Trophées CTO du CRiP : six thèmes clés pour le futur de la production informatique

publié le par Dorian Marcellin
Trophées CTO du CRiP 2023

Le Club des Responsables d’infrastructure, de technologies et de Production informatique (CRiP) remettra le 30 novembre ses trophées des CTO, récompensant les chief technical officers les plus visionnaires et leurs équipes. En 2023, l’association a mis l’accent sur six sujets de fond ayant un impact sur le futur des CTO, et les a analysé lors de la première édition de ses Universités. Alliancy, qui était partenaire de l’évènement, partage les principaux enseignements de ces travaux.

Quels projets seront récompensés le 30 novembre lors des trophées CTO du CRiP ? Les premières Universités organisées par l’association cet été peut donner une clé de lecture : cette journée avait été consacrée à six grandes thématiques clés pour la transformation des organisations, point d’orgue des travaux alimentés tout au long de l’année par les 13 000 membres du CRiP.

« Numérique responsable », « SI Data-centric », « Stratégies et services cloud », « Monitoring & Observabilité du SI », « Cybersécurité – Cyber résilience », « Workplace & Service aux utilisateurs »… Les échanges autour de ces axes majeurs de mutation des systèmes d’information avaient pour but de permettre aux spécialistes IT de jauger comment leurs priorités 2023-2024 s’alignent sur celles de leurs pairs, et de se projeter sur les travaux prioritaires de l’association pour les mois à venir.

Alliancy a interrogé les chefs de file du CRiP qui ont animé ces ateliers en leur demandant de synthétiser les principaux enseignements des échanges sur ces six thèmes forts pour les CTO. Retrouvez leurs réponses ci-dessous.

Retrouvez leurs réponses ci-dessous.

Workplace et Services aux UtilisateursWorkplace et Services aux Utilisateurs
SI Data-centricSI Data-centric
Numérique ResponsableNumérique Responsable
Services CloudServices Cloud
Cybersécurité Cyber résilienceCybersécurité Cyber résilience
Monitoring ObservabilitéMonitoring Observabilité

Workplace et Services aux Utilisateurs

En 3 points clés :

  1. Ces projets longs et aux budgets significatifs nécessitent une communication aiguisée sur les bénéfices opérationnels et financiers
  2. Il est crucial de disposer d’outils offrant la possibilité d’une approche holistique, plutôt que segmentée
  3. La conduite du changement est trop souvent sous-estimée: elle demande d’avoir une expertise interne forte.

La synthèse des échanges, par Fabienne Legger :

Le groupe de travail Digital Workplace & Travail hybride du CRiP aborde les questions relatives à l’évolution de l’environnement de travail matériel, digital et organisationnel à l’ère du travail dit « hybride » (bureau virtuel et télétravail).  Et sachant que les entreprises qui ont misé sur des solutions ITSM souhaitent optimiser de façon concrète leur investissement technologiques, le groupe de travail ITSM : IT for IT réfléchit pour sa part sur les nouvelles orientations à prendre et les meilleures pratiques à suivre en la matière.

Les travaux menés par ces groupes ont confirmé l’importance croissante accordée par les entreprises à un meilleur contrôle de leurs environnements technologiques afin d’aller plus vite, et dans de meilleures conditions, dans tous leurs projets de transformation.  

Les différents retours d’expérience et tribunes experts ont souligné qu’au regard de la complexité pluridimensionnelle de ces environnements, il est crucial de disposer d’outils fiables et permettant une approche holistique des sujets traités. Par ailleurs, les projets d’intégration s’inscrivant souvent sur une durée longue et avec des budgets significatifs, il a été mentionné en particulier l’importance d’en calculer et communiquer les bénéfices, opérationnels tout autant que financiers (ROI).  

Du fait de leur transversalité et impacts sur les organisations, le principal défi de l’intégration efficace de ces projets reste souvent humain. Ce qui fait ressortir la nécessité absolue de disposer d’une expertise interne forte en matière de conduite du changement.

