Décideurs it

Jean-Claude Laroche (Cigref) : « nous devons rendre compte de la valeur créée pour l’entreprise »

Par Bertrand Lemaire | Le | Gouvernance

De la RSE (Responsabilité Sociale et Environnementale) à la guerre des talents en passant par les relations fournisseurs et le cloud de confiance, Jean-Claude Laroche, président du Cigref, fait un point sur les grands sujets du moment pour les DSI.

Jean-Claude Laroche, ex-DSI d’Enedis, est désormais directeur de mission auprès de la Présidence. - © Mélanie Robin / Cigref
Jean-Claude Laroche, ex-DSI d’Enedis, est désormais directeur de mission auprès de la Présidence. - © Mélanie Robin / Cigref

Pouvez-vous, en quelques mots, nous rappeler ce qu’est le Cigref (Club Informatique des Grandes Entreprises Françaises) ?

Jean-Claude Laroche : Le Cigref, dont l’identité se définit aujourd’hui par « Réussir le Numérique », regroupe 155 membres, grandes entreprises (CAC 40, SBF 120…) et administrations (ministères…). En cumulé, nos membres représentent environ 2000 milliards d’euros de chiffres d’affaires annuels, dix millions de salariés et des achats IT estimés à 60 milliards d’euros par an.

Lors de la dernière Assemblée Générale du Cigref, vous avez plaidé pour une IT durable, responsable et de confiance. Mais, concrètement, comment les entreprises doivent-elles procéder ?

Commençons par le « durable ». Il s’agit de prendre en compte, dès le début des projets, puis lors de l’exploitation et le maintien en condition opérationnelle de nos systèmes d’information, les exigences environnementales afin de rendre le numérique le plus sobre possible. Les DSI doivent se saisir de questions comme la chute de la biodiversité, l’exploitation des ressources minières, de l’eau, les émissions de gaz à effet de serre, etc… la lutte du Cigref contre l’obsolescence des matériels et des logiciels s’inscrit dans cette exigence de durabilité.

« Responsable », c’est éviter d’être prisonnier d’une mode de l’industrie du numérique. L’innovation doit servir le progrès et apporter de la valeur. Il faut donc fournir les services IT au juste niveau des besoins. Nous devons rendre compte de la valeur créée pour l’entreprise, autrement dire répondre à la question « de quoi a-t-on vraiment besoin ? » et non pas « qu’est-ce que les fournisseurs veulent nous vendre et que pourrions-nous en faire ? »

Enfin, parce que la « souveraineté » est un attribut de l’État et non de l’entreprises ou des DSI, le Cigref préfère parler de « numérique de confiance », ce numérique auquel l’entreprise, ses salariés, ses partenaires, ses fournisseurs peuvent durablement faire confiance. Ce numérique doit faire ce que l’on veut (par exemple valoriser et protéger nos données…) et ne pas faire ce que l’on ne veut pas qu’il fasse (laisser libre cours aux cyber menaces ou permettre l’espionnage de nos données par exemple). J’ajoute que la confiance suppose aussi que l’entreprise ne subisse pas trop de dépendances vis-à-vis de ses fournisseurs.

Nos propres clients doivent pouvoir nous faire confiance. Cela passe par notre totale maîtrise de ce que, nous, nous faisons.

L’arrivée d’une offre comme celle de Numspot sur le marché du cloud de confiance change-t-elle vraiment quelques chose ?

Oui ! Nous avons récemment republié une version du référentiel du cloud de confiance qui détaille celui-ci comme une offre sécurisée, immune aux législations extraeuropéennes à portée extraterritoriale, pouvant être maîtrisée par les DSI et, enfin, maîtrisant son empreinte environnementale. Nous accueillons toute nouvelle offre de ce type avec bienveillance. Plus il y aura d’acteurs, mieux ça sera.

Pourtant, Cloudwatt et Numergy n’ont pas forcément laissé de bons souvenirs…

Cloudwatt, Numergy et Numspot ont en commun d’avoir la Caisse des Dépôts dans leur actionnariat. Et celle-ci a tiré les leçons de l’échec des deux premiers pour que les mêmes erreurs ne soient pas refaites. A l’époque, peu de gens maîtrisaient les technologies du cloud et Cloudwatt comme Numergy partaient de zéro sans avoir les moyens considérables nécessaires pour développer ce dont les clients avaient besoin.

