Les 10 défis actuels du SI
Entre l’évolution rapide des technologies informatiques, les besoins de plus en plus pressants du métier et les exigences réglementaires qui se multiplient, les décideurs du Système d’Information dont nous avons présenté les fonctions dans un article précédent rencontrent de multiples défis. Relever ces défis dans un temps et un budget contraints s’avère être un véritable tour de force.
Les 10 défis majeurs auxquels font face les décideurs du SI
1. La nécessité de mutualiser et rationaliser les SI sans cesse renouvelée par les acquisitions et les regroupements des DSI et des productions opérés par les organisations afin de réduire les coûts et augmenter la fiabilité du SI en limitant sa complexité. Cette rationalisation implique de réintégrer ces SI au sein d’un cadre technologique et organisationnel commun. Un bon exemple que nous constatons sur le terrain est la complexité des domaines Active Directory et de leurs relations d’approbation qui se sont créées au fur et à mesure de fusions et d’acquisition sans toutefois avoir fait l’objet d’un véritable effort de factorisation et de simplification, conduisant à un SI « emmêlé », difficile à maintenir et à faire évoluer.
2. Le cadre réglementaire de plus en plus strict imposant des exigences de sécurité qui viennent transformer en profondeur les SI. Ce cadre qui touchait à l’origine des fonctions métier critiques en France s’étend de plus en plus au travers des réglementations européennes comme DORA applicable au secteur financier et NIS2 qui concerne des milliers d’entreprises en France, notamment des ETI (Entreprises de Taille Intermédiaire) pas toujours préparées à ces transformations d’ampleur.
3. L’accélération du Move to Cloud due à une maturité technologique de la part des CSP (Cloud Service Providers) et à un plus grand nombre de grandes entreprises prêtes à franchir le pas après de nombreuses années de réflexion principalement dans des secteurs réglementés. Le Move to Cloud doit se faire au travers d’un véritable refactoring applicatif pour bénéficier pleinement du Cloud (découpage en microservices, containerisation, appui sur les fonctionnalités natives des CSP…) plutôt que d’un simple replatforming. Sans quoi, l’entreprise ne peut se targuer d’avoir mené son virage vers le Cloud, mais plutôt une simple optimisation économique vers un fournisseur IaaS plus compétitif que son opérateur interne historique.
4. En parallèle, la transformation du SI historique ou « Legacy » qui porte encore de nombreuses fonctions métier, et dont le coût de maintien en conditions opérationnelles et de sécurité pèse de plus en plus lourd. La résorption de la dette technique, longtemps retardée, doit s’opérer par des stratégies de grandes transformations ou de migrations progressives qui requièrent un engagement long-terme de la part de la direction.
5. La cyberrésilience au vu de l’intensification de la menace cybercriminelle et de déstabilisation étatique dans le cyberespace. Les organisations doivent continuer à renforcer la sécurité de leur SI et se préparer à réagir aux attaques cyber ainsi qu’à reconstruire leur SI en cas de destruction partielle ou totale. Ce sujet, trop longtemps une préoccupation des seuls CISO, devient une priorité également pour les CIO et CTO. Nous constatons souvent sur le terrain l’idée reçue que ce sujet peut être couvert par les PCA/PRA historiques sans prendre en compte la réalité des menaces actuelles, notamment les rançongiciels.
6. La transformation des usages et des modèles opérationnels se poursuit sous l’influence des méthodes agiles, avec une transformation du delivery applicatif et IT dans une logique produit et une adoption plus large des pratiques DevOps. Cette transformation est inévitable pour répondre à l’exigence accrue des métiers devant les possibilités offertes par les CSP envers la DSI et l’opérateur interne. Cette transformation qui peut améliorer le Time to Market, a cependant des pièges que les organisations doivent éviter, car ces méthodes et pratiques sont parfois appliquées sans discernement dans des contextes inappropriés et peuvent nuire à un besoin global de sécurité et de contrôle.
