AFFINER LA RECHERCHE

Interview de Paul Hermelin, Président-directeur général de Capgemini, dans le n°113 de la revue Risques

Interview de Paul Hermelin, Président-directeur général de Capgemini, dans le n°113 de la revue Risques

Interview de Paul Hermelin, Président-directeur général de Capgemini, dans le n°113 de la revue Risques
24/04/2018

Paul Hermelin, Président-directeur général de Capgemini, a accordé un entretien à la revue Risques.  Découvrez cette interview dans son intégralité.

Risques : Vous êtes à la tête de la première entreprise de services du numérique en France. Quels sont les risques auxquels vous êtes exposé ? Quelle perception en avez-vous ?

Paul Hermelin : L'informatique a toujours été un métier à risque ; un certain pourcentage de projets échoue ou dérive fortement. Au milieu des années 1990, nous avions publié le pourcentage de nos projets réalisés dans les temps et les budgets définis. Nous étions arrivés à un chiffre relativement satisfaisant de 93 % et nous espérions qu’en le publiant, nous entraînerions nos concurrents à publier leur propre chiffre. Nos concurrents n’ont pas suivi et ils se sont plutôt servis de ce chiffre pour tenter de nous discréditer auprès de nos clients ; nous avons donc arrêté. Mais cela montre que nous vivons dans une industrie risquée. Par exemple, j'ai en tête le cas d’un transporteur ferroviaire qui avait voulu appliquer au monde du chemin de fer le système de réservation du secteur aéronautique qu’il venait de racheter ; cela s’est révélé un échec. De même, plus récemment, pour le système de paie d’une administration française. Nous n'étions impliqués ni dans l'un ni dans l'autre de ces projets, mais nous avons connu des dérives comme d'autres. Pour couvrir les risques inhérents à notre métier, au-delà de notre expertise technologique et managériale, nous avons mis en place une captive d’assurance. Aujourd’hui, il existe une diversité des risques à prendre en compte, dont les risques systémiques. À noter également, l'attention nouvelle portée à la corruption avec la loi Sapin 2 qui oblige les entreprises à établir une cartographie des risques et à mener des actions de prévention dans ce domaine spécifique.

 

Risques : Une partie de ce numéro est consacrée à la protection des données face aux cyberattaques. Dans votre métier, comment gérez-vous ce risque ?

Paul Hermelin : Le risque a changé. Il y a quelques années, nous avions des attaques rampantes. Les hackers ne voulaient pas se faire repérer. Ils entraient donc silencieusement dans le système pour voler les données. Le séjour d'un intrus dans un système était de plus de dix mois ; l'intrus entrait dans le système d'information, ne connaissant pas la géographie de sa cible, il commençait par naviguer discrètement pour ne pas se faire repérer. La protection cyber consistait à détecter et à neutraliser les intrus. Aujourd’hui, les attaques ont pour but de paralyser les systèmes en échange d’une rançon. C’est un tout nouveau modèle d'attaque.

 

Risques : Peut-on qualifier cela de terrorisme ?

Paul Hermelin : Pas encore. Ces attaques font davantage partie du registre du crime organisé.

 

Risques : Dans le secteur de l’assurance, la révolution numérique pourrait potentiellement faire diminuer notre matière assurable (avec la voiture connectée par exemple) et parallèlement l’augmenter avec l’assurance des cyber-risques. Quelle est votre perception des risques à venir ?

Paul Hermelin : La notion de risque donne lieu à un travail informatique considérable. Le big data permet de qualifier les risques différemment et pourrait conduire, pour des populations intéressées, sauf contraintes légales, à rendre obsolète le principe même de la mutualisation qui sous-tend l’assurance. Aux États-Unis, des assureurs calculent les espérances de vie des individus et donnent les dates escomptées de décès à leur courtier. Le courtier est devant un client dont l'opérateur lui dit : gérez vos contrats et vos produits en tenant compte du décès possible à telle date, et pour probablement tel type de maladie. Les concepts de libertés individuelles et de mutualisation sont renvoyés dos à dos. En France, tout le monde est assuré contre les catastrophes naturelles mais un jour, des assurés qui n’ont aucun risque d’inondation pourraient tout à fait refuser de payer une assurance pour les autres.

