Le plat pays a un temps d'avance. Depuis deux ans, l'assureur belgeP&Va fait une entrée discrète dans le nuage informatique, traduction littérale de "cloud computing". Concrètement, son réseau de distribution accède en ligne, à partir d'un navigateur internet, à une application de marketing du marché. Sans se livrer à un développement coûteux et complexe, l'assureur a ainsi mis à la disposition de ses apporteurs d'affaires, en un temps record, une application stratégique, dont les fonctionnalités sont exploitées par d'autres utilisateurs, y compris ceux relevant de secteurs d'activités différents. C'est le principe du cloud computing : on partage les outils. PourP&V l'objectif est d'offrir à ses apporteurs la flexibilité d'une solution moins coûteuse et exploitable à la demande, sans investissement initial lourd.

Les assureurs vont-ils déployer le cloud pour leurs solutions de production, leurs applications métiers ? Anodines il y a encore quelques mois, ces interrogations deviennent aujourd'hui légitimes tant le cloud computing fait figure de concept attrape-tout censé révolutionner le rapport des entreprises aux systèmes d'information. Avant-hier c'était le client/serveur, hier l'internet et son caractère incontournable, aujourd'hui c'est l'informatique dans le nuage.

A la différence de celui de Tchernobyl, il ne s'arrête pas à nos frontières. Bien au contraire. Parti des Etats-Unis, il se propage partout. Au point de donner le tournis à plus d'un DSI dont la fonction est remise en cause (lire pages suivantes). Mais que recouvre exactement le terme cloud computing ?

Investissement limité

L'exemple de l'assureur belgeP&Vapporte une définition empirique à cette nouvelle approche. Il s'agit d'un service accessible sur internet, multi-tenant car partageable en toute sécurité par plusieurs utilisateurs à travers une version identique, et facturé à la demande. A cette définition vient s'ajouter une autre, plus académique. Pour Mathieu Poujol, directeur technologies chez Pierre Audoin consultants (PAC), il s'agit d'un « environnement de stockage et d'exécution flexible de ressources informatiques impliquant de multiples acteurs connectés par internet. Il délivre une prestation mesurable, à la demande, à granularité variable, et qui implique des niveaux de qualité de service. Enfin, il est caractérisé par des infrastructures multi-instances ». Clairement, cette approche inédite de l'utilisation de l'informatique se rapproche du modèle de consommation de l'électricité. Chaque utilisateur paie en fonction de ses usages, n'est assujetti à aucun investissement important pour être connecté au réseau et peut à tout moment résilier son contrat (réversibilité). Mais ce qui est valable pour l'énergie électrique l'est-il vraiment pour les données informatiques ou la puissance de calcul ? Un début de réponse est à chercher du côté du comportement des assureurs à l'égard de l'externalisation. En matière d'outsourcing, toutes catégories confondues, ces derniers ont toujours peiné à confier leurs outils informatiques à des prestataires externes. Hormis Generali, qui a décidé de sous-traiter sa puissance de calcul à IBM, le ton a toujours été à la prudence. Certes, le business process outsourcing (BPO), ou infogérance de fonctions métiers, a trouvé quelque oreille attentive sur le marché. Mais il est loin d'être la panacée. Le nuage informatique serait-il plus séduisant ?

La virtualisation, étape décisive

Sur le terrain, les exemples d'assureurs ouverts au cloud computing sont loin d'être légion. Ce qui donne davantage de relief aux quelques initiatives actuelles. Le dénominateur commun entre la majorité de ces dernières est leur application à des domaines extérieurs au cœur de métier. Plus généralement, les assureurs débutent par la virtualisation, considérée comme le jalon incontournable avant l'envolée vers le nuage. Cette démarche, qui consiste à exploiter sur un seul ordinateur plusieurs systèmes d'exploitation comme s'ils fonctionnaient sur des plates-formes distinctes, a par exemple été généralisée au sein du groupe Axa, afin de peser sur les coûts. Et d'être compétitif, notamment sur des marchés émergents où l'assureur doit s'adapter aux tarifs locaux.

