Le Cigref veut soigner les entreprises de leurs dépendances
Par Bertrand Lemaire | Le | Gouvernance
Le 16 octobre 2024, le Cigref a organisé son Assemblée Générale annuelle. Le passage de relai entre l’ancien, Jean-Claude Laroche, et le nouveau président, Emmanuel Sardet, a été sans rupture. Tensions géopolitiques, dépendances ruineuses envers les grands acteurs transnationaux états-uniens, transition écologique… préoccupations et intentions demeurent les mêmes.
« Pensez global ! ». Ce vœu, un peu impératif tout de même, était le thème général de l’Assemblée Générale Ordinaire annuelle du Cigref (Club Informatique des Grandes Entreprises Françaises) le 16 octobre 2024 au Pavillon Gabriel à Paris. L’association de plus d’un demi-siècle réunit les 150 plus grands comptes français du privé comme du public. L’AGO proprement dite a permis l’élection d’un nouveau président, Emmanuel Sardet, Group CTO et Deputy Group CIO du Crédit Agricole. Elle était suivie, comme tous les ans, d’un événement ouvert à tout l’écosystème permettant de faire le point sur les actions, visions et prises de position de l’association. C’est au cours de celui-ci que le président sortant, Jean-Claude Laroche, a passé le relai, ouvrant les présentations par son testament politique, le nouveau président concluant l’événement par une déclaration présentant ses intentions.
Au terme de son mandat de trois ans, Jean-Claude Laroche n’a pu que constater que l’époque était un temps d’incertitudes et d’accélération des crises, juridiques, économiques comme géopolitiques. Pour les entreprises européennes, les dépendances vis-à-vis des grands fournisseurs transnationaux, essentiellement américains, amènent des surcoûts de plus en plus intolérables. Aux décisions unilatérales, les augmentations de tarifs de VMware étant la caricature du problème, s’ajoutent les législations à effets extra-territoriaux. La situation, illustration des risques liés aux pertes de souveraineté, menace sérieusement la performance des entreprises européennes et notamment françaises. Pour Jean-Claude Laroche, considérer que les batailles actuelles sont perdues et qu’il faut désormais ne se battre que pour l’IA ou le quantique est une erreur majeure : l’IA repose en effet sur les ressources du Cloud…
Restaurer la souveraineté technologique européenne
Si le Cigref a déjà eu largement à se réjouir de l’adoption de règles européennes pour lutter contre les abus de positions dominantes d’entreprises transnationales, encore faudrait-il que les règles soient totalement appliquées ! Ainsi, les trois hyperscalers américains cumulent plus de 70 % des parts de marché du Cloud mais ne sont toujours pas reconnus comme « Gate Keepers » au titre de la DMA. Le concept de « Gate Keeper » est, pour l’heure, appliqué aux produits grands publics mais pas encore aux fournisseurs B2B, ce que le Cigref regrette. Jean-Claude Laroche a rappelé que, pour Mario Draghi, la perte de souveraineté est source des pertes de maîtrise dans le numérique et des décrochages de compétitivité de l’Europe.
Le président sortant du Cigref a insisté sur la nécessité, pour l’Europe, de restaurer sa position face aux Etats-Unis et à la Chine pour que le numérique reste une source de progrès pour nous. « Nous n’avons pas le choix » a-t-il martelé. Le « Pensez global ! » se veut un appel à partager les convictions du Cigref sur la vigilance indispensable à la conservation d’une maîtrise technologique. Pour Jean-Claude Laroche, « il s’agit de définir le destin de l’Europe ».
La polycrise, cause et justification des renoncements
La chercheuse spécialiste en géopolitique numérique Ophélie Coelho est ensuite intervenue sur les polycrises. L’invasion russe de l’Ukraine a servi d’exemple pour expliquer le concept. Si le blocage des flux logistiques de toutes les productions ukrainiennes, notamment agro-alimentaires, est simple à comprendre, les implications des sanctions prises contre la Russie ont parfois été très indirectes. Par exemple, la reddition de la Commission Européenne aboutissant à renoncer aux effets de l’Arrêt Schrems II pour plaire aux Etats-Unis et obtenir du gaz n’avait, a priori, que peu de liens avec la Russie. La globalisation actuelle, plus importante que jamais dans l’histoire, accroît le risque et l’ampleur des polycrises même si le concept n’est pas récent.
