Louis Naugès

(Avis aux lecteurs multitaches qui ont du mal à lire plus de 140 caractères : texte plus long que d’habitude, au vu de la richesse du sujet)

La BnF (Bibliothèque nationale de France) accueillait, jeudi 16 décembre, le CIGREF (Club Informatique des Grandes Entreprises Françaises) qui fêtait son 40e anniversaire ; le thème de cette réunion exceptionnelle : «du pari informatique au défi numérique».
Le choix de ce lieu, temple du «support analogique» pour accueillir le Gotha de «l’informatique numérique» était un clin d’œil amusant à la mutation numérique de tous les contenus !
J’ai mieux compris ce choix en découvrant que chaque participant recevait, en quittant la BnF, une pochette contenant... quatre livres, tous écrits par les intervenants de cette soirée. 

Un grand bravo aux organisateurs ! La soirée était passionnante, et le choix d’un panel d’intervenants très divers et de qualité y a beaucoup contribué.

La première partie de ce texte fait le point sur les mutations annoncées du CIGREF ; la deuxième est consacrée aux différentes présentations.


Les nouvelles priorités du CIGREF : de l’informatique au numérique

«Du «pari» Informatique au «défi» numérique !» était le thème fédérateur de cette réunion du 40e anniversaire.

Le «Pari informatique», c’était le titre du livre écrit en 1968 par Pierre Lhermitte ; l’ouvrage est malheureusement épuisé, mais on peut encore consulter son sommaire sur le site du CIGREF.

Dans ce livre, Pierre Lhermitte écrivait :
«L’informatique constituera la nouvelle frontière des économies développées dans les années à venir. La refuser, c’est accepter une décadence rapide. D’autres peuples nous dépasseront, les jeunes élites s’expatrieront, notre économie sera dominée.»
40 ans après, cette citation reste totalement d’actualité !

Pierre Lhermitte est à l’origine de la création du CIGREF en 1970 et en a été le premier Président.
Encore très clair et précis dans sa présentation (bravo les «seniors»), il a expliqué comment était né le CIGREF, qui avait au départ comme objectif le rapprochement des pouvoirs publics, des fournisseurs et des informaticiens.
En 2010, 40 ans après sa création, le CIGREF reste une association unique au monde, où se retrouvent les plus grandes entreprises françaises pour réfléchir aux évolutions de leurs Systèmes d’Information.

A l’occasion de cette manifestation, le CIGREF a :
- Dévoilé son nouveau logo.
- Changé de nature : il devient un réseau et non plus une association.
- Présenté sa nouvelle «signature» :
«Promouvoir la culture numérique comme source d’innovation et de performance»

Dans son exposé de clôture, Bruno Ménard, actuel Président du CIGREF et VP IS de sanofi-aventis, a été très convaincant et presque «lyrique» en présentant cette nouvelle vision.
J’ai entendu des expressions qui m’ont fait très plaisir :
- Ouverture de son Système d’Information vers l’extérieur.
- Cloud Computing, sujet sur lequel le CIGREF a publié récemment un livre blanc.
- Il n’y a plus de frontière entre l’informatique professionnelle et l’informatique privée.

 Il a résumé la stratégie du CIGREF avec trois mots :
- Engagement
- Entreprise numérique
- Culture numérique

La prise de conscience collective, par le CIGREF, de cette montée du numérique dans les SI et dans la vie quotidienne est un signe très fort, très positif.
Je suis persuadé que la majorité des entreprises membres du CIGREF vont, d’ici 2015, passer à l’action et mettre en pratique ces nouveaux axes de construction d’un Système d’Information moderne.


Les conférences

Pendant deux heures, les centaines de participants, en majorité des DSI, qui avaient bravé une météo très maussade et des risques de neige dans la soirée, ont pu écouter et dialoguer avec des intervenants de grande qualité.

Je n’ai pas la prétention de résumer ici l’intégralité des présentations, mais plutôt de mettre en exergue quelques idées fortes ; c’est un choix personnel et d’autres personnes auront retenu d’autres points forts.

