Solutions numériques en Europe, mi 2020 : une qualité exceptionnelle

 

AdS DPC Pessimism sur visage S 349567679Halte à la sinistrose ! Le pessimisme numérique, ça suffit ! Tout va mal dans le numérique, basta ya !

Je n’en peux plus, de ces discours de politiques, de dirigeants et de responsables du numérique qui ne parlent que des dangers du numérique, des risques qu’il fait courir aux entreprises, aux états et même à la planète.

Et si l'on regardait, en priorité, ce qui fonctionne bien dans le numérique ?

C'est le thème de ce billet d’humeur, pour vous aider à préparer un été et une reprise en septembre qui ne soient pas d’une noirceur numérique totale.

Rappel : ce billet est centré sur les solutions professionnelles, pas celles destinées au grand public.

 

Offre de solutions numériques en 2020

Nous sommes en 2020, pas en 2000 ! Les progrès réalisés par l’offre de solutions dans tous les domaines du numérique ont été spectaculaires, exponentiels.

Les entreprises ont tout sous la main pour réussir leur Transformation Numérique.

BIS - Infra  Soutien  MétiersJe vais à nouveau utiliser mon modèle B I S ; il a maintes fois fait la preuve de son efficacité, en définissant les trois domaines :

● I = Infrastructures.

● S = Usages Support (Universels, non spécifiques d’un secteur d’activité).

● B = Usages Business (Cœur métiers).

Ce billet fait le point sur ce qui fonctionne bien dans ces trois domaines.

Il n’est pas nécessaire de créer un suspense “insoutenable”. En 2020, les solutions Clouds Publics ont tout gagné, ne laissant que des miettes aux offres numériques historiques que certaines entreprises s’obstinent à garder dans leurs centres de calcul privés en fin de vie.

AdS DPC 90 : 10 SS 28371184Je résume en deux chiffres la situation des offres de solutions numériques en 2020 :

● 90 % des besoins numériques professionnels trouvent d’excellentes réponses sur le marché.

● Pour 10 % des besoins numériques, les entreprises manquent encore de réponses de qualité.

 

Infrastructures = IaaS, Infrastructures as a Service

En créant en 2006 AWS, Amazon Web Services, la première offre IaaS (Infrastructure as a Service) du monde, Amazon a lancé la plus grande révolution qui est jamais existé dans le monde des infrastructures.

En 2020, les jeux sont faits, comme le montre sans ambiguïté le récent quadrant magique IaaS du Gartner Group publié en juillet 2019.

Gartner MQ IaaS 7:2019

On a rarement vu un quadrant magique plus simple :

● Pas de challengers, pas de visionnaires.

● Trois leaders : AWS, Microsoft Azure et Google GCP.

● Trois acteurs de “niche” : deux anciens combattants, IBM et Oracle, et un Chinois, Alibaba, qui est lui en croissance.

Comme je le rappelais dans mon billet précédent, la richesse des services proposés par les trois leaders est impressionnante, et de nouveaux services naissent toutes les semaines.

Toutes les fonctions d’infrastructures dont ont besoin les entreprises sont disponibles chez AWS, Azure ou GCP.

Il y a deux autres dimensions positives dans l’IaaS que je souhaite rappeler, l’omniprésence de l’Open Source et des interopérabilités de plus en plus faciles à mettre en œuvre.

Open Source

Ces géants IaaS ont vite compris qu’il était idiot et peu efficace de créer chacun dans son coin des briques de base d’infrastructures propriétaires. Ils se sont vite mis d’accord pour utiliser les mêmes grands standards, tous Open Source. Quelques exemples :

● Linux domine les systèmes d’exploitation utilisés en IaaS. Microsoft annonce fièrement que plus de 40 % des usages d’Azure ce font avec Linux. Windows Server, dernier survivant des solutions propriétaires, disparaît petit à petit du paysage IaaS.

Open Container Initiative● Docker pour les containers. L’OCI, Open Container Initiative a été créée dès 2015 pour coordonner les travaux dans ces domaines. OCI est hébergé par la Linux Foundation.

● Kubernetes pour gérer les containers : Kubernetes a été créé par Google, et utilisé par AWS et Azure, avec parfois quelques variantes.

Interopérabilités

Il est beaucoup plus facile, en 2020, de porter des applications d’un Cloud Public à un autre qu’il ne l’était dans l’Ancien Monde des dinosaures numériques de le faire d’un centre de calcul privé à un autre.

