Basculer les OIV, Opérateurs d’Importance Vitale, dans les Clouds Publics

XLogo OIV MonacoLes OIV, Opérateurs d’Importance Vitale, sont des organisations considérées par les États comme stratégiques dans leurs activités. Elles sont soumises à des contraintes fortes en ce qui concerne la sécurité de leurs opérations, et tout le monde le comprend.

Ce billet de blog sera en priorité centré sur les OIV en France, mais il existe des OIV dans tous les pays, et ce que j’écris pour la France est valable dans le reste du monde. Le logo OIV ci-dessus est celui de… Monaco.

La position que je défends dans ce texte représente un virage à 180° par rapport au consensus actuel dans la majorité des pays:

  • La position dominante des pays: les Clouds Publics sont interdits pour les OIV.
  • Ma position: toutes les OIV doivent basculer leurs infrastructures numériques dans les Clouds Publics, et le plus vite possible.

 

OIV - Organisation d’Importance Vitale

Cet article de Wikipédia est une bonne introduction au sujet des OIV en France.

J’en ai extrait ce tableau qui liste les secteurs considérés comme stratégiques par l’État français et les ministères auxquels ils sont rattachés.

XSecteurs OIV en France

Il y a environ 250 OIV en France. La liste de leurs noms n'est pas publique, mais il n’est pas difficile d’en identifier la majorité, connaissant les secteurs économiques concernés.

Dans le domaine de la sécurité numérique des OIV, c’est l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information qui est chargée de la supervision des actions des OIV dans ces domaines. C’est une attribution logique et pertinente.

XANSSI et OIV

 

Infrastructures physiques, infrastructures numériques

Il est essentiel de bien différencier:

  • Les infrastructures physiques. Ce sont tous les équipements matériels utilisés dans les activités à protéger: réseau ferré pour les trains, réseaux de transports d’électricité ou de gaz, réseaux de distribution d’eau…
  • Les infrastructures numériques. Elles sont utilisées pour gérer les données nécessaires au fonctionnement des infrastructures physiques.

La majorité des OIV gère des infrastructures physiques et les infrastructures numériques qui les pilotent.

Il existe quelques OIV, comme les banques, qui ne gèrent que des infrastructures numériques.

Les règles relatives à la sécurité de ces deux familles d’infrastructures sont très différentes, comme je l’explique dans ce billet.

 

À garder “On Premise”: gestion industrielle des infrastructures physiques

La sécurité des infrastructures physiques doit être une préoccupation prioritaire des états.

Dans ce billet de blog publié en novembre 2021, j’ai placé la sécurité des infrastructures physiques en tête de la liste des principaux risques que j’ai identifiés, d’ici à 2030.

Le deuxième grand risque identifié est lié à Taiwan. Les tensions créées en août 2022 par la visite de Nancy Pelosi à Taiwan confirment mes inquiétudes.

De quoi parle-t-on?

- Transport d’énergie: gaz, électricité.

- Gestion de l’eau.

- Transport de personnes : rail, route, air.

- Réseaux de données, filaires et sans fil.

- Infrastructures hospitalières.

-...

Si des cybercriminels prennent le contrôle de ces réseaux physiques, il peut y avoir mort d’hommes, et en très grand nombre. Imaginez une seconde ce qui pourrait se passer si une organisation criminelle prenait la main sur un réseau ferroviaire et envoyait les trains les uns contre les autres en agissant sur les aiguillages.

La coupure totale, à 100% de tout accès Internet, Web ou Cloud est la méthode la plus efficace pour réduire ces risques de prise de contrôle à distance. 99% ne sont pas suffisants; une seule porte numérique ouverte suffit pour qu’une cyberattaque soit possible.

Aujourd’hui, un trop grand nombre de ces réseaux ont encore des points d’accès ouverts, par exemple pour les mises à jour de logiciels.

Aucune exception ne doit être tolérée.

C’est en pratique, plus difficile à réussir qu’on ne le pense.

Je ne connais pas les plans de l’ANSSI dans ce domaine, mais si ce n’est pas fait, il serait utile de créer une structure de coordination permettant aux 200+ OIV ayant des réseaux physiques de partager leurs meilleures pratiques dans ce domaine. 

Les problématiques sont très proches, les solutions aussi, que l’on gère un réseau de transport de gaz ou ferroviaire.

La démarche que je privilégie est celle de la création d’un jumeau numérique, un “digital twin” en anglais.

Ce schéma présente le mode de fonctionnement d’un jumeau numérique.

XInfrastructures industrielles - Jumeau numérique

  • Les réseaux industriels, gérés par des logiciels regroupés sous le nom de SCADA, sont 100% déconnectés du Cloud et d’Internet.
  • Les données liées à l’activité des réseaux industriels sont envoyées, en même temps, vers le SCADA et vers le jumeau numérique, construit dans un Cloud Public.
  • Pour garantir la protection du SCADA, il est indispensable que la liaison qui transmet les données vers le Cloud Public soit physiquement unidirectionnelle.
  • La société Teréga, le deuxième transporteur de gaz en France avec GRTGaz, et avec qui j’ai eu l’honneur de collaborer, à développé en interne une solution innovante de “diode numérique” qui rend impossible le retour de données en provenance du Cloud Public. La solution complète proposée par Teréga, io-base, s’appuie sur le Cloud Public AWS pour le jumeau numérique.

Toutes les OIV qui gèrent des réseaux physiques peuvent mettre en œuvre une démarche SCADA + Jumeau Numérique. C’est le moyen le plus efficace que je connaisse pour conjuguer sécurité des infrastructures physiques et capacité de pilotage numérique en s’appuyant sur la puissance des Clouds Publics.

La solution française io-base de Teréga pourrait devenir rapidement un standard en Europe si l’ANSSI en fait la promotion et pousse toutes les OIV françaises à l’adopter.

Dans mon billet de blog de fin 2021, “j’ai mal à mon Europe du Numérique”, j'ai identifié sept DC2E, Digital Commando of Excellence en Europe, domaines dans lesquels l’Europe pouvait encore espérer jouer un rôle raisonnable en 2030.

Les jumeaux numériques sont le quatrième de ces sept domaines.

La réussite de cette démarche de jumeaux numériques en Europe peut ensuite s’exporter dans tous les pays du monde, qui ont exactement les mêmes soucis de protection de leurs infrastructures industrielles. 

Motivant, non?

 

Infrastructures numériques des OIV, situation actuelle

Maintenant que les problèmes de sécurité des infrastructures physiques des OIV sont maîtrisés, on peut s’attaquer au deuxième défi, leurs infrastructures numériques.

Comme je l’ai écrit récemment, mes analyses démontrent que les infrastructures numériques des grands Clouds Publics industriels sont, et de loin, les plus sécurisées au monde, celles qui protègent le mieux les données des entreprises.

Les OIV sont, par définition, les entreprises françaises qui ont le plus besoin de sécuriser leurs infrastructures numériques.

Conséquence “logique”: la priorité pour la France est de basculer le plus vite possible les infrastructures numériques des 250 OIV françaises dans les Clouds Publics.

La situation en 2022 est pour le moins… paradoxale:

AdS DPC Two men in Data Center S 511608567

  • Il faut protéger le plus possible les infrastructures numériques des OIV françaises.
  • On interdit, ou déconseille très fortement aux OIV d’utiliser les Clouds Publics.
  • On  encourage les OIV à rester le plus longtemps possible sur des infrastructures “On Premise”.
  • Le résultat obtenu est l’inverse de celui espéré: les OIV seraient les dernières entreprises en France à disposer d'infrastructures numériques sécurisées.

Comme tout citoyen français responsable, je souhaite que les OIV disposent des solutions d’infrastructures numériques les plus sécurisées possibles.

Conséquence: la stratégie actuelle “pas d’infrastructures Clouds Publics pour les OIV” doit être remplacée immédiatement par une stratégie qui représente un virage à 180°:

 

Les infrastructures numériques les plus sécurisées pour les OIV…

 sont dans les Clouds Publics.