Et puis il y a l'intelligence artificielle (IA). Je vous donne un exemple d’IA au profit d'un assureur aux États-Unis sur les risques commerciaux pour des locaux professionnels. Par exemple, notre IA va chercher dans les réseaux sociaux tout ce que les clients d’un restaurateur disent, y compris sur Facebook, sur Trip Advisor, partout, afin de d’établir des recommandations d’ajustement de prix de contrats d'assurance à l'assureur. Toutes les données possibles sont collectées, et l’analyse en langage naturel des mots-clés qui reviennent le plus souvent sur les réseaux sociaux permet de valider si l’établissement est sous stress commercial ou opérationnel et donc financier, et si l'assureur devrait soit augmenter ses primes, ou bien se désengager de ce risque. C'est une IA au sens où elle calcule elle-même ses corrélations, et une fois qu'on l'a programmée, elle adapte les mots-clés en fonction de ce qu'elle trouve et établit les meilleures corrélations. Elle identifie les risques de manière logique et sans prendre en considération la politique de prix de l’assurance. Nous en sommes là. Dans le secteur de l'assurance, l'intelligence artificielle pourrait remettre en question la fonction de mutualisation historique de l'assurance. On peut tout à fait imaginer que des personnes aient intérêt à sortir du système d'assurance et disent : « Vu mon risque santé, je sors du régime général de sécurité sociale français, parce que je m'assurerais dans de meilleures conditions dans un système privé. »

Enfin, en matière de cybersécurité, il y a les risques systémiques. Ils affectent tous les systèmes de communication en temps réel : systèmes de transaction financière, de télécommunication...  Le transfert des données à l'extérieur de l'entreprise, via le cloud computing, vers des opérateurs qui mutualisent des processus, comme la gestion de la paie, représente un certain risque. Certaines entreprises se demandent même s’il ne faudrait pas réinternaliser leurs données face aux risques potentiels ? Afin de répondre à ces craintes, Amazon ou Microsoft Azure ont déployé des protections sur le cloud public ; l’ordre de grandeur de leur investissement dans ce domaine – un milliard de dollars par mois – est supérieur à celui des budgets des plus grandes entreprises. Mais, comme c’est apparu récemment, les puces qui sont à l’intérieur même des systèmes informatiques ont été conçues à l’époque où les problématiques de sécurité étaient abordées différemment. On créait des barrières, des firewalls, pour empêcher d'entrer. On se préoccupait peu d’avoir une technologie sécurisée à l'intérieur du système. Or l’affaire Spectre (Intel) a montré qu’il y avait une faille dans les microprocesseurs qui ont été développés pour améliorer la performance. Et on sait désormais qu’on ne pourra pas empêcher toutes les attaques. L’étape suivante est donc la remédiation. C'est en quelque sorte une « course à l’armement ». Nous avons en face de nous des gouvernements, des organisations, militaires ou non, le crime organisé, des hackers libertariens (comme les Anonymous) qui ont une vision différente de la société par conviction politique. Par ailleurs, nous sommes confrontés au risque humain qui est une grosse source de défaillance. On va donc de plus en plus vers l'automatisation du système. Il faut également déployer des outils de détection, des outils d'analyse des comportements sur les réseaux, pour être en mesure de voir ce qui se passe très rapidement, et s’assurer que les données stratégiques sont, elles, absolument protégées. Une partie du système d’information doit être inaccessible, mais vous devez en limiter le périmètre le plus possible sous peine de ne pas arriver à la protéger du tout si ce dernier est trop grand, ou alors à des coûts exorbitants.

 

Risques : Existe-t-il des solutions qui permettraient de limiter cette inflation des coûts ?

Paul Hermelin : Je pense que les systèmes d'information vont devoir être ségrégués en fonction de la sensibilité des données. Il y a une sensibilité de l'opinion publique à la valeur symbolique ou intime de certaines données (le numéro de sécurité sociale par exemple), qui n’ont pas nécessairement une valeur économique pour ceux qui construisent le système d'information.

