Depuis des années nous assistons à une montée en puissance du cloud et notamment du SaaS. Si l’utilisation de ces solutions par les métiers accélère la digitalisation des entreprises, notamment celles du CaC 40, elle n’est pas sans générer des risques pour leurs infrastructures informatiques. Charge donc aux DSI de proposer aux directions métiers un catalogue de solutions SaaS pour qu’elles choisissent les bons outils.
Selon l’étude de KPMG réalisée en mai dernier dans le cadre de l’initiative gouvernementale du cloud souverain, le marché du cloud européen pourrait décupler et atteindre 560 Mds€ d’ici à 2030. Il concentre à part égale, 230 Mds€, les besoins d’infrastructure - le IaaS et le PaaS-, et les besoins d’applications : le SaaS. Mais si le cloud d'infrastructure a été au coeur des débats de souveraineté ces derniers mois avec l’initiative européenne Gaia-X, ou la défense des acteurs français OVH, Orange ou Scaleway face aux mastodontes américains, Amazon, Google ou Microsoft, rien, ou trop peu n’a été dit sur son pendant applicatif : le SaaS.
Et pourtant, à l’insu des DSI et des directions générales, le SaaS explose jusqu’à créer une véritable digitalisation souterraine, aux mépris de tous les enjeux sécuritaires (RGPD) ou de souveraineté numérique.
Ainsi, dans les sociétés du CAC 40, et plus largement dans les grandes entreprises, le SaaS est devenu le vecteur clé de la digitalisation des métiers. Couramment appelé Shadow IT, l’écosystème SaaS se construit via l’usage massif d’outils disponibles sur internet, hyper-spécifiques et payables par abonnements. Déployés à l’insu des lourds process de gouvernance d’entreprise, ces outils passent majoritairement sous les radars de l'entreprise car “à moins de 100k€, le groupe ne regarde pas”, et cela même s’ils représentent des millions d’euros de coûts annuels cumulés. Externalisée, cette informatique est souvent celle de l’usage débridé des données personnelles (plus de 40% des SaaS utilisés sont américains), présentant potentiellement une multitude de failles de sécurité et de conformité à venir.
En s’équipant de solutions SaaS à l’insu des DSI, les métiers fragilisent l’infrastructure informatique de l’entreprise
C’est une véritable digitalisation souterraine qui s’opère avec, en moyenne, plus de 190 éditeurs Cloud différents pour une entreprise de plus de 1000 collaborateurs. Sur ce nombre, seuls 60 de ces éditeurs sont maîtrisés par la DSI, 44 par le DPO et 36 par la sécurité. Et si, comme le prévoit KPMG, la croissance du Cloud se poursuit, ce sont alors plus d’un millier d’éditeurs SaaS différents qui seront utilisés par chaque entreprise en 2030. La capacité de structurer un cadre de gouvernance clair sur le Cloud d’application sera donc vital tant cela cristallise des enjeux de souveraineté numérique, de cyberdéfense ou de performance digitale de nos entreprises.
La digitalisation est une affaire de métiers
La transformation digitale étant l’affaire de tous, et surtout des métiers, il est normal qu’ils s’en saisissent. Notamment ceux de la nouvelle génération, celle du smartphone et des applications qu’ils installent et désinstallent à la vitesse d’un clic. Génération du zapping, elle attend de l'entreprise le meilleur de la technologie que ce soit sur la vitesse d'exécution, l'interface des solutions et l'impact des outils sur la simplification et la performance de leurs activités professionnelles. Or, c’est un euphémisme de dire que cela ne fait pas encore partie des solutions proposées par les grandes entreprises.
Pourtant, les meilleures technologies existent sur le marché mondial - près de 100 000 SaaS - dont les investissements réalisés par le capital-risque se comptent en centaines de milliards d’euros. Ces solutions, parmi lesquelles figurent les plus puissantes, rapides et les mieux adaptées à la digitalisation des différents processus, sont aussi celles qui stockent et consomment le plus de données personnelles à l’étranger. Il s’agit donc de construire un véritable App Store de l’entreprise, pour permettre aux métiers de choisir eux-mêmes les meilleures applications tout en les guidant dans la bonne manière de sélectionner, utiliser et dé-risquer ces outils sur le long terme.
DSI et métiers doivent renouer le dialogue
Le DSI tient une place stratégique sur ce sujet : celle de fournir ainsi à l’entreprise le cadre de décentralisation de la digitalisation. Celle de s’assurer que, malgré l’inflation technologique portée par les métiers, le cadre réglementaire est respecté, les données personnelles sous-traitées par ces outils sont bien protégées et les failles de sécurité externalisées sont réduites au minimum. Dans ce contexte le DSI agit comme chef d’orchestre de l’écosystème digital, assurant l’optimisation des applications SaaS et leurs synergies au fur et à mesure que les métiers les ajoutent.
Le cloud souverain restera une initiative vaine si le cloud d’application, qui en résulte pour moitié, est toujours considéré au second plan. Au sein des entreprises, c’est à la direction générale d’impulser la construction d’une gouvernance digitale décentralisée, la seule à même de réussir à structurer cette part explosive du cloud. Une stratégie qui nécessite de mobiliser, avec le DSI, l’ensemble du comité exécutif, toutes les directions étant concernées par les enjeux de la transformation digitale.
L’urgence reste pourtant bien de faire l’état des lieux de la digitalisation souterraine existante !