 

Infrastructures numériques des OIV, dans Clouds Publics, à partir de 2023

Dans le billet de blog cité plus haut, j’ai identifié cinq niveaux d’infrastructures numériques en fonction des niveaux de confiance qu’elles procurent dans la protection des données:

XFamilles de Cloud  niveau de Confiance

  • OP = On Premise: la plus mauvaise solution, et de loin.
  • CP = Cloud Public, utilisé de manière native, sans sécurités supplémentaires.
  • CP+ = Cloud Public, avec utilisation des clés de chiffrement fournies par l’opérateur de Cloud Public. 
  • CP++ = Cloud Public avec utilisation de clés de chiffrement fournies par l’entreprise, que l’opérateur de Cloud Public ne connaît pas.
  • CPC = Cloud Public de Confiance: les infrastructures numériques appartiennent à des sociétés françaises ou européennes, ce qui les met à l’abri des lois extraterritoriales comme celles utilisées par les États-Unis.

J’utiliserai cette classification dans la suite de mon analyse.

 

Quelles infrastructures Clouds Publics pour les jumeaux numériques des OIV

Dans un paragraphe précédent, j’ai présenté le principe des jumeaux numériques: ils travaillent sur une copie des données venant des infrastructures physiques.

Toutes les données utilisées pour créer un jumeau numérique n’ont pas les mêmes niveaux de criticité. Cela dépend des métiers des OIV:

  • Pour une entreprise de transport ferroviaire, le nombre et la localisation des wagons n’ont pas besoin d’une protection forte.
  • Le niveau de remplissage d’une réserve de gaz est une donnée publique.
  • Dans le secteur nucléaire, les informations relatives au transport des combustibles sont beaucoup plus sensibles.
  • La localisation des sous-marins atomiques français demande un niveau de protection maximal.

En pratique, cela veut dire que chaque OIV devra choisir pour son jumeau numérique la famille de Clouds Publics qui correspond au niveau nécessaire de confidentialité des données.

Cloud Confiance OIV et Jumeaux numériquesCe tableau donne une possible répartition des jumeaux numériques des OIV françaises par niveaux de solutions. Il n’a aucune valeur “scientifique”: c’est une première estimation que je propose. 

La bonne démarche consiste à commencer par le niveau de base, CP. S’il est suffisant, ce qui sera probablement le cas pour 30% à 50% des OIV, il n’est pas nécessaire d’investir dans les niveaux de protection supérieurs, plus complexes et plus coûteux.

Ensuite, au cas par cas, chaque OIV peut monter dans les niveaux de confidentialité, CP+, CP++ pour trouver la meilleure réponse.

Les solutions CPC seront choisies par les seules OIV qui en ont un besoin impératif. Si je devais donner un pourcentage, je le situerais à moins de 10%. Les OIV travaillant dans le domaine militaire sont des candidats logiques.

 

Quelles infrastructures Clouds Publics pour les Systèmes d’Information des OIV

Les Systèmes d'Information des OIV sont de la même nature que ceux des autres entreprises.

Dans le billet déjà cité plusieurs fois, j’ai présenté deux réponses possibles pour les entreprises face à ces défis de la confidentialité des données:

  • Une réponse irrationnelle: les risques perçus par les dirigeants sont beaucoup plus élevés que dans la réalité.
  • Une réponse rationnelle, qui analyse de manière posée et sérieuse les risques et choisit les réponses les plus raisonnables, cas par cas.

Je fais évidemment l’hypothèse que tous les dirigeants et DSI des OIV et de l’ANSSI sont des personnes rationnelles.

Différentes familles Cloud et Confiance RationnelCe tableau donne mon évaluation générale de la répartition des solutions Clouds Publics pour toutes les entreprises. La majorité des OIV sont des entreprises grandes ou moyennes. Il est possible que les pourcentages soient un peu différents.

Pour les OIV, j’estime que les pourcentages pourraient être dans les fourchettes suivantes:

  • Cloud Public: 60% à 80%.
  • Cloud Public +: 10% à 30%.
  • Cloud Public ++: 1% à 10%.
  • Cloud Confiance: 1% à 3%.

Ce qu’il faut retenir: en choisissant rationnellement et avec pragmatisme les solutions Clouds Publics disponibles, 99% des OIV françaises peuvent basculer 99% de leur Système d’Information dans les Clouds Publics, et immédiatement.

Pourquoi 99% et pas 100%? Je n’aime pas beaucoup le 100%, car on le rencontre très rarement sur le terrain! Il y a dans ce billet une exception à cette règle: les réseaux industriels qui doivent être déconnectés d’Internet et du Cloud à 100%, pas à 99,99%.

 

Résumé

XLogo ANSSIJe suis prêt à collaborer activement avec l’ANSSI pour les aider dans cette mission urgente, d’intérêt national: la migration des infrastructures numériques de toutes les OIV françaises dans des Clouds Publics.

Ce sera un signal fort et positif pour toutes les entreprises françaises! 

Si les OIV peuvent utiliser les solutions IaaS des Clouds Publics, il deviendra très difficile, limite impossible, pour les dirigeants de toutes les entreprises de dire qu’ils ne peuvent pas utiliser les Clouds Publics car ils n’offrent pas un niveau de sécurité suffisant.

Un beau chantier en perspective, à démarrer avant la fin de l’année 2022.

 


Confidentialité des données et Clouds Publics : quelles réponses en 2022

XLogo S3ns + 3 objectifsDans mon billet précédent, j’ai commenté les annonces faites par Google et Thales autour d’un Cloud de Confiance en France, avec la création d’une entreprise commune, S3ns.

Je pensais faire une deuxième partie sur le même thème, mais j’ai décidé d’élargir le sujet pour aborder le thème de la confidentialité des données dans les Clouds Publics.

C’est l’une des questions que l’on me pose le plus souvent aujourd’hui dans mes missions d’accompagnement des entreprises dans leur Transformation Numérique.

Conséquence: un billet plus long que le précédent!

Rassurez-vous, l’annonce du Cloud de Confiance Google-Thales fait partie des réponses analysées dans ce deuxième billet.

Dans ce billet, je vais me concentrer sur les solutions IaaS, Infrastructures as a Service et PaaS, Platform as a Service. Le thème des applications SaaS, construites majoritairement sur les plateformes IaaS des Clouds Publics, ne sera pas abordé.

Le débat actuel sur les Clouds de Confiance est lui aussi centré sur les solutions IaaS et PaaS.

Une remarque avant de rentrer dans le vif du sujet: j’ai été surpris de trouver parmi les sponsors de cette journée Google - Thales, Orange et Capgemini, avec chacun un stand. Ce sont en principe les deux partenaires choisis par Microsoft pour construire leur version concurrente d'un Cloud de Confiance, sous le nom de Bleu…

 

Principales options

J’ai fait le choix dans ce billet d’aller à l’essentiel. Que mes amis RSSI me pardonnent si je simplifie et caricature parfois la réalité. Mon objectif est d’aider les dirigeants d’entreprises, qui n’ont pas toujours une maîtrise complète de ce sujet, à comprendre quelles sont les principales options à leur disposition, pour ne pas freiner leur migration vers les Clouds Publics.


Dans la suite de ce billet, je segmente l’offre d’infrastructures serveurs en cinq grandes familles:

XCloud Vs On Premise

  • OP =  “On Premise”. L’entreprise investit, en CAPEX, dans ses propres infrastructures. Ces solutions sont aussi appelées Centres de calcul privés ou Cloud Privé.
  • CP = Cloud Public. L’entreprise utilise de manière “standard” les solutions proposées par les acteurs industriels des Clouds Publics, sans rajouter des solutions supplémentaires pour protéger les données.
  • CP+ =  Cloud Public avec un niveau de confidentialité supplémentaire. Le chiffrement des données est généralisé, en utilisant le plus souvent les clés de chiffrement AES 256, proposées et gérées par les fournisseurs de Clouds Publics.
  • CP++ = Cloud Public encore plus sécurisé. Les clés de chiffrement sont gérées par les entreprises et les fournisseurs de Clouds Publics n’y ont pas accès.
  • CPC = Cloud Public de Confiance. C’est une solution CP++ qui est en plus compatible avec le référentiel SecNumCloud, qui protège l’entreprise des lois extraterritoriales. Rappel: ceci n’est vrai que pour la dernière version de la norme SecNumCloud, la version 3.2.