Dans le domaine de l’assurance, l'assurance santé et la télémédecine sont directement concernées. L’intelligence artificielle est un bon premier niveau pour orienter les malades et faire face aux déserts médicaux. Mais cela veut dire aussi que les données des patients, les conclusions que pourraient en tirer les sociétés d'assurance sont stockées dans des dossiers médicaux. C'est par ce biais que l'opinion publique va comprendre l'ampleur du phénomène. Et il y aura une discussion sur les IA : doit-on remettre le premier niveau de santé entre les mains d'une intelligence artificielle ? Économiquement, c'est très probablement la seule solution par rapport aux enjeux de la formation des médecins.

C’est une question de société. Il faut que la société réfléchisse à ce qu'elle veut assurer, à ce qui fait partie d'un devoir collectif. Quand on n’avait pas une connaissance aussi précise des risques, il n’était pas question de remettre en cause le principe de mutualisation. Maintenant que l’on peut acquérir cette connaissance, cela pourrait être différent…

 

Risques : Vous envisagez la ségrégation des systèmes d’information pour protéger les entreprises des hackers. Mais n’y a-t-il aucun moyen efficace de contrer ces attaques ?

Paul Hermelin : Au même titre que les services de sécurité qui suivent les opérations de commerce illicite, nous patrouillons le Dark Web1 à des fins de protection, pour vérifier qu’aucune des données traitées par Capgemini n’y circule et prévenir nos clients le cas échéant. Car les fuites de données résultent en général d’erreurs humaines courantes. Évidemment, certains vont sur le Dark Web avec l’intention d’utiliser les données trouvées pour commettre des escroqueries, à la carte d’identité par exemple ; pour autant, personne n'a jamais cherché à policer le Dark Web. En effet, il n’y a aucune possibilité de le fermer ; aussitôt un autre portail serait ouvert. Économiquement, les escroqueries liées au Dark Web coûtent très cher. Les gouvernements ont leur logique, le crime organisé en a une autre. Pour l'instant, le rapport bénéfice/coût pour le crime organisé est très élevé. Très peu d’escrocs sont pris, la logistique est simple et donc les bénéfices très importants.

Pour en revenir à votre question, la meilleure protection aujourd’hui c'est la volatilité : créer des systèmes de communication volatiles pour que les données ne laissent pas de trace trop longtemps. D'où les modèles à la manière de Snapchat, qui ne permettent pas de retrouver les informations dans la durée. La pègre l’a bien compris. Les traces, dans les systèmes volatiles, durent quelques heures, à peine. C'est du temps réel.

 

Risques : Certains assureurs, en assurance dommages, misent beaucoup sur la reconnaissance des images pour indemniser les assurés plus rapidement. Avez-vous le sentiment que nous allons vers des progrès rapides dans ce domaine ?

Paul Hermelin : La reconnaissance d'images n’est pas encore perfectionnée. Cela va prendre du temps, encore sept à dix ans de développement. ; par comparaison, la reconnaissance vocale – en langage naturel – a progressé plus rapidement et atteindra son meilleur niveau dans trois à cinq ans. On arrive même maintenant à tracer des émotions.

Peut-on aujourd’hui identifier un sinistre avec les technologies de reconnaissance d’images ? Avec des photos du lieu au moment où le contrat d'assurance a été souscrit, on arrivera tout au plus à reconnaître que c'est le même lieu. Pour automatiser la reconnaissance, il faut que les photos soient d'une certaine qualité. Peut-on vous identifier par reconnaissance faciale, sur les technologies mobiles que nous avons aujourd'hui ? Non, pas encore.

 

Risques : Comprendre la dimension du sinistre, et faire en sorte que cela déclenche l'indemnisation. L'enjeu pour les assureurs est de dire : votre plafond est inondé sur deux mètres carrés, par conséquent voilà l’indemnisation correspondante, en le comparant avec une base de données et avec d'autres images. Est-ce réalisable ?

Paul Hermelin : C'est faisable sur des peintures, sur des bâtiments ; pas encore sur des meubles, ou sur des voitures parce qu'il faudrait identifier ce qui se passe derrière la carrosserie pour évaluer les dommages réels. Ce n’est pas encore au point. Prenez l’exemple des sites sur lesquels, quand vous vous connectez, on vous demande d'identifier des photographies pour vérifier si vous êtes un humain ou un robot. Cela prouve que l'humain arrive à détecter des choses que la machine ne peut pas encore faire.

