Tournant le dos à l’infogérance traditionnelle, de plus en plus de prestataires IT s’orientent vers la fourniture de services managés. De la supervision des infrastructures à la cybersécurité, le périmètre des services adressables à distance ne cesse de s’étendre. État des lieux de ce marché en pleine ébullition.
Il va falloir s’habituer à l’acronyme de MSP. Avec quelques années de retard sur les États-Unis et les pays scandinaves, un nombre croissant
d’entreprises de services du numérique (ESN) revendiquent cette appellation de Managed Services Provider (MSP), ou fournisseur de services managés. Ce modèle constitue une véritable rupture avec l’infogérance traditionnelle et les prestations en régie. Fini le personnel sur site, un MSP gère à distance le système d’information de ses clients, de façon proactive et selon un mode forfaitaire.
Le périmètre des services éligibles à ce mode managé ne cesse de s’étendre. Les MSP ont commencé par superviser les performances et la qualité du réseau et de l’infrastructure avant de monter dans les couches hautes du SI avec le monitoring applicatif. Support utilisateurs, gestion des alertes, maintenance matérielle, correctifs logiciels, patching, configuration des services cloud… La liste des services adressables à distance est longue comme le bras et ils sont généralement proposés sous forme de « packages ». Plus récemment, la sécurité s’est invitée au menu avec des services de back up ou de SOC managés. On parle alors de MSSP, ou Managed Security Service Provider.
RMM (Remote Monitoring Management), APM (Application Performance Monitoring) ou PSA (Professional Services Automation), le MSP dispose d’un certain nombre d’outils pour assurer le suivi à distance des assets de ses clients. Bien sûr, c’est la montée en puissance du cloud qui rend ce modèle possible opérationnellement, le nuage assurant en quelque sorte la passerelle entre le SI du client et les centres de compétences de l’ESN.
Un « gâteau » de 500 milliards de dollars
Plusieurs facteurs incitent les entreprises finales à recourir aux MSP. En passant par une gestion proactive de leurs ressources informatiques, elles s’attendent à une amélioration de la qualité de service assortie d’une réduction de coûts. En comparaison avec l’infogérance traditionnelle, le mode MSP offre aussi davantage de flexibilité contractuelle.
Plus généralement, il doit permettre à une organisation de se concentrer sur son cœur de métier et pallier la pénurie de compétences IT. Il répond aussi à la demande des entreprises de disposer d’un interlocuteur unique. « Les utilisateurs finaux
ne souhaitent pas seulement le déploiement d’un parc de PC ou de serveurs, mais aussi leur administration et leur
sécurité », observe Cédric Sroussi, directeur technique de la division Services Advanced Solutions chez TD Synnex.
Les planètes sont donc alignées pour que l’approche MSP devienne l’avenir des ESN. Elle constitue d’ores et déjà une part non négligeable de leurs revenus. Sur un marché IT évalué à 4 700 milliards de dollars en 2023, en hausse de 3,5 %, les prestataires de services, intégrateurs et autres revendeurs captaient 73 % de cette valeur, selon le cabinet d’études Canalys. Dans le domaine spécifique des services, en croissance de 7,5 %, le mode MSP devait accaparer un tiers du chiffre d’affaires, soit 500 milliards de dollars.
Cet engouement pour de telles offres entraînera un mouvement de consolidation. Le même Canalys prédit que 20 % des MSP « purs » disparaîtront entre 2023 et 2025, principalement du fait de fusions et acquisitions. La baisse des prix, la nécessité de s’entourer de nouvelles compétences ou de faire grossir son portefeuille inciteraient les revendeurs et les intégrateurs à acheter des spécialistes des services managés.
« Depuis deux ou trois ans, l’adoption du modèle MSP s’accélère, confirme Frédéric Navarro, directeur du développement de BeMSP, société qui accompagne les ESN sur la voie du MSP. Les périodes de confinement lors de la crise sanitaire ont notamment permis de prendre conscience de l’incapacité des prestataires en régie à intervenir sur site. Le modèle MSP leur offre, par ailleurs, un cadre rassurant en générant des revenus récurrents. »
Pour autant, le passage de l’infogérance au MSP constitue un véritable changement culturel. « Avec le système par abonnement, le prestataire ne vend plus du temps, des jours hommes, mais un service récurrent, poursuit Frédéric Navarro. On passe du raisonnement “plus il y a d’incidents, mieux je gagne ma vie” à “plus il y a d’incidents, moins je gagne bien ma vie”. Économiquement parlant, l’ESN a donc tout intérêt à réduire au maximum les risques d’incidents en s’outillant pour automatiser un maximum de tâches et en jouant la carte de la proactivité. »
« Avec le mode MSP, l’ESN ne fournit pas des ressources humaines comme en régie, mais un service au forfait calculé en unité d’œuvre, qui peut être de X euros par mois par serveur géré, par exemple, explique Julien Escribe, partner chez Information Services Group (ISG), cabinet spécialisé dans les services de transformation numérique. Si le MSP a le vent en poupe, l’assistance technique et la régie n’ont pas diminué autant que prévu, tempère-t-il. Elles sont toujours aussi demandées. »
« Sur le plan contractuel, le Total Contract Value est de plus en plus usité », poursuit Julien Escribe. Ce TCV, ou valeur totale du contrat, correspond au montant total des revenus générés par un client, entre les revenus des abonnements récurrents et des coûts uniques associés au contrat, tels que des frais de mise en œuvre.
