puis Microsoft Azure dans une stratégie multiCloud portée par la solution de Cloud Brokering de LinkbyNet : «Notre premier challenge d’entreprise, c’est d’accélérer ! L’informatique ne peut plus se permettre de freiner le business de l’entreprise. L‘idée est de distribuer les accès aux métiers en mode self-service, consommer et déployer à la volée des serveurs, les décomissionner, avoir la même flexibilité qu’on pourrait avoir sur le portail d’un fournisseur Cloud. Outre cette mise à disposition de services Cloud, notre portail de Cloud management nous apporte un volet consolidation financière », expliquait Rafik Kadi, directeur de projet IT chez Sodexo lors des derniers Etats généraux du Cloud. « Ce portail nous permet de mieux contrôler notre consommation de services Cloud mais aussi les refacturer à nos business units. Nous devons réintégrer le coût des services délivrés et le portail apporte cette vision, cette consolidation par ligne de service tant sur le Cloud public que privé. »

Une récente étude PAC menée en France montre que si la DSI n'est sponsor que du tiers des projets Cloud de l'entreprise, celle-ci est responsable de sa mise en œuvre 3 fois sur 4. Source : PAC / Juniper 2016
Une récente étude PAC menée en France montre que si la DSI n’est sponsor que du tiers des projets Cloud de l’entreprise, celle-ci est responsable de sa mise en œuvre 3 fois sur 4.
Source : PAC / Juniper 2016

Le DSI face au CDO

Les DSI ont maintenant à leur disposition des outils qui leur permettent de gérer des architectures Cloud hybrides complexes en toute sécurité et de proposer des services aux directions métiers de la manière la plus rapide et efficiente possible. Le portail est sans nul doute le moyen le plus efficace pour y parvenir mais il est indispensable de dépoussiérer les relations entre la DSI et les métiers, notamment revoir la façon dont les projets sont menés. Le cycle en V des grands projets informatiques d’antan fait désormais place aux approches itératives, aux méthodes agiles. Les métiers doivent suivre le mouvement car rien ne sert à une DSI de s’aligner sur les concepts DevOps si les métiers ne jouent pas le jeu. Ceux-ci doivent à leur tour adopter le rythme des cycles rapides pour faire évoluer les services, valider les développements. Lors de la dernière édition de la convention du CRIP, Jacques-Benoit Le Bris, DSI de Solvay soulignait : « Il faut réfléchir au partage de leadership entre la DSI et les métiers. Les métiers ont le même problème que nous. Ils voudraient agir plus vite mais sont eux-aussi coincés dans leurs orthodoxies. Il ne s’agit pas de l’IT face au reste du monde. » Alors que beaucoup d’entreprises décident de créer un poste de CDO (Chief Digital Officer) afin de lui confier les projets nouveaux et laisser au DSI le rôle de gérer l’existant, le DSI de Solvay s’est imposé à ce rôle : « J’ai pris l’initiative de créer un Digital Office, de mettre en place des moyens pour que les métiers et l’ingénierie informatique se rencontrent et où nous pouvons animer des POC (Proof Of Concept). Ce Digital Office est un espace dans lequel les métiers et les gens de l’informatique peuvent travailler dans un mode un peu plus libertaire. » Jacques-Benoit Le Bris va très loin dans cette approche puisqu’il ne souhaite pas faire fonctionner cette structure sur un mode budget. « Le but n’est surtout pas de les cloisonner dans un budget. Quand ils ont des bonnes idées, il faut pouvoir les financer. Il faut casser les codes du Capex management et de la gestion de portefeuille de projet classiques. Lorsqu’il se dégage une bonne idée, il faut être capable de l’industrialiser et c’est là où les difficultés commencent. A certain moment, on anime, à d’autres on « lead », mais tout cela doit se faire sans modèle préétabli. »

Après avoir basculé son système d’information dans le Cloud, David Larose, DSI Numérique de la Communauté d’agglomération de l’Aéroport du Bourget, est allé encore plus loin dans cette approche en supprimant son propre poste de DSI afin de devenir Directeur de l’Aménagement Numérique. « Il faut se poser la question : est-ce qu’on se positionne sur la surveillance des machines ou pour apporter de la valeur ajoutée à son entreprise ou à la fonction publique ? Mon métier, c’est faire en sorte que la Mairie réponde mieux aux citoyens plutôt que m’occuper à ce que les machines tournent bien. C’est exactement la même chose dans une entreprise privée. Est-ce que les métiers demandent à la DSI à ce que les machines tournent, ou les DSI doivent-elles trouver des solutions pour la RH, pour le business afin d’être plus rentables, plus efficaces, et aller vers l’international. »

L'ouverture des SI remet en cause la sécurité périmétrique en vigueur. Il convient de sécuriser des services externes avec des outils de gestion des accès, de protection des données et de monitoring de ces services Cloud. Ce monitoring est proactif, le système pouvant empêcher un utilisateur de faire un transfert de données interdit par la politique de sécurité.
L’ouverture des SI remet en cause la sécurité périmétrique en vigueur. Il convient de sécuriser des services externes avec des outils de gestion des accès, de protection des données et de monitoring de ces services Cloud. Ce monitoring est proactif, le système pouvant empêcher un utilisateur de faire un transfert de données interdit par la politique de sécurité.