Nous faisons, pour les sociétés d'assurance, du claim processing, avec du RPA (Robotic Process Automation). Nous mettons en place d’importants programmes d'automatisation. Ce sont les procédures, le workflow que l'on automatise, plus que l'analyse du dommage lui-même.

Prenons l’exemple le plus connu : les gens ne comprennent pas encore que leur téléphone portable peut permettre d’analyser leur style de conduite via le gyroscope intégré. L’assureur pourrait très bien ajuster son prix au style de conduite de l'individu.

 

Risques : Les Anglais le font déjà. C’est le pay-how-you-drive.

Paul Hermelin : Il y a quelques années, Scott McNealy, président-directeur général de Sun Microsystems, m’a dit : « Privacy is over ». Sa théorie était que les hommes vivaient dans des villages dans un monde rural, où il y avait un contrôle social, avec le curé, le bailli, l'environnement. On n'était pas dans un monde d'anonymat. La révolution industrielle s'est traduite par des grandes villes et la création d'un anonymat urbain ; et l'informatique est en train de nous ramener dans le village ancien, en détruisant la notion d’anonymat.

C'est une situation intéressante et compliquée sur le plan juridique et réglementaire. Par les comportements sur les réseaux sociaux, la vie privée ne l’est plus. Pourtant elle est très protégée. Il y a quelques années, nous avons voulu faire une sorte de Google des CV et des compétences dans le groupe. Nous avons développé un système et demandé à nos collaborateurs de mettre leur CV sur cet outil. Dans de nombreux pays, ils ont refusé parce qu’il s’agissait d’informations privées… que vous trouvez aisément sur LinkedIn où ils les ont eux-mêmes rendues publiques.

 

Risques : Capgemini a accompagné la transformation de milliers d'entreprises qui se numérisent et changent leur modèle économique grâce à vous. Vous contribuez à optimiser les chaînes de production sur le plan des livraisons et des coûts. Pouvez-vous nous en dire quelques mots ?

Paul Hermelin : Aujourd'hui, la dépense en technologie d'information, hors directeur informatique, représente plus de 50 % des dépenses (plus de la moitié du marché n'est pas sous l'autorité du directeur informatique) ; le directeur du marketing, le directeur de la supply chain, achètent de l'informatique. La vraie définition du digital, c'est l'appropriation par des non-informaticiens des technologies informatiques pour améliorer le business. Mais ce qui est le plus important, ce que les Français n'ont pas encore bien perçu, c’est ce que représente le bouleversement apporté par Amazon dans la distribution, par exemple. Les individus ont changé de comportement. À une époque, on allait faire les courses avec plaisir le samedi après-midi. Aujourd’hui les consommateurs ont trouvé une alternative avec l’e-commerce et les grands dépôts. Le rôle du digital dans l’évolution de la grande distribution est gigantesque. La transformation digitale est une révolution, pas seulement pour le commerce et la distribution, mais pour l’ensemble des secteurs de l’économie : l’industrie, l’énergie, les services publics, la banque, l’assurance…

 

Risques : Pouvez-vous nous parler de votre stratégie en Inde, notamment en termes de risques ?

Paul Hermelin : L’Inde est une démocratie traversée de tensions religieuses, dans une position géostratégique délicate – qui se traduit par quelques émeutes, des paralysies dues notamment aux discussions actuelles sur l’accès à l’eau –, avec comme voisin le Pakistan, plutôt instable, et un grand voisin, la Chine, avec lequel les relations sont variables. Le monde occidental a développé son intelligence informatique en Inde, Capgemini mais aussi Cisco, Facebook, Apple, Microsoft. Les volumes d’information que l’on peut y traiter est incomparable. Nous avons voulu créer des alternatives à l'Inde en créant des plateformes au Vietnam, aux Philippines, en Pologne, au Maroc, au Mali. Mais tout revient toujours en Inde, en raison des volumes. Pour vous donner un ordre de grandeur, Capgemini a 100 000 salariés en Inde et un taux d'attrition de plus de 20 %. Nous recrutons plus de 20 000 personnes, juste pour remplacer les départs, 30 000 personnes par an pour suivre notre rythme de croissance.

