L’adoption du Cloud Public par les entreprises est une réalité et plusieurs d’entre elles ont fait le choix d’adopter cette stratégie dans le cadre de leur transformation digitale. Avoir une stratégie Cloud First pour une entreprise consiste à utiliser des services ou infrastructures Cloud par défaut pour répondre à toute nouvelle application, processus ou fonction. Mais l’adoption d’une stratégie Cloud First est-elle une bonne idée? Répond-elle aux promesses de réduction des coûts ou de gain en agilité? Faut-il foncer tête baissée avec une approche jusqu’au-boutiste? Cloud First, mythe ou réalité ?
Nous allons essayer de répondre à ses différentes questions en vous présentant les 5 mythes les plus répandus lors du cadrage d’une stratégie Cloud First !
Mythe #1 : Le cloud vous permettra de réduire vos coûts liés à l’infrastructure
Faux ! Ne pensez surtout pas que par défaut vous réaliserez des économies en migrant votre application sur le Cloud. Établissez très vite une grille de critères et un arbre de décision pour opter pour la meilleure stratégie de migration pour chaque socle applicatif et n’hésitez pas à décommissionner lorsque vous le pouvez.
Exemple d’arbre de décision “Go to Cloud”
Mythe #2 : Toute application est éligible au cloud public
Faux ! Il ne convient pas également de supposer que toutes vos applications ou processus métiers devraient s’exécuter sur le Cloud Public. Ce sera adapté dans certains cas et pour d’autres il faudra convenir du bon scénario (Cloud Privé, Serveurs physiques) en prenant le temps d’évaluer les bénéfices et les risques.
Mythe #3 : Il vous faut choisir un fournisseur cloud privilégié qui deviendra l’option par défaut
Faux ! Une stratégie Cloud First ne signifie pas pour autant se lier à un seul ou deux fournisseurs avec un catalogue de services le plus important possible. Il ne faut pas oublier qu’il n’y a pas que AWS, Azure et GCP sur le marché. D’ailleurs en terme de sourcing, il sera préférable d’éviter d’être complètement dépendant d’un fournisseur unique. Il existe pléthore de fournisseurs cloud, notamment SaaS, qui sont souvent plus adaptés pour certaines catégories d’applications pour des fonctions support ou de back-office (messagerie, outils de collaboration, crm, erp, etc.). Dans ce cas précis, une stratégie “Best-of-breed” où vous retenez la solution répondant au mieux dans l’état de l’art en service SaaS puis dans un deuxième temps la meilleure architecture solution via le catalogue de service de votre fournisseur Cloud Public privilégié peut être une meilleur stratégie. Si vous choisissez cette option, nous vous conseillons de déployer une Hybrid Integration Platform (HIP) pour gérer vos échanges de données.
Mythe #4 : Migrer votre application vers le cloud la rendra automatiquement plus résiliente
Faux ! Le SLA ou engagement de service pour un service Cloud sur Azure par exemple est de 99,95%. Bien que ce chiffre puisse paraître important et suffisant, cela signifie tout de même qu’il sera toléré par le fournisseur que le service soit arrêté ou en panne pendant 4 heures par mois, soit 2 jours par an en cumulés ! Or, plusieurs fonctions ou applications métier ou techniques nécessitent des engagements de service plus élevés. Afin de bénéficier d’une meilleure résilience de vos services sur le Cloud public, il sera nécessaire de revoir la conception de votre application et de choisir des principes d’architecture haute disponibilité distribuée adaptés à cet environnement pour rendre vos applications « Cloud Native » : «event-driven », fonctions isolées et indépendantes, « data centric », « stateless », etc.
Mythe #5 : une fois dans le cloud, la fonction d’architecture technique ne sera plus nécessaire
Faux ! Il vous sera toujours nécessaire d’avoir des architectes techniques pour supporter les besoins suivants :
Gouverner, surveiller et sécuriser le Cloud,
Estimer les coûts d’infrastructure pour vos prévisions budgétaires,
Faire des recommandations d’optimisation d’architecture solution et technique,
Automatiser des processus liés à la gestion et au déploiement de solution/infrastructure,
Maintenir et mettre à jour votre catalogue de services et les patterns d’architectures Cloud associés,
Réaliser de la veille techno et évaluer de nouveaux produits et fonctionnalités offerts par vos fournisseurs,
Implémenter des outils annexes pour compléter ceux disponibles dans le Cloud en tenant compte des résultats de votre veille techno.
