En quelques années, l’essor du SaaS dans les entreprises a été vécue comme une lame à double tranchant. Facteur de liberté et d’accélération majeur pour les métiers, il a également été synonyme de casse-tête pour la DSI, notamment du point de vue de la sécurité et de la compliance. Didier Fleury, DSI du groupe d’assurance mutuelle français Macif, et Andréa Jacquemin, CEO de la start-up Beamy, spécialisée dans l’accompagnement de ce phénomène, livrent leurs recettes pour trouver le bon équilibre dans les organisations.
Alliancy. Pourquoi avoir mandaté une entreprise comme Beamy pour détecter les outils SaaS utilisés au sein de la Macif ?
Didier Fleury. Le point de départ était vraiment de détecter le shadow IT (l’emploi dans l’entreprise de ressources informatiques non maîtrisées par la DSI, ndlr) de façon concrète. Les équipes en parlaient souvent et essayaient déjà d’avoir une vision plus globale, mais il fallait objectiver le phénomène.
Avec Beamy nous avons commencé par une démarche de découverte de tous les outils SaaS utilisés. Cela a mis en exergue ce dont je me doutais déjà : ceux sur lesquels nous avions une vision n’était que la partie émergée de l’iceberg. Ce point de départ a permis d’ouvrir le débat : que change vraiment le SaaS pour notre organisation ?
Au demeurant, cette omniprésence du SaaS est compréhensible. Les start-up séduisent les métiers en proposant des solutions très pertinentes sur des verticaux pointus, l’intérêt est donc évident. De plus, le droit d’entrée est faible, la prise en main facile, sans intégration complexe… Et la plupart du temps, se lancer sur une telle solution se fait sans passer par les Achats. En effet, vu les besoins et les montants concernés au démarrage, une simple carte bancaire professionnelle permet de contourner les processus d’achats classiques. C’est logique car les métiers ont besoin d’aller vite. Le problème est que quand on détecte trop tardivement le sujet, la place qu’il a prise dans le SI métier est très importante, mais sans embarquer la compliance RGPD, la soumission aux réglementations et à l’ACPR (Autorité de contrôle prudentiel et de résolution qui contrôle les banques et les assurances, ndlr), alors que ce sont des points essentiels dans nos activités.
La croissance du SaaS n’est pas un sujet nouveau. A quel point les DSI ont-elles conscience du problème aujourd’hui ?
Andréa Jacquemin. C’est un chiffre en accord avec les moyennes que nous voyons chez les entreprises de plus de 1000 collaborateurs avec lesquelles nous travaillons. En moyenne, sur 190 SaaS dans une organisation, seuls 27 sont pleinement maitrisés par la DSI et 46 supplémentaires sont approuvés en partie… Cela en laisse près de 120 complètement inconnus. Le phénomène est systémique, il ne peut plus être argumenté comme étant un shadow IT résiduel. Il touche d’ailleurs tous les types d’entreprise, mais le SaaS est un sujet plus difficile pour les organisations traditionnelles, en comparaison avec celles nées dans le numérique pour qui cette approche technologique est souvent la base de l’activité. Surtout, rares sont encore les DSI à avoir l’humilité de dire qu’ils ne sont pas sûrs. On entend encore souvent des arguments comme quoi « dans mon entreprise, c’est différent »… La sous-estimation du phénomène est considérable.
Quel doit être le nouveau rôle pour la DSI dans ce contexte ?
Didier Fleury. Dans notre cas, nous avons pu faire le tri grâce au dictionnaire d’applications de Beamy, qui présente les attributs types des différents SaaS, leur référencement, leur hébergement. La DSI a donc une base de vérification pour former un catalogue d’applications validées et cohérentes… Nous n’avons pas l’ambition d’empêcher les métiers d’avoir des idées, mais nous voulons pouvoir leur garantir qu’ils ne réinventeront pas la roue et qu’ils intègreront bien les dimensions de sécurité et de compliance dans leurs choix rapides. Le rôle de la DSI est donc de permettre l’anticipation, afin d’éviter les ruptures plus tard, quand les projets ont avancé.