 

Risques : 20 000 départs ! Ce chiffre est impressionnant. Quel est le pourcentage de salariés très qualifiés ?

Paul Hermelin : La majorité des salariés ont un bac + 4. On estime qu'il y a 3,5 millions et demi de salariés dans l'informatique en Inde. Ils passent d'une entreprise à une autre pour obtenir des promotions. Mais l’automatisation mise en place par de nombreuses sociétés pourrait entraîner une diminution de ce chiffre.

 

Risques : Quelle politique mène une grande entreprise française comme la vôtre en matière de responsabilité sociétale ?

Paul Hermelin : Nous avons mis en place une politique de diversité pour lutter contre les discriminations ethniques, le handicap... L’un des sujets importants dans notre secteur est l’emploi des femmes. En France, 26 % de nos salariés sont des femmes alors qu’en Espagne elles représentent 40 % des effectifs. Cet écart est dû au système éducatif français qui est à revoir car il n'incite pas les filles à aller vers certains métiers considérés comme masculins. Nous y travaillons.

En matière d’environnement, nous avons mis en place des programmes destinés à réduire notre empreinte carbone. L'informatique, les serveurs, les voyages, etc., consomment de l'énergie. Nous avons également décidé de réorienter notre politique de sponsoring social, pour lutter contre la fracture numérique, ce que nous appelons positivement la digital inclusion. Capgemini étant un acteur de digitalisation, il nous a semblé évident d’accompagner la société vers cette transformation. En France, nous sommes l'un des principaux acteurs privés de la Grande École du numérique ; nous menons des travaux dans les quartiers, nous accompagnons la formation au digital de personnes ayant quitté l'école très tôt. Notre objectif est de réorienter 80 % de nos programmes vers la digital inclusion en deux ans. C'est un gros chantier.

 

Risques : Faites-vous des choses en matière de ruralité ?

Paul Hermelin : Nous ne nous occupons pas de l’équipement en réseaux câblés. Mais dans le cadre de mon activité de conseiller municipal, qui n’est pas liée à Capgemini, j'essaie de faire comprendre que nous ne sommes pas tous obligés d'aller dans une grande ville pour créer des espaces de coworking. C’est un sujet important. Hors région parisienne, 24 % des emplois sont dans les villes de plus de 200 000 habitants. Depuis 2004, 84 % des emplois créés dans le privé l'ont été dans les villes de plus de 200 000 habitants. Si vous êtes le père d'un jeune homme ou d'une jeune fille dans une ville de moins de 200 000 habitants, la seule chose à faire aujourd’hui pour lui garantir un avenir professionnel est de l'envoyer dans une grande ville.

 

Note

1 Ensemble de sites Internet se trouvant sur un réseau crypté et non référencés par les moteurs de recherche traditionnels. Le partage y étant anonyme, il est donc connu pour des échanges de fichiers ou l’achat d’objets plus ou moins illégaux (par exemple, cybercrime).

 

La revue Risques

Créée en 1990, la revue Risques apporte des éléments d'analyse et de réflexion sur les grands dossiers de l'assurance et constitue une référence sur les questions de risque et d'assurance dans notre société.
Pilotée par un comité éditorial interdisciplinaire où sont représentés des universitaires de toutes les disciplines du risque et des praticiens de l'assurance, cette revue à caractère scientifique s'adresse à tous les publics.

Revue Risques

À lire aussi

Risques 114

Antoine Compagnon, Professeur au Collège de France, a accordé un entretien à la revue Risques.  Découvrez cette interview dans son intégralité.

Numéro 112 de la revue Risques

Bruno Le Maire, Ministre de l'Économie et des Finances, a accordé un entretien à la revue Risques.  Découvrez cette interview dans son intégralité.

Revue Risques n°111

Serge Papin, président-directeur général de Système U, a accordé un entretien à la revue Risques
Découvrez cette interview dans son intégralité.