Il sera donc primordial de nommer un Lead Cloud Architect et d’avoir votre centre d’expertise d’architecture technique Cloud pour assurer ces tâches. Evitez le piège d’énoncer uniquement des principes théoriques à suivre par les projets et prenez le temps d’expérimenter les modèles ou tester vos hypothèses.
Le leasing, ou location de matériel informatique représente un marché de près de trois milliards d’euros en France. La location est-elle bien la solution souple et idéale décrite dans de nombreux articles de presse ou un engagement économique à long terme avec des coûts cachés difficiles à tracer ? Tout dépend des objectifs de l’entreprise et d’une bonne négociation du contrat avec le leaser.
A première vue la location de matériel semble une solution souple pour renouveler son matériel informatique. Les entreprises françaises y recourent d’ailleurs massivement puisqu’elles ont consacré plus de 3 milliards d’euros en 2018 dans la location de serveurs, de machines bureautiques, de smartphones… (Source ASF : Association Française des Sociétés Financières). L’idée est de disposer rapidement de matériel sans investissements financiers importants et avec des coûts maîtrisés.
Mais est-ce toujours le bon calcul ? Tout dépend…
Il faut comprendre que le matériel est d’abord acheté par le loueur. Il transforme alors son achat en location et dans le package du leasing, le loueur inclut des services complémentaires comme la reprise du matériel en fin de location, son suivi, son recyclage… Pendant la période de location, il devra donc à la fois se rembourser du coût du matériel et se rémunérer pour les services ajoutés.
Comment s’effectue le calcul du coefficient de location ? Qui détermine les versements ?
D’abord le loueur doit se rembourser.
Les entreprises sont redevables de l’ensemble des loyers prévus pour arriver à un équilibre. Quoiqu’il arrive au matériel, obsolète ou opérationnel, utilisé ou en dépannage, gardé ou rendu, … : l’entreprise paiera la totalité des mensualités.
Le coût de location mensuel = coefficient de location mensuel (indiqué dans le contrat et fixe sur la durée contrat) * coût d’acquisition
Le coefficient de location dépend des taux d’emprunt sur les marchés financiers au moment où le matériel est acheté, et en ce moment les taux sont très bas. Dans ce cas, certains leasers n’hésitent pas à annoncer que la location coûte le même prix que l’acquisition en fonds propres : la somme des loyers est quasi égale au coût d’acquisition.
Evidemment, il y a d’autres paramètres…
Redevance de mise à disposition
Il semble aussi intéressant de s’arrêter sur « l’avant » et « l’après » contrat, où se cachent parfois quelques surprises.
Le contrat de location démarre à une date précise, et il peut s’écouler plusieurs semaines avant que le contrat ne prenne effet, les besoins de matériel n’attendant pas. Dans, ce cas, le loueur met à disposition les machines qui entreront dans le contrat de location par la suite.
Attention, le loueur applique alors une « redevance de mise à disposition ». Cette redevance peut être complètement différente du « coefficient de location » annoncé lors du contrat, car le leaser fera payer des intérêts supplémentaires pour la mise à disposition du matériel avant le démarrage du leasing.
Gérer la fin de contrat
A l’issue de la période de leasing, comme le matériel appartient au loueur et non à l’entreprise, celui-ci doit le récupérer. C’est lui et lui seul, qui revendra le matériel à un « broker » sur la base d’une côte du matériel d’occasion. Sa valeur peut varier selon de multiples critères et oscille entre 10 et 20% de la valeur du neuf et constitue une bonne partie de la marge du loueur.
Pour un matériel coûtant 100 euros, le loueur encaissera 100 euros de loyer plus 10 à 20 euros liés à la revente du matériel au broker.