Andréa Jacquemin. Le débat est potentiellement explosif, car il pousse à sortir des vieux réflexes et il interroge la relation IT-métiers historique. Mais ce débat doit avoir lieu. Dans une étude récente, KPMG estime que le volume de SaaS dans les entreprises va être multiplié par 9 en dix ans. Cela signifie que l’on dépassera en moyenne les 1000 applicatifs de ce type en 2030, la part portée directement par la DSI de façon centralisée restant très faible en comparaison de celle portée par les métiers qui explose… Le sujet est donc d’assurer une bonne décentralisation de l’IT, car le digital est de toute façon partout aujourd’hui. Dans ce contexte, le rôle de la DSI est effectivement déjà de détecter et de construire un catalogue en maîtrise avec les métiers. Cela afin de les rendre responsable de leurs solutions, en faisant émerger une gouvernance ad-hoc de ce nouvel environnement décentralisé.
C’est donc une approche de long terme que l’on préconise, autour de data models spécifiques par secteur et type d’entreprise. Le rôle du DSI évolue grandement pour pouvoir donner cette autonomie aux métiers à travers une matrice de responsabilité.
Didier Fleury. Effectivement, la découverte ne suffit pas. Il faut un monitoring permanent des applicatifs utilisés, mais aussi et surtout la mise en place d’un cadre de gouvernance qui soit vraiment adapté. Il ne s’agit pas juste de vouloir faire la police, ça n’aurait pas de sens.
Quelles doivent être les caractéristiques de ce cadre de gouvernance ?
Didier Fleury. Il part d’une règle commune, afin d’être un point de référence pour tous les interlocuteurs business et IT, avec des référents métiers qui pourront vérifier ce qui existe déjà comme solutions, par rapport à leur besoin, et faire le rapprochement avec des projets déjà en cours. On sort ainsi de processus très séquentiels, en intégrant mieux la relation IT-Métier, avec le RSSI qui joue le jeu de manière constructive sur la question de la sécurité.
Andréa Jacquemin. Qui dit gouvernance doit dire « accountability » : l’esprit est de définir un cadre de liberté pour les métiers selon les spécificités de chaque entreprise, mais sur lesquelles les responsabilités sont clairement établies. Une caractéristique essentielle est donc aussi la transparence et la communication qui va avec.
Didier Fleury. Cela a été un de mes recrutements à mon arrivée : avoir quelqu’un dont c’est vraiment le métier de faire du marketing et de la communication IT, est très précieux. Quand une DSI ne fait pas savoir qu’elle comprend le business, il est très difficile d’être crédible et d’être écouté… Cela ne sert à rien d’avoir des beaux discours de consultant sur l’agilité, sans expérience de la vraie vie et les remises en question difficiles que ces changements impliquent.
En termes de relation IT-Métier, le problème de l’approche maîtrise d’œuvre et maîtrise d’ouvrage traditionnelle est, je pense, identifié depuis longtemps. Selon les périodes, l’assistance à maîtrise d’ouvrage, qui faisait le lien entre les deux, penchait plus d’un côté ou d’un autre et cela était plus ou moins bien vécu par les parties prenantes…
Mais en fait, ce n’est pas la question. L’informatique doit définir les règles immuables, les infrastructures socles et la cybersécurité ; et à partir de là les solutions métiers sont sous la responsabilité directes des métiers, avec des compétences IT qui sont rattachés à eux, et qui leur permet de gérer l’intégralité de leur responsabilité dans le cadre des règles édictées. Cela avait déjà été expérimenté par le passé, mais aujourd’hui, nous essayons surtout d’avoir une approche globale. En sortant progressivement des cycles en V, on demande un changement d’état d’esprit des équipes qui va clairement dans ce sens. Et les effets se voient au plus haut niveau : depuis deux ans, la direction générale porte une attention appuyée aux enjeux du système d’information dans son ensemble.