Une carte faite de l’intérieur
Un grand client d’un secteur régulé nous a demandé, il y a quelques mois, de mettre en sécurité la plateforme. La demande était formulée dans les termes habituels : sécurité informatique et audit de conformité. Ce qu’ils ont finalement rapporté chez eux, c’est une Annexe 2 du DPA articulée en dix-neuf sections, une gap analysis technique, une feuille de route de remediation, une formalisation de la chaîne de sub-processors écrite pour tenir face à un contrôle sérieux. Pas une ligne de code nouvelle dans ce que nous leur avons livré, et pas davantage une plateforme à licencier. Du papier structuré et du positionnement contractuel, produits de manière à être défendables devant quiconque viendrait demander des comptes. La chose intéressante, c’est que ce n’était pas une exception : c’était la règle qui s’est installée dans nos douze derniers mois de travail.
On pourrait soutenir que la carte de ce marché existe déjà et qu’il suffit de lire le Magic Quadrant de Gartner sur les outils GRC, ou de consulter les rapports Forrester sur les plateformes de privacy management. Ce serait un raccourci commode et partiellement trompeur. Ces documents photographient le marché global des plateformes, où l’on trouve ServiceNow, MetricStream, OneTrust, Drata et Optro, qui vient de renommer AuditBoard en mars dernier. Le marché italien de la compliance a en revanche une structure propre, façonnée par l’Agenzia per la Cybersicurezza Nazionale, par la transposition de NIS2 avec le decreto legislativo 138 du 2024 (transposition italienne de NIS2), par le poids dominant de l’administration publique sur le total des achats, par la vitesse irrégulière à laquelle les directives européennes deviennent opérationnelles chez les clients finaux. Pour le lire, il faut une carte faite de l’intérieur.
En haut : le conseil spécialisé
Il me semble utile de le regarder comme un sablier. En haut, s’est formée une couche épaisse de conseil spécialisé. Les Big4 — Deloitte, PwC, EY, KPMG — ont des pratiques GRC désormais indiscernables dans les propositions commerciales, et qui se font concurrence davantage sur le nom des senior partners que sur les méthodologies. À côté d’elles, et dans certains cas à un niveau qualitativement supérieur, opèrent les boutiques italiennes structurées. P4I, du groupe Digital360, déclare plus de cent soixante professionnels sur son site et vend une marque méthodologique appelée Advisory Engine, avec un produit catalogué sous le nom de Compliance360. ICTLC a consolidé l’angle legal-tech qui est aujourd’hui à la mode, mais qui ne l’était pas quand elle a commencé. Spike Reply opère à l’intérieur du groupe Reply tout en gardant une identité reconnaissable, et couvre tout le spectre de la cybersécurité et de la protection des données avec un poids significatif sur les dossiers financial et manufacturiers. Deda Tech a choisi la voie de l’équipe pluridisciplinaire, où juristes et économistes s’assoient à côté des ingénieurs, et déclare ouvertement dans des interviews publiques ne pas vendre des solutions techniques mais de la confiance. La phrase sonne comme du marketing, et correspond au positionnement réel.
Ce que ces acteurs vendent, c’est de l’interprétation. Pas un logiciel qui fait quelque chose, mais une personne identifiable, capable de traduire une norme dans les termes spécifiques de votre filière et de tenir la table de négociation d’un Data Processing Agreement avec un cloud provider américain sans céder ce qu’il ne faut pas céder. Les marges sont hautes et la scalabilité est basse. La dépendance au nom unique à la barbe grise, ou au curriculum académique, est structurelle au modèle. La croissance se fait par cooptation, par hiring de noms qui pèsent, par acquisitions de cabinets plus petits qui apportent en dot des portefeuilles clients consolidés. C’est un mécanisme qui ressemble plus au monde juridique qu’à celui du logiciel.
En bas : les plateformes
En bas, s’est formée la couche des plateformes. Les projections d’IntelMarket Research évaluent le marché global des plateformes GRC à 16,7 milliards de dollars en 2024, avec un horizon 2032 à 32,8 milliards et un taux composé de 9,9 %, et d’autres estimations donnent des chiffres sensiblement différents selon le périmètre retenu, mais la direction est celle-là. ServiceNow GRC est le défaut pour qui utilise déjà ServiceNow pour l’IT service management, ce qui représente une part significative de l’enterprise italien. MetricStream couvre le segment des multinationales avec des programmes GRC matures. OneTrust a transformé le RGPD en produit et se repositionne maintenant sur l’AI governance. Drata et Vanta automatisent SOC2 et ISO 27001 pour startups et scale-ups, avec une preuve collectée en continu et des prix SaaS qui entrent dans le budget d’un CTO sans devoir passer par le CFO. La part italienne de cette couche est mince. Le marché italien du logiciel dédié à la compliance n’a pas produit d’acteur d’échelle internationale, et les tentatives locales restent confinées à des verticales uniques ou à des clients uniques.