 

Le point sur SecNumCloud

Dans l’annonce de sa création, S3ns a clairement indiqué qu’ils espéraient obtenir la certification SecNumCloud dans les 24 mois qui viennent. C’est le point 8 de la liste des annonces faites lors de la journée du 30 juin 2022.

XS3ns huit points sécurité

Il est important de comprendre ce que représente ce référentiel.

SecNumCloud est un référentiel français géré par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. La première version est née en 2016; la version la plus récente, 3.2, existe depuis mars 2022. Cette certification est valable 3 ans; elle doit donc être renouvelée tous les 3 ans.

Au niveau européen, des travaux sont en cours pour définir une norme commune, l’EUCS : European Cybersecurity Certification Scheme for Cloud Services. Pour le moment, SecNumCloud reste une certification française.

C’est un point essentiel: SecNumCloud ne certifie pas une entreprise, un fournisseur, mais des produits et des services, et un par un.

XListe produits et service SecNumCloudUn fournisseur ne peut pas annoncer qu’il est certifié SecNumCloud. Il doit indiquer quels sont les services qu’il propose qui sont certifiés.

La liste la plus récente des produits et services certifiés SecNumCloud par l’ANSSI, publiée en juin 2022, est longue ; elle comprend 19 pages.

L’un des ateliers de cette journée Google-Thales était animé par l’UGAP, union d’achat du secteur public. Dans la liste des services d’informatique en nuage référencés par l’UGAP, deux d’entre eux, OVH et Outscale, avec une *, sont certifiés SecNumCloud.

XUGAP Clouds Externes autorisés S

J’ai regardé dans la liste de l’ANSSI quels étaient les services certifiés.

Pour OVH, il s’agit de “Private Cloud”. Cette certification, selon l’ancienne norme, devient caduque en décembre 2022. Sachant qu’OVH n’a jamais obtenu les certifications de Uptime Institute, qui définissent les niveaux Tier 1, 2, 3 ou 4 pour les centres de calcul, je trouve “surprenant” qu’OVH fasse état de sa certification SecNumCloud en parlant de leurs activités Clouds Publics.

XSecNumCloud OVH  Outscale  OODrive

À l’inverse, Outscale est certifié pour ses activités IaaS Cloud on demand, en clair Cloud Public. Pour Outscale aussi cette certification selon l’ancienne norme se termine en décembre 2022.

J’ai rajouté sur ce tableau OODrive qui, lui, a trois services certifiés, mais ce sont des services d’applications.

On comprend mieux pourquoi S3ns annonce qu’il lui faudra 24 mois pour obtenir la certification SecNumCloud des nombreux services Google qui seront proposés.

En résumé, chaque fois qu’un fournisseur de Cloud vous dira qu’il est certifié SecNumCloud, n’oubliez pas de lui demander… pour quels services?

 

Les trois principaux risques numériques

Dans un souci de simplification, j’ai regroupé les risques numériques que doit affronter une entreprise en trois familles. Ces risques existent, que l’entreprise gère ses infrastructures “On Premise” ou dans des Clouds Publics.

  • Attaques sur les infrastructures, 1 dans le schéma.
  • Attaques sur les données et les applications, 2 dans le schéma.
  • Attaques extraterritoriales par des états étrangers, 3 dans le schéma.

XRisques Cloud Public - On Premise

Attaques sur les infrastructures

Dans ce domaine, les jeux sont faits, et depuis des années. Aucune entreprise ne peut mettre autant de ressources techniques, humaines et financières pour protéger les infrastructures que les géants du Cloud Public, tels qu’AWS, GCP et Azure.

En 2022, investir un seul euro de plus dans un centre de calcul privé est une erreur stratégique majeure. Tout dirigeant qui prend cette décision met en danger la sécurité et les finances de son entreprise.

Il y a quelques exceptions à cette règle. La principale est celle de la gestion des infrastructures physiques d’entreprises qui travaillent dans les domaines de l’énergie, du transport ou des télécommunications.

J’ai écrit un billet entier sur ce thème; je considère que c’est en 2022 le plus grand risque numérique qui menace le monde.

La bonne démarche:

  • Éliminer 100% des liens entre ces infrastructures industrielles, Internet et le Cloud.
  • Construire un jumeau numérique dans… les Clouds Publics.

Attaques sur les données et les applications

Ce sont les entreprises qui sont responsables de la protection de leurs données et de leurs applications, pas les fournisseurs de solutions IaaS et PaaS.

XProtection données - On premise et Cloud Public

Dans l’Ancien Monde, “On Premise”, les solutions utilisées pour tenter d’assurer cette protection étaient les VPN et les parefeux périmétriques autour des centres de calcul privés.
Ces solutions ne sont plus valables dans un monde numérique moderne construit dans les Clouds Publics. Une démarche “Zero Trust” devient indispensable. Elle fait l’hypothèse que rien n’est sécurisé et qu’il faut tout contrôler:

  • L’identité de la personne qui se connecte.
  • Le ou les objets d’accès utilisés.
  • Les différents réseaux de transport des données.
  • Les droits d’accès aux différentes applications.
  • ….

Une entreprise qui déciderait de basculer vers des Clouds Publics sans mettre en œuvre une démarche “Zéro Trust” prendrait des risques numériques insensés.

La bonne nouvelle en 2022: l’offre de solutions de très grande qualité permettant de construire une architecture “Zero Trust” est pléthorique. 

Attaques extraterritoriales par des états étrangers

C’est “Le” sujet de tous les débats autour des risques liés à l’usage des Clouds Publics dominés par des fournisseurs américains ou chinois.

En janvier 2022, lors de l’annonce du projet d’accord entre Google et Thales, j’avais écrit un billet sur ce thème.

Je vais simplement ajouter à ce que j’ai écrit dans ce billet deux précisions:

  • Aujourd’hui, les clés de chiffrement AES 256 sont inviolables. Je ne m’intéresse pas au débat théorique sur une éventuelle rupture de ces clés lorsque l’informatique quantique sera opérationnelle.
  • FISA 702 permet à des organismes gouvernementaux américains de demander à des fournisseurs de Clouds Publics américains l'accès à des données appartenant à des citoyens (pas des entreprises) européens. C’est exact, mais le fournisseur de Clouds Publics peut transmettre les données chiffrées, sans avoir l’obligation de les déchiffrer!

Comme le montre la flèche 3 dans le schéma des trois risques, c’est dans ce cas, et dans ce cas seulement, que la démarche “Cloud de Confiance” proposée par S3ns prend tout son… sens. J’ai enfin compris d’où vient le nom S3ns!

Comme les infrastructures S3ns sont la propriété d’une entreprise française, Thales, les lois extraterritoriales américaines ne peuvent pas s’appliquer.

 

Quel niveau de confiance numérique, selon les solutions retenues

Les entreprises ne doivent pas se tromper de combat dans leurs efforts pour résister aux attaques numériques.

Plus de 99% des risques sont liés aux attaques de cybercriminels, privés ou étatiques, qui vont essayer d’exploiter les failles de sécurité qui existent dans vos infrastructures, vos applications et vos données, les flèches 1 et 2 de mon schéma initial.

Se polariser sur les attaques extraterritoriales est une grave erreur. En prenant l’analogie avec l’avenir de notre planète, se serait l’équivalent de consacrer toutes nos ressources à la protection contre l’éventuelle arrivée d’un grand astéroïde sur la terre et d’oublier les dangers immédiats que font peser les excès de gaz à effet de serre.

Dans ce graphique, j’ai résumé le niveau de confiance numérique que je donne à chaque option présentée au début de ce billet.

