Interviews

Emmanuel Sardet, Cigref : « Broadcom nous confronte à un risque industriel »

Pour Emmanuel Sardet, « si on affirme que la technologie est stratégique pour l’entreprise, alors celle-ci doit conserver une capacité d’ingénierie sur ces sujets. » (Photo : Thomas Léaud)

Pour le président du Cigref, la politique de Broadcom avec VMware illustre non seulement les conséquences financières, mais aussi le risque opérationnel, qui découlent de la trop grande dépendance des entreprises européennes aux grands acteurs de la technologie.

PublicitéDSI adjoint de Crédit Agricole et CTO du même groupe, Emmanuel Sardet est devenu le président du Cigref en octobre dernier. Alors qu'il expliquait, lors de l'officialisation de son élection, que la question de la dépendance des entreprises aux grands acteurs de la technologie était « un sujet difficile à expliquer à nos dirigeants », il a depuis lors été largement aidé par l'actualité.

Affaire Broadcom, inflation des prix, certification européenne des cloud : Emmanuel Sardet revient sur les grands dossiers qui ont marqué ses premiers mois à la tête de l'association de grandes entreprises et administrations françaises. Une maison qu'il connaît bien, puisqu'il en est membre de son conseil d'administration depuis 2019.

CIO : Quelle est la situation sur le dossier Broadcom/VMware ? Pourquoi le Cigref a-t-il fait de ce sujet un de ses chevaux de bataille ?

Emmanuel Sardet : La posture et la stratégie client du groupe Broadcom - déjà vue après ses rachats de CA Technologies et Symantec - nous ont poussé à nous mobiliser, à la demande de nos adhérents. La problématique était telle que nous avons mis en place une plateforme accompagnant les entreprises dans leurs procédures auprès du tribunal de commerce. Sans être plaignant nous-même, nous avons joué un rôle d'orchestrateur, tout en discutant avec Broadcom directement et en coordination avec nos pairs d'autres pays, soit les associations s'apparentant au Cigref en Allemagne, en Belgique et aux Pays-Bas. Nous avons donc à la fois accompagné nos entreprises, y compris celles qui voulaient judiciariser l'affaire, qu'elles aillent d'ailleurs au bout ou non de ce processus, tout en discutant avec Broadcom sur l'obtention de meilleures conditions. Sans oublier la saisine de l'Union européenne, sur le rachat de VMware, qui n'a pas débouché pour l'instant. Mais nos homologues allemands de Voice viennent de relancer une démarche similaire.

C'est un sujet majeur pour nous, pour plusieurs raisons. D'abord en tant que tel, ce sont des pratiques inacceptables. Si chaque fournisseur a le choix de sa stratégie, aussi négatif en soit l'impact pour les administrations et entreprises, nous poussons pour que ces changements soient effectués de façon claire et en laissant le temps aux organisations de changer de pied. Ensuite, nous voulons prévenir tout risque de contagion à d'autres fournisseurs, qui pourraient s'inspirer de cette stratégie qui est, si on en juge à la capitalisation de Broadcom, financièrement gagnante. Nous voulons faire une jurisprudence sur ce cas, pour empêcher la naissance de nouveaux Broadcom.

Combien d'entreprises ont utilisées la plateforme que vous mentionnez pour judiciariser leurs relations avec l'éditeur ?

PublicitéCette plateforme, couplée au support pro bono d'avocats, a permis d'amener un cadre, avec la procédure pour créer son dossier, les erreurs à éviter ou les bonnes pratiques, même si chaque entreprise reste indépendante dans sa procédure et se fait accompagner par ses propres conseils juridiques. Plus d'une vingtaine de plaintes ont été déposées, mais la décision d'aller au bout - jusqu'au jugement - appartient à chaque entreprise. Certaines ont pu obtenir ce qu'elles souhaitaient de Broadcom et alors interrompre le processus.