Le middle layer compressé
Entre ces deux couches, là où le sablier se resserre, se trouve le middle layer, et c’est là que se joue la dynamique intéressante. C’est la couche du logiciel custom pour la compliance, des progiciels RGPD faits sur mesure, des plateformes verticales pour ISO 27001 développées par des software houses italiennes de taille moyenne. Pendant des années, ce fut une couche confortable. Le client ne faisait pas confiance aux plateformes américaines pour des raisons de souveraineté de la donnée, les Big4 coûtaient trop cher pour le mid-market, et une software house locale qui livrait le portail RGPD brandé était la solution naturelle. Aujourd’hui, cette couche est compressée des deux côtés simultanément. Par le bas parce que Drata fait du SOC2 à une fraction du coût d’un progiciel custom, et que les startups n’ont aucune raison de se faire développer quoi que ce soit de propriétaire pour une fonction commodity. Par le haut parce que lorsque le problème devient sérieux — une DPIA défendable, ou une négociation contractuelle avec Microsoft qui ne laisse pas de trous —, le client comprend que le logiciel ne suffit pas et qu’il a besoin d’une personne qui parle sa langue et qui signe des documents qui tiennent.
ACN, et le marché dans le marché
Ce qui rend la carte italienne structurellement différente de la carte globale, c’est ACN. Le Regolamento unico per le infrastrutture digitali e i servizi cloud (le règlement italien unifié sur les infrastructures numériques et les services cloud), decreto direttoriale 21007 du 27 juin 2024, en régime ordinaire depuis le 1er août de la même année, a créé un marché dans le marché. L’administration publique ne peut acheter des services cloud que s’ils sont qualifiés QC1, QC2, QC3 ou QC4, fournis sur des infrastructures adéquates AI1 à AI4, selon une matrice qui lie la classification de la donnée au niveau de service admis. Aruba a qualifié aux niveaux les plus élevés, Polo Strategico Nazionale gère les données classées comme stratégiques, une poignée d’autres fournisseurs est en train de remplir les cases restantes du catalogue. Pour les intégrateurs de systèmes italiens qui travaillent avec la PA, le choix concret devient binaire. Soit on revend le cloud qualifié de quelqu’un d’autre, en acceptant des marges compressées et un rôle d’implémentateur, soit on construit un conseil qui oriente le client PA dans le choix architectural, en capitalisant la connaissance du catalogue qualifié comme actif distinctif. Quand j’ai préparé pour Pescara Multiservice la proposition d’hébergement cloud ACN-qualifié basée sur Aruba VPC au niveau QC3, contre le tarif réel ARB-11504-1 de 217,38 € par mois, la part de valeur que le client achetait, c’était mon travail de traduction entre ses besoins applicatifs et les exigences du catalogue. L’infrastructure était commodity. L’interprétation, non.
Ce que font les intégrateurs de systèmes
À ce stade, on comprend ce qui arrive aux intégrateurs de systèmes italiens, et pourquoi. Les grands — Reply, Engineering, Almaviva, NTT Data Italia, Accenture — ont déjà des pratiques GRC internes qui concurrencent directement les Big4, et dans certains cas les ont dépassées sur les marchés publics. Spike Reply est l’exemple canonique de ce mouvement, mais pas le seul. Les moyens — Deda Tech, Var Group, Lutech — construisent des équipes pluridisciplinaires et revendent leur identité de trusted advisor avec un nouveau langage. Le chiffre d’affaires d’implémentation reste significatif, mais la marge haute se trouve là où l’on vend des journées d’interprétation et non des sprints de développement. Les petits se trouvent face à un choix plus étroit. Ils peuvent devenir revendeurs de quelqu’un d’autre, en perdant leur identité. Ils peuvent rester implémentateurs spécialisés sur une verticale où la profondeur de domaine compense le manque d’échelle. Il y a ensuite une troisième voie, plus risquée que les autres, qui consiste à se transformer en conseil boutique et à vendre de la connaissance d’abord, l’implémentation ensuite, en renonçant à une partie de chiffre d’affaires certain en échange d’un positionnement encore incertain. La majorité ne choisit pas : elle subit passivement le mouvement du marché. Chez Oltrematica, le choix, nous l’avons fait verticalement — santé privée et administration publique locale —, avec un investissement sérieux dans la documentation de compliance comme produit. Ce DPA, la formalisation à cinq niveaux d’une chaîne de sub-processors qui traverse trois sociétés du même groupe industriel, l’analyse du nouveau template DPIA que l’EDPB a adopté le 10 mars et publié le 14 avril en consultation jusqu’au 9 juin, sont autant de morceaux de travail que, il y a cinq ans, nous aurions faits comme accessoire du projet principal. Aujourd’hui, c’est le projet principal, et le logiciel vient après — quand il vient.
