Dans le deuxième article d’une série de huit, notre chroniqueur Benito Diz poursuit son analyse des clés du move-to-cloud. Il entre dans le détail des premières étapes clés de la transformation.
Comme je l’évoquais dans ma précédente chronique, pour transporter le Legacy dans le Cloud, apporter de l’agilité, de l’efficience et des réductions de coûts… un processus global en neuf étapes est essentiel pour toute entreprise. Je résume celles-ci en quelques termes clés : la culture digitale, l’évaluation, l’équipe projet dédiée, la cartographie, le datacenter virtuel, la réversibilité, le transport des applications, les décommissions, et la nouvelle production.
Nous allons nous intéresser ici aux deux premières étapes fondamentales, souvent trop mal prises en compte.
1re étape : La culture digitale
Tout doit commencer par une acculturation[1] digitale, première étape incontournable pour accompagner l’entreprise, diffuser les fondamentaux, rappeler le vocabulaire afin d’échanger clairement dans un langage commun, rependre les notions de DevOps, de « design thinking », de « user experience », de l’expérience client, de parcours client…
Cette première étape ne concerne pas que l’informatique, et vise aussi à rappeler au métier qu’une transformation nécessite leur implication. Ne serait-ce que pour une bonne compréhension de la recette des nouveaux environnements et pour une validation éclairée par les propriétaires des processus et applications.
Côté filière informatique, l’acculturation va plus loin et permet de former les équipes aux nouvelles méthodes et technologies sur divers profils. Pour l’IT, la formation deviendra un processus continu du fait de l’évolution rapide et continuelle des services du Cloud. Ce point n’est pas anodin, il fait grandir les équipes pour faire monter en puissance leurs compétences et sécuriser leur employabilité (formations, prises en compte des parcours professionnels). Ce volet permettra de sécuriser les acteurs internes, de redimensionner les ressources et d’anticiper les évolutions des collaborateurs. Il faut considérer cette Gestion des Emplois et des Parcours Professionnels comme une opportunité pour l’entreprise de structurer et de valoriser sa politique de gestion des ressources humaines auprès des salariés de l’IT et des métiers.
L’offre Dev(Sec)Ops (ou agilité accrue) doit être incluse dans le processus de transformation Cloud, car c’est un facteur d’accélération, d’augmentation du ROI et de qualité pour l’entreprise.
La migration dans le Cloud contribue à la mise en place en amont de tous les outils nécessaires tels que l’automatisation ou l’orchestration qui rendent l’évolution ou la transformation des applications plus agile grâce à l’intégration, au déploiement et à la livraison en continu.
Lors de cette phase d’acculturation digitale, il est aussi important de sensibiliser les différentes populations (métier, IT…) aux nouveaux risques auxquels elles seront confrontées afin qu’elles prennent conscience de la nécessité d’ajuster leurs pratiques et qu’elles changent de paradigme.
Lors de cette phase, un point sur l’existant s’impose en matière de procédures, de processus, de pratiques et de formations et en matière de protection des données afin d’établir un état des lieux afin de combler les manques.
Quelques axes d’acculturation :
- Au niveau du COMEX, des CODIR et des directions
- Définir un langage commun,
- Les avantages du Cloud dans leur domaine et en support a la stratégie de l’entreprise.
- Au niveau des métiers
- Définir un langage commun,
- Sur les plateaux projets et le DevOps et sur l’implication des métiers (et non des représentants des métiers -MOA-), design thinking, UX, CX,
- Sur leur implication dans le projet de transformation Cloud pour les recettes des nouveaux environnements,
- Sur la nécessité d’identifier des propriétaires de processus et d’applications (Owners).
- Pour les équipes de la DSI
- Sur l’évolution de l’organisation,
- Sur les nouvelles missions / fonctions,
- Définir les nouveaux métiers et former les personnes,
- Initiation au digital, au « Design thinking » et au UX/CX,
- Former les équipes exécutrices au faire faire (bien qu’il faille qu’elles sachent faire avant de leur demander de faire faire, ceci afin de maîtriser les sujets qu’elles seront amenées à piloter et à contrôler).
2e étape : L’évaluation
La seconde étape consiste à revisiter le système d’informatique et l’environnement de l’entreprise à 360° afin de réagir aux contraintes réglementaires applicables aux données personnelles traitées par la société (CNIL, RGPD…), aux systèmes d’information d’importance vitale au regard de la loi de programmation militaire (LPM, NIS…), etc.
Une opportunité pour identifier les grandes empreintes technologiques de l’entreprise et pour établir un premier bilan sur la connaissance du patrimoine informatique et de tout son écosystème (applications, flux, licences, contrats).
Il convient de constater la multitude des logiciels déployés dans le système d’information, la multitude d’éditeurs et leur complexité croissante concernant les règles et droits d’usages de leur solution.
Cette constatation pourra se poursuivre autour du Shadow IT dans les métiers, sempiternel sujet, tout en prônant l’apport de valeur du Cloud et non les contraintes ou les règlements de comptes pour le déploiement d’outils clandestins qui répondent très souvent à un besoin non couvert par l’IT.
La transformation dans le Cloud s’impose précisément pour revisiter les contrats lors de la prochaine étape et repenser les usages, avec un suivi rigoureux du patrimoine logiciel. Ceci pouvant entraîner à court terme une renégociation de certains d’entre eux.
La dernière phase de l’évaluation, facilitée par l’acculturation de la première étape, consiste à identifier les compétences dont disposent les informaticiens et les métiers pour piloter ou exécuter cette transformation.
Cette évaluation mettra notamment en exergue les contraintes qui ont une résonance en matière de cybersécurité et les mesures devant être mises en œuvre. Cette étape est également l’occasion de dresser un état des lieux des engagements contractuels pris par l’entreprise et qui ont une incidence sur la gestion du risque cyber.
Cette évaluation permettra de rationaliser les outils et de lister les prestataires afin de :
- Vérifier que ces prestataires sont conformes à la réglementation en matière de protection des données ainsi que leurs solutions ;
- Vérifier l’existence d’un contrat contenant les clauses relatives à la protection des données personnelles ainsi que les garanties adéquates en cas de transferts hors Union européenne ;
- Vérifier les flux et les données traitées pour adapter les niveaux de sécurité et obligations des sous-traitants.
Quelques questions de base à se poser lors de l’évaluation :
- Quelles sont les contraintes réglementaires pour l’externalisation de mes données ?
- Quelles sont mes obligations CNIL et RGPD ?
- Suis-je soumis à la LPM (Loi de Programmation Militaire) ? Mon SI, ou une partie de ce dernier, est-il SIIV (Système d’Information d’Importance Vitale) ?
- Quelles sont mes grandes empreintes technologiques ?
- Ai-je une cartographie de mon SI ?
- Ai-je une cartographie des flux de données de bout en bout ?
- Ai-je une cartographie de mes réseaux d’interconnexion et des technologies utilisées ?
- Ai-je un inventaire des licences logiciel ?
- Ai-je une vision de mes contrats actuels d’infogérance ?
- Mes équipes ont-elles la connaissance pour piloter ou réaliser la transformation ?
Ces questions ne sont évidemment qu’un début. Dans ma prochaine chronique, nous prendrons le temps de faire un focus sur une autre interrogation que se posent de nombreux dirigeants : quelle équipe projet dédier à la transformation move-to-cloud ?
[1] C’est l’ensemble des phénomènes qui résultent d’un contact continu et direct entre des groupes d’individus de cultures différentes et qui entraînent des changements dans les modèles culturels originaux de l’un ou des autres groupes.