Deux exemples :

VMWare on AWS● VMWare était le fournisseur dominant des machines virtuelles. VMWare a signé des accords avec AWS, GCP et Azure qui permettent de porter à l’identique ses machines virtuelles sur ces trois Clouds Publics.

● Dans le monde des containers, qui remplacent rapidement les machines virtuelles, Google a donné l’exemple avec Anthos, qui permet de porter ses usages conteneurisés vers AWS ou Azure. Microsoft propose une solution similaire avec Arc.

Résumé : entreprises, en 2020, vous avez à votre disposition une large palette de solutions d’infrastructures exceptionnelles, pérennes et interopérables. Problème réglé.

 

Usages Support = SaaS, Software as a Service

Messagerie, webconférences, CRM, gestion des ressources humaines, budgets, trésorerie…

Pour tous ces usages support, il existe de remarquables solutions SaaS, Software as a Service.

Combien ? Plus personne n’est capable de les compter ; j’estime que le nombre de solutions SaaS Support dépasse les 30 000 ou 40 000 produits.

À l’inverse du marché IaaS, de type oligopole, celui du SaaS a permis la naissance de milliers d’éditeurs différents, dans tous les pays du monde.

Dans Next40, la liste des 40 startups françaises ayant levé le plus d’argent, on trouve plusieurs éditeurs SaaS d’usages support tels que Klaxoon, Ivalua ou Talentsoft.

En France, PlayFrance, une initiative récente, souhaite référencer les éditeurs “made in France”. Ce tableau ne regroupe pas l’ensemble de l’offre française, comme il le prétend, mais montre que l’offre est large, et c’est une bonne nouvelle.

PlayFrance map of solutions

Cette initiative est sympathique, mais je ne l’ai pas rejointe, alors que je participe avec la société Wizy.io à la création et au développement de solutions SaaS en France, WizyEMM et WizyVision.

Pourquoi ? Les phrases ci-dessous, extraites du manifeste publié par PlayFrance, mettent en évidence, une fois de plus, un mal français récurrent : faire appel à l’état quand les forces du marché vous sont contraires.

Manifeste PlayFrance blog

Des dizaines d’éditeurs SaaS nés en France sont devenus des leaders mondiaux, seuls, sans s’appuyer sur les béquilles de l’état.

L’initiative GAIA-X, dont j’ai dit tout le “bien” que j’en pensais dans mon billet précédent, est née en Allemagne et la France s’y est raccrochée au dernier moment.

L’initiative PlayFrance est née en France et espère créer d’ici la fin de l’année 2020 un “PlayEurope”.

Jouer au gaulois revanchard, obliger les responsables du numérique dans les entreprises à acheter 50 % de solutions “nationales”, c’est irréaliste, idiot, inapplicable, contre-productif et probablement contraire aux règles européennes sur la concurrence. N’oublions jamais que le numérique n’est pas une fin en soi, mais un ensemble de moyens permettant aux entreprises de devenir plus performantes.

EuroCloud BarcelonaQue les acteurs européens du numérique s’associent, mènent des actions de marketing en commun, c’est une excellente idée. J’ai été l’un des premiers à rejoindre EuroCloud France, il y a plus de dix ans. J’ai applaudi à la création d’une fédération d’EuroCloud dans plusieurs pays tels que l’Allemagne et l’Espagne. J’ai participé comme représentant de la France aux jurys européens qui élisaient les meilleures solutions lors des Trophées Eurocloud. Cette photo a été prise lors des trophées européens de 2015 à Barcelone.

De belles sociétés comme RunMyProcess ou BIME ont profité de ces trophées pour augmenter leur notoriété et grandir très vite.

De ridicules querelles de chapelle ont fait capoter cette initiative européenne et quelques Eurocloud, dont la France, continuent à travailler, chacun dans son coin. Désespérant !

AdS DPC Defense Offense S 319141188Dans le marché des SaaS Support, l’Europe et la France peuvent encore prendre une place honorable sur l’échiquier mondial du numérique. Oui, mais ce n’est pas en jouant uniquement la défense, en diabolisant de remarquables sociétés internationales, “coupables” d’avoir réussi, que l’on peut espérer gagner. Il est urgent de miser en priorité sur l’offensive, en permettant aux éditeurs SaaS européens d’aller porter le fer sur les marchés mondiaux.

Je ne le répéterai jamais assez : en 2020, les marchés du numérique sont mondiaux. Il est illusoire d'espérer réussir à long terme si l’on a une vision étriquée, nationale ou même européenne du marché des SaaS support.