Où migre la valeur, et ce que je ne sais pas du 2027-28
Il y a une conséquence de tout cela qui mérite d’être rendue explicite. La valeur, sur le marché italien de la compliance, migre vers les deux extrémités du sablier. Les plateformes internationales tirent vers le bas le coût de la preuve, et cette pression ne s’arrêtera pas, parce que leur modèle d’affaires dépend de l’automatisation progressive. Les boutiques de conseil et les pratiques GRC des grands intégrateurs poussent vers le haut le prix de l’interprétation, et il n’y a pas d’innovation technologique à l’horizon qui réduise le coût d’une opinion signée par un nom reconnaissable. Ce qui reste au milieu, le logiciel custom pour la compliance, a devant lui une bifurcation. Il peut devenir spécialiste à l’intérieur d’une verticale jusqu’au point de ne plus être substituable par les plateformes généralistes, ou il peut être absorbé à l’intérieur d’une offre de conseil comme capability et non plus comme produit autonome. La donnée du Politecnico di Milano, qui estime le segment cyber et data protection italien à 2,78 milliards d’euros en 2025 avec une croissance de douze pour cent, ne distingue pas ces couches dans ses relevés, et c’est probablement l’une des raisons pour lesquelles les entreprises du middle layer continuent de lire les chiffres comme des bonnes nouvelles, alors qu’ils disent quelque chose de plus subtil.
La phrase la plus honnête que je puisse écrire sur la configuration de ce marché en 2027 et en 2028, quand le Cyber Resilience Act sera opérationnel et l’AI Act en pleine enforcement, c’est que je n’en sais rien. Il me semble plausible qu’il se forme un middle layer reconfiguré, où des outils comme Claude Code, GitHub SpecKit et leurs dérivés permettront à des software houses comme la nôtre de produire des artefacts de compliance traités comme du code — versionnés, testés, générés à partir de spécifications formelles traçables. C’est une direction sur laquelle j’investis personnellement, et que je raconte ici depuis plusieurs mois. Mais il est aussi possible que le middle layer s’effondre entièrement et que le marché italien se polarise sur les deux extrémités, comme c’est arrivé sur d’autres marchés matures avant le nôtre. Dans douze mois, cette carte sera à refaire. Ce sera l’un des exercices que je ferai.
Ce qu'il faut retenir
Le marché italien de la compliance a la forme d’un sablier : conseil spécialisé épais en haut (Big4 et boutiques comme P4I, ICTLC, Spike Reply, Deda Tech), plateformes globales (ServiceNow, OneTrust, Drata, Vanta) en bas, et un middle layer écrasé constitué des progiciels custom italiens.
Ce que les boutiques de conseil vendent, ce n’est pas du logiciel, c’est de l’interprétation : une personne identifiable capable de traduire une norme dans les termes spécifiques de votre filière, et de tenir la table de négociation d’un Data Processing Agreement avec un cloud provider américain sans céder ce qu’il ne faut pas céder. Marges hautes, scalabilité basse, dépendance structurelle aux noms qui pèsent.
Le middle layer du logiciel custom est compressé des deux côtés. Par le bas parce que Drata fait du SOC2 à une fraction du coût d’un progiciel sur mesure ; par le haut parce que lorsque le problème devient sérieux — une DPIA défendable, une négociation contractuelle avec Microsoft qui ne laisse pas de trous — le logiciel ne suffit pas, il faut une personne qui signe des documents qui tiennent devant quiconque viendra demander des comptes.
ACN, avec le Regolamento unico per le infrastrutture digitali (le règlement italien unifié sur les infrastructures numériques, decreto direttoriale 21007 du 27 juin 2024) et la matrice QC1-QC4 / AI1-AI4, a créé un marché dans le marché. L’administration publique ne peut acheter que du cloud qualifié. Pour les intégrateurs de systèmes italiens, le choix concret devient binaire : revendeur à marges compressées, ou conseil qui capitalise la connaissance du catalogue comme actif distinctif.
La valeur migre vers les deux extrémités du sablier. Les plateformes tirent vers le bas le coût de la preuve, les boutiques et les pratiques GRC des grands intégrateurs poussent vers le haut le prix de l’interprétation. Ce qui reste au milieu se bifurque : spécialisation verticale jusqu’au point de non-substituabilité, ou absorption à l’intérieur d’une offre de conseil comme capability et non plus comme produit autonome.
Questions & réponses
Pourquoi le Magic Quadrant de Gartner ne suffit-il pas à lire le marché italien de la compliance ?
Ces documents photographient le marché global des plateformes : ServiceNow, MetricStream, OneTrust, Drata, Optro qui vient de renommer AuditBoard en mars dernier. Le marché italien a en revanche une structure propre, façonnée par l’Agenzia per la Cybersicurezza Nazionale, par la transposition de NIS2 avec le decreto legislativo 138 du 2024, par le poids dominant de l’administration publique sur le total des achats, par la vitesse irrégulière à laquelle les directives européennes deviennent opérationnelles chez les clients finaux. Pour le lire, il faut une carte faite de l’intérieur.
Qu'est-ce qu'ACN, et pourquoi redessine-t-elle le marché italien du cloud ?
L’Agenzia per la Cybersicurezza Nazionale — l’Agence italienne de cybersécurité nationale — avec le Regolamento unico per le infrastrutture digitali e i servizi cloud (le règlement italien unifié sur les infrastructures numériques et les services cloud, decreto direttoriale 21007 du 27 juin 2024, en régime ordinaire depuis le 1er août 2024), a créé un marché dans le marché. L’administration publique ne peut acheter des services cloud que s’ils sont qualifiés QC1, QC2, QC3 ou QC4, fournis sur des infrastructures adéquates AI1 à AI4, selon une matrice qui lie la classification de la donnée au niveau de service admis. Aruba a qualifié aux niveaux les plus élevés, Polo Strategico Nazionale gère les données stratégiques, une poignée d’autres fournisseurs remplit les cases restantes du catalogue. Pour les intégrateurs de systèmes italiens, le choix concret devient binaire : revendre du cloud qualifié appartenant à un autre avec des marges compressées, ou construire un conseil qui oriente le client PA dans le choix architectural en capitalisant la connaissance du catalogue comme actif distinctif.
Pourquoi le middle layer du logiciel custom est-il compressé ?
Pendant des années, ce fut une couche confortable. Le client ne faisait pas confiance aux plateformes américaines pour des raisons de souveraineté de la donnée, les Big4 coûtaient trop cher pour le mid-market, et une software house locale qui livrait le portail RGPD brandé était la solution naturelle. Aujourd’hui, cette couche est écrasée des deux côtés. Par le bas parce que Drata fait du SOC2 à une fraction du coût d’un progiciel custom, et que les startups n’ont aucune raison de se faire développer quoi que ce soit de propriétaire pour une fonction commodity. Par le haut parce que lorsque le problème devient sérieux — une DPIA défendable, une négociation contractuelle avec Microsoft qui ne laisse pas de trous — le client comprend que le logiciel ne suffit pas et qu’il a besoin d’une personne qui parle sa langue et qui signe des documents qui tiennent.
Quels choix s'offrent aux petits intégrateurs de systèmes italiens ?
Trois, à des coûts différents. Ils peuvent devenir revendeurs de quelqu’un d’autre en perdant leur identité. Ils peuvent rester implémentateurs spécialisés sur une verticale où la profondeur de domaine compense le manque d’échelle. Ou — troisième voie, plus risquée que les autres — ils peuvent se transformer en conseil boutique et vendre de la connaissance d’abord, l’implémentation ensuite, en renonçant à une partie de chiffre d’affaires certain en échange d’un positionnement encore incertain. La majorité ne choisit pas : elle subit passivement le mouvement du marché.
Que pourrait-il arriver au middle layer en 2027-28 ?
Je n’en sais rien. Il me semble plausible qu’il se forme un middle layer reconfiguré, où des outils comme Claude Code, GitHub SpecKit et leurs dérivés permettront aux software houses de produire des artefacts de compliance traités comme du code — versionnés, testés, générés à partir de spécifications formelles traçables. C’est une direction sur laquelle j’investis personnellement, et que je raconte ici depuis plusieurs mois. Mais il est aussi possible que le middle layer s’effondre entièrement et que le marché italien se polarise sur les deux extrémités, comme c’est arrivé sur d’autres marchés matures avant le nôtre. Dans douze mois, cette carte sera à refaire.
L'auteur