« L'affaire Broadcom est aussi salutaire. Ces exemples concrets montrent que le cadre d'autonomie stratégique ne traite pas que des cas hypothétiques ou conceptuels. » (Photo : Thomas Léaud)

Les résultats financiers de Broadcom sont conformes au plan annoncé lors du rachat de VMware. Cela ne montre-t-il pas que les entreprises n'ont d'autre choix que de continuer à acheter les technologies dont elles sont dépendantes ?

Les résultats de Broadcom valident les choix de sa direction pour faire monter la capitalisation de cette entreprise, au détriment d'une grande partie de ses clients. La volonté de Broadcom revient à se recentrer sur un nombre plus petit de clients, pour lesquels cet éditeur propose, avec peu de flexibilité, des portefeuilles de produits et services au sein desquels les entreprises ne peuvent être gagnantes que si elles sont grandes consommatrices de technologies VMware. On peut se poser la question de la viabilité de cette stratégie à long terme. En pareil cas, habituellement, la concurrence s'organise afin de déverrouiller cette position, même si celle-ci peut durer un certain temps.

Mais cette affaire est aussi salutaire. Les entreprises vont tirer les bénéfices de ces exemples concrets, qui montrent que le cadre d'autonomie stratégique - qui reste à travailler - ne traite pas que des cas hypothétiques ou conceptuels.

Ces débats là ont déjà existé, autour d'autres éditeurs comme Microsoft, Oracle ou d'autres...

Ce qui est différent cette fois, c'est qu'au risque économique, s'ajoute un risque industriel. Le premier est absolument néfaste, mais le second est pire ! Pour les clients de VMware, soit les grandes entreprises ou administrations présentes au Cigref, le repositionnement de cet éditeur suite à son rachat se traduit par un risque industriel. Être en posture de négociation face à une inflation des tarifs inacceptable est sensiblement différent d'une situation où vous n'êtes plus tout à faire sûr de la réalité de la prestation de maintenance entourant certains produits et services présents dans les contrats. C'est ce risque industriel, qui ne disparaît pas au travers du contrat, que nous pointons du doigt. Et c'est ce que nous n'avions pas connu jusqu'à présent, les situations précédentes se limitant à des verrouillages contractuels et financiers. Jamais nous n'avions été confrontés au risque lié à un acteur qui provoque l'écroulement d'un produit, simplement parce que ce produit n'entre pas dans les conditions de marché qu'il aurait souhaitées.

Quelles sont vos revendications concrètes ?

Ce n'est pas une complainte des clubs utilisateurs : chaque fournisseur a le droit d'avoir sa stratégie et de la recentrer au besoin. Mais ce qui n'est pas acceptable, ce sont l'absence de transparence de cette stratégie vis-à-vis des clients - et ce à tous les niveaux, de la direction générale du groupe jusqu'aux équipes de compte - et l'absence de chemin de transition, soit pour intégrer la plateforme, soit pour en sortir. Dans les deux cas, il ne faut pas que cette transition se solde par un rapport de force basé sur des éléments mettant en danger l'entreprise cliente. C'est le point clef de nos revendications : on peut être d'accord ou pas avec la stratégie de Broadcom, il est inacceptable de se servir des contrats existants comme d'un verrou pour profiter de situations de quasi-monopole sur certains segments de marché.

« Les fonctionnalités d'IA nous arrivent via des produits SaaS : le DSI ne maîtrise donc plus le moment de l'adoption. Il se retrouve à payer avant même que son entreprise soit à même de capturer la valeur qui en découle. » (Photo : Thomas Léaud)

Installer des situations de monopole pour moduler les tarifs à leur guise, n'est-ce pas fondamentalement ce que recherchent tous les grands acteurs du numérique ?

C'est aux entreprises maintenant de prendre au sérieux ce type de risque et de s'organiser en termes d'autonomie stratégique, de dispositifs de résilience pour y faire face tant d'un point de vue industriel que financier. Cette inflexion se joue tant en interne, au sein même des organisations, que dans leurs relations avec les fournisseurs, afin que ces derniers proposent des cadres tant pour rejoindre leurs offres que pour les quitter. Ce sont des concepts qu'on retrouve aujourd'hui dans des textes comme le Data Act européen.