Après cette première étape adoptée pour ses serveurs et ses postes de travail, l'assureur, par l'intermédiaire de ses deux bras technologiques (Axa Tech et Axa Group Solutions, dirigés par Pascal Buffard), s'est lancé dans le cloud computing en prenant la porte du SaaS, l'un des trois niveaux d'interactions du cloud computing avec le PaaS et l'IaaS (voir ci-contre). Sa filiale japonaise a été la première à se lancer dans ce vide intersidéral, entendez sans intégration d'outil. A la faveur de la modernisation de son application commerciale, cette filiale a exclu toute idée de déploiement d'un progiciel ou celle d'un développement d'application. Trop coûteux. Des alternatives existent désormais, en l'occurrence des outils dans le nuage. Après le pays du Soleil levant, « nous allons progressivement généraliser le concept de cloud, indique Pascal Buffard. Première étape : la création d'un centre de compétences. C'est une réelle opportunité pour partager des solutions et processus identiques à des coûts avantageux ». Du reste, si le cloud public sied bien aux outils de front-office, l'assureur entend privilégier une approche interne de la gestion de ses plates-formes métiers, ainsi que celles dédiées à des fonctions critiques comme la comptabilité ou la gestion des ressources humaines. Pour le moment, il est tôt pour parler de cloud privé dans ce domaine. Toutefois, la virtualisation des infrastructures peut être considérée comme une préparation de fait à la plongée dans le cloud computing.

Nécessaire protection

L'adoption du cloud computing qui aura surpris plus d'un observateur est celle de Malakoff Médéric. Le groupe de protection sociale a retenu l'offre Google Apps pour gérer ses fonctions de bureautique et de messagerie, avec pour objectif de remplacer progressivement le pack Office de Microsoft. Le calendrier prévoit le déploiement de Gmail et l'outil de bureautique auprès de ses 6 000 collaborateurs. Chez ce spécialiste de la retraite et de la prévoyance, on indique que la maîtrise des coûts n'est pas la motivation première, les gains de productivité étant la priorité. En ligne de mire, la gestion des versions de documents, consommatrice de temps pour les utilisateurs, sera mieux maîtrisée. Ces derniers devraient bénéficier à terme de fonctions innovantes, tel le chat et la gestion de données non-structurées, grâce au moteur de recherche Google.

De son côté, Generali, qui avait déjà la particularité de recourir à l'externalisation, n'a pas eu de mal à s'intéresser à cette nouvelle approche. Pour Eric Doyen, responsable de la sécurité des systèmes d'information de sa filiale française, le cloud computing est un vaste sujet qui embrasse tous les services informatiques partagés à travers l'internet. Ils se déclinent en trois modèles : public, mixte et privé. « Ce dernier nous est très familier chez Generali, car il est assimilé à l'infogérance que nous pratiquons depuis plus d'une décennie. »

Fort de son expérience en la matière, le groupe embrasse certains de ces nouveaux enjeux informatiques à travers différents prismes, parmi lesquels celui du cloud computing, correspondant bien à son positionnement dans l'environnement de l'assurance. Dans ce contexte marqué par l'innovation et la logique d'entreprise étendue, l'assureur est confronté à la nécessité de protéger l'accès à ses services sur internet et accessibles à partir de différents terminaux du marché (portable, tablette, smartphone, etc.). Du même coup, la problématique sécuritaire est au centre de ses préoccupations. Car, dans un univers web généralisé, la logique de protection des données et des infrastructures doit s'adapter, le risque devant être reconsidéré à cette occasion. « Nous devons de plus en plus réfléchir à positionner nos composants de sécurité là où résident les principales menaces et vulnérabilités. Sans cela, cette politique d'ouverture de l'entreprise est en danger », estime Eric Doyen.

Matériellement, l'assureur, qui propose depuis peu des services de mobilité sur iPhone, iPad et terminaux sous Android, les sécurise en faisant appel à des solutions de contrôle de conformité, conçues et disponibles sur le web. Parmi ces outils, Qualys, accessible dans une logique de cloud computing, contribue à cette sécurisation. Tout comme les autres systèmes utilisés par l'assureur, il garantit une bonne qualité de service, une intégrité des actions et, surtout, une meilleure protection des données à caractère personnel des clients et autres prospects. Pour y parvenir, Generali doit automatiser ses processus d'authentification et parer aux éventuels dysfonctionnements. L'ensemble de ces données va servir à alimenter un tableau de bord de pilotage qui adressera notamment les obligations réglementaires (pilier 2 de Solvabilité II).