>> Retourner au sommaire <<

SI Data-centric

En 3 points clés :

  1. Embarquer les métiers reste la priorité pour faire d’un projet data une réussite
  2. Le risque est important de se perdre à vouloir être exhaustif : cibler une priorité business précise permet de l’éviter
  3. La sensibilisation aux enjeux data ne suffit pas, l’appropriation des outils passe par la formation, d’autant plus alors que l’IA devient incontournable

La synthèse des échanges, par Monique Castruccio :

Alors que la Data se retrouve au centre de l’attention dans beaucoup d’organisations, le terme est aussi souvent l’arbre qui cache la forêt. Beaucoup d’équipes IT commencent à avoir du recul sur ces projets, qui nécessitent de faire évoluer souvent fortement, la nature et la philosophie du SI. Les travaux menés par les groupes de travail du CRiP ont permis de restituer notamment une série de priorités à toujours garder en tête du point de vue de la production informatique.

D’abord, la nécessité d’un lien étroit entre les Métiers et l’IT est un point qui fait l’unanimité, en matière de gestion des données. Pour autant, embarquer les Métiers ne va pas de soi : tout projet data doit donc être motivé par un cas d’usage et un sponsorship Métier, sans exception.

En parallèle, un projet data ne doit pas chercher à être exhaustif, par exemple en partant du principe qu’il faut cartographier tous les cas d’usage et toutes les data concernées. Pour réussir, il doit cibler avant tout clairement une priorité business, sachant que le management de la donnée relève du Métier et non de l’IT. Un ingrédient trop souvent sous-estimé pour la réussite d’un projet est ainsi d’apprendre à bien identifier, et à distinguer les responsabilités respectives IT et Métier.

On soulignera aussi un point particulier sur la nécessité de former et non pas seulement de sensibiliser les utilisateurs aux outils. Cela est clé afin qu’ils puissent s’approprier des outils comme les data-catalog, etc. La vue business prime, ce qui explique que dans certaines organisations ce sont les Métiers qui ont la responsabilité des mises à jour du catalogue de données. Ce n’est pas anodin et cela ne s’improvise pas.

Un autre point dont il faut prendre conscience, est qu’il est préférable de ne pas avoir de vision centralisée de la gestion des référentiels, lesquels doivent être mis à jour par les architectes, mais pas seulement : les développeurs, chefs de projet, responsables d’application doivent aussi être impliqués.

Enfin, l’enjeu pour un projet va aussi se situer dans sa capacité à être mis à l’échelle (lié à la croissance de l’activité et les obligations liées au volume de traces collectées). En prenant compte l’enjeu parallèle de la modernisation, cela nécessite souvent une évolution vers le cloud (privé ou non) qui permet de nouveaux usages.

Dernier point à prendre en considération, et non des moindres : l’Intelligence Artificielle devient incontournable dans la gestion des données et les DSI doivent s’y préparer. Sa diffusion ne manquera en effet pas de venir percuter chacun des aspects précédents et ne doit pas être sous-estimée pour les mois à venir.

>> Retourner au sommaire <<

Numérique Responsable

En 3 points clés :

  1. Il s’agit moins d’imaginer une « politique numérique responsable » que de mettre le numérique responsable au cœur de toutes les autres politiques IT
  2. L’éco-responsabilité ne s’improvise pas : elle demande une acculturation aux enjeux et des formations
  3. L’IT a son rôle à jouer (et des outils pour le faire) mais doit surtout embarquer les utilisateurs, car le défi est le passage à l’échelle.

La synthèse des échanges, par Monique Castruccio :

On le sait, le numérique peut aider massivement les organisations à transformer leurs activités pour réduire leur impact sur la planète. Cependant, le propre impact du numérique, en termes de pollution, de consommation énergétique et d’émission de gaz à effet de serre, implique également de diffuser des approches de responsabilités dans les usages IT. En la matière, les échanges ont fait ressortir des idées forces, dont les équipes de production informatique doivent s’emparer.

Acculturer (sensibiliser l’équipe IT) et former (apprendre à coder « vert » aux développeurs par exemple) deviennent ainsi les maîtres mots. Le développement doit répondre aux besoins utiles du Métier, être performant, cloudifiable, tenir compte des aspects sécurité et être tout à la fois éco-responsable. Mais l’apprentissage de l’éco-conception ne se fera pas seul : il requiert de la formation.

Cependant, le Numérique Responsable n’est pas seulement l’affaire de l’IT mais aussi celle des utilisateurs à travers leur expression de besoins. Les utilisateurs doivent se concentrer sur le « juste nécessaire » et écarter les spécifications inutiles. C’est une autre évolution culturelle qui ne va pas de soi et sur lequel il peut être nécessaire pour l’IT de challenger les métiers.