Si l’entreprise décide de garder le matériel au-delà de la période initiale prévue par le contrat, le loueur devra compenser la perte de la revente en facturant des loyers supplémentaires selon des conditions particulières. Pour l’entreprise, il faut donc vérifier que la location de la machine ne coûtera pas beaucoup plus chère que sa valeur d’achat, le « coût de prolongation » s’additionnant bien entendu au montant de la location initiale.
Bien négocier son taux de non-restitution
Dans toutes les grandes entreprises, une partie du matériel loué est « perdu » remisé dans des placards, cassé, donné à des collaborateurs au moment de leur départ… Or, les machines n’appartiennent pas à l’entreprise et doivent être rendues au loueur à la fin du contrat. Il est donc important de négocier, dès le début du contrat, un « taux de non-restitution ». pour couvrir les cas de matériel cassé, perdu, etc…
Les grands comptes, par exemple, ne gèrent pas les écrans, les claviers ou les souris, qui constituent une part significative des coûts des matériels. Leur non-restitution au-delà du taux prévu dans le contrat peut entraîner des frais supplémentaires non négligeables.
Conclusion
Il est donc courant à l’issue du contrat de constater un taux de location annuel plus proche des 6% que des 0% annoncés.
Finalement, la location de matériel informatique peut avoir des avantages parce qu’elle est plus facile à obtenir que les emprunts, qu’elle offre des services de recyclage de matériel, et que les coûts mensuels sont faciles à suivre et à maîtriser.
Il faut cependant retenir que le matériel n’appartiendra jamais à l’entreprise même à l’issue du contrat, que les services se paient et que les coûts peuvent vite augmenter si le parc locatif n’est pas bien géré.
Dans tous les cas, il vaut mieux prendre le temps pour négocier l’ensemble des éléments du contrat et donc pas seulement le taux de location en tenant compte des besoins, des processus de l’entreprise, de la maturité et de la rigueur de la gestion de parc afin d’éviter les mauvaises surprises.
En cas de départ de l’entreprise, 75%* des salariés ne quittent pas leur emploi mais leur manager, c’est donc bien que le management joue un rôle clé dans la rétention des talents.
Cet article illustre 3 exemples de management qu’il vaut mieux éviter à l’avenir :
Ne pas donner l’exemple
Ma manager m’engueule sur de l’organisationnel, sur de la gestion de projet, mais c’est énervant car elle ne se plie pas aux mêmes règles que nous.
Claire
La semaine dernière mon manager m’a dit : « Tu as 25 ans, c’est à toi de te former seule sur Google Analytics, Google Adwords, Photoshop, on ne va pas engager des dépenses pour le Groupe alors qu’il y a plein de formations en ligne. » Alors que dans le même temps il fait des notes de frais à tout bout de champ, même pour ses cafés.
Carole
De manière générale, chacun est disposé à prendre de manière constructive les remarques qui lui sont faites. Mais lorsque le manager ne s’applique pas la même discipline, il cultive alors un sentiment de défiance et nourrit le désengagement du salarié. « Lead by example » est désormais la devise du management du 21e siècle ! C’est d’autant plus vrai à l’ère du numérique qui, bien au-delà de l’aspect technologique, place la coopération horizontale comme la nouvelle norme d’organisation.
Ne pas expliquer pourquoi
Tu es trop jeune pour comprendre.
Vincent
Je n’ai pas le temps de t’expliquer pourquoi, fais-le c’est tout
Maxime
Si le rapport d’autorité a fonctionné (relativement) bien pour nos parents et nos grands-parents, ce temps semble révolu. Donner du sens aux individus n’est plus une éventualité, mais un des devoirs de l’organisation dont le manager est porte-parole. Sa casquette pivote quelque peu et nécessite qu’il explique le « pourquoi » pour susciter l’adhésion et l’engagement des membres de son équipe pour laisser le « quoi » et le « comment » à l’appréciation des individus désormais engagés.
