Face à la montée des risques géopolitiques, le niveau de résilience du système d’information est-il suffisamment maîtrisé ? Les membres du comité exécutif de l’USF (association des Utilisateurs SAP Francophones) font le point.
Refragmentation du monde en blocs rivaux, tensions commerciales sino-américaines, conflits armés en Europe de l’Est, au Proche-Orient ou dans le Kashmir, manœuvres militaires dans le détroit de Taiwan, etc. C’est peu dire que notre monde occidental vit une période de tensions géostratégiques aux effets de plus en plus importants et de plus en plus immédiats.
Ajoutons à cela le fait que les menaces liées à l’extraterritorialité des lois hors UE (exemples : le CLOUD Act ou le FISA aux États-Unis… mais qui ne sont pas les seuls), les cyberattaques soutenues de près ou de loin par des puissances étrangères, la militarisation du cyberespace ou encore la fragilité des infrastructures critiques (câbles sous-marins, datacenters) sont devenues des réalités tangibles, et nous comprenons à quel point les enjeux liés à la souveraineté numérique deviennent stratégiques pour les entreprises européennes.
Ainsi nous nous interrogeons : le bon déroulement de nos processus critiques est-il l’abri d’un coup de force géopolitique ? Nos Systèmes d’Information, sont-ils suffisamment préparés et résilients ? Nos organisations, sont-elles suffisamment conscientes des conséquences d’une rupture de service ou d’une perte définitive de leurs données et de leurs logiciels ? Sont-elles dotées de dispositifs pour se protéger efficacement ?
L’ERP cloud : un levier de modernisation, mais aussi potentiellement porteur d’une fragilité mésestimée
Prenons le cas des systèmes ERP : ils représentent la colonne vertébrale de l’activité de nombreuses entreprises. Facturation, paie, gestion de la production, suivi des ventes, commandes fournisseurs, pilotage financier, transmission des données légales à l’administration… Leur indisponibilité, même temporaire ou partielle, peut avoir des conséquences catastrophiques.
Or, dans un contexte d’externalisation croissante vers des solutions cloud, principalement opérées par des services américains — où qu’ils soient physiquement localisés – le lien de dépendance au fournisseur devient absolument structurel et critique. L’entreprise n’est donc plus en maîtrise de son Système d’Information : en cas de rupture d’accès, elle ne peut qu’attendre et espérer que son prestataire rétablisse le service dans les délais les plus courts possibles. Sans compter que le contrat, généralement rédigé à l’avantage du fournisseur, prévoit souvent des clauses spéciales exonérant ce dernier de ses engagements en cas de crise d’ampleur. Ainsi si le service ne peut plus être rendu pendant un certain temps pour cause de force majeure et sans possibilité de rétablissement, en règle générale le contrat autorise simplement le client à le résilier sans contrepartie… même s’il a perdu tout son système et toutes ses données.
Une cyberattaque massive, un embargo, une panne globale, une action coercitive d’un organisme étranger ou une désorganisation interne de l’éditeur peuvent donc suffire à paralyser toute une organisation. À quel point sommes-nous vraiment prêts à y faire face ? Combien de temps une entreprise peut-elle survivre sans pouvoir payer ses collaborateurs ou livrer ses clients ? Sommes-nous suffisamment conscients que la désorganisation engendrée pourrait conduire à la disparition pure et simple de l’entreprise et à la perte soudaine des emplois qu’elle porte ?
De la promesse à la précaution : faire de la résilience une exigence au cœur des projets numériques
Migrer vers le cloud est un projet souvent justifié par des gains de flexibilité, de performance et d’innovation. Mais trop peu d’entreprises prennent la mesure des risques systémiques que cela peut induire. Le sujet n’est pas que technique, il est surtout stratégique. Il touche à la continuité d’activité et à la capacité d’agir en temps de crise, c’est un enjeu de survie pour l’organisation.
Pour se protéger de ce risque aujourd’hui avéré, cinq leviers prioritaires doivent être considérés :
- Se prémunir des lois extraterritoriales – héberger les ERP critiques dans un cloud de confiance (voire souverain) en s’assurant qu’ils soient opérés depuis le territoire national ou européen par des personnels a minima européens ;
- Protéger ses données – garantir que les données sont chiffrées de bout en bout, avec des clés détenues uniquement par l’entreprise cliente ;
- Vérifier l’exécution des services – auditer le fournisseur et ses sous-traitants, tester régulièrement les sauvegardes et les défenses cyber, et mettre en œuvre des plans de continuité réellement opérationnels ;
- Prévoir le pire – disposer d’un environnement de secours qui ne dépend pas d’un opérateur cloud unique, permettant une reprise minimale de l’activité même en mode dégradé ;
- Maîtriser l’adéquation de son contrat avec ses besoins – revoir les clauses contractuelles pour obtenir des pénalités dissuasives, réalistes, et mieux équilibrer les clauses des cas de force majeure.
Un défi collectif de mobilisation pour un avenir numérique plus sûr et plus durable
Le pire n’est jamais certain, mais nous estimons que ne pas s’y préparer est une faute : une faute grave. Aucune entreprise, ni aucun éditeur, aussi solides soient-ils, ne sont à l’abri d’un événement géopolitique majeur.
Les clubs des utilisateurs des solutions informatiques, ceux des acheteurs IT, la communauté des DSI : tous ont aujourd’hui un rôle central à jouer. Leur voix collective doit peser face aux éditeurs et aux hébergeurs pour exiger des garanties concrètes en matière de résilience. En partageant leurs expériences, en mutualisant leurs réflexions et en construisant ensemble des standards d’exigence, ils sont une force de proposition incontournable. Leur mobilisation doit également s’étendre aux sphères institutionnelles, en entretenant un dialogue exigeant — mais constructif — avec les autorités publiques, afin de faire de la souveraineté numérique une priorité stratégique pour l’Europe.
C’est pourquoi il est aujourd’hui urgent de nous mobiliser, ensemble — utilisateurs, éditeurs, régulateurs — pour bâtir une infrastructure numérique plus résiliente, plus souveraine et mieux préparée aux défis du XXIe siècle. Cette dynamique collective ne repose pas sur la peur, mais sur le courage : le courage de se doter d’une volonté partagée d’anticipation, de responsabilité et de progrès. Il n’est pas trop tard pour prendre conscience et agir, mais c’est maintenant qu’il faut le faire, avec lucidité et détermination.
Cet article a été écrit par Gianmaria Perancin (président de l’USF), Erwan Le Moigne (vice-président Événements), Simon Redondie (secrétaire général) et Anne-Sophie Guillaume (trésorière).