Bruno Racine, Président de la BnF
Hôte de cette réunion, il a été le premier à s’exprimer et j’ai apprécié la clarté et la richesse de son exposé.
Bruno Racine a relevé les défis majeurs de la BnF :
- Conversion en numérique des 14 millions d’ouvrages imprimés (60 000 livres nouveaux rentrent chaque année), sans compter les millions de journaux et autres supports. La BnF avait commencé ce travail dans une logique de forte sélectivité des ouvrages à numériser, jusqu’au jour où... Google a annoncé sa volonté de tout numériser. La BnF a du changer de paradigme et réfléchir à une indispensable industrialisation du processus. Bruno Racine a confirmé qu’il est favorable à un accord de principe avec Google. La recherche de partenaires français alternatifs n’a, pour le moment, donné aucun résultat !
- La prise en charge d’objets nouveaux tels que le «livre numérique», réalité différente dans ses usages et sa conservation ; comment prendre en compte, par exemple la dynamique de ce support, très différente de la stabilité du livre classique.
- La BnF s’est aussi vue confier par le gouvernement la gestion du dépôt légal de l’Internet. Comment sélectionner, choisir, impossible de tout faire ! Pour le simple .fr, 13 milliards de fichiers ont été créés en 10 ans !
- Comment assurer la conservation pérenne des données numériques : elles sont périssables, fragiles, et posent aussi des problèmes de gestion des droits d’accès.

Jean-Paul Bailly, Président de la Poste
Il intervenait aussi en tant que membre du Conseil Economique, Social et Environnemental et de membre du CIGREF.
J’ai retenu deux sujets dans l’intervention de Jean-Paul Bailly :
- Engagement : c’est un pré requis pour tous les dirigeants ; le respect des engagements est la clef de la confiance avec toutes les parties prenantes. Jean-Paul Bailly a toujours consacré beaucoup de son temps aux réseaux sociaux et associatifs. (Pré Facebook !). Il est aussi, depuis 2010, Président de l’association «Entreprises et Personnel», créée à la même époque que le CIGREF.
- Révolution numérique. Il ne faut pas parler de la «concurrence Internet», il ne faut pas essayer de se battre contre un mouvement irréversible et nous devons devenir un acteur de cette mutation. C’est une phrase forte dans la bouche du patron de la Poste qui perd 7% de courrier par an, en grande partie à cause le la concurrence du courrier électronique !
Cette révolution numérique modifie les comportements, les valeurs, les attentes des clients et nous devons proposer de nouvelles offres, telles que le coffre-fort numérique ou devenir acteur dans la téléphonie mobile.

Un débat à trois
Histoire des religions, éducation supérieure au Québec et management dans une grande organisation, trois personnalités différentes ont chacune apporté leur vision des mondes numériques.

- Milad Doueihi, chaire de recherche sur les cultures numériques de l’Université Laval de Québec, auteur du livre «La grande conversion numérique» est un spécialiste de l’histoire des religions et a insisté sur les similarités entre l’informatique et le religieux, en nous disant par exemple que le virtuel a été inventé par le religieux et non pas par VMWare !

- Denis Brière, recteur de cette même université de Laval, a montré l’importance des technologies de l’information dans son organisation de plus de 50 000 étudiants. Un vice-recteur du SI, du numérique participe à toutes les réunions de management de l’Université. Il est vraiment dommage que des membres de nos universités n’aient pas écouté ce message !

- Jean-François Phélizon, DGA de St Gobain, lui aussi écrivain, vient de publier «Cyberstructures». Il a mis en évidence les principaux défis auxquels est confrontée l’entreprise : informatique, systèmes d’Information, réseaux, risques ...
J’ai bien aimé son image de la mutation du travail : la culture de «la chaise et du bureau», remplacée par le mobile.

Il me reste maintenant à lire ces quatre ouvrages ; du pain sur la  planche pendant les fêtes de fin d’année.


Alain Prochiantz, professeur au Collège de France
Neurobiologiste et membre de l'Académie des sciences, Alain Prochiantz nous a fait un discours très brillant sur le thème :
«Système nerveux & Système numérique : le choc de 2 métaphores !»

Je ne suis pas certain d’avoir tout compris, mais ses analyses sur le fonctionnement du cerveau complètent très bien celles de Nicholas Carr dont j’avais longuement parlé, là et là.
Beaucoup d’images, de chiffres surprenants, de citations dans cet exposé :
- «La vie, c’est l’ensemble des forces qui résistent à la mort.»
- En taille relative, le cerveau humain, c’est 900 cc sur 1400 cc «en trop» par rapport au chimpanzé.
- L’homme se régénère en permanence : il perd 80 Kg de cellules par an.
- Il y a moins de 10 % des neurones localisés dans le cerveau.
- Les humains sont, depuis toujours, des Cyborgs : le bras est prolongé par le marteau comme le cerveau l’est par l’informatique.