Il est clair pour tous, maintenant, que l’IT a des actions à mener dans le Numérique Responsable : les leviers sont connus (allonger la durée de vie des équipements, recycler, etc…). Mais le changement viendra surtout de la capacité à passer à l’échelle.

Certains points peuvent aider en ce sens. Il y a par exemple un rapport gagnant/gagnant entre la recherche d’optimisation budgétaire et le Numérique Responsable : la sobriété énergétique étant liée au budget. Le double argument peut faciliter les projets. Par ailleurs, l’Intelligence Artificielle a un rôle à jouer : par exemple, on peut déléguer à une IA l’optimisation de l’empreinte CO2 de son parc applicatif grâce à l’infra-as-code, l’idée étant d’automatiser les actions grâce à l’IA et, là encore, de passer à l’échelle.

Mais au-delà, il est surtout nécessaire d’adopter la vision la plus globale possible. Il ne s’agit pas d’avoir une politique Numérique Responsable mais que toutes les politiques soient Numériques Responsables, depuis la politique de développement, jusqu’au run, en passant par la sécurité, etc.

>> Retourner au sommaire <<

Stratégies & Services Cloud

En 3 points clés :

  • La maturité des organisations sur le cloud se voit à travers leur gestion des compétences des équipes cloud
  • La définition d’une matrice d’éligibilité, centrée sur la criticité des données, est la clé la plus utile pour mener ces transformations
  • Le FinOps ne peut pas s’appuyer sur des outils du marché, mais il peut être associé à une démarche GreenOps, à condition d’éviter certains pièges.

La synthèse des échanges, par Sylvie Deboissy :

La présentation des travaux du groupe de travail Stratégies & Services Cloud par les pilotes, ainsi que les retours d’expérience présentés en séance, confirment l’intérêt de ce sujet pour les entreprises qui se lancent à présent dans de vrais projets de migration ou de transformation. Les thèmes abordés tout au long de la saison ont permis d’approfondir les avancées faites dans le domaine des services managés, la montée et la gestion des compétences des équipes cloud, au travers de centres d’expertise, de cloud academy…

Par ailleurs, les échanges ont mis en avant que les offres des cloud providers français et européens, bien que conformes aux législations en vigueur, restent très orientés IaaS par rapport aux hyperscalers beaucoup plus avancés dans leurs offres PaaS.

Enfin, le groupe de travail confirme tout l’intérêt d’une matrice d’éligibilité dont la criticité des données constitue un critère majeur à prendre en compte. La protection de ces mêmes données contre tous les risques possibles a été le thème principal des différentes tribunes d’experts consacrées au cloud, dans la mesure où toutes les solutions de protection, de sauvegarde ou d’archive ne sont pas proposées nativement par les providers (object lock, cold archive, compatibilité multicloud…).

Pour ce qui concerne l’approche FinOps, les travaux du groupe de travail sur le sujet ont permis de faire un état des lieux des bonnes pratiques de gouvernance et des outils utilisés. Il apparaît qu’une bonne approche de la gouvernance s’articule autour d’une entité centrale qui définit le cadre général des activités et des outils utiles, et d’équipes locales qui les mettent en œuvre. A ce jour, les outils du marché ne permettant pas de répondre aux besoins de l’activité FinOps, les entreprises ont donc généralement développé leur propre solution à partir des éléments fournis par les cloud services providers.

Les résultats des travaux des groupes de travail, confirmés par les intervenants des tribunes d’experts, ont montré qu’une démarche GreenOps est en général très proche si ce n’est commune à une démarche FinOps tant en organisation qu’en outillage. Cependant, ces démarches peuvent amener à prendre des positions antagonistes quant au choix d’hébergement des applications. Une optimisation des coûts n’est en effet pas toujours synonyme d’une optimisation de sa consommation d’équivalent carbone. Dans tous les cas, il faut cependant imaginer des architectures techniques et des solutions de plus en plus lean, pour lesquelles il ne faut pas hésiter à responsabiliser et inviter les clients à repenser aussi leurs besoins

>> Retourner au sommaire <<

Cybersécurité – Cyber résilience

En 3 points clés :

  1. Le désenclavement des fonctions sécurité est aujourd’hui une priorité
  2. Il est possible d’implémenter à moindre coût la sécurité en profitant d’autres transformations IT
  3. Une gestion saine de ses assets informatiques et la condition sine qua non pour atteindre un bon niveau de sécurité