L'inflation des tarifs de la technologie déborde largement le cas Broadcom. Quels sont les leviers dont disposent les DSI face à ce mouvement général ?

Le premier levier, c'est la compréhension du phénomène. Cette augmentation subie vient à la fois d'un facteur intrinsèque - l'inflation économique et celle liée aux conséquences des chocs géopolitiques sur les chaînes d'approvisionnement des fournisseurs - et des investissements croissants dans les ruptures technologiques, avec l'IA en tête de pont. Ces deux phénomènes se cumulent. Le DSI doit s'organiser pour mettre en place des stratégies afin d'atténuer l'un et l'autre. Se contenter d'un constat ou d'une complainte ne peut suffire.

Sur le premier volet - l'inflation structurelle -, le levier principal réside dans la transformation continuelle de la DSI vers davantage d'efficience. Certains grands groupes pourront certes bénéficier d'accords au plus haut niveau, du fait d'intérêts croisés, mais on parle là d'exceptions. Sur le second volet - lié aux investissements exceptionnels réalisés en avance de cycle -, l'inflation est totalement subie par les entreprises et très largement surjouée par les fournisseurs. Ces fonctionnalités nous arrivent via des produits SaaS : le DSI ne maîtrise donc plus le moment de l'adoption. Il se retrouve à payer, dans ses souscriptions, avant même que son entreprise soit à même de capturer la valeur qui en découle. On assiste donc à la fois à un déphasage dans le temps et à des duplications, via une compétition inutile entre les investissements choisis du DSI dans l'IA et des fonctionnalités qui lui arrivent au travers de multiples SaaS. On peut aboutir à des situations grotesques où un DSI paie deux fois pour la même technologie. Se préserver de ce phénomène demande une stratégie assez drastique et peu naturelle ; il faut que le DSI, collégialement avec les métiers et le Comex, fasse des choix en anticipant les évolutions, car dans le monde actuel, tout SaaS s'accompagne de son option IA.

Or ces arbitrages se font habituellement en stratégie corrective, pas préventive. Sur ce terrain, les négociations directes avec les acteurs plus autonomes de technologies semblent actuellement être la martingale, sauf pour ceux qui ont une informatique très dépendante d'un fournisseur donné.

« Aux risques sur la protection de l'information - qui demeurent -, viennent se greffer des risques davantage liés aux services. » (Photo : Thomas Léaud)

Ces questions, ainsi que l'actualité géopolitique consécutive à l'arrivée de Donald Trump au pouvoir, ont replacé la question de la souveraineté numérique au centre du jeu. Quelle définition en avez-vous au Cigref ?

Nous parlons plutôt d'autonomie stratégique, la souveraineté étant l'apanage des Etats. Elle se caractérise par la manoeuvrabilité face aux divers risques. Ceux-ci étaient très axés sur la seule protection de l'information jusqu'à récemment. Et ces enjeux demeurent, mais il faut désormais y greffer des risques davantage liés aux services : dégradation ou arrêt du service, directement ou via un acteur impliqué dans la chaîne de fournisseurs, risques économiques ou encore risques de conformité. Si une organisation est capable d'anticiper, d'agir de façon pertinente face à ces risques, elle acquiert une forme d'autonomie stratégique, en s'inscrivant dans un agenda souverain, donc territorialisé. Car cette autonomie dépend de critères économiques et sociétaux définis par la loi.

L'approche de l'Union européenne a beaucoup misé sur la réglementation pour encadrer les pratiques des géants du numérique. Est-ce suffisant à vos yeux ?

Comme le montrent les initiatives autour des contrats stratégiques de filières du gouvernement ou des travaux de place, qui ont eu comme apogée le Sommet pour l'action sur l'IA, on a besoin d'un équilibre entre une réglementation, bien présente mais sans brider l'innovation, et une capacité à faire de ce territoire là - l'Europe - un terreau favorable au développement d'acteurs viables sur ces services là. On ne peut pas décréter les entreprises vouées à devenir les champions européens du numérique, mais il faut garantir les conditions de leur émergence : un accès à un marché unique - hors aujourd'hui, un acteur fait face à 27 marchés - et des conditions pour se développer. Or l'Europe présente aujourd'hui une faiblesse bien identifiée sur le private equity.