Venant d’un scientifique de haut niveau, il est aussi réconfortant de l’entendre dire : «Ce que l’on croit savoir sur le cerveau» ou «Dans un monde où le changement est la règle, il faut savoir introduire du désordre et du bruit.»
Et si l’on avait la même position vis-à-vis des Systèmes d’Information ?

Maurice Levy, Président de l’AFEP, Président du Groupe Publicis
Dernier intervenant de la soirée, Maurice Levy, surtout connu pour sa fonction chez Publicis, Maurice Levy vient d’être nommé à la présidence de l’AFEP, Association Française des Entreprises Privées ; c’est un club très «privé» où sont présents les présidents des plus grandes entreprises françaises.
Image Levy
Maurice Levy, c’est probablement l’exemple le plus célèbre d’un informaticien qui a très bien réussi sa vie professionnelle en... sortant de son métier !
«J’ai écrit des programmes en assembleur, il y a 40 ans», c’est comme cela qu’il a commencé son exposé avant de présenter sa vision très moderne du monde numérique ; quelques idées forces :

- Le numérique, c’est déjà 30 % des revenus de Publicis.
- Je suis multitaches, j’écris moi-même mes textes directement au clavier.
- L’idée de cloisonner l’information va disparaître.
- Le numérique, c’est une lame de fond, qui modifie tout dans nos vies, nos échanges.
- On assiste à un «blurr» (mot qu’il a reconnu ne pas savoir traduire), l’effacement des frontières entre les mondes professionnels et personnels.

J’aimerais bien entendre un discours aussi positif que le sien sur le «Cloud Computing» dans la bouche de tous les dirigeants :
- Le Cloud, c’est la fin des ERP.
- Le Cloud permet l’externalisation d’un grand nombre d’applications, telles que le CRM.
- Apple et Google vont se substituer aux outils installés.
- Le rôle d’un responsable sera de décider ce que l’on garde dans l’entreprise et de ce que l’on met dans les «nuages».
- Les investissements sont remplacés par des coûts de fonctionnement.
- Les conséquences, les impacts du Cloud ne sont pas encore bien mesurés.
- La compétition ne viendra plus des systèmes propriétaires et il faudra «intégrer avec virtuosité» des palettes d’outils disponibles.
Je n’aurais pas grand-chose à ajouter !

Mais c’est sur la prise de risques nécessaires, concernant la confidentialité des données et des fichiers qu’il a le plus insisté, en nous avertissant que Wikileaks n’était qu’un petit signe avant-coureur de ce qui allait nous arriver à tous.
Il va falloir apprendre avec l’idée que chaque mail que l’on écrit peut se retrouver en ligne, que l’on va perdre la maîtrise de l’information, en bref, que la transparence absolue devient la règle, la confidentialité des données une exception. L’entreprise deviendra de plus en plus une «maison de verre».

J’allais oublier ! Un excellent buffet a permis à tous les participants de continuer les échanges dans une ambiance très chaleureuse.


En synthèse...

Je suis sorti de cette soirée vraiment très heureux de ce que j’avais entendu, avec le sentiment très fort que les professionnels de l’informatique avaient pris conscience des profondes mutations du monde numérique et qu’ils étaient maintenant... prêts à passer aux actes.

Si je ne devais retenir que trois messages forts, ils seraient :
- La disparition des frontières entre la sphère professionnelle et la sphère privée, les mêmes outils étant utilisés dans les deux.
- Le Cloud Computing va s’imposer, rapidement.
- La transparence des données devient la règle, la confidentialité l’exception.

Il y a quelques semaines, une «étrange» épidémie de vols de portables a touché des journalistes français.
Des collaborateurs du journal le Monde, de l'hebomadaire Le Point et du site d'information Rue89 ont été victimes du vol de leurs PC portables.

La caractéristique commune de ces personnes est qu’elles avaient toutes travaillé sur des dossiers relatifs à Madame Bettancourt, affaire aux nombreuses ramifications économiques et politiques.