Aujourd’hui, les technologies sont bien plus matures et accessibles à des acteurs plus nombreux. Ceux-ci peuvent être capables d’offrir des offres compétitives. Les partenaires de Numspot connaissent bien le cloud et sont d’ailleurs impliqués, à nos côtés, dans l’initiative Gaïa-X. Ils maîtrisent le cloud de confiance à l’échelle européenne.

Pour moi, avoir une dimension européenne est nécessaire. Numspot place d’emblée son offre dans cette perspective, ce qui est un gage de meilleure compétitivité.

Puisque tout le monde cherche du cloud de confiance, pourquoi des offres comme OVH ou Outscale ont-elles autant de mal à séduire les entreprises françaises ?

Je ne dirais pas qu’elles ont du mal à séduire les entreprises françaises. Ça dépend de ce dont on parle car le mot « cloud » peut renvoyer à des réalités très différentes. C’est un marché très segmenté. Par exemple, Bleu se focalise plutôt à mes yeux sur le collaboratif en SaaS avec des technologies Microsoft, ou sur la mise à disposition d’Azure dans un environnement de confiance.

Je ne crois pas qu’OVH ou Outscale aient du mal à séduire même si leur force commerciale est bien inférieure à celle des hyperscalers. Pour prendre un exemple que je connais bien, Enedis a récemment refondu son espace client dédié aux collectivités territoriales avec de nombreux tableaux de bord. Cet espace est opéré par Sopra-Steria sur cloud OVH. L’offre OVH correspondait bien à notre besoin dans ce projet.

Des acteurs tels que Microsoft ou Google séduisent en fait par leurs offres intégrées évitant aux DSI de faire de l’assemblage de petites briques, ce qui un lourd travail qui n’a aucune valeur ajoutée spécifique. Le problème, en France, est l’intégration amont de multiples solutions françaises qui sont unitairement très pertinentes. Intégration de la relation commerciale et contractuelle, du support, des outils d’administration, des interfaces, de la R&D, etc. Heureusement, cela commence à bouger.

Vous avez insisté sur la « sobriété numérique » à de nombreuses reprises. Mais où en est-on aujourd’hui ?

Cela fait en effet un moment que le Cigref s’y intéresse, nos premiers travaux sur ce sujet datant de 2008. La mesure de l’empreinte environnementale est encore un sujet de recherche où il n’existe pas de véritable consensus exhaustif. Pour autant, nos travaux s’orientent dans plusieurs directions complémentaires :

D’abord l’urgence : en réponse à la demande du gouvernement face à la crise énergétique, nous avons récemment publié un rapport sur la réduction de la consommation énergétique de l’IT avec des propositions concrètes immédiatement applicables. Il y a d’abord des éco-gestes du quotidien comme l’extinction des équipements en dehors de leur utilisation, l’augmentation de la température de fonctionnement des datacenters, etc, ces mesures pouvant s’inscrire ensuite dans la durée. Et par ailleurs, en cas de crise aiguë sur le système électrique français, des actions spécifiques aux heures de pointe peuvent être menées comme travailler sur batterie et recharger celle-ci en période creuse, supprimer les flux vidéo des téléconférences, etc.

En dehors de cette réponse à l’urgence, nous avons également produit des rapports et nous avons largement communiqué sur des sujets comme l’obsolescence logicielle et matérielle. Il faut se souvenir que 70 à 80 % de l’empreinte environnementale du numérique est liée à la fabrication du matériel et 15-20 % au fonctionnement des datacenters et des infrastructures réseau, le solde est spécifique à l’usage du numérique. Et, en 2020, il y avait 631 millions d’équipements en France, soit une quinzaine par personne en âge d’utiliser le numérique ! Dans le monde, on est déjà, en moyenne, à plus de huit (34 milliards d’équipements). Dans les datacenters, l’estimation est, pour le monde entier, de 67 millions de serveurs. L’aspect du matériel est tout à fait prédominant dans l’empreinte environnementale du numérique.

Du coup, quand on décide de créer un service numérique, il faut s’interroger sur le matériel nécessaire et sur la durabilité de celui-ci.