Concilier le «legacy» avec le besoin d’agilité réclamé par les métiers

Le modèle de l’entreprise au système d’information 100 % Cloud et au DSI 100 % tourné vers les métiers défendu par David Larose est très probablement celui de l’entreprise du futur, mais en 2016 bon nombre d’entreprises ne sont qu’au début du chemin. Outre les entreprises de défense qui ne stockeront probablement jamais leurs données confidentielles chez un opérateur du Cloud, bon nombre d’entreprises doivent encore gérer un parc de machines et d’application legacy considérable. Des solutions souvent anciennes à la fois techniquement et économiquement difficiles à porter dans le Cloud. Les coûts de fonctionnement de ces infrastructures, le « run » dans le jargon de la DSI, absorbent l’essentiel du budget informatique au détriment de l’innovation. Il y a quelques années, Gartner estimait que 80 % des budgets informatiques étaient drainés par les applications existantes. Cette part varie bien évidement d’une entreprise à l’autre, mais, startups mises à part, ce poids de l’existant est bien réel dans toutes les entreprises. C’est particulièrement vrai dans les banques où les très coûteux mainframes sont encore fortement implantés dans les datacenters. Un paradoxe alors que « les Trois Vieilles » (Société Générale, LCL et BNP Paribas) et leurs concurrentes s’affrontent aujourd’hui à coup d’applications mobiles et de services en ligne : « Dans le secteur bancaire, la DSI traîne un boulet, celui de l’existant » reconnaît Philippe Laulanie, le responsable du département Développements Multicanaux et Banque de Détail France de BNP Paribas. « C’est un boulet de grande valeur car les mainframes contiennent tout le transactionnel de la banque, la sécurité, les produits bancaires et assurances, mais tout cela est en train d’exploser. La consumérisation implique des croissances de volumétries exponentielles alors que le monde bancaire est plutôt habitué à une croissance linéaire. » Pour le responsable, l’heure n’est toutefois pas à la refonte de ce SI historique et au Big Bang pour porter ces applications critiques dans le Cloud, qu’il soit privé ou public. « Il faut capitaliser sur l’existant car la sécurité, le rôle de tiers de confiance de la banque reste fondamental, d’autant que le volet réglementaire est très lourd. Ma position est qu’il faut valoriser le legacy, valoriser la sécurité des transactions que nous avons su mettre en place et aller vers un modèle bimodal, vers le Cloud pour l’axe client. »

 Philippe-Laulanie---BNP« Le bimodal doit nous permettre de créer un nouveau service model sans legacy, complètement ouvert auprès d’acteurs externes, partager la data pour créer un parcours client (customer journey) avec des partenaires. C’est dans un mode bimodal que les banques qui traitent de gros volumes de données vont pouvoir devenir des «software companies». Nous devons investir pour aller vers le Cloud public, les API de services, de nouveaux modèles de run et de partenariats avec les grands prestataires informatiques. »

Philippe Laulanie, responsable du département Développements Multicanaux et Banque de Détail France de BNP Paribas

Cette approche bimodale semble être la solution la plus communément retenue par les DSI françaises. Une part des ressources de la DSI est dédiée à l’optimisation de l’existant, à l’industrialisation des processus de gestion et de maintenance des ressources informatiques, et une autre partie est allouée aux projets numériques, avec des équipes DevOps dédiées aux lancements de nouveaux services Web, d’applications mobiles et l’étude des nouveaux business models, notamment liés aux API de concert avec les métiers. Philippe Laulanie détaille l’organisation bimodale qu’il prône au sein de BNP Paribas : « Sur le volet legacy, le DSI d’une banque doit diminuer le coût de run, faire de la compliance, innover dans les processus, les transactions et les produits, aller vers le Cloud privé ou hybride. En parallèle, le bimodal implique de mettre en place un nouveau service model sans legacy, complètement ouvert auprès d’acteurs externes, partager la data pour créer un customer journey avec des partenaires. » C’est via cette approche bimodale que les banques espèrent se muer en « startups » tout en maintenant leur existant à flot.