Comme le faisait remarquer l'eurodéputée du MoDem Nathalie Griesbeck, la probabilité que ce soit une «coïncidence» n’est pas très élevée.
Ces journalistes savaient donc que, travaillant sur des documents sensibles, ils étaient plus exposées que d’autres à ce risque.


PC portables ou Cloud Computing, où les données sont-elles le plus en sécurité ?

Ces événements ont remis sur la table, une fois de plus, le thème récurrent de la sécurité et de la confidentialité des données.

J’ai entendu mille et une fois l’argument «anti-Cloud» suivant :
«je ne mettrai jamais mes données sensibles sur les «Nuages», que ce soit les données commerciales avec Salesforce ou mes documents avec Google Apps, car elles n’y sont pas en sécurité et leur confidentialité n’est pas garantie.
La même question se posait, il y a 50 ans, pour la sécurité de son argent, la banque «nuages» étant opposée au matelas «PC».

La sécurité totale n’existant pas, la vraie question à poser aujourd’hui est :
Mes données sont-elles plus en sécurité, mémorisées en local sur un objet mobile ou hébergées sur les serveurs d’un fournisseur professionnel de solutions Cloud computing ?

Je vous propose donc de faire le point sur les principaux «dangers» pour la confidentialité des données posés par l’usage d’un objet mobile.


Principaux risques «confidentialité» liés à l’utilisation d’un objet informatique mobile.

Cloud Computing ou pas, nous sommes tous les jours plus nombreux à utiliser des objets mobiles, et il est illusoire de vouloir s’opposer à cette vague de fond.
PC et Macintosh portables, smartphones, tablettes, les objets mobiles d’accès à Internet et à son système d’information sont déjà, en 2010, beaucoup plus nombreux que les PC fixes.

Comme le montre ce graphique qui vient de la remarquable étude annuelle réalisée par Mary Meeker pour la banque Morgan Stanley, 80 % des objets d’accès à l’informatique seront mobiles à la fin de l’année 2013.


Vol physique de ses objets mobiles.

Chaque semaine, 3 300 portables professionnels sont perdus dans les huit principaux aéroports européens, dont 57 % ne sont jamais réclamés ! La situation est particulièrement grave pour London
Heathrow qui bat tous les records (900 ordinateurs perdus ou volés par semaine), suivi de Amsterdam (750) et de Paris-Charles de Gaulle (733). Ces résultats, inquiétants, sont tirés d'une étude réalisée par l'Institut Ponemon pour le compte de Dell.

Aux États-Unis, pas moins de 12 000 portables professionnels sont perdus chaque semaine ; cumulé sur une année cela représente... 637 000 PC qui disparaissent tous les 12 mois.

Le coût «physique» du vol est de loin le moins important, même s’il est toujours désagréable de voir disparaître un objet dont le prix de remplacement oscille entre 300 et 2 000 €.

Un article de PC Mag estime le coût complet de remplacement d’un PC volé à  $ 50 000, 50 à 100 fois plus que le coût du seul remplacement du PC.

Il existe de nombreux moyens de protection physique d’un objet mobile, depuis le simple câble en acier à 20 € jusqu’aux alarmes sonores plus sophistiquées. Je suis toujours très surpris de constater qu’une majorité de personnes ne possèdent aucun moyen de ce type pour attacher leur PC dans une chambre d’hôtel ou pendant une conférence.


Protection des contenus

Les données stockées sur un objet mobile ont une valeur beaucoup plus grande que l’objet lui-même, que ce soit par leur éventuelle valeur pour un concurrent ou pour le simple coût de les recréer.
Oui, je sais, il est possible de crypter les données d’un disque dur, tout le monde a en permanence une copie à jour de toutes ses données sur un support externe protégé...

La réalité est toute autre...
Le cabinet Ponemon, spécialiste reconnu de la sécurité déjà cité, a réalisé, début 2010, une enquête en France sur le «facteur humain» dans la sécurité des PC portables.

Les résultats de cette étude, malheureusement non publics, sont édifiants ; ils confirment ce que nous savons tous, à savoir que les défaillances humaines sont les plus grandes sources de failles de sécurité. A titre d’exemple, même dans les cas où le cryptage des données est mis en œuvre par l’entreprise, 30 % des dirigeants avouent l’avoir désactivé !