Il ne faut pas oublier non plus les freins que peuvent mettre les pays membres, dans une forme de compétition intra-européenne. Si, sur un marché, une poignée d'acteurs du continent émergent, certains pays peuvent être tentés de geler ces développements pour favoriser leurs intérêts nationaux. Si, dans le parcours concurrentiel - nécessaire à l'émergence des champions -, on pouvait n'avoir que trois haies, plutôt que de multiples, et si des politiques publiques arrêtaient de tirer sur la manche de certains coureurs pour laisser passer leurs propres concurrents, ce serait déjà un grand progrès.

Quelles revendications concrètes portez-vous sur ce terrain auprès du gouvernement français ?

Nous organisons une fois par an les rencontres de Strasbourg. Au cours de l'édition 2025, qui a réuni environ 200 personnes - DSI d'entreprises et administrations mais aussi dirigeants d'entreprises du numérique sous la bannière du syndicat professionnel Numeum -, nous avons travaillé sur ces sujets pendant deux jours et rendu compte de ces travaux à la ministre Clara Chappaz et à ses équipes pendant une demi-journée. Ces travaux ne proposent pas une martingale ou une baguette magique, mais une série d'actions concrètes. Par exemple, une meilleure connaissance de l'écosystème des offreurs européens, pour les entreprises ayant la volonté de travailler avec ceux-ci. Aujourd'hui, quand un DSI recherche une solution, il ouvre son Magic Quadrant Gartner ou son équivalent dans un autre cabinet, et il a peu de chance de se tromper, y compris sur des marchés assez abscons. Cette visibilité n'existe pas sur les acteurs européens, pour lesquels l'information disponible n'est pas aussi qualifiée. Faciliter l'adoption via ce levier est une des 57 orientations et propositions que nous avons soumises à la ministre.

D'autres recommandations touchent plutôt les entreprises. Une stratégie d'autonomie stratégique et de résilience doit s'appuyer sur des cadres. Le Cigref a proposé de dédier une partie de ses travaux d'intelligence collective afin de permettre à nos DSI de se forger une pratique en la matière.

« On en est au stade où tout le monde prend conscience du sujet et se plaint. Mais, comme l'a montré le cas Broadcom, se plaindre ne mène pas à grand-chose. » (Photo : Thomas Léaud)

Les DSI et leur entreprise n'ont-ils pas une part de responsabilité dans la situation actuelle de dépendance aux grands fournisseurs de technologies ?

Les entreprises ont très largement profité d'un contexte mondial présentant un faible niveau de risque, apanage des années 2010. Lorsque les risques géopolitiques étaient très bas, la stratégie consistant à les ignorer ou à ne pas les considérer à la hauteur de leurs impacts potentiels a été largement gagnante. Les entreprises ont globalisé, mutualisé et concentré les outils industriels et informatiques à leurs bénéfices. Cela leur a permis aussi de loger l'appareil industriel et la main d'oeuvre là où la situation était optimale en termes de coûts et compétences. Aujourd'hui, nombre d'entre elles démondialisent, du fait des réglementations et de leurs besoins en matière d'autonomie stratégique.

Aujourd'hui, on s'aperçoit que l'adhérence à la technologie et aux services numériques est probablement beaucoup plus forte que ce qui avait été pris en compte. Et les entreprises avaient probablement aussi mal anticipé les effets de rupture technologique : inflation des coûts, désynchronisation des cycles. Ces sujets ne sont pas encore maîtrisés à la hauteur de leur impact. On en est au stade où tout le monde prend conscience du sujet et se plaint. Mais, comme l'a montré le cas Broadcom, se plaindre ne mène pas à grand-chose. Pour la plupart des entreprises européennes, il serait inacceptable de concentrer encore davantage ce risque là.

La remise en cause des situations monopolistiques actuelles ne va-t-elle pas se traduire par des SI plus fragmentés, donc plus chers ?