L’un des problèmes actuels est l’obsolescence logicielle entraînant une obsolescence matérielle totalement artificielle. L’exemple de Windows 11 est caractéristique mais Microsoft est très loin d’être le seul en cause. On ne pourra pas continuer avec le modèle actuel des éditeurs. Nous avons d’ailleurs indiqué à la Commission Européenne qu’il faut une régulation au minimum au niveau européen.

D’un autre côté, il faut aussi se rappeler que le numérique peut aider à baisser l’empreinte environnementale globale. L’exemple le plus connu est celui de la vidéoconférence au lieu du déplacement physique. Un exemple que je connais bien, c’est le compteur connecté Linky : il évite de mettre des centaines de personnes sur les routes juste pour faire des relevés de compteurs !

La guerre des talents est-elle toujours un sujet ?

C’est plus que jamais un sujet !

Face à la pénurie de talents, le recul de la féminisation de nos métiers est catastrophique. Il y a eu une baisse de 61 % du nombre de filles au lycée dans les classes de terminale avec plus de 6h00 de mathématiques à la suite de la dernière réforme. C’est un facteur majeur d’inégalité d’accès aux métiers de demain. Cette question mérite une grande mobilisation.

Est-ce que l’Ecole 42 ou ses avatars répondent aux besoins des entreprises ?

Dans l’absolu, le secteur du numérique a besoin de tous les talents possibles donc de tous les types de formations à tous les niveaux. Nous manquons tous de profils formés. La pénurie devient mondiale et certaines entreprises cherchent à sortir de l’offshoring en Inde à cause de l’important turn-over sur place.

Pour les membres du Cigref, qui sont de grandes entreprises et des grandes administrations, les profils que nous recrutons sont plutôt Bac+5, de type ingénieurs, capables de passer du métier à la DSI et inversement. Nous avons beaucoup moins de codeurs que nos prestataires ESN. Mais développeur, ce n’est qu’un métier parmi une cinquantaine !

Si on doit résumer mon opinion, l’Ecole 42 est une très bonne initiative mais qui ne correspond pas à tous les métiers dans tous les types d’entreprises.

Avez-vous un commentaire similaire sur les écoles qui se sont créées sur la cybersécurité comme Oteria Cyber School ou Cybersecurity Business School ?

Dans les différents métiers de notre nomenclature, ceux de la cybersécurité sont plus internalisés que d’autres. Nous sommes tous en train de nous battre autour du même vivier et nous sommes tous en situation de pénurie. Toutes ces écoles nous sont utiles et nous y recourrons.

Concernant l’idée d’une « Ecole 42 du support IT » proposée par le DSI des Apprentis d’Auteuil, quelle est votre opinion ?

Toute initiative qui ramène des gens vers les métiers du numérique est bonne à prendre ! Le tout est d’avoir une formation de qualité. La fondation Les Apprentis d’Auteuil accompagne des publics en difficultés et si nous pouvons aider ceux-ci à rejoindre l’IT des entreprises, ce serait une excellente chose !

D’une manière générale, toutes les initiatives sont les bienvenues mais certaines formations ont aujourd’hui du mal à trouver des élèves car il y a un vrai problème de sensibilisation au numérique et même à toutes les technologies ou aux sciences dures, tout cela étant souvent jugé comme aride. A la dernière Assemblée Générale du Cigref, Jean-Christophe      Lalanne, vice-président du Cigref et directeur général adjoint aux systèmes d’information du groupe Air France KLM, a déploré que le récent prix Nobel de physique, Alain Aspect, ait eu une exposition médiatique bien inférieure au prix Nobel de littérature, même si Annie Ernaux a produit une œuvre remarquable. Or Alain Aspect travaille sur le quantique et cette question aurait mérité un vrai travail de vulgarisation dans les médias grand public, en s’appuyant sur l’actualité du prix Nobel. Cette différence de traitement marque le désintérêt vis-à-vis de la science et des technologies. Il faut que le vivier des gens susceptibles de s’intéresser aux technologies soit reconstitué. Il faut sensibiliser dès le primaire et casser des légendes. Parmi celles qui me mettent en colère, il y a celle que le no-code permettrait de faire de l’informatique en évitant l’apprentissage des maths et de l’algorithmie. La non-maîtrise du code met réellement en risque les entreprises et notre économie.

