Projets

Didier Fleury (DDSI, Macif) : « métiers, arrêtez de vouloir cacher des choses à l'informatique ! »

Didier Fleury (DDSI, Macif) : « métiers, arrêtez de vouloir cacher des choses à l'informatique ! »
Didier Fleury, directeur du digital et des systèmes d’information de la Macif, veut instaurer un dialogue de qualité avec les métiers.
Retrouvez cet article dans le CIO FOCUS n°201 !
Adopter la bonne stratégie pour les métiers

Adopter la bonne stratégie pour les métiers

Etre un stratège, c'est choisir. Etre un bon stratège, c'est donc faire les bons choix au bon moment. Et, le cas échéant, il faut savoir changer de choix si la situation évolue. Lorsque les métiers réclament une IT agile, c'est cela : une IT qui s'adapte à leurs besoins, même lorsque leurs...

Découvrir

Pour garantir la conformité réglementaire et la performance du SI, la Macif a déployé la solution de Beamy pour contrôler les SaaS et renouer le dialogue avec les métiers. Au-delà des engagements contractuels non-tenus par les éditeurs en matière de localisation des données, il s'agit bien de garantir le respect de saines procédures d'achat et d'intégration.

PublicitéFondée en 1960, la Macif (Mutuelle d'assurance des commerçants et industriels de France) est une mutuelle d'assurances opérant aussi bien dans l'assurance santé, l'IARD, l'assurance-vie, etc. Ses plus de 9 000 collaborateurs lui permettent de générer plus de six milliards d'euros de chiffre d'affaires en protégeant environ 5,6 millions de sociétaires. Elle a constitué le groupe Aéma en se rapprochant d'Aesio et en rachetant la branche française d'Aviva, Abeille Assurances. « Mais chaque entité garde son informatique propre » précise Didier Fleury, directeur du digital et des systèmes d'information de la Macif. S'il n'y a pas de dogme sur le cloud au sein de la Macif, il n'en demeure pas moins que, au fil du temps, le shadow IT s'était développé grâce à des SaaS métiers. Or, dans un contexte réglementaire particulièrement strict dans les mutuelles, il était indispensable de remettre de l'ordre sans brimer les utilisateurs.

Comme dans toutes les entreprises ayant un certain âge, le SI de la Macif est bien sûr historiquement on premise, avec aujourd'hui quelques débordements marginaux chez AWS. Didier Fleury reconnaît : « il y a quelques années, nous avons eu une période de cloud first mais ce modèle est plutôt à l'avantage des fournisseurs, pas des clients. » Le cloud n'est cependant pas exclu même si tout transfert dans le cloud d'un périmètre applicatif entraîne des conséquences parfois peu évidentes à cause d'innombrables liens. « Il y a deux contraintes fortes : réglementaire d'abord, avec la localisation des données, et de performance/sécurité ensuite » souligne le DDSI. Mais il précise aussitôt : « nous sommes en train de refondre notre système IARD et nous avons choisi le cloud de l'éditeur qui est hébergé chez AWS. » La bureautique collaborative est, quant à elle, Google Workplace, donc en SaaS.

Les promesses contractuelles des éditeurs n'engagent que ceux qui y croient

Mais Didier Fleury se souvient : « dans une expérience précédente, j'ai pu constater que les beaux engagements contractuels des éditeurs en matière de localisation des données n'étaient pas toujours respectés... » Or les métiers peuvent être rapidement séduits par telle ou telle offre SaaS vantée comme adaptée à leurs besoins propres. Le nombre de SaaS de ce type a d'ailleurs tendance à exploser sur le marché et la vigilance s'impose pour les DSI. Contourner la DSI, parfois vue à tort ou à raison comme un frein, est en effet une tentation forte. Ce alors que les données, surtout dans le domaine des mutuelles de santé, font l'objet de contraintes réglementaires importantes.

« Quand j'ai pris mon poste, il y a trois ans, j'avais la certitude qu'il y avait des SaaS non-déclarés » soupire Didier Fleury. Avec la crise sanitaire Covid-19, la tentation de l'adoption de SaaS clandestins s'est évidemment renforcée, en particulier dans deux domaines sensibles, la gestion des ressources humaines et le marketing, d'autant plus que la fréquentation des agences physiques a baissé de 25 % et ne remonte pas. La DSI estimait, il y a trois ans, qu'il devait y avoir une cinquantaine de SaaS utilisés dans le groupe. En réalité, le bon chiffre est aux environs de deux cents.

PublicitéUn SaaS pour tous les recenser

Didier Fleury concède : « si les SaaS ont du succès, c'est qu'ils répondent à des besoins ». Impossible, donc, de se contenter de censurer. La DSI se doit uniquement de veiller au respect des règles et des bonnes pratiques, notamment d'achat mais aussi d'intégration et de sécurité. Après des premiers tests fin 2020, la Macif a commencé à utiliser réellement la solution de Beamy début 2021. Elle-même en SaaS, cette solution analyse les différents logs (navigation, SSO...) du SI de la Macif sans être directement intrusive. Beamy dispose d'un référentiel des SaaS et tire de l'analyse des logs un recensement exhaustif des SaaS utilisés pour faciliter le contrôle des solutions effectivement employées partout dans l'entreprise. La solution créé donc également un catalogue de ces solutions déjà utilisées avec la localisation effective des données traitées, beaucoup de SaaS anglo-saxons hébergeant leurs données européennes en Irlande. Par ailleurs, la Macif injecte dans l'outil un fichier décrivant l'ensemble des achats enregistrés en termes de licences ou d'abonnements. Beamy va ressortir les suspicions d'anomalies en comparant le constaté et le comptabilisé.

« Le premier objectif était de sensibiliser aussi bien le DPO que le RSSI afin que soient garanties nos obligations de conformité réglementaires et également que les risques IT soient correctement identifiés et couverts » relève Didier Fleury. Si un directeur métier a utilisé sa carte bleue pour acheter un service, il faut comprendre ses raisons... donc commencer par le savoir. Et Didier Fleury conclut : « et à la fin, on régularise la situation... ou pas ! » Le catalogue des solutions déjà utilisées est accessible aux métiers afin que, en cas de besoin, les métiers recourent à des solutions déjà utilisées au lieu de multiplier les SaaS.

Des procédures resserrées

« Une fois la découverte opérée, nous avons pu recadrer les procédures d'achats en collaboration étroite entre la DSI, le DPO, le RSSI, la direction des achats, etc. » relève Didier Fleury. Il s'agissait en effet à la fois d'éviter le shadow SaaS et de démocratiser l'IT au service des métiers. Didier Fleury constate : « le DPO a pris conscience de la nécessité de vérifier la localisation des données au-delà des engagements contractuels, même si, chez nous, les problèmes relevés étaient tout à fait marginaux. » Pour lui, le shadow IT fait peser des risques inutiles sur le groupe. S'il devait dire une seule chose ? « Métiers, arrêtez de vouloir cacher des choses à l'informatique ! » Beamy a fourni l'occasion de renouer un dialogue constructif avec les métiers et d'éviter qu'ils continuent de croire que solliciter la DSI ralentirait la satisfaction de leurs propres besoins.

Comme Beamy était encore une solution toute jeune avec très peu de clients lorsque la Macif l'a choisie, le groupe mutualiste a bénéficié de conditions particulièrement favorables. En tout, le coût du projet s'est chiffré à quelques dizaines de milliers d'euros.

Beamy précise : « Beamy a un modèle économique progressif, qui permet de démarrer sur l'offre Discovery avec un coût limité de quelques dizaines de milliers d'euros. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis