Nombreuses sont les DSI à se heurter au paradoxe suivant : elles maîtrisent parfaitement les 80 % de leur budget logiciel consacrés aux grands éditeurs et aux applications métier critiques, mais laissent dans l’ombre un effet « long tail », cette multitude de petites solutions, souvent acquises directement par les utilisateurs, qui cumulent risques, coûts invisibles et complexité de gestion.
Contrôle des dépenses logicielles, déploiement coordonné des applications métier, stratégie FinOps d’adoption du SaaS… En apparence, les directions IT maîtrisent leur parc logiciel. Mais derrière le suivi rigoureux des contrats des grands éditeurs, se cache une zone grise : celle de centaines de solutions utilisées en dehors des radars. Ce segment, qu’on appelle le long tail (ou “catégorie C” des dépenses), pèse lourd – en termes de risques, en complexité de gestion et en coûts. Pour les DSI, le défi est clair : sortir cette part invisible de l’ombre et construire une gouvernance capable d’en reprendre le contrôle avec agilité et anticipation.
Le long tail : un angle mort de la gouvernance IT
Dans la plupart des organisations, la gouvernance logicielle fonctionne bien[1] tant qu’il s’agit des grands éditeurs (Microsoft, SAP, Oracle…). Elle est bien en place aussi sur les logiciels métiers clé des entreprises – par exemple un WMS pour un logisticien ou une suite de R&D/ingénierie chez un grand industriel. Ces solutions, qui représentent environ 80 % de la dépense logicielle, sont suivies de près par les achats, le juridique et la DSI.
Mais au-delà, une autre réalité s’impose, celle du long tail. Les 20 % de dépenses logicielles restantes sont réparties sur des centaines d’éditeurs (avec un montant par transaction, ou cumulé, relativement faible). Par ailleurs, ces outils sont bien souvent sélectionnés directement par les utilisateurs, pour répondre à un besoin ponctuel, tester une fonctionnalité ou accélérer un projet.
Ce phénomène, largement sous-estimé et corrélé au shadow IT, échappe encore trop souvent au software asset management des DSI. Non par négligence, mais parce qu’aucun processus structurant n’a été pensé pour cette catégorie difficile à cadrer. C’est tout l’enjeu de la gestion du long tail : faire émerger ce qui, jusqu’ici, n’était qu’une zone grise.
Une dépense invisible mais lourde de conséquences
Moins visibles, les logiciels du long tail n’en sont pas moins des facteurs de risque. Ils s’accumulent sans perception claire sur les usages (“comment les mesurer”?), les contrats (compréhension des metrics des usages) ou les responsabilités associées (pas ou peu de workflow sur ce segment long-tail). Résultat, sur le plan financier : des licences inutilisées et des renouvellements tacites par défaut. Surtout, une multiplication de petites factures qui finissent par peser lourd. Et augmenter la charge des services achats et IT, contraints de traiter une masse de micro-demandes. Cette charge pouvant représenter jusqu’à 80% de la charge opérationnelle.
Au-delà du coût, ce sont les risques juridiques et opérationnels qui interrogent. En effet, les logiciels long tail sont rarement couverts par les audits internes, alors qu’ils exposent potentiellement l’entreprise à des violations du RGPD (via des tierces parties potentiellement moins scrupuleuses de cette réglementation) ou plus récemment au Cloud Act[2]. De même, en l’absence d’évaluation sérieuse (Sécurité IT), ils peuvent introduire aussi des vulnérabilités techniques. Ainsi, en matière de sécurité comme de conformité, ce type de logiciel méconnu ne réduit pas le risque : il expose davantage. Et sans inventaire fiable, ces signaux faibles restent invisibles… jusqu’à ce qu’ils deviennent critiques, voire trop tard dans certains cas !
Du chaos au contrôle : comment dompter le long tail
Reprendre le contrôle du long tail commence par un travail d’inventaire. Cette étape permet de révéler des zones d’ombre, des doublons, des outils inactifs, mais aussi des fournisseurs à risque. Or, sans cette base, aucune stratégie de pilotage n’est viable.
Ensuite vient le temps de la rationalisation. Il s’agit de définir des règles simples, impliquer les fonctions clés (achats, juridique, RSSI, SAM) et, si possible, encadrer les demandes via des circuits validés. L’objectif, ici, n’est pas de verrouiller, mais de structurer, de façon pragmatique, dans le but d’alléger cette charge de gestion et de réduire les risques. Le tout, selon une logique continue inspirée du FinOps : informer, optimiser, puis piloter l’activité de manière pérenne
Quelle que soit la maturité de l’organisation, la réussite d’une telle démarche réside dans une approche progressive, adaptée aux réalités du terrain. Certaines entreprises s’appuient sur l’IA pour automatiser l’analyse des contrats ou évaluer les risques RGPD. D’autres misent sur des marketplaces ou des catalogues internes pour mieux flécher les choix métiers. In fine, cette couche de gouvernance intelligente permet de transformer le long tail : d’un poste de dépenses subi, il devient un véritable levier d’optimisation durable.
Par Christophe Chambel, Solution Specialist et Thi Anh Thu, Practice Lead Governance & Process SAM & FinOps chez Crayon France
[1] en théorie! l’actualité nous montre, occasionnellement, que de très grands groupes entrent parfois en conflit avec l’un de ces éditeurs cités, et ce, même lorsqu’ils sont sous-contrôle
[2] Le Clarifying Lawful Overseas Use of Data Act – Le CLOUD Act a été adopté en mars 2018, cette loi extraterritoriale américaine permet aux administrations des États-Unis, disposant d’un mandat et de l’autorisation d’un juge, d’accéder aux données hébergées dans les serveurs informatiques situés dans d’autres pays, au nom de la protection de la sécurité publique aux États-Unis (source wikipédia)
puis