Ne pas laisser de place à la prise d’initiative
Quand j’ai proposé une idée de projet qui aurait eu un impact concret pour nos clients, mon manager m’a tout de suite dit : ça ne marchera jamais, passe à autre chose. J’aurais aimé qu’il me laisse au moins essayer. — J’ai compris que ce n’était pas avec ce manager que j’avais envie d’évoluer. —
Pauline
Une petite phrase suffit à tuer le poussin dans le l’œuf et enterrer six pieds sous terre l’engagement de vos collaborateurs. Les individus qui prennent des initiatives sont pourtant la poule aux œufs d’or des organisations du 21e siècle. Il n’y a qu’à voir les cultures d’entreprise déployées par les BlaBlaCar, Facebook, Leboncoin et consorts pour s’en convaincre. Par exemple, la devise chez Facebook est « Move fast and break things », une incitation à prendre des risques largement relayée et encadrée par les « coachs/managers ». Oui, parce que la prise d’initiative s’organise ! On travaille des MVP « Minimum Valuable Products » pour valider des concepts avant de passer à plus grande échelle ; en cycle court pour limiter l’investissement ; piloté à l’aide d’OKR (Objectives and Key Results) pour s’assurer que le projet est aligné avec la stratégie de l’entreprise.
En résumé
Les entreprises ont tout intérêt à piloter et encourager leurs salariés dans la prise d’initiative si elles veulent continuer à briller (exister !). Il est urgent de penser un cadre dans lequel les individus puissent s’engager, sorte de laboratoire des innovations de demain !
* : source – Infographie Officevibe, “Les piliers de l’engagement des collaborateurs”, 2016
Les nouvelles réformes engagées sous l’appellation « finalisation de Bâle III », que l’industrie financière nomme déjà « Bâle IV », soumettent les méthodes de calcul des RWA, notamment en ce qui concerne le risque de crédit, à d’importantes modifications.
En effet, en matière de ratio de capital, les apports de Bâle III, applicable depuis 2013, ont porté sur son numérateur (renforcement quantitatif et qualitatif des fonds propres), alors que très peu de modifications ont été apportées à son dénominateur (RWA). L’actuelle méthode de calcul de ce dernier est principalement héritée de Bâle II (2004).
Pourquoi la méthode standard ?
Depuis décembre 2017, le Comité affiche une volonté de faire évoluer le traitement des RWA. Pour ce faire, il prévoit, entre autres, une profonde refonte de la méthode standard du risque de crédit.
L’importance de cette mesure tient avant tout à l’importance de la méthode standard elle-même dans l’usage bancaire. En France, en Europe et à l’échelle mondiale[1], cette méthode est la plus utilisée. Par conséquent, la plupart des acteurs bancaires sont concernés par la mise en œuvre de la nouvelle méthode et devraient s’y préparer.
Les nouveautés
Le texte du Comité de Bâle de Décembre 2017 fixe, avec un important niveau de détail, les nouvelles réformes de la méthode standard. Sans vouloir restituer ici toute la complexité du dispositif, nous abordons ses deux apports les plus novateurs, à savoir :
Même si ces deux éléments ont pour motivation commune le renforcement de la sensibilité au risque, la démarche du comité soulève quelques interrogations sur l’atteinte de l’objectif.
1- Plus de granularité pour plus de sensibilité au risque ?
Le manque de sensibilité au risque est l’une des critiques adressées par le Comité de Bâle lui-même au dispositif actuel. L’objectif des nouvelles réformes est justement de surmonter cette faiblesse.
Tenir compte de la sensibilité au risque sans pour autant complexifier la méthode standard, voilà le défi auquel le Comité a fait face. Pour le relever, il a choisi l’option de la granularité. Concrètement, le Comité estime que la méthode actuelle (héritée de Bâle II) n’associe pas un nombre suffisant de pondérations à certaines expositions, ce qui réduit la sensibilité au risque. La nouvelle méthode, quant à elle, augmente le nombre de pondérations pour beaucoup d’expositions (clientèle de détail, immobilier résidentiel, immobilier commercial…).