Confiné dans la couche d'infrastructures, le contrôle de vulnérabilité permet à Generali de limiter le risque de ternissement de son image, sachant qu'une mise à mal de son système d'information pourrait avoir un impact réel sur sa crédibilité et sa notoriété.

Par ailleurs, le recours à ces outils de type cloud computing permet au groupe de faire face à la menace dans son champ d'investigation privilégié, tout en optimisant les charges associées. L'utilisation d'une solution interne coûterait largement plus cher et nécessiterait la mobilisation de ressources aujourd'hui affectées à d'autres missions. Du reste, le nuage informatique s'inscrit dans un contexte de déploiement d'un modèle de gouvernance adapté à la maîtrise des risques technologiques de la compagnie. Parallèlement à cette expérience avancée sur le volet sécuritaire, Generali a également recours au SaaS. Il vient de déployer un outil de gestion de la relation clients sur le web.

Changement de culture

Dans la même veine, Meilleurtaux.com s'est lancé dans le... cumulus informatique, allant même plus loin en le positionnant au cœur de ses processus métiers (lire page précédente). De tels choix sont loin d'être neutres. Au sein du groupe Axa, Pascal Buffard reconnaît la nécessité de revoir l'organisation de la société et de faire évoluer la culture des équipes face à cette banalisation de l'énergie informatique. Mais l'une des évolutions fortes de l'adoption du cloud est à ausculter à l'aune de la fonction du directeur des systèmes d'information. Pour les commentateurs les plus radicaux, ce dernier est appelé à disparaître, l'informatique étant vouée à être délocalisée entièrement. Cette thèse est parfois véhiculée par certains responsables métiers, longtemps dépendants des choix technologiques des DSI et qui voient en l'avènement du cloud une aubaine pour s'émanciper de cette tutelle. Ce qui expliquerait le succès de solutions SaaS, souvent négociées par une maîtrise d'ouvrage métier. En revanche, pour les plus modérés, le métier de DSI persistera tout en étant revisité. « Le directeur informatique deviendra un véritable courtier de l'information », explique l'un d'eux, Patrick Debus-Pesquet, chief technology officer chez CA technologies, éditeur engagé dans l'évangélisation des décideurs en matière de cloud computing.

Derrière cette position se confine un réel besoin, parfois sous-estimé, celui de manager le cloud computing en interne. Un rôle que va jouer le DSI. Dans ses nouvelles attributions, figure un pilotage ordonné des différents cloud afin d'éviter de multiplier les silos informatiques, une gestion aguerrie des fournisseurs et surtout celle de la sécurité et de l'intégrité des données. Ces différents aspects sont réglementés par le rigoureux de Service Level Agreement (SLA), un contrat définissant la qualité de service requise entre un prestataire et son client. Il revêt une dimension juridique qui permet de couvrir les risques sous-jacents au recours à cette approche nouvelle qu'est le cloud computing.

Du reste, pour garantir ce dernier, des assureurs se positionnent sur ce créneau. C'est le cas de la société Hiscox. En partenariat avec l'Afdel (Association française des éditeurs de logiciels), l'assureur entend proposer au marché des garanties et une prévention renforcée. En cas de sinistre, l'objectif est de limiter au maximum son impact sur l'activité de l'entreprise utilisatrice et la relation avec les assurés.

A la lumière de ces exemples, l'intérêt des assureurs pour le cloud computing est évident par ces temps de maîtrise de risques opérationnels. Il est toutefois trop tôt pour savoir si cette nouvelle approche constitue le sens de l'histoire. Celle-ci nous rappelle surtout que les acteurs de ce secteur peinent à sous-traiter. Cela dit, le cloud computing, qui va au-delà de la notion d'outsourcing, notamment dans sa version interne, mérite une réelle attention. Du fait de ses indéniables atouts.

Pascal Buffard

Axa

" C'est une réelle opportunité pour partager des solutions et processus identiques à des coûts avantageux. "

Le cloud computing est un concept attrape-tout, adaptable tant pour la bureautique que pour les applications métiers.

Eric Doyen

Generali

" Nous devons positionner nos composants de sécurité là où résident les principales menaces et vulnérabilités. "