En contrepartie, le prestataire s’engage sur un certain nombre d’indicateurs clés de performances (KPI) et d’engagement de niveau de services (SLA), basés sur le taux de disponibilité du système ou le délai de rétablissement du service, permettant d’évaluer la qualité de service (lire encadré « Quels indicateurs de performance retenir ? », p. 14).
Les distributeurs, de précieux intermédiaires
Dans ce monde des MSP, les distributeurs, comme TD Synnex ou Arrow, occupent un rôle central. « En tant qu’agrégateur de solutions, nous jouons un rôle d’intermédiaire entre les prestataires, qui n’ont pas toujours les ressources ou la bande passante suffisantes, et les offreurs de services », explique Cédric Sroussi. À charge pour le distributeur d’assembler des briques technologiques et de les packager sous forme de services en marque blanche.
Un moyen pour de petits prestataires d’étendre leurs domaines d’expertise à peu de frais, notamment en matière de cybersécurité. « Monter un SOC représente un investissement de plusieurs millions d’euros en matériel, process et surtout ressources humaines, avec une cellule d’experts sous astreinte 24 heures sur 24 et 7 jours sur 7, rappelle Cédric Sroussi. Il faut aussi un certain temps avant que celui-ci soit opérationnel. » À l’inverse, un SOC managé profite de la mutualisation des ressources et est accessible immédiatement.
Selon lui, les grands partenaires se montrent également intéressés. « Ils n’ont pas toujours les ressources pour couvrir tout le spectre d’expertises. Ils préfèrent passer par un distributeur comme nous, qui affichons une position neutre, que par un concurrent. Nous pouvons aussi servir de relais durant la période de montée en compétences. »
Pour répondre à la demande en services MSP de ses quelque 6 500 partenaires, TD Synnex France s’est réorganisé en conséquence en juin dernier. Le groupe n’est plus structuré par grandes marques, comme Cisco ou IBM, mais en quatre marchés : la cyber, la data & les applications, l’hybride cloud et les réseaux & communications. La direction de la nouvelle business unit cybersécurité a été confiée à Kizitho Ilongo. « Ma mission est d’accompagner les partenaires dans la transformation de leur modèle commercial et technique afin de répondre aux enjeux cyber », explique ce dernier.
La cybersécurité, un marché particulièrement porteur
Autre nomination, mais cette fois chez un prestataire de services. Patrick Vibert a rejoint AntemetA il y a quelques mois en qualité de directeur du cloud et des services managés. Il exerçait auparavant une fonction sensiblement identique chez Cheops Technology. Son objectif : développer les offres de services managés pour qu’elles atteignent 30 % du chiffre d’affaires du groupe français spécialisé dans le cloud hybride et la protection des données. « Il s’agit de renforcer et de moderniser l’offre au catalogue avec un focus sur la cybersécurité, un marché très porteur. » Certifié ISO 27001, HDS (hébergeur de données de santé) et visant une qualification SecNumCloud, AntemetA propose également des services de back up managé et de PRA (plan de reprise d’activité) as a service.
Côté infrastructures, le prestataire propose la supervision des environnements hybrides – on-premise et cloud – à ses clients, principalement « des grosses ETI ». Depuis le portail MyAntemetA, elles peuvent piloter la relation fournisseur en temps réel. L’ESN a aussi la volonté de monter en puissance sur la partie middleware et applicatifs. « Nous faisons déjà le maintien en conditions opérationnelles d’environnements SAP », précise Patrick Vibert.
Nearshore versus offshore
Changement d’échelle avec l’ESN Devoteam qui, avec son offre de services managés, s’adresse à de très grandes entreprises pour des contrats à plusieurs millions d’euros. « Elles ont fait le choix du cloud native et de l’automatisation à tous les étages », note Gael Grootaert, directeur des services managés.
Devoteam a également pour clients des acteurs nés dans le cloud comme des fintech, des néobanques ou des pure players de l’e-commerce. « Ces entreprises innovantes ne comprendraient pas de s’engager dans un contrat d’infogérance pour trois à dix ans, remarque Gael Grootaert. Elles veulent de la souplesse et pouvoir renouveler le contrat chaque année. »
Le groupe s’est lancé sur ce marché du MSP il y a deux ans, autour de trois axes : les infrastructures et le cloud public, les applications et la data ainsi que la cyber-sécurité. Avec une ambition forte : les services managés doivent représenter 10 % du chiffre d’affaires du groupe en 2028, ce dernier atteignant alors à cette échéance 1,2 milliard d’euros.
