Jean-Paul Alibert (T-Systems France) : « les entreprises françaises sont loin de la maturité cloud »

Quelle est l’activité de T-Systems ?

Historiquement, nous étions spécialisés dans l’infogérance de l’IT de très grands groupes. Nous consolidions les serveurs de nos clients et avions ainsi un focus cloud privé avant même que le mot cloud ne soit courant. Nous avons ensuite développé une offre de cloud public hébergée par nos soins.

Bien sûr, nous fournissons du IaaS public ou privé que nous opérons nous-même, essentiellement avec des technologies classiques open-source ou américaines. Mais l’essentiel de notre activité, ce qui est vraiment intéressant, est sur les couches au-dessus. T-Systems est ainsi le leader mondial de l’infogérance SAP. Quand nous vendons un projet complet, environ un tiers du coût concerne l’infrastructure et deux tiers le service. Il nous arrive de revendre de l’infrastructure AWS mais, comme le projet est en général plus complexe, nous n’y perdons pas forcément en chiffre d’affaires.

T-Systems est d’origine allemande. Est-ce un avantage, par rapport aux GAFAM, sur le marché français ?

En France, quand on parle de cloud souverain, on pense français, pas vraiment européen… Mais soyons honnêtes : pour la comptabilité, la paye, etc. il est inutile de tenir à ce point à la souveraineté nationale des infrastructures. Nous n’utilisons jamais notre nationalité comme argument commercial.

Bien sûr, votre intérêt est de vendre des prestations complètes et complexes mais les entreprises françaises ne cherchent-elles pas d’abord du IaaS en opérant en interne les couches au-dessus ?

Quasiment personne ne cherche du IaaS. Soit les entreprises préfèrent du système opéré de A à Z, plutôt PaaS, soit elles opèrent le coeur du système en interne et vont juste chercher des micro-services chez des hyperscalers. Recourir au dual-sourcing, c’est à dire du multi-cloud, est bien sûr justifié par le souhait de ne pas être dépendant d’un fournisseur mais aussi, surtout même, oarce que les micro-services disponibles sont différents selon les fournisseurs de cloud.

Pour être exact, j’ai décrit ce que font les entreprises réellement matures. Mais, dans les faits, les entreprises françaises, même grosses, sont loin de la maturité cloud. Les entreprises non-matures dégradent le modèle.

Pour une entreprise non-mature, la première possibilité est de tout gérer en interne. C’est une situation très risquée car il faut alors que l’entreprise assure la totalité de sa sécurité, ce qui est très compliqué, d’où l’utilité de massifier dans le cloud. Déjà, quand on choisit un hébergeur de type Equinix, la sécurité physique et l’alimentation électrique sont assurées.

Pour rappel, NotPetya a frappé des entreprises importantes qui ont subi de très gros dégâts. Les dix premières victimes ont subi un total d’un milliard d’euros de dégâts, les trois premières 550 millions à elles seules. Certaines victimes continuent de gérer leur cybersécurité et construisent des systèmes qu’ils finiront par abandonner. C’est donc un investissement conséquent perdu. C’est être d’une arrogance particulière de croire que l’on peut soi-même construire quelque chose de pérenne.

Une entreprise mature est capable de garder la maîtrise de son système d’information tout en sachant acheter les prestations cloud pour en obtenir tous les bénéfices.

Notre approche est ce que nous nommons le « 5 zéros ».

C’est à dire ?

Le premier « zéro », c’est le « 0 touch » : ne rien toucher, tout automatiser, tout industrialiser. Il s’agit ainsi de garantir l’efficacité, l’efficience et la réduction du nombre d’opérations humaines. De ce fait, on réduit aussi les erreurs humaines évitables.

Ensuite, c’est le « 0 outage » (zéro plantage). Nous assurons la sécurité des datacenters à tous points de vue.

Le « 0 failure » (zéro erreur) vise à éviter tout échec dans les projets. Nous appliquons une méthodologie qui permet d’accompagner la transition/transformation chez les nouveaux clients.

Le « 0 impact » concerne les cyber-risques. Nous avons un SOC parmi les premiers en Europe. Nous gérons plusieurs millions d’attaques par jour.

Enfin, le « 0 CO² » est un engagement de notre part : nous compensons intégralement notre empreinte environnementale au niveau Scope 3. Quand on ne peut pas faire mieux, nous plantons des arbres.

La situation du cloud en Europe est-elle désespérée malgré les initiatives publiques ou mixtes, publiques et privées ?

Le marché du cloud est détenu, en Europe, à 70 % par AWS, Google et Microsoft. Tous les acteurs européens réunis ne pèsent que 12 %. OVH et T-Systems, c’est 2 % chacun !

Les entreprises françaises manquent réellement de maturité sur la question de la souveraineté. Le refus du cloud américain par peur de la législation américaine est souvent inapproprié. Peu de clients ont réellement à craindre des autorités des Etats-Unis (banques, TotalEnergies, Airbus…). Un distributeur, par exemple, ne craint absolument rien. Pour l’informatique de gestion, le risque est nul. Pour les systèmes industriels, il peut y avoir des problèmes spécifiques, notamment au niveau de la réactivité (en tel cas on peut faire du edge cloud), de la propriété intellectuelle ou de risques industriels propres.

Je présume que, par initiatives publiques ou mixtes, vous évoquez GaiaX. Or l’initiative est très mal comprise en France. Il s’agit de créer des dataspaces sectoriels normalisés. C’est une initiative de type « industrie 4.0 ». Depuis un an, on commence juste à travailler sur la normalisation de l’architecture cloud sous-jacente, ce que l’on nomme StructurA-X. Comme les acteurs français n’ont pas compris, ils ne s’impliquent pas suffisamment. Il y a bien un groupe de coordination au sein du Cigref mais les entreprises sont, dans les faits, peu impliquées. Les entreprises utilisatrices comme les prestataires sont concernées par les partages de données, ce que l’on nomme l’entreprise étendue. C’est ça GaïaX.