Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Présente dans seize pays, RATP Dev, structure son système d’information pour accompagner la croissance internationale de ses activités. La filiale 100% du groupe RATP opère et maintient les réseaux de transport urbain et interurbain dans 16 pays. Sortie des datacenters privés, généralisation du SaaS, convergence des plateformes… Pascal Dalla Torre, group CIO, mise sur la simplification et la standardisation pour industrialiser ses processus IT.
Quels sont les chiffres clés et le périmètre de RATP Dev ?
Filiale à 100 % du groupe RATP, RATP Dev opère et maintient des réseaux de transport urbain et interurbain sur cinq continents, employant 25 000 collaborateurs dans seize pays. Son chiffre d’affaires a été de près de deux milliards d’euros en 2024. Nous opérons par exemple des lignes de métro automatiques à Lyon ou à Ryad, en Arabie saoudite, en Égypte, au Qatar…
La dimension internationale de votre entreprise fait-elle du passage à l’échelle du SI un axe structurant de votre stratégie IT ?
Oui. Le passage à l’échelle repose d’abord sur une exigence de simplification. En clarifiant nos architectures, nous favorisons leur standardisation, ce qui permet d’industrialiser les processus IT. Cette approche est d’autant plus stratégique que nous opérons dans des contextes très hétérogènes. Par ailleurs, en construisant un socle commun, composé de fondations techniques et applicatives communes et de standards largement répandus, nous facilitons cette simplification.
Vous parlez de fondations. Qu’entendez-vous par là ?
Quand je parle de fondations, j’évoque en réalité la notion d’homogénéité. Cela implique de lancer un plan de modernisation des infrastructures, de se débarrasser des datacenters privés, de pousser le SaaS first au détriment des applications vétustes, de privilégier le découplage front/back ainsi que les standards web pour le développement d’applications. Le bénéfice principal qui en résulte est de pouvoir proposer les mêmes plateformes – modulaires et APIsables – à tous les pays dans lesquels nous sommes présents. Par exemple, si nous déployons un système RH, ce dernier sera identique pour toutes les zones, à quelques exceptions près, selon la règle des 80/20.
Pouvez-vous préciser cette règle des 80/20 ?
C’est un principe de pragmatisme. Viser une couverture parfaite est illusoire dans une organisation internationale décentralisée. Nous considérons que si nous atteignons 80 % de standardisation sur nos briques techniques et applicatives, nous posons des bases solides. Les 20 % restants sont aussi dus au monde des opérations de nos métros, trams, etc. qui, par nature, sont difficiles à moderniser, car intimement liées aux constructeurs.
Quels sont les axes concrets de votre stratégie de modernisation ?
Nous visons la sortie des infrastructures historiques, notamment les datacenters privés, les applications monolithiques et les socles techniques obsolètes. À la place, nous promouvons des architectures modulaires, conçues pour être cloud natives, et capables de supporter des environnements distribués. Comme je viens de le mentionner, cela passe par l’adoption de plateformes web standards, un recours renforcé aux API, mais aussi par la mutualisation des outils de cybersécurité et d’administration. En parallèle, nous avons aussi engagé une réflexion de fond sur la structuration de la donnée, avec la mise en place de dictionnaires partagés et la définition d’objets métiers homogènes.
La dette technique est souvent sous-estimée. Comment la traitez-vous ?
Nous la considérons comme un risque à part entière, à gérer de manière structurée et continue. Nous avons établi un référentiel qui classe les applications selon leur niveau de maturité. Une première catégorie (rouge) regroupe les technologies obsolètes, non maintenues et encore hébergées on-premise. La deuxième (bleue) inclut les applications partiellement modernisées, souvent migrées dans le cloud, mais sans être full web. Enfin, une dernière catégorie (verte) correspond aux applications modernes, full web. Aujourd’hui, près de la moitié de notre parc applicatif (environ deux-cents lignes) se situe dans les deux premières catégories.
Quel niveau de convergence technique souhaitez-vous atteindre ?
Quand vous poussez les mêmes plateformes d’APIsation et les mêmes outils de cybersécurité à toutes les entités et filiales, sur toutes les zones géographiques, l’ensemble des services numériques sont alors consommés à travers un simple navigateur web sécurisé. Le monde est dès lors plus simple. Cela signifie notamment que vous pouvez vous passer de PC et qu’un simple Chromebook – bien plus sécurisé – suffit.
Comment appréhendez-vous les grands enjeux géopolitiques actuels ?
Nous abordons cette question sous l’angle de la gestion des risques. Aujourd’hui, le principal risque que nous devons maîtriser est celui de l’interruption de service. Mais à l’échelle qui est la nôtre, aucune alternative souveraine ne propose une couverture fonctionnelle et une expérience utilisateur équivalentes à celles des grandes plateformes américaines. Il nous faut des solutions capables de fonctionner efficacement à l’échelle mondiale. Si demain nous devons déployer un service en Australie ou au Qatar, il doit être immédiatement accessible, performant et sécurisé. Imposer des outils souverains à tous nos pays sans adaptation reviendrait à fragmenter notre système d’information et à nuire à la cohérence du groupe. En conséquence, la question qui demeure est de savoir si le risque d’une interruption de service est supérieur au risque d’un big-bang pour remplacer l’ensemble des composants américains par des solutions open source, pour peu qu’elles existent, et à quel prix.
Vous évoquez l’expérience utilisateur. Est-ce un critère structurant pour vous ?
Absolument. Un outil numérique qui n’est pas utilisé est un outil mort. Nous devons donc aller au-delà du simple déploiement et mesurer les usages réels. Cela implique une convergence des interfaces, une cohérence dans les parcours et une exigence de simplicité. Cette exigence est d’autant plus importante que nos collaborateurs travaillent dans des contextes très différents. Une interface mal pensée devient vite un frein à l’adoption.
En matière de sécurité, quelle approche privilégiez-vous ?
Le modèle traditionnel de sécurité périmétrique n’est plus adapté. Nous nous inscrivons dans une logique zero trust qui correspond mieux aux réalités d’un système d’information distribué. Nous structurons notre action autour de cinq grands piliers : les identités, les objets d’accès, le réseau, les applications et la donnée. Sur chaque périmètre, nous définissons une feuille de route spécifique. Par exemple, nous souhaitons automatiser la gestion des cycles de vie des identités, avec des politiques claires de provisionnement et de déprovisionnement. Nous séparons strictement les rôles et privilégions des environnements cloisonnés pour les administrateurs. Le renforcement de la sécurité des postes, via des solutions de MDM et de monitoring, sont des exemples de cette approche. Le déploiement de toutes ces briques rentre dans le cadre de projets importants menés sur trois à cinq ans.
Disposez-vous aujourd’hui de suffisamment de référentiels et d’indicateurs pour objectiver la simplification du SI ?
Il n’existe pas de métrique unique pour mesurer la simplification d’un système d’information. La cartographie et l’urbanisation permettent tout d’abord d’identifier si certains processus métier sont couverts par plusieurs applications, ou si d’autres, à l’inverse, ne le sont par aucune d’entre elles. Le nombre d’applications décommissionnées constitue un autre indicateur pertinent. Si, dans les deux-cents lignes de mon parc applicatif, je compte 5 % d’applications ayant ce statut, c’est déjà un signe de simplification.
Photo : www.ratpdev.com