La synthèse des échanges, par Caroline Moulin-Schwartz :

Sans surprise, les questions de la cybersécurité et de la cyber résilience tiennent une place de plus en plus importante dans la préoccupation des entreprises. Au-delà des questions techniques et des outils employés pour se protéger ou pour assurer la continuité de l’activité, ces thématiques forcent surtout l’entreprise à se poser des questions organisationnelles, de répartition des responsabilités, et des prérequis qui permettent à des systèmes d’information, de plus en plus ouvert, complexes et évolutifs, de faire face à des risques variés. Les deux groupes de travail sur le sujet ont permis de mettre en avant des idées clés qui nécessitent aujourd’hui une action déterminée au niveau des organisations.

En priorité, il faut désenclaver les fonctions sécurité. En la matière, la production informatique devrait s’approprier le savoir, l’ambition, les moyens pour une production informatique sécurisée « by design ». Cette prise en compte du sujet implique qui plus est un changement de philosophie, afin d’entrer dans une logique de résultat et non de persister dans une approche d’obligation, à travers la seule logique de conformité. Comme le résume de nombreux experts en la matière : faire de la conformité, ce n’est pas faire de la sécurité.

Ces changements en matière de sécurité sont également à voir comme des opportunités. Les transformations de l’IT sont en effet de formidables occasions d’implémenter la sécurité à moindre coût. Les échanges ont permis de mettre en avant quelques-uns des leviers actionnables les plus facilement pour les équipes de production :

  • Profiter du renouvellement des moyens de stockage pour « embarquer » les ambitions de sécurité (résilience, notamment)
  • Profiter d’un renforcement de l’Observabilité pour mieux alimenter les SOCs
  • Profiter de la conception d’un nouveau poste de travail pour en renforcer l’immunité
  • Profiter dumove to the cloud pour ne pas y exporter les erreurs du passé (arrêts de production pour les mises à jour, absence de mise à l’épreuve en continu, etc.)

Enfin, un des enseignements clés sur lequel ont permis d’insister les échanges est que l’on ne peut atteindre un bon niveau de sécurité sans une gestion saine des assets informatiques. Cette condition sine qua non passe par plusieurs autres idées qui y sont liées :

  • Pas de gestion rationnelle du traitement des vulnérabilités sans une CMDB à jour
  • Peu de capacité de réaction à une attaque sans une connaissance précise de la topologie réseau
  • Et pas de détection efficace sans Observabilité…

>> Retourner au sommaire <<

Monitoring & Observabilité

En 3 points clés :

  1. L’Observabilité doit se distinguer aujourd’hui des logiques de monitoring historiques en se concentrant sur le service aux utilisateurs, avec une vision de bout en bout
  2. A la clé, des leviers pour lutter contre l’obsolescence et orchestrer les décommissions ; mais aussi pour contribuer au Numérique responsable
  3. Si l’utilisation de l’IA permet des gains substantiels, les outils méritent d’être plus simples, d’autant plus pour favoriser le dialogue IT-métier sur ces questions

La synthèse des échanges, par Philippe Roux :

En comparaison à d’autres comme le cloud, la cybersécurité ou encore le numérique responsable, le sujet de l’observabilité n’est certainement pas celui qui attire le plus l’attention des médias quand il est question des clés de la transformation numérique des organisations. Or, et c’est bien ce que montre les échanges et les retours des groupes de travail du CRiP sur le sujet, c’est cependant l’observabilité et la maîtrise qu’elle implique sur son système d’information, qui permet d’activer, ou tout du moins de faciliter grandement, chacun des projets structurants pour les transformations à venir. Les discussions entre pilotes et experts ont permis de mettre en avant plusieurs aspects importants de cet état de fait.

D’abord, au-delà d’une certaine proximité sémantique, il est nécessaire de garder en tête que le Monitoring historique se distingue de l’Observabilité telle qu’imaginée aujourd’hui. Le Monitoring avait plutôt une démarche de contrôle des ressources et parfois de services basiques très orientés système. L’Observabilité va se concentrer sur la notion de service aux utilisateurs et de visibilité de bout en bout sur la chaine de services. En cela, il faut considérer l’Observabilité comme une propriété du SI, au même titre que la sécurité ou la scalabilité. Elle doit permettre de répondre à toute question du business et de facto pour être réussie, elle devra donner une vision business plutôt qu’une vision IT. Pour y parvenir, les données collectées doivent être variées et à toutes les niveaux des composants du système d’information : log, métrique, traces (réseau, applicatives…). Enfin, ce n’est pas parce que le monitoring des équipements réseau est au vert que les flux de données passent bien. Il faut donc bien distinguer les différents sujets.

