Gouvernance du SI : réconcilier DSI et Directions métiers pour optimiser les performances Cloud

Partenaire des directions métiers, le DSI doit accepter d’être challengé sur son propre terrain pour créer un véritable catalogue de services qui répondent aussi bien aux exigences internes qu'aux contraintes de l’entreprise.

Il est loin le temps où la DSI maîtrisait l’intégralité de la chaîne de valeur du système d’information et où, considérée comme un interlocuteur aussi bien incontournable qu’indispensable, elle avait une parfaite maîtrise du parc informatique de l’entreprise comme de son patrimoine applicatif. Si ses avantages sont indéniables, on peut dire que le Cloud a fait une entrée fracassante dans le paysage des SI bouleversant en profondeur les organisations avec notamment des répercussions directes sur la relation entre les directions informatiques et leurs clients internes. Un changement complet de paradigme.

Responsable mais pas coupable

« L'impatience est une soif qu'aucune justification n'étanche*. » Avec un délai d’attente estimé à 5 mois par 65% des directions métiers, pour la mise à disposition de services**, la DSI s’est vue reprocher son manque de souplesse et de réactivité subissant de front la concurrence exercée aussi bien par les prestataires de services externes que par les solutions Cloud grand public (Dropbox, GoogleDrive, Box, etc.). Si l’on considère que la nature a horreur du vide, les attentes non satisfaites des directions métiers et fonctionnelles ont fait émerger des pratiques parallèles, autonomes, impressionnantes tant elles sont massives : en 2000, environ 20% des dépenses informatiques des entreprises ne dépendaient pas du budget du département informatique. D’ici la fin de la décennie, ces dépenses non contrôlées devraient avoisiner les 90%***. C’est dire l’ampleur du phénomène !

Le Cloud est fondamentalement une industrie de services. Facilité d’accès, rapidité de déploiement et simplicité d’utilisation des applications, avènement du travail collaboratif et de la mobilité, brouillage des frontières vie pro/ vie perso… Autant de facteurs qui ont progressivement contribué à favoriser une forme de consumérisation des applications métier. Selon une étude de la firme SkyHigh Networks, l'employé moyen utiliserait activement, indépendamment de tout contrôle et support, 30 services cloud, dont huit de travail collaboratif, cinq de partage de documents et quatre de partage de contenu (YouTube, FlickR…).

De quoi inquiéter sérieusement les organisations du monde entier : l’absence totale de visibilité de la DSI sur des fonctionnalités et des informations dépendants de serveurs externes et de réseaux hors de contrôle mais dont elle a pourtant la responsabilité. Dans l’ignorance complète, comment pourrait-elle être d’un quelconque secours en cas de menaces de conformité ou de sécurité ?  Pat Gelsinger, CEO de VMware explique très bien le problème : « dans un monde où vous n’avez pas écrit les applications, n’avez pas conçu le datacenter qui les héberge, ne contrôlez pas les unités sur lesquelles elles s’exécutent… Bref, dans un monde dans lequel vous ne contrôlez rien, c’est vous qui êtes responsable ».

Favoriser l’émergence d’une liberté encadrée

Pour régler le problème, on pourrait être tenté de limiter ou bloquer purement et simplement l’accès aux sites et services non certifiés par l’organisation. Pourtant, mener une politique trop rigide sans concertation pourrait s’avérer à terme contre-productive avec, paradoxalement, des effets négatifs sur la productivité de l'utilisateur final, et par extension sur la compétitivité de l'entreprise.

La dernière étude de Ponemon Institute révèle que 50% des services Cloud échappent au contrôle des DSI et que sur 3.476 praticiens de l'informatique et de la sécurité informatique interrogés, seuls 43% d’entre-eux ont défini des rôles et des responsabilités eu égard à la protection des informations sensibles dans le Cloud computing. Sans nul doute une première étape nécessaire à engager parallèlement à une campagne de communication interne pour sensibiliser sur les différents risques encourus par des pratiques non appropriées et ainsi prévenir, endiguer et réduire la propagation du Shadow IT.

Parallèlement à ce plan de pédagogie interne, les développements et l’ajustement des ressources informatiques doivent pouvoir être de plus en plus agiles et flexibles afin de répondre aux enjeux spécifiques de chaque direction métier : la DSI n’a pas un, mais des clients internes. Dialoguer pour mieux qualifier et comprendre leurs besoins particuliers est un préalable nécessaire pour mettre à leur disposition de véritables offres de services et ainsi, à terme, mieux encadrer l’utilisation de services Cloud. Plutôt que d’interdire, guider les utilisateurs en leur donnant le choix entre différentes offres certifiées n’est-il pas le meilleur moyen d’influencer leurs comportements sans en avoir l’air ?

Pat Gelsinger le prédit, face à l'évolution rapide des besoins des entreprises, une approche traditionnelle et manuelle de la gestion de l’IT ne pourra tout simplement pas suivre. S’appuyer sur des solutions de gestion de services Cloud (Cloud Service Broker, Cloud Management Platform, Cloud Decision Engine…) permettrait aux DSI de trouver l'équilibre entre contrôle et flexibilité des usages et ainsi créer une relation de confiance durable avec les directions métiers. L’arrivée sur le marché de nouveaux outils reposant sur cette démarche va jouer un rôle déterminant dans l’amélioration de la gouvernance des systèmes d'information. Avec pour autre avantage et pas des moindres, au-delà des considérations de conformité et de sécurité, de favoriser la réduction des coûts grâce à une configuration « à la carte » au plus juste des besoins réels. Des solutions d’avenir d’autant plus stratégiques dans un environnement multi-cloud.

Bienvenue dans l’ère de la qualité de service au bénéfice de la satisfaction du client interne… 

* Eric-Emmanuel Schmitt, L’Evangile selon Pilate.
** Etude Vanson Bourne portant sur 1 800 DSI d’entreprises de plus de 100 salariés interrogés entre mars et avril et 2014. 
*** Selon le cabinet Gartner