Si nous prenons le cas de la clientèle de détail (hors immobilier) nous constatons un niveau de granularité nettement plus important dans la nouvelle réforme (figure 1.2) comparée à la méthode actuelle (figure 1.1) :
Figure 1.1 : Méthode actuelle
Expositions sur la clientèle de détail (hors immobilier)
Pondération
75%
Source : BRI, 2006
Figure 1.2 :
Expositions sur la clientèle de détail (hors immobilier)
Clientèle de détail réglementaire (non renouvelable)
Clientèle de détail réglementaire (renouvelable)
Autres expositions sur la clientèle de détail
« Transactors »
« Revolvers »
Pondération
75%
45%
75%
100%
Source : BRI, 2017
Jusque-là, la granularité évolue bien vers un renforcement de la sensibilité au risque. Cependant, le secteur de l’immobilier, fortement mis en avant par le Comité, soulève question : le Comité introduit le ratio LTV[3] comme critère de pondération. Ce choix est questionnable étant donné son caractère procyclique qui va à l’opposé du renforcement de la sensibilité au risque recherché par le Comité.
Il semble que les leçons de la crise de 2007 n’ont pas été entièrement tirées. Il ne faudrait pas oublier que le marché immobilier américain se trouvait au cœur de cette crise et que le financement d’une partie de ce marché reposait davantage sur la valeur des biens acquis que sur la capacité de leurs acquéreurs à rembourser leurs prêts. Le LTV renforce cette même logique. Quelle est alors la cohérence d’introduire un dispositif comme le LTV dans un cadre prudentiel visant le renforcement de la sensibilité au risque ?
2 – SCRA, autorisation explicite à moins de granularité !
Cette approche est prévue pour les juridictions n’autorisant pas le recours aux notations externes à des fins réglementaires (notamment les Etats-Unis jusqu’à présent) et pour les expositions non notées dans les juridictions permettant le recours aux notations externes. A la différence de l’approche ECRA[4], dont la granularité a bien été renforcée, l’approche SCRA est composée de trois tranches de risque seulement : A, B et C. La figure 3 illustre cela dans le cas des expositions sur les banques.
Figure 2 : Pondération des risques afférents aux banques (ECRA vs SCRA)
Figure 2.1 : Approche externe de l’évaluation du risque de crédit (ECRA)
Note externe de la contrepartie
AAA à AA-
A+ à A-
BBB+ à BBB-
BB+ à B6
Inférieur à B-
Coefficient standard
20%
30%
50%
100%
150%
Pondération des risques afférents aux expositions à court terme
20%
20%
20%
50%
150%
Figure 2.2 : Approche standard de l’évaluation du risque de crédit (SCRA)
Evaluation du risque de crédit de la contrepartie
Tranche A
Tranche B
Tranche C
Coefficient standard
40%
75%
150%
Pondération des risques afférents aux expositions à court terme
20%
50%
150%
En attendant Bâle V ?
Dans le cadre de négociations internationales ayant pour but de bâtir un consensus mondial sur la régulation du système bancaire, il est concevable que les parties fassent des concessions. Néanmoins, les concessions faites dans la version actuelle (probablement finale) de Bâle IV limitent la portée de l’objectif même de la réforme, à savoir le renforcement de la cohérence et de la crédibilité de la mesure des RWA, pour au moins deux raisons :
Le renforcement de la sensibilité au risque afin de rétablir la crédibilité du calcul des RWA et l’introduction pour la première fois du LTV susceptible de décrédibiliser le dispositif.
L’introduction de davantage de granularité avec l’approche ECRA et dans le même temps l’admission du recours à l’approche SCRA qui est moins granulaire !
Ces interrogations seront-elles soulevées lors de la transposition des recommandations du Comité dans le droit européen, afin d’éviter un nouvel accord, probablement Bâle V ? Ou seront-elles ajournées aux prochaines négociations ?
[1] Comité de Bâle sur le contrôle bancaire : Note récapitulative sur les réformes de Bâle III, Décembre 2017. [2] Standardised Credit Risk Assessment Approach. [3] Loan to Value. Ce ratio est égal à : montant de l’emprunt/valeur du bien. [4] External Credit Risk Assessment Approach.
Une société du CAC 40 réalisait récemment un audit de son contrat mondial de TMA & projets applicatifs, dont le back office se trouve en Inde. Au programme, des difficultés opérationnelles et des conséquences financières sérieuses, mettant en doute le bien fondé du modèle Offshore.