Parmi les aspects que permettent de prendre en compte une bonne Observabilité, on peut aussi insister sur la capacité à factualiser la mesure de l’obsolescence, le patrimoine applicatif et les risques associés. D’où la nécessité de définir une roadmap en utilisant des outils orientés business. Cela nécessite d’évaluer la qualité de la couverture fonctionnelle, de la maintenance, de définir le budget pour les applications à risque…

En toute logique, décommissionner une application doit être d’abord une décision business avant d’être une décision technique. Certaines organisations vont ainsi demander à leurs Métiers de noter de 1 à 5 la qualité des applications qu’ils utilisent. Suite à cette enquête, une vision plus précise de toutes les applications qui devront évoluer en priorité se dégage. A noter que de manière générale, maintenir une application est d’autant plus simple lorsqu’on la fait évoluer fréquemment.

Un autre point de motivation à mettre en avant pour travailler à une bonne Observabilité, est le fait que l’IT peut contribuer nettement à la politique RSE – numérique responsable de l’organisation.

Celle-ci implique souvent la nécessité d’une adaptation très rapide. Une équipe IT qui prend le sujet en main, peut apporter une contribution nette au label de responsabilité numérique.

D’un point de vue plus technique, l’IA permet aujourd’hui d’analyser la cartographie du SI, produite aussi potentiellement de manière automatique. Il devient possible de relier et corréler diverses informations pour mieux comprendre les incidents, estimer leur impact business et y remédier plus rapidement. Selon l’un des experts participants, l’analyse des dérives par l’IA permet des gains substantiels, à la fois sur la réduction du temps de résolution d’incidents (60%), que sur le nombre d’incidents en moins (40 %) ou encore sur la réduction des tests de performance (50 %).
Pour l’aide au diagnostic, l’IA aide en effet beaucoup : deux incidents qui semblent à première vue similaires, se distinguent parfois par un très petit détail qui passe souvent inaperçu, mais pas pour l’IA !

Enfin, donner la bonne information, au bon moment, à la bonne personne, est sans conteste la clé du changement réussi. En la matière, il faut reconnaître que la plupart des outils de supervision restent complexes et destinés à des utilisateurs techniques. Il faut donc simplifier l’ergonomie, les remontées d’information, les tableaux de bord pour espérer pouvoir donner aux Métiers les moyens de mieux contrôler leurs business respectifs. Cette évolution autour des outils, impliquera aussi une remise à plat du dialogue entre les métiers et l’IT. En effet, le fait de remonter l’Observabilité au niveau des Métiers, ne manquera pas d’apporter des réponses claires à la « recherche de sens de l’IT » dans l’organisation. Comme l’a fait remarquer l’un des participants aux groupes de travail : en bout de chaîne, l’utilisateur est bien un humain : le SI est donc en quelque sorte vivant. Le lien entre les métiers et l’IT doit donc être fait au travers de toutes les couches du SI, depuis le datacenter jusqu’à l’utilisateur lui-même. C’est ce qui permettra d’éviter les incidents, plutôt que de seulement les prévoir.

>> Retourner au sommaire <<

Suggestion de contenus

Problèmes IT : 56 % des employés souffrent en silenc...

Quel avenir pour la sécurité juridique du cloud en Europe

En attendant EUCS : quel avenir pour la sécurité jur...

Vidéosurveillance augmentée : une vision sécuritaire dont le secteur pourrait pâtir

Vidéosurveillance augmentée : une vision sécuritaire...

Serie IA Confiance Episode 1

L’IA de confiance, une recette complexe aux in...

Vers un futur durable - peut-on concilier IA et préservation des ressources

Vers un futur durable : peut-on concilier IA et prés...

Face à la guerre des talents, les DSI veulent consolider leurs équipes IT

Face à la guerre des talents, les DSI veulent consol...

[Edito] « FISA is back » : quand le Congrès américai...

Collectifs de salariés - changer son entreprise de lintérieur

Collectifs de salariés : changer son entreprise de l...