Réinventer la relation DSI/prestataires

Cette mutation reste une gageure pour beaucoup de grands comptes français qui ont mis en place des contrats d’externalisation et d’infogérance à long terme avec les grandes SSII françaises, comme BNP Paribas l’a fait en 2004 avec IBM pour former BNP Paribas Partners Innovation (BP2I). Un partenariat de 12 ans à l’heure du digital d’aujourd’hui où les alliances se nouent et se dénouent en quelques semaines, cela semble une éternité. Les relations entre les entreprises et leurs prestataires informatiques semblent en complet décalage avec le besoin de souplesse et de réactivité qu’attendent désormais les DSI. D’une manière générale, les DSI qui sont intervenus lors des derniers Etats Généraux du Cloud organisés par EuroCloud se sont montrés particulièrement sévères vis-à-vis de leurs prestataires.

Pour David Larose, Directeur de l’Aménagement Numérique de la communauté d’agglomération de l’Aéroport du Bourget, le marché français n’est pas assez dynamique, notamment vis-à-vis des collectivités locales soumises à l’obligation de maintenir sur le sol français leurs données : « Il manque de la compétition entre prestataires en France. Je n’ai que 120 serveurs et 1 000 postes à virtualiser mais j’attends une vraie compétition. Microsoft et Amazon Web Services n’ont pas de datacenter en France, donc à partir de là ce n’est pas possible pour nous d’avoir recours à leurs service car nos données sont considérées comme trésor national et ne peuvent franchir les frontières. On a les compétences en France, on a des datacenters mais l’offre commerciale reste très pauvre. »

Konstantinos-Voyiatzis« Notre rôle n’est pas de gérer des salles machines, surveiller des applications en 24/7. C’est une prestation que l’on peut trouver à l’extérieur, tout comme le support des PC. Pour moi, un DSI doit être auprès du business, proposer de nouvelles solutions, de nouveaux services, et de nouveaux partenaires. »

Konstantinos Voyiatzis,
DG et DSI groupe d’Edenter

Pour Konstantinos Voyiatzis, directeur général et DSI group d’Edenred, les prestataires n’ont pas suffisamment réalisé leur mutation vers le Cloud : « Nous ne trouvons aujourd’hui pas suffisamment d’intégrateurs et sociétés de services qui savent intégrer des services Cloud. Les intégrateurs traditionnels qui nous ont accompagnés dans l’installation de nos infrastructures n’ont pas suffisamment muté vers l’intégration de services Cloud. Ils ne savent pas parler Web Services, API, REST, intégration Saas et aPaas. » Paradoxe pour le champion français des services prépayés, celui-ci s’est tourné vers une petite structure barcelonaise spécialisée en intégration Amazon Web Services car celui-ci n’en trouvait pas en France.

Hubert Tournier, le puissant DOSI du Groupement des Mousquetaires et DG de la STIME (DSI filialisée du groupe) se montre tout aussi critique vis-à-vis des offreurs de solutions Cloud, notamment les éditeurs d’applications Saas : « En termes de sécurité des applications qui vont dans le Cloud, il faut d’abord se livrer à une analyse de risque. Si celle-ci conclut qu’il n’y a pas de données sensibles, il n’y a pas de problème à héberger l’application de n’importe où. S’il y a des données sensibles, cela ne signifie pas qu’on ne peut pas l’héberger à l’extérieur, cela signifie qu’il faut regarder ce que le prestataire est capable de faire, et sur ce plan je trouve que les compétences des prestataires sont extrêmement limitées en matière de sécurité et d’architecture. » Ainsi, si le DOSI des Mousquetaires n’est pas satisfait des réponses apportées par l’éditeur d’une application Saas, il n’hésite pas à acheter les licences de la solution et à la déployer en mode on-premise, quitte à accorder un accès distant à l’éditeur si ce dernier souhaite maintenir son application à distance.

Transformer une DSI en moteur d’innovation pour l’entreprise

La DSI doit se transformer dans ses processus internes pour aller vers plus d’agilité avec DevOps, vers une baisse des coûts de run au moyen du Cloud interne ou public. Elle doit aussi revoir la façon dont elle travaille avec les métiers. La DSI est certes un fournisseur de solutions techniques, mais elle doit surtout se poser en tant que moteur d’innovation et ne plus être à la traîne des métiers et se laisser déposséder de l’aspect innovation par le CDO. « Avec la Data, le DSI a de l’or dans les mains » s’enthousiasme Mathieu Colas, Vice Président Digital & Big Data de Capgemini. « Si on prend des entreprises comme Randstad, Unilever, les DSI se sont saisies du sujet pour dégager de la valeur, créer de nouveau business si on prend le cas de Randstad. Deux points sont à retenir : d’une part le sponsoring indispensable de la part de la DG et d’autre part comment la DSI se positionne au service de l’entreprise, au service des entités digitales. »