Classiquement, le Cigref dénonce des relations difficiles avec les grands fournisseurs. Mais les DSI ne se risquent (presque) jamais à prendre des alternatives à ceux-ci non-listées par le Gartner. Bref, ils renforcent les monopoles et les dominants mais se plaignent de leur existence. Comment sortir de cette situation ?

C’est un peu le problème de la poule et de l’œuf. Comme il n’y avait pas d’alternative à des solutions performantes dominantes (bureautique, ERP…), nous y sommes entrés. Et il y a des coûts de sortie qui sont colossaux et constituent une vraie barrière. Et plus les solutions sont intégrées, plus le coût de la conduite du changement sera élevé, renforçant la barrière à la sortie. Pour les DSI, c’est un vrai piège.

Notre sujet, au Cigref, est de rééquilibrer les relations entre les grands fournisseurs et leurs clients. Nous voulons des relations contractuelles plus transparentes et renforcer l’interopérabilité.

Avec les hyperscalers, il y a trois grands risques. D’abord, le risque de dépendance géopolitique lié à des tensions croissantes entre grandes régions du monde pouvant conduire à des actes malveillants (rupture de fibres optiques transatlantiques par exemple) ou à des stratégies de bannissement de services numériques essentiels. Il y a des risques de dépendances économiques liés à l’immense dépendance d’une grande partie de l’économie vis-à-vis des hyperscalers. J’aime à dire que le coût de la dépendance est bien supérieur au coût de la confiance (c’est-à-dire du recours à des solutions répondant à notre référentiel). Et puis n’oublions pas le risque de dépendance aux législations à portée extraterritoriale, aussi bien américaines que chinoises, qui peuvent permettre à des autorités étrangères d’accéder aux données sensibles, personnelles ou non, des entreprises. Tous ces risques doivent être mutualisés au niveau européen et traités collectivement.

Les initiatives juridiques européennes sont-elles de nature à vous aider ?

Aujourd’hui DSA (Digital Service Act) et DMA (Digital Market Act) sont tous les deux publiés. Pour nous, le DMA est le plus important car il définit les fournisseurs « gate keepers » (B2B comme B2C), définis par des seuils de chiffre d’affaires, de nombre d’utilisateurs, etc. On y retrouve évidemment les GAFAM. Plusieurs interdictions y sont posées comme la pose de barrières à la sortie pour verrouiller les clients, la vente liée de prestations, etc. Ces obligations et interdictions vont avoir un impact majeur au profit des utilisateurs finaux, pour rouvrir le marché à la concurrence. Le Cigref sera très actif pour vérifier l’application effective de ces règles nouvelles.

Nous travaillons aussi sur le futur Data Act et nous contribuons à la consultation sur le Cyber-Resilience Act, initiative lancée en mars 2022. Ce dernier va amener des exigences de cybersécurité sur les logiciels et les matériels arrivant sur le marché en instituant une responsabilité des fournisseurs sur le niveau de protection de leurs produits. Ce texte est, pour les membres du Cigref, très important pour faire cesser cette singularité du numérique où il n’existe aucune obligation prudentielle.

Actuellement, le cloud est l’objet de discussions au niveau européen avec les schémas de certification sur la cybersécurité. Le Cigref et ses homologues Voice (Allemagne), CIO Platform (Pays-Bas) et Beltug (Belgique), militent pour que le niveau III de la certification inclue une immunité aux législations extra européennes à portée extra-territoriale.

Les DSI se sentent-ils concernés par des effets des difficultés économiques actuelles ?

Les projets numériques demeurent stratégiques mais l’impact sur les budgets se fera avec retard, sans doute fin 2023 ou en 2024. En particulier, nous sommes loin d’avoir vu tous les effets de l’inflation. Celle-ci induit des risques sur nos projets et nos relations avec nos fournisseurs. [NDLR : voir à ce sujet « Le cloud au défi de la crise énergétique »]


Sur le même sujet

Patrice Valadeau nommé DSI d’Enedis

Le Cigref veut un numérique durable, responsable et de confiance.