Cet exemple en rejoint d’autres…
Les métiers ont à peine remarqué le changement. La qualité n’est donc pas si mauvaise que cela. Pourtant, les « maîtrises d’ouvrage » métiers sont formelles : « les indiens sont nuls ! » Et après des mois de démarrage laborieux, la DSI a tout essayé : task force, plans d’actions, voyages coûteux pour développer la proximité avec les équipes distantes, formations des collaborateurs pour travailler différemment, etc. Sans compter l’équilibre entre Front office et Back office, révisé avec davantage de proximité, au détriment bien sûr des objectifs financiers.
Après plus d’un an d’efforts de la part du client et de son prestataire, les équipes sont amères, voire dépitées. La relation de confiance, pourtant si précieuse pour travailler efficacement à distance, n’existe pas, ou alors, seulement sur des « ilots » spécifiques.
Mais qu’en serait-il si des erreurs majeures n’avaient pas été commises ?
Le prestataire ne dit pas la vérité lors de la phase d’avant-vente
A quand un discours commercial enfin mature ?
Les prestataires connaissent pourtant « TRES BIEN » les difficultés rencontrées. Que de temps pourrait être gagné, de sueur et de larmes évitées, si le prestataire exerçait enfin son devoir de conseil, au-delà de celui de gagner un dossier ! Nous pensons qu’un discours mature sur le sujet est indispensable, alors que ce n’est un « deal breaker » que pour celui qui ne connait pas les vrais points forts de son offre.
Le client doit pouvoir mieux comprendre qu’il a un rôle clé dans la chaîne des services
Nous voyons encore trop souvent des candidats timides sur certains facteurs de succès d’un programme offshore (ou nearshore). Par leur passivité, ils encouragent le raccourci intellectuel de l’expertise = la qualité des livrables. La vérité c’est que l’expertise est rarement suffisante au départ, notamment sur le plan fonctionnel, et que même si elle l’était, les malentendus resteraient innombrables, si le client ne s’assurait pas activement et régulièrement que ses besoins sont compris.
La question est donc posée aux prestataires, qui devraient adapter leur discours, en rapprochant les équipe de vente des managers de tels programmes.
Les commanditaires internes du projet disent rarement la vérité aux collaborateurs
Il ne faut pas sous-estimer les conséquences d’une mauvaise communication : des managers métiers en défiance avec les choix qui ont été faits, des pratiques de « shadow sourcing » sur des contrats parallèles coûteux, des messages négatifs et déformant les faits, qui tendent à miner toute chance de réussite. Parmi les écueils en matière de communication, nous voyons l’angélisme, qui crée d’emblée un malentendu durable, et nous voyons aussi l’absence partielle ou totale d’information, vécues comme une forme de mépris.
Nous préconisons la clarté sur les objectifs d’un tel projet, même douloureux. Nous recommandons de responsabiliser et de préparer les collaborateurs à travailler davantage, au moins sur certaines activités. Autre point d’attention majeur, celui de préparer les collaborateurs à accepter les différences culturelles, sources de nombreux malentendus.
Le plan de communication interne aux différentes parties prenantes est un incontournable du projet, dès le T0.
Ce plan sera porté par la direction informatique, voire, la direction générale.
Les conditions opérationnelles d’éligibilité ne sont pas remplies
Les conditions d’éligibilité à l’Offshore constituent un inventaire à la Prévert, mais c’est la partie la plus facile du sujet. Un simple diagnostic d’éligibilité qualitatif et quantitatif, relativement rapide et peu coûteux, permet de porter un jugement pertinent sur un niveau de maturité. Il permet d’analyser :
Le niveau de documentation du périmètre, qui doit être suffisant,
Les pratiques des collaborateurs, qui doivent être suffisamment formalisées et référencées,
Le niveau de maîtrise de la langue de travail (souvent l’anglais),
La complexité technique,
La qualité de l’existant au regard des bonnes pratiques,
La complexité fonctionnelle, et la part du spécifique,
Les outillages de gestion des demandes (leur stabilité, la maturité de leur paramétrage),
Le niveau d’activité sur le périmètre. Par exemple un périmètre trop stable ne permet pas de monter en compétence grâce aux demandes de changement,
La pérennité relative du besoin,
L’offre alternative, en matière d’optimisation des processus et d’automatisation
Les collaborateurs ne sont pas assez formés, ni assez impliqués
Deux publics devront faire l’objet de toute l’attention de la conduite du changement projet:
– Les functional designers / business analysts, qui souvent ne maitrisent pas assez l’expression de leurs besoins.