À la différence de Capgemini ou d’Accenture, très orientés offshore et industrialisation, Devoteam s’appuie sur des centres d’expertise en France, en Pologne, en Lituanie, au Portugal ou au Danemark. « Nous avons fait le choix de rester dans l’espace européen pour des raisons de sécurité et de conformité au RGPD, avance Gael Grootaert. La Lituanie possède, par ailleurs, une excellente université. »
Répondant aux normes ISO 27001 et ISO 27018, Devoteam Cloud Managed Services est certifié Microsoft Azure et Google Cloud MSP, en attendant AWS. L’ESN s’est aussi rapprochée d’OVHcloud et de Cloud Temple pour se positionner notamment sur leurs offres de cloud souverain. Dans une logique d’industrialisation, elle fait appel aux outils d’infrastructure as code Terraform et Ansible.
Gérer le legacy tout en aidant à basculer dans le cloud
L’ESN et société de conseil Sopra Steria se positionne également sur les très grandes entreprises. Son entité dédiée, Infrastructure & Security Services (I2S), réalise les deux tiers de son chiffre d’affaires sur une trentaine de comptes seulement, des acteurs publics et des groupes du CAC 40 principalement mais aussi des sociétés du SBF 120.
I2S propose deux activités principales. La plus importante – un peu plus de 250 millions d’euros de revenus – porte sur la gestion des infrastructures. « À la différence de certains compétiteurs qui se focalisent sur les infrastructures cloud, nous voulons être leader de l’hybridation, affirme Jean-Marie Souchu, son P-DG. Nous embarquons les infrastructures legacy de nos clients tout en les aidant à basculer dans le cloud. »
Afin d’opérer les infrastructures sur site et dans le cloud de ses clients, I2S a des « squad teams » réunissant des compétences multiples et pouvant intervenir en niveau 1 et 2 sur ces environnements hybrides, explique Thierry Luc, directeur technique. « Nous nous sommes aussi outillés pour gérer les incidents en se dotant des solutions de ServiceNow, Dynatrace ou Datadog. » Sur la partie cloud, Sopra Steria a noué des partenariats, avec les hyperscalers – Microsoft Azure, Google Cloud, AWS – mais aussi avec les français OVHcloud, Outscale et NumSpot, et engagé un programme de certification sur ces différentes plateformes.
En parallèle, l’ESN a développé avec OVHcloud une plateforme de cloud souverain, baptisée Trusted Digital Platform (TDP), répondant à toutes les exigences en termes de sécurité et de résilience dans un environnement SecNumCloud. Une trentaine de clients ont souscrit à cette offre. « C’est le rôle d’un MSP de mettre de la glu entre des briques existantes, juge Thierry Luc. Un cloudeur ne peut couvrir 100 % des besoins clients, nous faisons la jointure. »
La seconde ligne métier est dédiée à l’inévitable cybersécurité et génère 100 millions d’euros de chiffre d’affaires. Prévention, protection, détection et réponse sur incident, Sopra Steria entend offrir une protection de bout en bout, en mode MSP ou non. Avec le rachat fin 2021 d’Eva Group, cabinet français de cybersécurité, la société de services a doublé de taille dans ce domaine. Avec des sites à Singapour et Toronto, cette acquisition lui permet d’assurer un service follow the sun.
L’ESN a aussi pris une participation majoritaire au capital de CS Group en 2023, ce qui lui a permis de diversifier ses compétences en cybersécurité et d’élargir sa présence à l’international, notamment en Amérique du Nord. « Selon PAC, nous faisons partie du top 5 des acteurs de la cybersécurité, signale Jean-Marie Souchu. Nous souhaitons maintenant rejoindre le top 3 en atteignant les 150 millions d’euros de chiffre d’affaires. » Et de poursuivre : « Le modèle MSP oblige à automatiser au maximum nos processus et à changer notre modèle de delivery en mettant en place des centres de compétences dédiés à une offre ». Roanne et la Pologne
sont en charge de la dynamic support experience, Sophia-Antipolis et la Pologne adressent l’offre dynamic operations platform tandis que Sophia-Antipolis s’occupe de la build expertise.
Créé en 2007, le site polonais assure un support de niveau 1, 2 et 3. « Il est à 80 % francophone, souligne Jean-Marie Souchu. Les employés ont, pour la plupart, un double master de langue et d’informatique. » Sopra Steria s’est aussi tourné vers l’Inde il y a six ans pour pallier ses difficultés de recrutement, le « X shore » représentant 60 % de son activité.
« À la différence de nos concurrents qui ont fait le choix d’aller massivement à l’étranger, nous avons conservé des centres en France pour des raisons de souveraineté. Pour rester compétitifs, nous faisons un large appel à l’automatisation et à l’IA », conclut le dirigeant.