Il existe un autre risque, moins connu, encouru par toutes les personnes qui voyagent aux Etats-Unis.
La loi américaine autorise les douaniers qui vous «accueillent» à l’arrivée à lire toutes les données de votre PC. Si vous les avez codées, ils vous demanderont la clef de décryptage. En cas de refus, votre PC vous sera immédiatement confisqué et remis à des spécialistes qui sauront, très vite, faire parler votre disque dur.


Cloud Computing : quels risques pour les données ?

La sécurité et la confidentialité des données que l’on confie à un fournisseur «Cloud Computing» sont encore, en 2010, les têtes de liste dans toutes les enquêtes sur les freins éventuels à l’utilisation des solutions Cloud Computing, comme le montre cette récente étude réalisée par l’ISACA (Information Systems Audit and Control Association).

A tous les «hypocondriaques» de la sécurité informatique, je recommande chaudement le dernier livre blanc publié par le Syntec Numérique (Ex Informatique). Il leur fournira une large gamme d’arguments leur permettant de justifier une non-migration sur le Cloud.

Pour les personnes plus «ouvertes», je recommande aussi la lecture des livres blancs publiés par deux grands acteurs du Cloud, Amazon (22 pages) et Google (17 pages), qui expliquent avec beaucoup de détails comment ils gèrent la sécurité de leurs infrastructures. 
Elles pourront alors poser une question simple : combien d’entreprises ont, pour leurs infrastructures gérées en interne, des niveaux de sécurité équivalents ?

Il reste bien sûr l’argument choc, la confidentialité des données hébergées, ou comment le «grand méchant» Google, le «grand méchant» Salesforce vont passer leur temps à lire vos documents confidentiels ou la liste de vos prospects.

Quand j’explique, calmement, à mon interlocuteur que ces fournisseurs ont mille fois plus à perdre que leurs clients si l’on découvre qu’ils ont trahi leur confiance, je me vois opposer l’argument massue du «Patriot Act» qui permettrait aux sbires du gouvernement américain de lire tous mes documents, même les plus confidentiels.
Sur ce sujet, je vous propose de consulter un autre livre blanc, publié par ThinkStrategies, spécialiste du Cloud Computing et du SaaS ; il ramène ce risque à sa juste valeur, c’est-à-dire nul pour l’immense majorité des entreprises.


Mot de passe : maillon faible de la sécurité Cloud Computing

Tous les professionnels de la sécurité savent bien que les principaux risques viennent des utilisateurs, comme on l’a vu pour les objets portables.
Dans le domaine du Cloud Computing, les mots de passe représentent un risque évident, que ce soit par :
- Un nombre de caractères trop petit.
- Le choix de mots ou chiffres faciles à retrouver.
- L’utilisation du même mot de passe pour de trop nombreux services.
- Et ... beaucoup d’autres déficiences.

Il existe de nombreuses solutions pour réduire fortement les risques induits par le piratage d’un mot de passe, même si aucune ne peut garantir une fiabilité à 100 %.

Un bon exemple est l’initiative prise il y a peu par Google, proposant pour Google Apps un système de double authentification, un OTP en Anglais (One Time Password).
La solution de Google, gratuite, fonctionne par l’envoi d’un SMS sur le téléphone portable de la personne au moment d’un nouvel accès ou avec l’aide d’un logiciel installé sur son smartphone et qui génère des clefs d’accès dynamiques, même en cas de non-accès au réseau téléphonique.

Cet outil, vraiment très simple d’emploi, multiplie par 100 ou par 1 000 la sécurité d’un simple mot de passe et nous l’avons rapidement généralisé chez Revevol.


Résumé

Si j’étais un journaliste amené à travailler demain sur un dossier «sensible», je devrais choisir entre deux options pour stocker les résultats de mes enquêtes :
- Sur mon PC portable.
- Sur les «Nuages» de Google ou d’un autre.

Poser cette question, c’est déjà y répondre !

Il est évident, pour moi, que je dormirais beaucoup plus tranquille avec des dossiers confidentiels «dans les nuages».

Mise à jour du 13 décembre.

Suite aux remarques et propositions de nombreux lecteurs, j'inclus un lien vers la dernière vidéo de Google qui montre les avantages de "ChromeOS" pour un notebook qui subit les "derniers outrages" !