– Les managers, qui ne sont pas forcément formés aux besoins spécifiques d’un tel contrat. Nous pensons au capacity planning, qui permet l‘adéquation entre l’offre et la demande, dans la flexibilité, et la maîtrise des coûts de l’équipe de delivery. Autre sujet majeur, les pratiques « à distance » de quality control, qui posent la question du juste équilibre entre une bonne collaboration client-fournisseur et un bon suivi via des indicateurs (KPI/SLA) de service. Dernier sujet essentiel du management, la mise en place d’un véritable management de programme, c’est-à-dire, transverse, permettant de sortir des silos fonctionnels. Ce management doit être à la fois opérationnel ET contractuel. Une question à ce sujet : connaissez-vous le contenu de vos contrats d’infogérance ? Un contrat bien conçu comporte des outils de gestion efficaces ; charge ensuite au client de les mettre en œuvre dans le cadre de son activité de « contract management » quotidienne.
A adresser dès le T0 du projet, par un diagnostic (« Fit gap analysis ») puis, par les actions nécessaires dans le plan de conduite du changement de projet.
Plus c’est critique et complexe, plus cela risque de mal
La « trajectoire de migration » signifie que tout ne devrait pas basculer dès le « go live » du nouveau contrat. Une trajectoire permet de prioriser les sujets, selon des critères de complexité et de volumes. Pour certains périmètres, l’expérience montre que cela risque de ne jamais marcher. Car, l’expertise y est trop critique, les délais trop courts, et de plus, la mutualisation des ressources (inhérente aux centres de services à bas coûts) deviendrait un facteur de risque trop important.
Des objects financiers ambitieux sont rarement compatibles avec une montée en charge progressive et sélective. pourtant c’est un « key success factor » d’un programme offshore.
Et si on arrêtait de faire n’importe quoi ?
Se lancer dans un marathon en ayant produit un faux certificat médical, sans s’être renseigné sur les risques d’un tel effort, et surtout, sans s’être entrainé correctement, voilà qui comporte une bonne dose de bravoure…ou d’inconscience ! C’est un peu ce que font nombre de décideurs avant de démarrer un projet Offshore. Il y a 2 types de contre-vérités sur le sujet du sourcing offshore : (1) c’est mature et cela va marcher ; il suffit pour cela de choisir le bon partenaire et (2) cela ne marche pas, d’ailleurs beaucoup de clients reviennent après l’avoir expérimenté à leurs dépens. Un projet offshore réussi offre des bénéfices opérationnels et financiers à la fois durables et importants. Il n’y a qu’à constater l’importance de l’offre et des contingents recrutés sur place pour le comprendre. Cependant un tel projet doit s’inscrire dans une véritable stratégie d’entreprise, qui aura su évaluer les autres leviers de la productivité (tels que l’optimisation des processus et l’automatisation). Cette stratégie aura confirmé le périmètre éligible, et révisé les objectifs financiers, en intégrant une mise en œuvre complexe et donc coûteuse.
13 janvier 2025
Pilotage & Performance Opérationnelle et Contractuelle
Déployer des applications Saas sur Cloud Public est devenu très populaire chez certaines Directions Métiers en France. Tout ceci pourrait être amené à changer avec la nouvelle directive Européenne (GDPR) sur la protection des données personnelles qui entrera en vigueur en 2018. En effet cette réglementation exige une très forte gouvernance des fournisseurs hébergeant ces données. Le risque de recevoir une pénalité de 4% de son chiffre d’affaire mondial en cas de non-conformité pourrait donc inciter certaines Entreprises à demander à leur DSI de reprendre l’initiative.
Ce n’est donc pas un hasard de calendrier si l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) a créé conjointement avec son homologue allemand (BSI) un nouveau label nommé European Secure Cloud (ESCloud). Une première version du référentiel des exigences a été publiée en décembre 2016. Elles couvrent les aspects suivants :
Mener une politique de sécurité en regard d’analyse de risques. Celle-ci devant être faite périodiquement pour une même application.
Avoir un responsable de sécurité de l’information, un responsable de la donnée personnelle et un responsable de la sécurité physique de ses installations.
Avoir un plan de sensibilisation à la sécurité au niveau ressources humaines : charte éthique, formation, gestion et capitalisation de la connaissance.
Avoir une politique de contrôle et droits d’accès pour ses bâtiments et certaines zones plus sensibles.
Avoir une cartographie de son SI au niveau infrastructure à jour.
Encrypter les données sensibles et chiffrer les flux. Hacher les mots de passes pour ne pas qu’ils soient accessible en clair.
Avoir une politique de sécurité pour prévenir et surveiller les failles: journaux d’évènements horodatés, analyse du code source si possible, tests d’intrusion fréquents, …
Avoir une politique de gestion des incidents de sécurité y compris de manière préventive.
Avoir une convention et un respect des engagements avec les sous-traitants participants à la mise en œuvre du service.
Garantir une localisation, un traitement des données et une gestion des opérations du datacenter au sein de l’Union Européenne.
Autoriser un organisme certifié par l’ANSSI à venir l’auditer et vérifier le respect de ses exigences.
Pour ceux qui douteraient de l’importance d’avoir un fournisseur de confiance, voici quelques chiffres 1 :
81% des entreprises françaises se sont dit victimes d’une cyberattaque en 2015.
Se remettre d’une violation de sécurité coûte en moyenne 800 000€.
9 semaines sont nécessaires en moyenne pour corriger une faille de sécurité.
35% des incidents de sécurité auraient été généré (parfois malgré eux) par les collaborateurs de l’hébergeur de ces données.
La plupart de ces exigences étaient déjà incluses dans les principales normes de sécurité reconnues par le marché : ISO-27001, SOC1, SOC2, CSA-CSM. L’effort à fournir pour obtenir ce label (GDPR) est donc faible pour les fournisseurs qui avaient déjà obtenu les principales certifications. C’est cependant une bonne chose d’avoir créé un label Européen pour rassurer les entreprises du vieux continent. En effet, que veulent les Directions Générales et les DSI ? Avoir l’engagement que le fournisseur de l’hébergement pourra assurer la sécurité de leurs données et que celles-ci ne vont pas se retrouver aux mains d’un concurrent, d’un gouvernement étranger ou d’une organisation malveillante. Ces entreprises veulent maîtriser le droit d’accès à ces données et ont besoin de partenaires qui accepteront d’être transparents et de partager la responsabilité de conformité sur la protection des données.
Au moment où nous rédigeons ces lignes, seuls 3 fournisseurs de services cloud ont fait la demande du label. Cependant il est fort à parier que tous les principaux acteurs du marché tenteront à moyen terme de décrocher ce précieux Graal qui leur facilitera l’accès au marché des entreprises européennes. Les entreprises françaises utilisaient jusqu’à maintenant très peu le Cloud et principalement pour du stockage ou des services de messagerie en mode SaaS. La plupart d’entre elles mettaient en avant les risques liés à la sécurité comme frein à son utilisation. L’obtention de ce nouveau label Européen est donc un pas en avant pour permettre de gagner la confiance des décideurs.
Pour conclure, il est fort à parier que nous devrions observer une hausse de part de marché des offres IaaS et PaaS sur Cloud Privé et voir une baisse de celui sur Saas déployé sur Cloud Public. Les DSI n’ont plus d’autre choix que de reprendre le contrôle de ces environnements. La part de « Shadow IT » dans les entreprises devraient donc diminuer aussi significativement. Le risque de recevoir une pénalité de la CNIL étant trop grand en cas de non-conformité à la GDPR.
1 : D’après l’article « Cybersécurité : Cinq chiffres clés à connaître »