Selon la chercheuse, pour limiter les polycrises, il faut éviter les dépendances. Et, pour y parvenir, il est nécessaire de privilégier les petits acteurs spécialistes au lieu de vouloir ne contracter qu’avec des géants généralistes. Des technologies ouvertes peuvent servir de socles communs, de tels socles pouvant être nécessaires, mais il est préférable de recourir à des acteurs maillés sur tout le territoire plutôt qu’à des monopoles. Encore faudrait-il que les DSI se guérissent de leurs addictions aux grands acteurs transnationaux.
Cas pratique : les paiements
Ancien DG de Worldline, Gilles Grapinet a illustré les conséquences des pertes de souveraineté dans le domaine des paiements. Les échanges monétaires paraissent être des domaines éminemment souverains. Si la monnaie est, par nature, souveraine, ce n’est pas le cas des schémas de paiements (règles techniques des flux : Visa, Mastercard, Apple Pay, Paypal…) et des opérateurs (Worldline, Adyen, SumUp…). Les dépendances, dans ces domaines, ne cessent de s’accroître, notamment au profit d’acteurs américains qui, de fait, contrôlent les flux financiers et définissent les commissions donc les coûts des transferts. Gilles Grapinet a dénoncé une originalité européenne : le seul continent qui ne dispose pas de schéma de paiements domestique souverain. La batille n’est pas nécessairement perdue… si l’Europe se décide à réagir et à investir, par exemple à l’occasion de la rupture technologique du paiement mobile.
Autre témoin, Bruno Marie-Rose est revenu sur sa double expérience de CITO du COJOP de Paris 2024 et d’ancien sportif de très haut niveau en athlétisme. La DSI du COJOP était avec trois axes : la DSI classique de n’importe quelle organisation (finances, RH…), une DSI événementielle (affichage, transports, repas…) et une entité dédiée à la sécurité. En tout, jusqu’à 5400 personnes y ont travaillé dont 30 % ont changé de métier en cours de chantier. Au final, les Jeux Olympiques et Paralympiques de Paris 2024 ont généré trois péta-octets de trafic Internet et plus de 54 milliards d’événements de cybersécurité mais aucun incident opérationnel. Le bilan de Paris 2024 fera d’ailleurs l’objet d’un Club dédié le 13 novembre 2024. Un nouveau président, une volonté constante
Emmanuel Sardet, Group CTO et Deputy Group CIO du Crédit Agricole, a conclu l’événement en tant que nouveau président. Il a rappelé que le Cigref n’est pas un lieu de pouvoir mais d’échange, ce qui permet l’influence vis-à-vis de l’extérieur. Cette influence s’exerce aussi aux côtés des associations homologues d’autres pays vis-à-vis de la Commission Européenne. Il s’est placé en pleine continuité de Jean-Claude Laroche. Mais il a aussi voulu rappeler une évidence : aucune entreprise américaine ne veut nuire à l’Europe. Simplement, « business is business ». Les entreprises américaines sont autant menacées par les acteurs tels que VMware que les européennes. Mais les entreprises américaines, elles, connaissent les règles : elles savent que si elles sont dépendantes, elles seront assassinées. Avoir une relation respectueuse et partenariale avec un fournisseur durant vingt ans, c’est terminé.
En conférence de presse, le nouveau président et l’ancien sont revenus plus en détail sur l’actualité et la vision portée pour les prochaines années. L’accroissement des dépendances associée à la croissance de la place du numérique serait catastrophique pour l’Europe. Il est donc indispensable de développer et donc de recourir à des acteurs européens. Parmi les sujets délicats au niveau européen, la définition de l’EUCS est problématique alors que l’EUCS est censé, selon le Cybersecurity Act, remplacer tous les schémas nationaux tels que, en France, SecNumCloud. Pour le Cigref, le pire serait le renoncement à l’unité d’un schéma européen. Même les autorités françaises seraient conscientes qu’un SecNumCloud franco-français n’aurait aucune chance d’être rentable pour qu’une offre puisse se développer alors même qu’une telle offre est nécessaire à la stratégie « Cloud au centre ». Enfin, le reporting CSRD demeure une grande inquiétude, que ce soit par la nécessité de mettre en œuvre une collecte de données, de définir les données à collecter, de réaliser le reporting ou même de préciser la contribution exacte de l’IT à l’impact environnemental.