XFamilles de Cloud  niveau de Confiance

  • OP, On Premise: j’ai mis 50%, et je suis gentil. C’est de très très loin la plus mauvaise solution pour se protéger des risques numériques réels en 2022.
  • CP, Cloud Public: le niveau de confiance est au minimum de 95%, sous réserve bien sûr d’avoir mis en œuvre une démarche “Zero Trust”.
  • CP+: Cloud Public avec clés de chiffrement gérées par les fournisseurs de Clouds Publics. Le niveau minimal de confiance atteint maintenant 99%.
  • CP++: Cloud Public avec clés de chiffrement gérées par les entreprises. Le niveau de confiance dépasse 99,99% dans cette option.
  • CPC, Cloud Public de Confiance: la sécurité parfaite n’existant jamais, j’ai mis une note de 99,9999% à la confiance que l’on peut accorder à cette option.

 

Choix de solutions : rationnel et irrationnel 

Que les choses seraient simples si l’on vivait dans un monde rationnel!

Hélas, ce n'est pas le cas, et le numérique n’échappe pas à une montée inquiétante de l'irrationalité.

Xliberte eiffelPlusieurs millions d’Américains ont partagé cette photo supposée prise avec un très puissant téléobjectif qui “prouve” que la terre est plate, car on y voit en même temps la Statue de la Liberté et la Tour Eiffel, séparées de plus de 6 000 km. 99% des Américains ne savent pas qu’il existe une réplique de la Statue de la Liberté sur l'île aux Cygnes à Paris, à moins d’un kilomètre de la Tour Eiffel.

J’ai un mépris total pour les personnes qui, sciemment, diffusent des informations aussi fausses vers des personnes fragiles qui peuvent y croire.

J’ai le même mépris pour les pseudo-experts en sécurité numérique qui diffusent des messages de trouille auprès des dirigeants, sachant très bien qu’ils sont exagérés, mais leur permettent de vendre ensuite fort cher leurs services inutiles.

Les exemples de cette irrationalité dans les décisions sont légion:

  • Quelle est l’énergie qui a tué le moins de monde? Le nucléaire, ce qui n'empêche pas de trop nombreux politiques de dire le contraire.
  • Quel est le moyen de transport le plus sûr? L’avion, mais des millions de personnes ont la trouille en avion et préfèrent voyager en voiture.

Je rencontre le même phénomène d’irrationalité quand je parle à des dirigeants et DSI de la confiance que l’on peut accorder aux solutions dans les Clouds Publics, français, chinois ou américains.

Quel est le pourcentage d’entreprises en France qui peuvent utiliser en toute confiance les différentes options de Clouds Publics que j’ai analysées dans ce texte, en tenant compte de leurs activités et du niveau plus ou moins élevé de protection dont ont vraiment besoin leurs données?

J’élimine bien évidemment les solutions “On Premise”, les plus catastrophiques en matière de confiance numérique!

Ce premier schéma correspond à une réponse “rationnelle” à la question.

XDifférentes familles Cloud et Confiance Rationnel

  • Pour 90% des entreprises, une solution Cloud Public de base répond très bien à leurs besoins de confiance numérique.
  • Pour 9%, l’utilisation d’une solution Cloud Public +, avec chiffrement des données par les fournisseurs de Clouds publics est une excellente réponse.
  • Moins de 1% ont vraiment besoin, pour une petite partie de leurs données, d’utiliser leur propre clé de chiffrement.
  • 0,1% d’entreprises traitent quelques informations suffisamment confidentielles et stratégiques pour avoir besoin d’un Cloud de Confiance qui les met à l’abri d’une éventuelle tentative extraterritoriale d’accès à ces données.

Ce deuxième schéma correspond aux réactions “irrationnelles” que j’obtiens quand j'interroge des décideurs français. (Vous qui me lisez en ce moment, vous ne faites bien sûr pas partie de ces décideurs irrationnels.)

XDifférentes familles Cloud et Confiance Irrationnel

  • 50% des entreprises peuvent se “contenter” d’une solution Cloud Public standard. Ce sont les TPE et PME, pas mon entreprise!
  • 30% ont besoin de chiffrer les données, et la clé gérée par les acteurs du Cloud Public est une solution acceptable.
  • Pour 15% des entreprises, il est impossible de faire confiance aux fournisseurs de Clouds Publics et la gestion de clés privées est indispensable.
  • Enfin 5% de ces entreprises font face à un risque “majeur” de piratage de leurs données par les grands méchants Américains de la CIA ou de la NSA. Un Cloud de Confiance qui met à l’abri des lois extraterritoriales est une précaution obligatoire.

Cette vision “peu rationnelle” des risques liés à l’usage des Clouds Publics par un grand nombre d’entreprises a au moins un avantage: elle permet aux fournisseurs de solutions chères et complexes ayant comme objectif la création d’un niveau de confiance surdimensionné de se développer.

XAdS DPC Ceinture et bretelle S 166317723Ceinture et bretelles : les entreprises qui sont persuadées qu’elles ont besoin des deux pour “soutenir” la confiance dans leurs données seront les meilleures clientes des acteurs du marché qui tentent de créer une trouille maximale envers les solutions Clouds Publics.

 

Synthèse

L’annonce par Google et Thales de cette coentreprise S3ns est une excellente nouvelle pour le marché français du Cloud Public. Elle va permettre à toutes les entreprises, quel que soit leur niveau actuel de confiance dans les Clouds Publics, d’accélérer leur migration vers ces solutions.

Après cette annonce les entreprises françaises peuvent trouver toutes les réponses dont elles pensent avoir besoin:

  • Cloud Public: usage direct de GCP standard de Google.
  • Cloud Public +: demander à Google de chiffrer leurs données dans GCP.
  • Cloud Public ++: c’est ce que propose, immédiatement, S3ns en permettant, avec les solutions de Thales, d’utiliser des clés de chiffrement dédiées.
  • Cloud de Confiance: permettra, avant la fin de l’année 2024, aux entreprises qui en ont vraiment besoin de se mettre à l’abri des accès extraterritoriaux par le gouvernement américain.

Conséquence très positive: pour une entreprise qui a une démarche numérique rationnelle, il n’y a plus aucun frein qui l'empêche de basculer rapidement et massivement vers les Clouds Publics.

XInnovations - Centres calculs privés vs Clouds PublicsPour les entreprises qui continuent à avoir une vision irrationnelle des dangers des Clouds Publics, qu’elles restent sur leurs solutions “On Premise”. 

En 2030, elles se seront elles-mêmes exclues de toutes les innovations numériques qui se concentrent sur les Clouds Publics et désertent les solutions “On Premise”.

Je n’aimerais pas être à la place de leurs dirigeants en 2030…


Annonce Google-Thales d’un Cloud de Confiance en France : 1ère partie

XGoogle Cloud à la française 30 juin 2022Jeudi 30 juin 2022, Google a organisé une journée dans la salle de la Mutualité à Paris pour annoncer officiellement l’ouverture de centres de calcul en France et son partenariat avec Thales.

Cette journée était relayée en présentiel dans plusieurs villes de France (Lyon, Lille…) et accessible par Internet.

Dans cette première partie, j'analyse cet événement et de ce qu’il faut en retenir.

Dans une deuxième partie, qui sera publiée rapidement, je prendrai un peu de hauteur pour expliquer quels sont les impacts potentiels de cette annonce sur la stratégie Cloud Public des grandes entreprises.

Je pense en priorité à celles qui sont encore très “craintives” sur l’utilisation des Clouds Publics en mettant en avant les risques que pourraient courir leurs données confidentielles. 

 

Un événement spectaculaire

Google n’a pas lésiné sur les moyens pour faire de cette manifestation un succès, et le succès était au rendez-vous, bravo.

La salle de la mutualité avait été décorée aux couleurs de Google comme le montrent ces deux photos.

XFacades Mutualité

Il y avait beaucoup de monde présent. J'y ai croisé de nombreux responsables numériques de grandes entreprises françaises, comme Hervé Dumas, CTO de l’Oréal. L’Oréal a d’ailleurs reçu un prix de Google, mérité, pour ses résultats spectaculaires obtenus dans sa démarche de frugalité numérique.

Les deux étages de la grande salle de la Mutualité étaient complets pendant toute la matinée, consacrée aux séances plénières.

XS3ns salle principale 2 S

XGoogle S3ns Renault ballon SRenault, l’un des grands clients de GCP, le Cloud Public de Google a profité de l’événement pour présenter de nombreux exemplaires de la nouvelle Mégane 100% électrique, garée tout autour de la salle, avec un superbe ballon Google Cloud sur le toit.

Il y aura évidemment des esprits chagrins pour critiquer Google, coupable d’écraser la concurrence des petits acteurs français du Cloud par les moyens financiers qu’il est capable de mobiliser pour organiser des événements d’une aussi grande qualité.

 

Les annonces

Les deux annonces qui ont été faites pendant cette journée étaient attendues.

La première était l’ouverture d’une Zone France pour GCP. Comme toutes les zones de Google, elle est constituée par trois implantations physiques indépendantes, séparées par un minimum de 10 km pour garantir une résilience maximale.

La deuxième, et la plus attendue, était celle de la collaboration entre Google et Thales.

SLogo S3nsUne nouvelle société a été créée, nommée s3ns. Cette société est opérationnelle, avec déjà plusieurs dizaines de collaborateurs. Ce n’est pas le cas d’autres “Cloud de Confiance” dont on entend parler…

Ce nom surprenant correspond au mot sens, dans lequel le e a été inversé pour devenir 3, comme on le voit clairement sur le logo. 

Je soupçonne fort que cette inversion a été faite pour permettre de trouver un nom court en quatre lettres. 

Le capital de S3ns est réparti entre Thales, majoritaire, et Google. Les pourcentages relatifs des deux sociétés n’ont pas été annoncés pendant cette journée.

 

S3ns, un cloud de confiance

L’objectif prioritaire de cette annonce est de proposer un “Cloud de Confiance” conforme aux recommandations et aux attentes du gouvernement français. C’est clairement indiqué sur le site de S3ns.

XS3ns Le cloud de confiance pour la France

C’est Marc Darmon, Executive VP de Thales, qui a présenté en détail S3ns.
J’ai été sensible au pragmatisme et au réalisme de l’annonce.

Le calendrier de démarrage de S3ns en est une excellente illustration :

XS3ns + ANSSI- S3ns ne sera pas complètement opérationnel avant le deuxième semestre 2024. Pourquoi? L’objectif de S3ns est de devenir compatible avec la nouvelle version de SecNumCloud, 3.2, annoncée en mars 2022. C’est la norme française gérée par l’ANSSI, en attendant une éventuelle norme européenne qui tarde à se définir. Comme l’a expliqué Marc Darmon, obtenir cette certification pour l’ensemble des services de S3ns, c’est un processus long, compliqué et coûteux. Je reviendrai sur ce point dans la deuxième partie de ce billet.

- En attendant cette certification complète, S3ns est déjà opérationnel avec un très haut niveau de sécurité et de nombreux services de GCP. XS3ns Première liste services Google disponibles SCette première liste de services a été présentée pendant son exposé. Google a expliqué qu’elle regroupe les services essentiels qui correspondent à plus de 80% des usages actuels de GCP par les entreprises françaises.
Ceci permet aux entreprises de démarrer immédiatement avec S3ns en ayant une feuille de route claire pour les deux ans qui viennent.

De nombreuses tables rondes ont permis à des clients de GCP de présenter leurs usages et leurs projets.

On parle beaucoup du manque de femmes dans le numérique! Cette table ronde montrait que ce n’est pas toujours le cas. Frédéric Vincent, EVS IS et Digital de Renault, était… le seul homme, entouré de sept femmes. 

S3ns Table ronde féminine S

C’est une belle exception, merci Google!

 

Résumé

Les équipes de Google France, sous la direction d’Anthony Cirot, ont réussi à organiser une journée de très haut niveau, passionnante, et porteuse d’un message positif pour les entreprises françaises qui ont vraiment envie d’utiliser au mieux les ressources proposées par les grands acteurs industriels du Cloud Public mondial, tout en respectant les contraintes spécifiques de la France.

S3ns Google + Thales schéma. SCette image résume bien le principal message de cette journée : S3ns, c’est un pont entre la puissance du Cloud Public GCP de Google et les compétences en sécurité de Thales.

Dans la deuxième partie de ce billet, je mettrai en perspective cette annonce importante dans le contexte plus vaste d’une stratégie ambitieuse et innovante de migration des grandes entreprises françaises dans une démarche “Cloud Public First”.


Longue traîne et processus d’entreprise

 

XLongue traîneLa longue traîne, Long Tail en anglais, est une distribution statistique dans laquelle une petite partie des contenus, regroupée dans la “tête” représente une grande partie de la distribution, le reste étant réparti dans la longue traîne.

Ces deux articles Wikipedia, en anglais et en français, sont de bonnes introductions sur ce thème. Le texte en anglais est le plus complet des deux.

Il m’est venu l’idée d’analyser la distribution des processus et applications numériques utilisées dans les entreprises en m’appuyant sur cette approche longue traîne.

Important: je ne traite pas ici des applications grand public.

Ce billet de blog est le résultat de mes premières réflexions sur ce sujet.

Vos commentaires et analyses sont les bienvenus.

 

Les principes de la longue traîne

(Les lecteurs qui sont familiers avec le concept de longue traîne peuvent passer directement au paragraphe suivant.)

XLong Tail book AndersonEn 2004, Chris Andersen a publié un long article sur long tail, considéré comme la fondation de l’application de cette analyse aux activités des entreprises.

Devant le succès de cet article, Chris Andersen a publié en 2006 un livre qui présente plus en détail la longue traîne.

C’est dans le domaine du e-commerce que la démarche longue traîne a montré de manière la plus évidente sa pertinence.

L’exemple d’Amazon et de la vente de livres est un cas emblématique:

  • Les plus grandes librairies physiques peuvent présenter à leurs visiteurs un maximum de 15000 livres en rayon. Les coûts de stockage des ouvrages à faible demande seraient prohibitifs.
  • À l’inverse, référencer sur une place de marché comme Amazon des millions de livres représente un coût marginal très bas. Ce sont souvent des petits éditeurs spécialisés qui vendent sur Amazon, qui permettent à Amazon:
    • De ne pas avoir de coûts de stockage des ouvrages.
    • De prendre une commission sur la vente et le transport de chaque livre.

XLong tail livres

Comme le montre ce schéma, la longue traîne des livres représente pour Amazon plus de 50% de ses ventes.

 

Analyse des processus d’entreprise avec la longue traîne.

Je vous propose de répondre dans ce billet à la question: est-ce que les processus et applications numériques utilisées dans les entreprises suivent une distribution du type longue traîne?

Remarque: toutes les applications informatiques sont des réponses apportées à l'automatisation de processus d’entreprises. J’emploierai les deux mots applications et processus de manière interchangeable.

XLong tail Tous processus entreprisesPour que cette hypothèse soit vérifiée, il faut que sur la distribution longue traîne des processus d’entreprises:

  • Un petit nombre de processus et d'applications soient dominants, les “best-sellers”.
  • Un très grand nombre d’applications correspondent à des processus plus spécialisés, moins fréquents.

 

Longue traîne: applications universelles

Quelles sont, aujourd’hui, les applications universelles les plus répandues dans les entreprises, quels que soient leur taille ou leur secteur d’activité? Ce sont les applications bureautiques dominées par le duopole Google Workspace et Microsoft Office 365. Il existe encore quelques entreprises rétrogrades qui continuent à utiliser des outils bureautiques “on premise”, mais la majorité des entreprises a aujourd’hui basculé sur les solutions Clouds Publics.

XLong tail outils universels Bureautique frontiqueWorkspace et Office 365 sont les deux best-sellers applicatifs professionnels, et de très loin.

Demain? Un nouveau “best-seller” pointe le bout de son nez en 2022. Ce sont les applications universelles au service des équipes terrain, ce que je propose de nommer la Frontique, les applications au service des équipes “au front”, des FLW, Front Line Workers en anglais.

C’est un sujet que j’ai souvent abordé dans ce blog:

  • Ce billet présente les caractéristiques d’une application Frontique.
  • Ce deuxième billet aborde les dimensions management et les mesures à prendre pour réduire la fracture numérique entre cols blancs et équipes terrain.

Dans le monde entier, il y a 80% de personnes dans les équipes terrain, soit autour de 2 700 millions de personnes, et “seulement” 800 millions de cols blancs.

Avec WizyVision, première application frontique disponible sur le marché mondial et développée par la société Wizy.io dont je suis l’un des cofondateurs, nous avons l’ambition d’équiper toutes les équipes terrain avec une solution universelle. Toute personne qui sait prendre une photo avec un smartphone peut utiliser WizyVision, “out of the box”.

En 2030, le nombre d’utilisateurs de solutions Frontique pourrait être supérieur à celui des outils bureautiques!

Frontique + Bureautique = un tout petit nombre d’applications, qui resteront les best-sellers pérennes du numérique, pour encore de nombreuses années.

 

Longue traîne: applications SaaS support et PaaS

La deuxième famille dominante est celle des applications pour les processus structurées au service des cols blancs, en finances, ressources humaines, marketing ou commercial.

XModèle BISD - Infra  Soutien  Métiers -Data copiePour ces processus S, “support”, au sens du modèle B I S D que j’ai proposé en 2019, les réponses dominantes sont aujourd’hui des solutions SaaS, Software as a Service.

Comme le montre ce graphique, des leaders se sont rapidement imposés; entre 20 et 50 solutions SaaS se partagent l’essentiel du marché des applications structurées générales, telles que:

  • Salesforce pour les usages commerciaux.
  • Workday pour les ressources humaines et la finance.
  • Coupa pour les achats.

XLong tail SaaS Support PaaS

Sur ce même graphique, j’ai mis les outils PaaS, Platform as a Service. Ils permettent à des équipes internes de développeurs professionnels de construire, sur mesure, des applications pour les processus spécifiques des entreprises, pour plus de compétitivité. Ce sont les usages "B", cœur métier, du modèle B I S D. Dans ce domaine aussi, le nombre de solutions est très limité: les solutions PaaS dominantes sont proposées par les trois géants industriels IaaS, Infrastructures as a Service, AWS, GCP de Google et Azure de Microsoft.

On reste dans une logique "tête" de la longue traîne: un tout petit nombre de solutions dominent ce marché.

 

Longue traîne: applications SaaS spécialisées

Le reste de la partie “tête” de la distribution longue traîne est occupée par les applications SaaS qui apportent des réponses pour des processus plus spécialisés. 

Dans ce graphique, j’ai illustré cette offre très large par quelques noms:

  • Survey Monkey pour les sondages.
  • Eventbrite pour l’organisation d’événements.
  • Mailchimp pour des opérations de mailing.
  • Kyriba pour la gestion de trésorerie. 
  • Diligent pour la gestion des conseils d'administration.

XLong tail SaaS Spécialisés

Il est devenu impossible de compter le nombre d’applications SaaS pour ces processus spécialisés disponibles sur le marché. Ce chiffre dépasse les 50000 et augmente de plusieurs milliers tous les ans. 

XBetterCloud 2021 - Number of SaaS Apps:sizeOn retrouve cette croissance dans le nombre de solutions SaaS déployées dans les entreprises. BetterCloud publie tous les ans un rapport sur l’état du marché SaaS. Comme le montre ce graphique, tiré de leur étude, en 2021 les entreprises de plus de 10000 salariés utilisaient plus de 400 solutions SaaS différentes.

Le graphique qui suit montre que l’offre de solutions SaaS couvre maintenant largement toute la “tête” de la distribution longue traîne des processus numériques dans les entreprises. Elle empiète aussi un peu sur la partie “longue traîne”.

Ce nuage de logos de solutions “Marketing technology”, totalement illisible, regroupe 8 000 éditeurs différents!

XLong tail Tous SaaS

ChiefMartec, qui publie ce document, ne listait “que” 1 000 offres en 2014!

 

Longue traîne: solutions Low Code et No Code (LCNC)

On vient de le voir, toutes les offres pour les processus numériques dans la “tête” sont couvertes par les solutions Bureautique, Frontique, SaaS et PaaS.

Pour les milliers de processus légers très spécialisés, qui correspondent à la partie “longue traîne”, les réponses modernes ont pour noms Low Code et No Code (LCNC).

Sur ce schéma, j’ai pris l’image des moyens de transport pour illustrer les différences entre les trois modes de développement, No Code, Low Code et Full Code:

XFull code  no code  low code - transport

  • No Code: la majorité des personnes est capable de passer son permis de conduire une voiture. De la même manière, la majorité des collaborateurs d’une entreprise est capable d’apprendre à utiliser les outils No Code.
  • Low Code: Il faut déjà plus de compétences pour maîtriser un camion ou un autobus. Dans les entreprises, toute personne qui savait construire des “Macros Excel” peut acquérir les compétences nécessaires pour maîtriser les outils Low Code.
  • Full Code: il faut des années d'entraînement pour apprendre à piloter un avion. Les développeurs professionnels ont besoin de plusieurs années d’apprentissage pour utiliser efficacement des outils PaaS.

Les offres de solutions LCNC ont fait des progrès spectaculaires au cours des 5 dernières années. Tous les outils modernes LCNC sont construits dans les clouds publics.

Les solutions Low Code sont en priorité utilisées pour les processus de la partie gauche de la longue traîne, qui demandent des développements d’une complexité moyenne.

Les solutions No Code sont utilisées pour la partie droite de la longue traîne, pour des processus les plus simples à modéliser.

XLong tail low code - No code

La frontière entre les solutions Low Code et No Code est très poreuse: les éditeurs logiciels préfèrent souvent positionner leurs solutions dans la famille Low Code, car cela leur ouvre un plus grand marché.

Prenons comme exemple d'excellents outils, très répandus:

  • Power BI de Microsoft et Data Studio de Google.
  • AppSheet de Google et Power Apps de Microsoft.
  • Airtable, qui est pour moi l’une des solutions les plus performantes du marché.

Lesquels de ces outils sont Low Code, lesquels sont No Code? Si vous posez la question autour de vous, vous obtiendrez les deux types de réponses.

Les outils LCNC permettent à des “citoyens développeurs” de construire eux-mêmes des applications légères pour améliorer rapidement des processus simples, mais “irritants” aujourd’hui, ceux qui ne peuvent pas être automatisés dans des coûts et des délais raisonnables par les développeurs Full Code.

En 2022, les outils LCNC sont encore réservés aux cols blancs: pour les utiliser efficacement, il vaut mieux disposer d’un ordinateur portable et les interfaces sont orientées textes.

Quels outils LCNC peut-on proposer pour les processsus simples, spécifiques aux équipes terrain?

 

Longue traîne: solutions No Code pour les équipes terrain

Chez WizyVision, nous avons été confrontés aux attentes des collaborateurs des équipes terrain. Le numérique n’est jamais leur métier principal, mais ils ont tous besoin de solutions numériques très simples pour accélérer et améliorer leurs activités terrain.

Je ne crois pas à la pertinence des solutions Low Code pour les équipes terrain.

Par contre, ils sont très à l’aise avec les outils No Code. C’est pour répondre à cette demande que WizyVision a développé deux outils No Code pour les équipes terrain:

  • Frontspace: un générateur No Code de processus simples, qui prend comme point de départ les photos, comme toutes les solutions proposées par WizyVision.
  • ML Studio: un outil de Machine Learning en No Code. Il permet aux équipes terrain de piloter elles-mêmes l’apprentissage des modèles ML dont elles ont besoin pour reconnaître les objets métiers spécifiques sur lesquels elles travaillent.