Pour les responsables informatiques d’aujourd’hui, l’objectif est d’insuffler l’esprit startup dans leurs DSI. Comme le soulignait Didier Caroff, Escalation Manager chez Criteo lors de la convention du CRIP, « La rapidité d’action est dans l’ADN de Criteo. Tout doit pouvoir être réalisé très rapidement, mais nous avons aussi une culture de l’échec, la culture du «Fail fast, better success». On essaye, on expérimente, et si cela ne fonctionne pas, ce n’est pas grave, on reconstruit autre chose. Nos managers sont dans l’esprit startup. Nous sommes là pour créer du chiffre d’affaires, rendre l’entreprise plus performante. » Là encore, il est sans doute plus simple d’insuffler un tel esprit startup dans une jeune entreprise que dans un mastodonte tel qu’EDF. C’est pourtant ce que cherche à faire François Gonczy, directeur Numérique d’EDF Commerce : « A côté de ce legacy, nous devons pouvoir aller vers cette mécanique d’innovation basée sur l’essai. C‘est une contradiction que j’appelle le syndrome de la peinture toujours fraîche. C’est une difficulté culturelle et managériale au sein de nos équipes de la DSI. Nos ingénieurs ne sont heureux que lorsque le projet est parfaitement abouti.
Or c’est long et cela ne correspond jamais au time to market. Et jamais à l’évolution de nos idées qui veulent que l’on devance les besoins de nos clients. Le challenge, c’est d’expliquer que non, aucune application, aucun développement SI tourné vers le client ne sera jamais sec et qu’il faudra toujours le remettre sur la table. C’est un vrai challenge culturel pour nos équipes. »

Parmi les recettes appliquées par les DSI pour se rapprocher des métiers, la mise en place d’équipes pluridisciplinaires est la piste suivie par François Gonczy : « Notre travail a été de nous rapprocher au plus près des opérations, au plus près des équipes avec des gens de la R&D, des gens des SI et tous les gens qui ont un bout des verrous opérationnels, techniques, juridiques à lever. Sur des objets bien précis comme l’IoT, le Big Data, on a un besoin d’accélération, donc on crée des équipes transdisciplinaires auxquelles on demande d’avancer d’un cran sur la question. »

L'ouverture des SI remet en cause la sécurité périmétrique en vigueur. Il convient de sécuriser des services externes avec des outils de gestion des accès, de protection des données et de monitoring de ces services Cloud. Ce monitoring est proactif, le système pouvant empêcher un utilisateur de faire un transfert de données interdit par la politique de sécurité.
L’ouverture des SI remet en cause la sécurité périmétrique en vigueur. Il convient de sécuriser des services externes avec des outils de gestion des accès, de protection des données et de monitoring de ces services Cloud. Ce monitoring est proactif, le système pouvant empêcher un utilisateur de faire un transfert de données interdit par la politique de sécurité.

Pour Bertrand Eteneau, le DSI de Faurecia, la transformation numérique de l’équipementier automobile est passée par une généralisation des POC à grande échelle dans l’entreprise. Consultés, les métiers ont identifié une trentaine de technologies susceptibles de transformer l’entreprise. « C’est bien d’avoir une bonne idée, c’est mieux de la tester et surtout de vérifier le business model » souligne Bertrand Eteneau. « Sur les 30 technologies identifiées par les métiers, nous avons mené une cinquantaine de proof of concept dans une quarantaine d’usines réparties dans le monde. Nous nous sommes aperçus que sur ces technologies, certaines étaient très prometteuses à terme, mais pas encore opérationnelles pour nous. » Ainsi, le PoC portant sur les Google Glass a mis en évidence le manque de maturité criant des lunettes de réalité augmentée créées par Google. De même que l’impression 3D s’est avérée inadaptée aux rythmes et volumes de production imposés par l’industrie automobile. « Nous avons testé pendant 9 mois ces 30 technologies désignées par les métiers, et au final 12 ont été retenues afin de monter des projets. Depuis décembre 2015, des pilotes industriels en situations réelles dans les usines ont été mis en place et lorsque ces pilotes auront été fiabilisés et sécurisés, nous pourront déployer ces solution de façon massive dans nos 300 usines. »

Le phénomène du shadow IT et plus encore la transformation numérique des entreprises poussent la DSI à se réinventer. Celle-ci doit s’auto-uberiser ou se placer dans un mode bimodal afin d’une part d’assurer le fonctionnement optimum des infrastructures informatiques mais aussi tourner les équipes projets vers les métiers. Dans ce contexte, l’essor du Cloud n’est pas une menace pour la DSI mais une opportunité pour se détacher des contraintes techniques seules et se placer en tant que moteur d’innovation pour l’entreprise. Une démarche qui implique que la DSI sorte de la tour d’ivoire où elle s’est parfois enfermée.