On ne peut pas à la fois dénoncer la situation que nous vivons actuellement - avec des cas comme Broadcom se traduisant par des factures alourdies de millions, voire de dizaines de millions d'euros - et dire que les systèmes plus hybrides seraient plus chers ! La réponse, sur la durée, est plutôt non. La diversité, l'hybridation amènent des économies, sur la mise en concurrence des acteurs évidemment, mais aussi sur la compétence des DSI. Ce que le Cigref a pu constater, c'est que plus les moyens ont été concentrés, moins la compétence est restée au sein des services IT des entreprises. Or, ces compétences sont essentielles pour disposer de capacités d'autonomie stratégique. Si on affirme que le logiciel et la technologie sont stratégiques pour l'entreprise, celle-ci doit conserver une capacité d'ingénierie sur ces sujets, parfois à grande ampleur. Et c'est ce que nous avons parfois oublié. A l'image de ce qui s'est passé dans l'industrie avec l'entreprise sans usines. Et avec les mêmes effets néfastes.

Quand on développe des applications dans le cloud, sans le savoir, on infogère une partie de cette activité, ce qui signifie qu'on en perd la maîtrise. Et lorsqu'il s'agit de la réacquérir, la marche peut devenir très haute, du fait de la technicité des problématiques.

Quel bilan tirez-vous environ 6 mois après votre élection à la tête du Cigref ?

C'est un grand plaisir de voir que le Cigref, une vieille dame finalement, est aujourd'hui à la hauteur de la nouvelle situation. Nous avons probablement été plus déstabilisés au cours des 6 derniers mois que durant les 20 dernières années. Mais c'est aussi un moment passionnant. Nous avons à peine le temps de faire aboutir notre réflexion collective - une des marques de fabrique de notre association - qu'un nouveau sujet se fait jour. Avec de plus en plus de problématiques stratégiques qui se posent aux DSI.

Je ne sais pas si Broadcom est un sujet de Comex, mais la résilience assurément. Quand la péninsule ibérique connait un black-out ou qu'un fournisseur de solutions de gestion de patrimoine comme Harvest arrête tous ses services pendant plus d'un mois en raison d'une cyberattaque, évidemment que les DSI sont sollicités par les Comex et les conseils d'administration. Aujourd'hui, le modèle industriel fait que le moindre fournisseur métier, en particulier quand il est contractualisé en BPO ou en SaaS, est un élément critique d'une supply chain qui, dans son ensemble, englobe des milliers de facteurs de risque.

EUCS High+ : le Cigref bascule dans l'optimisme

« Sur ce dossier, Trump nous a aidé ». Emmanuel Sardet ne fait pas mystère du rôle de l'administration américaine a joué dans un dossier qui paraissait mal embarqué, à savoir l'inclusion d'un niveau High+ dans la certification européenne EUCS, censé dupliquer au niveau européen les exigences du SecNumCloud français. En particulier en matière d'immunité aux législations extraterritoriales. « Ce dossier avance sur une ligne de crête, avec d'un côté le ravin où l'Europe partirait sans ce niveau d'exigence et, de l'autre, un ravin qui verrait des pays européens s'en tenir à des certifications nationales. Nous, grandes entreprises, avons peur de l'un et de l'autre »,dit le président du Cigref.

Pour ce dernier, un EUCS sans High+ ne servirait... à rien : « les conditions minimales de souveraineté permettant de s'appuyer sur un hyperscaler sont déjà garanties contractuellement. Il nous manque la partie relative à la prévention des risques extraterritoriaux. » De l'autre côté, avec des certifications locales, c'est la capacité industrielle et l'agilité financière des entreprises européennes qui seraient mises à mal. Selon Emmanuel Sardet, le dossier High+ évolue dans la bonne direction, « avec des prises de positions qui n'existaient pas auparavant, comme celle de Microsoft ». Selon lui, les acteurs de l'offre sont en train de comprendre qu'un marché européen va exister et qu'il leur faudra adapter leur gamme de produits et services à celui-ci.