Une analyse longue traîne me permet d’expliquer quelle est la position de la plateforme WizyVision au service des équipes terrain.

XLong tail Frontique - No code - WizyVision

WizyVision propose des solutions numériques pour les deux extrémités de la longue traîne:

  • Un outil Frontique, une application mobile "photo d'entreprise" pour Android et iOS, utilisable par 100% des équipes terrain, “out of the box”, pour des usages simples et universels.
  • Deux outils No Code, Frontspace et ML Studio, qui permettent aux équipes terrain, dans une démarche “bottom up”, de construire elles-mêmes des dizaines d’applications numériques simples correspondants à des processus quotidiens simples.

WizyVision complète son offre avec des API ouvertes pour 100% des fonctionnalités de la plateforme. Ces API permettent de communiquer avec toutes les autres applications bureautiques, SaaS, PaaS, No Code et Low Code utilisées par les cols blancs pour éviter de créer un silo numérique de plus.

 

Synthèse

Au début de ce billet, je posais la question:

"Est-ce que les processus numériques utilisées dans les entreprises suivent une distribution du type longue traîne?”

La réponse est claire: oui!

XLong tail outils toutes réponses

J’espère, par cette analyse innovante des processus d’entreprise, aider les DSIN, Dirigeants des Systèmes d’Information et du Numérique, à mieux comprendre comment les nombreuses offres de solutions disponibles en 2022 peuvent être combinées pour répondre efficacement, rapidement et à moindre coût à la grande variété des attentes de leurs différents clients, attentes qui se répartissent sur une courbe longue traîne.

 


Dirigeants, vos rôles dans la transformation numérique au service des équipes terrain

 

XScénarios équipement équipes terrainDans un billet récent, j’ai abordé la dimension financière de l’équipement numérique des équipes terrain.

J’en reprends uniquement le tableau final, qui donne le coût complet d’une solution frontique, à savoir un smartphone et des applications numériques universelles.

Le coût mensuel par personne est compris entre 8 € et 25 €.

Je terminais en disant que la dimension financière était la plus simple à régler et que les dimensions management sont les plus complexes à régler.

C’est le thème de ce billet.

 

Les défis posés par l’équipement numérique des équipes terrain

Remarque préliminaire: ce que j'écris dans ce billet ne concerne pas votre entreprise !

Chez vous, tout est parfait, impeccable et les équipes terrain disposent des meilleurs outils numériques du monde.

C’est chez les autres que l’on rencontre les problèmes que j’expose ici:

● Dans la majorité des entreprises, les équipes terrain n’ont pas leur mot à dire sur le choix des outils numériques que l’on met à leur disposition.

● Dans la majorité des entreprises, les dirigeants n’ont pas la moindre idée de la réalité des activités des équipes terrain.

● Dans la majorité des entreprises, les équipes informatiques et numériques achètent ou développent des solutions numériques pour les équipes terrain sans faire le moindre effort pour aller sur le terrain et essayer de comprendre quelles sont leurs véritables attentes.

XAdS DPC filling forms S 37816129● Dans la majorité des entreprises, équiper tous les cols blancs d’un PC haut de gamme et d’un smartphone est une évidence quand on refuse trop souvent de fournir aux équipes terrain un smartphone professionnel, les obligeant à utiliser des formulaires papier, en 2022!

Dans toutes ces entreprises, cette fracture numérique entre les cols blancs et les équipes terrain doit cesser, et vite.

Comment ? En demandant aux dirigeants de prendre le problème en main et… de le résoudre.

La bonne nouvelle: c’est possible, rapidement.

 

Démarche Top Down - Bottom Up

La démarche proposée a déjà été suivie avec succès par un petit nombre d’entreprises innovantes.

Elle répond aux quatre défis que j’ai identifiés dans le paragraphe précédent et s’appuie sur un double mouvement, “Top-Down” et “Bottom-up”.

XWIzyVision - Top Down & Bottom Up

Pour la partie Top-down, les équipes dirigeantes ont la responsabilité d’impulser une stratégie claire, avec plusieurs objectifs:

● Faire de la réduction de la fracture numérique entre cols blancs et équipes terrain une priorité.

● Proposer des outils numériques qui encouragent une collaboration entre ces deux populations et rendent plus facile le partage d’information.

● Choisir des outils qui garantissent la pérennité des solutions proposées et évitent la prolifération d’un “Numérique Fantôme” comme on l’a connue pour les cols blancs.

● Mettre la sécurité et la protection des données au cœur des préoccupations.

Pour les équipes terrain, la démarche bottom-up répond à d’autres objectifs:

● Accepter le fait que les solutions numériques n’ont pas pour premier objectif de contrôler l’activité des équipes terrain, mais de les rendre plus efficaces dans leurs métiers.

Ceux qui font, savent. Ce sont les équipes terrain qui sont les mieux placées pour déterminer quels sont les outils numériques qui peuvent les aider dans leurs activités.

● Comprendre que la variété des activités demandées aux équipes terrain est beaucoup plus grande que ne le pensent les dirigeants.

● Instaurer une confiance réciproque entre les équipes terrain et les cols blancs.

● C’est en mettant entre les mains des équipes terrain des outils numériques universels, “frontiques”, qu’elles seront capables d’imaginer les dizaines de cas d’usage simples, à forte valeur ajoutée, qui les aideront dans leurs activités quotidiennes.

 

Les dirigeants acteurs

J’ai identifié quatre familles de dirigeants dont les rôles sont prioritaires pour assurer le succès d’une transformation numérique au service des équipes terrain.

XQuatre familles managers pour équipes terrain

L’ordre dans lequel je les présente n’ai pas dû au hasard; il va du plus important au moins important:

1. DRH, Direction des Ressources Humaines.

2. Directions métiers opérationnels, où travaillent les équipes terrain.

3. DSIN, Direction des Systèmes d’Information et du numérique.

4. DG, Direction Générale.

Par contre, la chronologie de l’ordre des interventions n’est pas la même: DRH, DSI, DG et Directions métiers opérationnels. C’est celui que je vais suivre dans mon analyse.

 

Rôle de la Direction des Ressources Humaines

Quand on parle d’équipes terrain, on fait référence à des personnes. Il est logique que la DRH d’une entreprise soit en première ligne pour orchestrer la disparition de la fracture numérique interne entre les cols blancs et les équipes terrain.

En France, les collaborateurs des équipes terrain, les personnes qui ne peuvent pas télétravailler, représentent environ 60% des salariés. C’est très variable selon les secteurs d’activités.

Faire rentrer les équipes terrain dans le monde numérique, toutes les personnes de ces équipes, quelle que soit leur formation initiale, ou souvent leur absence de formation, c’est investir sur la capacité de ces hommes et de ces femmes à progresser dans leurs compétences et leurs apports à l’entreprise.

C’est l’une des plus belles missions que puisse prendre en charge une DRH innovante.

J’ai participé il y a quelques semaines à un débat organisé par l’UODC, Université ouverte des compétences, qui avait invité Sandra Hazelart, DRH du Groupe Monoprix.

XDRH Monoprix

Avec l’accord total du DG du Groupe, la démarche qu’elle pousse pour prendre en compte les attentes des équipes terrain est exceptionnelle par sa portée et les innovations qu’elle porte.

Gérer les évolutions de carrière, en particulier pour les caissières dont on sait que le nombre va baisser, mettre plus de collaborateurs au contact des clients, équiper 22000 collaborateurs de smartphones sont quelques-unes des actions les plus spectaculaires poussées par Sandra Hazelart.

Les entreprises françaises ont besoin de beaucoup plus de DRH aussi exceptionnelles!

 

Rôle de la Direction des Systèmes d’Information et du Numérique

Quand on parle d’informatique et de numérique au service des équipes terrain, il est essentiel que les équipes de la DSIN soient impliquées dès le début du projet.