Bessemer Ventures vient de publier une remarquable étude, “State of the Cloud 2020”, dont j’ai extrait cette carte du monde. Elle présente les acteurs importants du Cloud qui ne sont pas basés aux USA. L’Europe y est très présente, ce qui confirme ma position optimiste.

Bessemer Cloud leaders not USA

Je termine sur une note positive pour les responsables du numérique dans les entreprises :

En 2020, 99 % de vos besoins pour les fonctions support sont disponibles en SaaS avec des offres nombreuses et de grande qualité.

Répondre aux attentes des entreprises pour tous les usages support : problème réglé !

 

Usages Métiers = SaaS verticaux, PaaS, Low Code et No Code

Les usages cœurs métiers, le B du modèle B I S, correspondent à des activités qui sont spécifiques d’un secteur d’activité : banques, énergie, transport, agriculture…

En 2020, il existe trois familles de réponses pour les usages “B” :

● SaaS verticaux.

● PaaS, Platform as a Service.

● Plateformes Low Code et No Code.

Ces trois démarches sont complémentaires ; il n’y en a pas une qui soit meilleure que l’autre.

Une bonne nouvelle, une fois de plus : avec ces trois réponses, les entreprises ont les moyens de répondre aux attentes des métiers de manière très performante !

Le schéma ci-dessous met en évidence les deux principales différences entre ces trois démarches :

● Outils utilisés pour construire ces réponses.

● Qui est en charge de fournir la solution.

Usages B Metiers - Trois réponses

SaaS verticaux

Après s’être attaqués dans une première étape aux usages support, les éditeurs de solutions SaaS ont abordé les solutions verticales. En 2020, l’offre de verticaux SaaS couvre un grand nombre d’industries. Il reste beaucoup à faire, et c’est un domaine où des éditeurs européens peuvent espérer prendre des parts de marché importantes. Doctolib ou Meero sont des exemples encourageants de premiers succès de la France dans les SaaS verticaux.

J’ai déjà cité l'étude de Point Nine sur les éditeurs SaaS en France : j’en ai extrait cette liste des solutions SaaS verticales. Difficile de ne pas être… optimiste quand on voit le grand nombre d’entreprises citées.

Point nine list Vertical SaaS French

En référence au schéma des trois familles de solutions, un SaaS vertical est :

● Développé et maintenu par un éditeur de solutions.

● Un outil “sur étagère” avec toutes les qualités d’une solution SaaS multitenant.

PaaS, Platform as a Service

AdS DPC Three Developpers Woman & men  S 213634957Dès 2015, j’écrivais dans mon blog un billet annonçant la renaissance du métier de développeur professionnel. Ce message a été entendu par des entreprises innovantes qui ont recréé des équipes internes de développement.

Développeur professionnel en 2020 ? Quel beau métier ! Quel bonheur !

Les développeurs professionnels disposent d’outils PaaS d’une exceptionnelle qualité, proposés par… les grands acteurs IaaS, AWS, GCP et Azure. Ne pas utiliser aujourd’hui ces plateformes de développement, ce serait priver bêtement vos équipes des moyens de travailler efficacement.

Tout se passe dans le Cloud ! Ce n’est pas par philanthropie que Microsoft a dépensé 7,5 milliards de dollars pour racheter GitHub, la plus grande base de données de code du monde. La concurrence dans ce domaine est forte, et des solutions comme GitLab proposent des solutions au moins aussi performantes.

Les développeurs professionnels ont acquis de nouvelles compétences dans des domaines tels que le Devops ou le Serverless. Ils peuvent construire rapidement de remarquables applications cœur métiers sur mesure, permettant aux entreprises de gagner en compétitivité grâce au numérique.

Toutes les entreprises deviennent constructeurs de solutions numériques dans le Cloud. Je suis persuadé que beaucoup d’entre elles vont devenir… éditrices de solutions SaaS verticales, dans leurs métiers qu’elles connaissent mieux que quiconque.

En référence au schéma des trois familles de solutions, un outil PaaS est :

● Proposé par les trois grands acteurs IaaS.

● Mis en œuvre par des développeurs professionnels.

Low Code, No Code

No Code Low codeTous les besoins cœur métiers ne demandent pas la construction d’applications complexes par des développeurs professionnels. Il existe aussi une forte demande pour des dizaines, des centaines d’applications légères, à forte valeur ajoutée.

C’est le terrain de chasse favori des outils de développement Low Code et No Code (LC/NC).

Les plateformes de Cloud Public ont permis la naissance de très nombreux outils LC/NC ; leur nombre a explosé au cours de ces cinq dernières années.

Les outils LC/NC permettent à des personnes qui ne sont pas des développeurs professionnels de construire des applications numériques. Ils existent depuis les débuts de l’informatique et les plus célèbres dans l’Ancien Monde étaient Excel et Access de Microsoft.

J’ai toujours été un farouche opposant de ces outils LC/NC, pré cloud, et écrit plusieurs billets à ce sujet, en particulier contre les applications Excel.

La situation des développements LC/NC est différente dans le cloud public : tout est réalisé en mode collaboratif, sur des données communes et on évite, pour l’essentiel, la création de silos numériques dans les entreprises.

Différences entre Low Code et No Code

La frontière entre Low Code et No Code est difficile à établir ; il y a un continuum de complexité croissante depuis le No Code vers le Low Code.

En utilisant l’analogie avec les permis de conduire :

● No Code : permis B, que l’immense majorité des personnes est capable d’obtenir.

● Low Code : permis D, nécessaire pour conduire des véhicules de plus de 8 personnes, qui demande plus de préparation.

PaaS vs LC:DC BoxingDe nombreux développeurs professionnels se méfient de ces outils LC/NC, craignant qu’ils phagocytent leur travail. C’est une grave erreur : ces outils LC/NC permettent aux métiers de construire eux-mêmes de nombreuses applications légères à forte valeur ajoutée. Ceci réduit fortement le nombre de demandes qui atterrissent sur le bureau de la DSI et permet aux développeurs professionnels de concentrer leur énergie sur les fonctions essentielles, à construire avec les outils PaaS qu’ils sont les seuls à maîtriser.

En référence au schéma des trois familles de solutions, les outils Low Code et No Code sont :

● Proposés par des éditeurs de logiciels SaaS.

● Mis en œuvre par des développeurs dans les directions métiers.

Quel bonheur de pouvoir écrire cette phrase toute simple :

Répondre aux attentes des entreprises pour tous les usages cœur métier : problème réglé !

 

Solutions numériques exceptionnelles, pour tous les besoins

J’ai utilisé trois fois l’expression : “problème réglé” ; ce n’est pas par hasard. En reprenant le modèle B I S comme référence, j’ai mis en évidence à quel point les offres de solutions numériques sont, en 2020, capables de répondre à la très grande majorité des demandes des entreprises, de toutes les entreprises, quelles que soient leurs secteurs d’activité ou leur taille.

BIS - Infra  Soutien  Métiers réponses cloudCe schéma confirme ce que j'écris depuis des années dans ce blog :

Le Cloud Public fournit aujourd’hui les meilleures réponses, et dans tous les domaines :

● Iaas pour les infrastructures.

● SaaS pour les usages Support.

● SaaS verticaux, PaaS, Low Code et No Code pour les usages métiers.

 

Sécurité et confidentialité de très haute qualité

Un raisonnement rationnel et posé comme celui que je présente dans ce billet démontre que les entreprises trouvent dans les Clouds Publics tout ce dont elles ont besoin pour réussir leur Transformation Numérique.

AdS DPC Reject SS 106726173Comment se fait-il qu’un grand nombre de personnes intelligentes soit encore, en 2020, aussi réticent et refuse d’utiliser les solutions numériques disponibles dans les Clouds Publics ?

L’objection que j’entends le plus souvent est celle de la sécurité des Clouds Publics et de la confidentialité des données.

J’ai abordé en profondeur ce sujet de la “confiance” ; j’irai ici à l’essentiel.

Les Clouds Publics AWS, Azure et GCP sont, et de très loin, les infrastructures numériques les plus sécurisées du monde. Elles protègent aussi les données que leur confient les entreprises mieux que ne peuvent le faire en interne 99,99999 % d’entre elles.

Les failles de sécurité, les vols de données sont inexistants dans les Clouds Publics. Quand ils se produisent, et cela arrive souvent, c’est toujours dans des centres de calculs privés gérés par les entreprises.

Cloud Act YetiÀ bout d’arguments, les anti Clouds Publics sortent leur arme fatale, le Cloud Act, qui n’a… strictement rien à voir avec le Cloud.

J’attends toujours que l’on me cite un seul cas concret d’une entreprise française qui aurait subi une attaque liée au Cloud Act.

J’ai enfin trouvé la définition qui convient pour définir le Cloud Act : c’est le Yeti du numérique !

Tout le monde en parle, personne ne l’a jamais vu !

