La digitalisation du Cac 40 par l’usage effréné du cloud présente certains risques
OPINION. Avec une croissance annuelle moyenne de 25% jusqu’en 2030, la montée en puissance du cloud soulève des enjeux sécuritaires et de gouvernance majeurs. Les initiatives gouvernementales du cloud souverain sous-estiment considérablement l’impact du SaaS, qui crée pourtant une digitalisation souterraine dans les entreprises, augmentant considérablement la surface d’exposition aux cyberattaques. Par Andréa Jacquemin, fondateur et CEO de Beamy
Selon l’étude de KPMG réalisée en mai dernier dans le cadre de l’initiative gouvernementale du cloud souverain, le marché du cloud européen pourrait décupler et atteindre 560 milliards d’euros d’ici à 2030. Il concentre à part égale, 230 milliards d’euros, des besoins d’infrastructure - le IaaS et le PaaS - et les besoins d’applications : le SaaS. Mais si le cloud d’Infrastructure a été au coeur des débats de souveraineté ces derniers mois avec l’initiative européenne Gaia-X, ou la défense des acteurs français OVH, Orange ou Scaleway face aux mastodontes américains Amazon, Google ou Microsoft, rien ou trop peu n’a été dit sur son pendant applicatif : le SaaS.
Et pourtant, à l’insu des DSI et des directions générales, le SaaS explose jusqu’à créer une véritable digitalisation souterraine, aux mépris de tous les enjeux sécuritaires (RGPD) ou de souveraineté numérique.
Ainsi, dans les sociétés du Cac 40, et plus largement dans les grandes entreprises, le SaaS est devenu le vecteur clé de la digitalisation des métiers. Couramment appelé Shadow IT, l’écosystème SaaS se construit via l’usage massif d’outils disponibles sur internet, hyper-spécifiques et payables par abonnements. Déployés à l’insu des lourds process de gouvernance d’entreprise, ces outils passent majoritairement sous les radars de l’entreprise car “à moins de 100.000 euros, le groupe ne regarde pas”, et cela même s’ils représentent des millions d’euros de coûts annuels cumulés. Externalisée, cette informatique est souvent
La digitalisation du Cac 40 par l’usage effréné du cloud présente certains risques
celle de l’usage débridé des données personnelles (plus de 40% des SaaS utilisés sont américains), présentant potentiellement une multitude de failles de sécurité et de conformité à venir.
Seuls 14% des éditeurs SaaS présents dans le CAC 40 sont maîtrisés
C’est une véritable digitalisation souterraine qui s’opère avec, en moyenne, plus de 190 éditeurs cloud différents pour une entreprise de plus de 1.000 collaborateurs. Sur ce nombre, seuls 60 de ces éditeurs sont maîtrisés par la DSI, 44 par le DPO et 36 par la sécurité. Et si, comme le prévoit KPMG, la croissance du cloud se poursuit, ce sont alors plus d’un millier d’éditeurs SaaS différents qui seront utilisés par chaque entreprise en 2030. La capacité de structurer un cadre de gouvernance clair sur le cloud d’application sera donc vital tant cela cristallise des enjeux de souveraineté numérique, de cyberdéfense ou de performance digitale de nos entreprises.
Le besoin des métiers de se digitaliser par eux-mêmes
La transformation digitale étant l’affaire de tous, et surtout des métiers, il est normal qu’ils s’en saisissent. Notamment ceux de la nouvelle génération, celle du smartphone et ses applications qu’ils installent et désinstallent à la vitesse d’un clic. Génération du zapping, elle attend de l’entreprise le meilleur de la technologie que ce soit sur la vitesse d’exécution, l’interface des solutions et l’impact des outils sur la simplification et la performance de leurs activités professionnelles. Or, c’est un euphémisme de dire que cela ne fait pas encore partie des solutions proposées par les grandes entreprises.
Pourtant, les meilleures technologies existent sur le marché mondial - près de 100.000 SaaS - dont les investissements réalisés par le capital risque se comptent en centaines de milliards d’euros. Ces solutions, parmi lesquelles figurent les plus puissantes, rapides et les mieux adaptées à la digitalisation des différents processus, sont aussi celles qui stockent et consomment le plus de données personnelles à l’étranger. Il s’agit donc de construire un véritable App Store de l’entreprise, pour permettre aux métiers de choisir eux-mêmes les meilleures applications tout en les guidant dans la bonne manière de sélectionner, utiliser et dé-risquer ces outils sur le long terme.
Réconcilier métiers et DSI pour la gouvernance digitale
Le DSI tient une place stratégique sur ce sujet : celle de fournir ainsi à l’entreprise le cadre de décentralisation de la digitalisation. Celle de s’assurer que, malgré l’inflation technologique portée par les métiers, le cadre réglementaire est respecté, les données personnelles sous-traitées par ces outils sont bien protégées et les failles de sécurité externalisées sont réduites au minimum. Dans ce contexte, le DSI agît comme chef d’orchestre de l’écosystème digital, assurant l’optimisation des applications SaaS et leurs synergies au fur et à mesure que les métiers les ajoutent.
Le cloud souverain restera une initiative vaine si le cloud d’application, qui en résulte pour moitié, est toujours considéré au second plan. Au sein des entreprises, c’est à la direction générale d’impulser la construction d’une gouvernance digitale décentralisée, la seule à même de réussir à structurer cette part explosive du cloud. Une stratégie qui nécessite de mobiliser, avec le DSI, l’ensemble du comité exécutif, toutes les directions étant concernées par les enjeux de la transformation digitale.
L’urgence reste pourtant bien de faire l’état des lieux de la digitalisation souterraine existante !