Dans le cas des usages frontiques à destination des équipes terrain, leurs rôles sont orientés en priorité vers les infrastructures.

Pourquoi? Les usages seront imaginés dans une démarche bottom-up par les équipes terrain, sans que les équipes de la DSIN n’aient à s’en occuper.

La DSIN doit proposer une plateforme numérique pérenne qui servira de support à tous les usages déployés par et pour les équipes terrain.

XFLW Modèle BISDUne fois de plus, le modèle B I S D (Business, Infrastructures, Support, Données) que je propose depuis des années s’applique très bien pour les usages au service des équipes terrain:

● I = Infrastructures Cloud pour la puissance et la pérennité.

● S = Usages support, ce que sont les applications frontiques.

● D = Base de données indépendante des usages.

● B = Usages métiers, pour des applications métiers spécifiques des équipes terrain.

La DSIN doit garantir:

● La cohérence de tous les usages qui seront imaginés par les équipes terrain.

● Que ces usages ne vont pas générer une nouvelle vague d’informatique fantôme comme cela c’est passé avec les cols blancs.

● Que la solution proposée ne va pas créer un nouveau “silo de données”.

● Que les échanges entre les solutions existantes au service des cols blancs et celles construites pour les équipes terrain seront possibles, chaque fois que nécessaire.

C’est avec tous ces objectifs en tête dès le premier jour et en travaillant en étroite collaboration avec les équipes informatiques et numériques d’entreprises innovantes comme Teréga que Wizy.io a construit la solution frontique WizyVision.

XComposants WizyVisionWizyVision a tout pour répondre aux attentes d’une DSIN:

● Basé sur GCP, le Cloud Public de Google: garantit une puissance sans limites et la possibilité de déployer les solutions sur tous les continents.

● DAC, Digital Asset Center: la seule base de données professionnelle au monde construite pour gérer et sécuriser tous les contenus photos créés par les équipes terrain.

● Frontspace: application mobile au service des équipes terrain.

● ML Studio: permet de construire des applications de Machine Learning en mode No-Code, permettant de reconnaître des objets métiers spécifiques.

● API: toutes les fonctionnalités de WizyVision sont ouvertes par API pour échanger, dans les deux sens, avec les applications existantes.

Oui, il est possible en 2022 à une DSIN de proposer rapidement une plateforme technologique moderne et pérenne qui permet de construire des dizaines de cas d’usages pour les équipes terrain.

 

Rôle de la Direction Générale

AdS DPC Rowing boat S 307629349Il est classique de dire que toute action dans une entreprise doit être initiée par la Direction Générale. Dans la pratique, il est illusoire de demander à une Direction Générale d’être le chef d’orchestre de toute transformation; ils n’en ont matériellement pas le temps.

Sur ce grand chantier de la suppression de la fracture numérique des équipes terrain, comme sur beaucoup d’autres, la DG doit être une facilitatrice et une coordinatrice des actions menées par les dirigeants plus directement impliqués.

 

Rôle directions métiers opérationnelles

Les équipes terrain travaillent dans ces directions opérationnelles, que ce soit dans l’industrie, le transport, la logistique, la distribution, l’hospitalité, la santé, la construction ou l’agriculture.

J’inclus aussi dans les directions métiers les managers de premier niveau, en contact direct avec les équipes terrain. Ce sont eux qui ont le plus de capacité à piloter la transformation numérique opérationnelle des équipes terrain.

Les objectifs de ces directions métiers sont clairs:

● Augmenter les compétences de leurs équipes terrain.

● Accroître leur efficience.

● Accepter que la démarche “bottom-up” soit la plus efficace.

Pour y parvenir, le plus efficace est de mener une première opération d’expérimentation, par échantillonnage:

● Mettre entre les mains d’un groupe le plus représentatif possible de collaborateurs des outils numériques universels frontiques.

● Leur demander de trouver les premiers cas d’usages.

● Faire la synthèse des meilleures pratiques nées sur le terrain.

L’entreprise peut ensuite industrialiser la diffusion des solutions numériques et généraliser les cas d’usage identifiés comme les plus pertinents à l’ensemble des collaborateurs.

Comme le montre ce schéma, de nouveaux cas d’usages naîtront en permanence, au fur et à mesure que les collaborateurs s’approprient ces outils frontiques.

XEtapes équipement FLW

 

Illustration de la démarche sur un cas concret

Pour illustrer cette démarche, je vous propose un exemple concret: une entreprise du secteur de la distribution qui emploie 4000 collaborateurs dans les équipes terrain, répartis entre 150 points de vente, 100 supermarchés et 50 supérettes de centre-ville.

XProjet FLW dans supermarchéQuelles sont les étapes de la phase d’expérimentation de l’équipement numérique des équipes terrain de cette entreprise?

● Sélectionner 20 supermarchés et 10 supérettes, les plus différents possibles en matière de localisation, de taille et de marché.

● Choisir 200 collaborateurs volontaires et motivés, 5% des effectifs, dans ces 30 points de vente, aux profils et activités les plus variés possibles.

● Équiper ces 200 personnes d’outils frontiques de base: un smartphone et une application telle que WizyVision.

● Leur donner carte blanche, pendant 15 jours, pour trouver et documenter des cas d’usages pertinents qui les aideraient dans leurs activités quotidiennes.

● Faire ensuite l’inventaire de toutes les propositions de cas d’usages.

Les chiffres qui suivent sont une estimation, mais ils sont basés sur des réalisations de ce type déjà menées à bien:

● Nombre moyen de cas d’usages proposés par chacun des 200 collaborateurs: 4.

● Nombre total de cas d’usages proposés: 200 x 4 = 800.

● Des cas d’usages similaires seront proposés par ces 200 collaborateurs. En faisant l’hypothèse que le taux de redondance des cas d’usages proposés est de 70%, on aura quand même identifié 240 cas d’usages différents!

Il est alors possible de passer à la phase industrialisation avec la certitude que ce sera un succès pour l’entreprise:

● Equiper les 4 000 collaborateurs avec un smartphone et les cas d’usages pertinents. Selon les métiers, on peut décider:

    ○ D’équiper la personne d’un smartphone individuel.

    ○ De la mise à disposition d’un smartphone partagé, en particulier pour les personnes qui travaillent à tour de rôle sur les mêmes métiers.

● Présenter, par petits groupes, métier par métier, à tous les collaborateurs les cas d’usages proposés. Ce sont les salariés qui ont identifié les cas d’usages qui seront chargés d’en faire la promotion et la démonstration.

● Demander à tous les salariés maintenant équipés de proposer eux aussi des cas d’usages qui n’avaient pas encore été identifiés. Ceci devrait rapidement générer un minimum une centaine de nouveaux cas d’usages.

● À la fin de ce processus en deux étapes, qui peut se réaliser en moins d’une année, 350 applications simples, à forte valeur ajoutée auront été déployées pour les 4 000 collaborateurs, dans les 150 points de vente.

 

Synthèse: réduire la fracture numérique pour les équipes terrain, un beau défi management des 5 prochaines années

Fracture numérique cols blancs FLWIls sont 2 700 millions dans le monde, ils sont dramatiquement sous-équipés en outils numériques, les collaborateurs des équipes terrain vous demandent à vous, les dirigeants, d’enfin penser à eux.
DG, DRH, DSIN, Dirigeants métiers, vous avez une responsabilité forte, une obligation morale devant vous: faire que, d’ici à 2025, il n’y ait plus de fractures numériques entre les cols blancs et les équipes terrain dans vos entreprises.

Ce billet est le cinquième que je publie sur ce sujet essentiel, et voici, en rappel, les quatre premiers:

Problème : après les cols blancs, priorité aux FLW, Front Line Workers.

Comment : après un ordinateur pour chaque col blanc, un smartphone pour chaque FLW.

Pourquoi : fractures numériques.

Finances : coûts des solutions numériques: cols blancs et équipes terrain.

Management : ce billet.

Il ne vous reste plus... qu’à passer à l’action.