 

Tentation mortelle de repli de l’Europe du numérique sur elle-même

Des solutions numériques exceptionnelles existent, à la disposition des entreprises du monde entier. Il faut tout faire pour que les entreprises européennes continuent à pouvoir les utiliser comme vecteur majeur de leur compétitivité, dans une compétition mondiale.

Comme je l’ai dénoncé dans ce texte, il existe une tentation forte de protectionnisme numérique en Europe et en France. Il serait criminel de mettre des bâtons dans les roues des entreprises qui recherchent les meilleurs outils numériques disponibles, en les obligeant à choisir des solutions “nationales”. Ralentir la capacité des entreprises à se moderniser par une Transformation Numérique en leur imposant des solutions “suboptimales”, non merci !

AdS DPC Snail french flag SS 73162555

Ce n’est vraiment pas le moment, surtout quand il faudra travailler encore plus pour relancer l’économie après l’arrêt brutal lié au COVID-19 !

L’application “StopCovid” française est une parfaite illustration de ce mouvement de repli sur soi. J’avais dénoncé, dès le mois d’avril, cette absurdité qui consistait à refuser l’aide proposée par Apple et Google qui représentent 99% des smartphones utilisés en France ; pour une fois, miracle, ils avaient accepté de collaborer.

Erreur stop Covid

Résultat, hélas prévisible : une application qui ne fonctionne pas bien sur iOS, incompatible avec toutes celles des autres pays. Hallucinant : la France a osé demander à Apple de modifier le mode de fonctionnement de Bluetooth sur iOS pour s’adapter à l’application française. Apple n’a pas daigné répondre à cette demande, quelle outrecuidance !

Les premiers résultats sont pour le moins “décevants” : 14 alertes envoyées et un coût exorbitant par alerte, de près de 13 000 €.

Reconnaître que l’on s’est trompé ? Il n’en est pas question et le gouvernement va lancer une étude, payante évidemment, pour comprendre pourquoi les Français n’ont pas compris comment utiliser StopCovid. C’est la faute des utilisateurs, je crois réentendre un discours des informaticiens des années 1990.

Un mea culpa du gouvernement m’aurait un peu rassuré. Ce refus d’accepter la réalité d’un échec lié à de mauvais choix technologiques est très inquiétant.

Répéter ces comportements des dizaines de fois au cours des prochaines années, pour défendre nos solutions nationales, quelle belle recette pour pénaliser les entreprises avec un maximum d’efficacité !

Il existe heureusement des décisions positives telles que l’usage d’AWS par la BPI pour gérer le PGE, Prêt Garanti par l’État, qui montre que l’on peut garder espoir. Il y aura bien sûr des grincheux qui vont réagir négativement et regretter cette décision.

 

Synthèse

Ce billet est tout entier tourné vers un optimisme numérique raisonné : la qualité et la variété des solutions numériques disponibles en 2020 sont exceptionnelles. Elles permettent aux entreprises de toute taille et de tout secteur de mener une Transformation Numérique rapide en ayant la certitude que la technologie ne sera plus jamais sur le chemin critique.

AdS DPC Laptop wih European flag  SS 195322339Je vois hélas apparaître dans le ciel européen un gros “Cloud” noir : il a pour nom priorité aux solutions numériques européennes pour remplacer des solutions numériques existantes qui fonctionnent très bien. Ce serait un crime majeur contre la compétitivité de nos entreprises, au nom de combats non rationnels et d’arrière-garde.

Mesdames et messieurs les politiques, faites confiance aux professionnels du numérique dans les entreprises et laissez-les libres de leurs choix. Vos compétences dans ces domaines sont, hélas, souvent plus proches du zéro Kelvin que du zéro Celsius.

 

Mais...tout n’est pas parfait

90 % des besoins numériques des entreprises trouvent d’excellentes réponses dans les offres existantes. Cela signifie qu’il reste 10 % de problèmes non réglés.

Data reposesitoryJ’en ai identifié deux qui me paraissent prioritaires :

● Créer une indépendance entre les données et les applications, pour que les entreprises reprennent le contrôle de leurs données vis-à-vis des éditeurs et des fournisseurs d’infrastructures.

● Augmenter le niveau de protection pour un tout petit pourcentage de données d’importance vitale, quand des attaques puissantes de pays tiers pourraient mettre en danger des entreprises ou des secteurs clefs de l’économie.

Dans ces deux domaines, l’Europe et la France peuvent apporter des réponses fortes et innovantes.

Améliorer ce qui doit l’être, et uniquement ce qui doit l’être, ce sera le thème de mon prochain billet.