7. L’automatisation des processus IT permet de limiter les coûts, d’augmenter la fiabilité du SI et d’intégrer une vraie logique de Security By Design au sein des produits applicatifs et IT. En lien avec l’approche DevOps évoquée ci-dessus, le décloisonnement des équipes BUILD et RUN favorise l’automatisation des tâches récurrentes d’exploitation par les équipes en charge de ces produits.
8. L’Intelligence Artificielle suscite une forte demande des métiers pour transformer leurs usages. Ces usages doivent être encadrés fortement, car si l’IA peut apporter des gains en productivité, ceux-ci doivent être rigoureusement mesurés. De plus, de nombreux risques autour de l’IA existent : attaques visant les modèles, mauvaise utilisation conduisant à une atteinte à la confidentialité des données, affaiblissement de la qualité des productions intellectuelles par l’utilisation excessive de l’IA générative…
9. L’attractivité des talents est une préoccupation de tout décideur du SI. Les jeunes diplômés sont de plus en plus exigeants en matière de bien-être au travail, de flexibilité notamment quant au télétravail et de responsabilité sociale des entreprises (RSE) dans le contexte d’un marché particulièrement tendu. En plus de cela, l’attrait des nouveaux modèles opérationnels vus précédemment pousse les organisations à se réorganiser pour faire preuve de plus d’agilité et de souplesse.
10. Le déclin de l’offshoring au profit du nearshoring et parfois même de la réinternalisation de ressources s’accélère. L’offshoring a montré ses limites car en dépit des économies apparentes, son coût caché peut être important : irritation des utilisateurs, faible qualité des livraisons IT, incapacité à aller au-delà d’un rôle d’exécution simple… Le nearshoring, notamment au sein de l’Europe, permettant l’accès à des compétences solides pour un coût moindre est désormais préféré à l’offshoring, ce qui permet plus de proximité physique au travers d’allers-retours fréquents et de périodes de deepdive au sein des équipes.
Comment mener ces défis ?
Pour relever ces défis, l’organisation doit se transformer en profondeur. Nous constatons sur le terrain que des trois grandes composantes du SI, c’est l’aspect organisationnel qui est le plus grand frein à ces transformations d’ampleur. Celles-ci se heurtent à différentes difficultés :
Manque de sponsorship au plus haut niveau ;
Manque de clarté des rôles et des responsabilités au sein du SI ;
Défauts de pilotage et de communication entre les parties-prenantes ;
Manque d’uniformisation, de maturité et de convergence des processus IT.
Pour adresser ces problématiques, l’organisation doit construire ou revoir sa stratégie du Système d’Information en adéquation avec la stratégie d’entreprise. Cette stratégie doit être rendue limpide auprès de la Direction Générale pour qu’elle puisse l’appréhender et prendre des décisions éclairées. Cette stratégie coconstruite avec les décideurs du SI (CIO, CTO et CISO) doit englober la réponse aux besoins métier, les orientations technologiques et le cadre de maîtrise des risques.
Nous recommandons aux organisations en premier lieu de réaliser un audit complet qui évalue le niveau de maturité de chacune des fonctions du SI par rapport aux objectifs stratégiques de l’entreprise, aux standards de place et aux réglementations applicables. Elles pourront construire un plan d’action court et moyen terme à partir de scénarios chiffrés en termes de coût et de délais permettant à la direction générale de prioriser les transformations à mener dans un temps et un budget contraints.
Renouer avec la direction générale
L’ampleur de la tâche pour les décideurs du SI n’a jamais paru aussi importante. Il est crucial que ces enjeux du SI ne reposent pas sur leurs seules épaules car ils concernent plus que jamais l’organisation dans son ensemble.
C’est pourquoi leur priorité est de renouer avec la direction générale et de l’intéresser aux enjeux du SI en tenant un discours clair. CIO, CTO et CISO doivent travailler de concert et décloisonner leurs activités, les périmètres métier, technologiques ou sécurité ne devant plus être leurs domaines gardés. En identifiant les adhérences entre leurs problématiques et en parlant d’une même voix, ils feront pleinement reconnaître leur légitimité à tous les niveaux de l’organisation.