GAIA-X : chronique d’un échec inéluctable

 

Le projet GAIA-X  berceau écosystème européen J’ai hésité, quelques minutes, avant d’entreprendre la rédaction de ce billet.

Pourquoi ? J’ai personnellement plus à y perdre qu’à y gagner. Je vais me mettre à dos une grande partie de “l’Establishment” numérique français, des partisans à tout prix d’une souveraineté numérique française ou européenne.

GAIA-X est un projet allemand, que la France a rejoint en mai 2020. Son objectif : “créer une infrastructure de données en forme de réseau, berceau d’un écosystème européen vital”.

Cela vous paraît obscur ? À moi aussi ! En langage plus simple, c’est une nouvelle tentative de créer un “Cloud Souverain” européen.

GAIA-X Bruno LeMaire et AlmaierBruno Lemaire et Peter Altmaier, ministres de l’Économie de la France et de l’Allemagne, ont participé jeudi 4 juin à l’annonce commune de leur soutien au projet GAIA-X.

Dans ce long billet je vais, posément, calmement, rationnellement, expliquer pourquoi la meilleure chose qui puisse arriver pour l’Europe et que GAIA-X meure, et le plus vite possible.

 

Pourquoi je pousse ce coup de gueule

Pour ceux qui ne connaissent pas :

● Ingénieur de formation : Supélec.

● “Quelques” années d’expérience dans l’informatique et le numérique.

● Entrepreneur : première société, Bureautique SA, en 1980, Wizy.io aujourd’hui.

● Passionné par les innovations numériques et leurs potentiels dans les organisations.

● Enseignant, animateur de séminaires pour aider un maximum de personnes à comprendre où va le numérique et mieux orienter leurs carrières.

● Incorrigible “optimiste numérique” : tout reste à inventer, à mettre en œuvre.

● Veille technologique active : deux heures par jour, en moyenne.

● Persuadé que le numérique est un grand allié de la planète et que l’on peut simultanément mener des actions de Transformation et de Frugalité Numérique.

● Européen convaincu, mais pas nationaliste.

Je regarde toute annonce de nouveau service ou de nouveau produit avec un a priori positif, essayant d’imaginer quels usages innovants peuvent en être obtenus.

C’est ce que j’ai fait en étudiant les documents techniques publiés par GAIA-X, et j’y reviendrai plus loin.

Depuis l’année 2006, et comme co-fondateur de Revevol, la première société de services Cloud en Europe, j’ai suivi toutes les évolutions des solutions Cloud Computing.

J’ai vite compris les potentiels majeurs des solutions d’infrastructures Clouds Publics et des applications SaaS, Software as a Service. J’ai alerté des décideurs politiques et des DSI sur l’urgence d’agir pour ne pas rater ce virage technologique majeur. Ce billet présentait les potentiels d’AWS dès 2008, un an après sa création.

Louis Naugès et Werner Vogels mars 2010 Cigref copieCela n’a pas toujours été facile ; j’ai essuyé un échec cuisant en mars 2010. J’avais invité Werner Vogels, le CTO d’AWS, à venir parler des potentiels des solutions IaaS, Infrastructure as a Service, devant les membres du CIGREF, Club Informatique des Grandes Entreprises Françaises, qui regroupe 150 entreprises et plusieurs milliers de membres. AWS avait créé en 2007 ce marché IaaS et je pensais important que les plus grandes entreprises françaises puissent avoir, 4 ans après, une présentation de haut niveau par le meilleur expert mondial du moment.

À ma grande surprise, à ma grande honte, j’ai découvert qu’il n’y avait dans la salle que… 3 entreprises présentes ! 3 sur 150 !

Thomas Kurian CIGREF 202010 ans plus tard, et 10 ans dans le monde du numérique, c’est une éternité, les membres du conseil d’administration du CIGREF ont accueilli dans leurs bureaux Thomas Kurian, le patron de GCP, Google Cloud Platform.

 

Offres d’infrastructures cloud, en 2020

L’annonce du projet GAIA-X se fait au milieu de l’année 2020 ; personne ne sait quand les premières offres opérationnelles seront disponibles. Le monde du numérique n’a pas attendu GAIA-X pour évoluer, et très vite !

Entre 2007 et 2020, le marché des infrastructures cloud a explosé et il est aujourd’hui dominé par trois fournisseurs, AWS d’Amazon, GCP de Google et Azure de Microsoft.

Comme le montre de manière éclatante le graphique ci-dessous, ces trois acteurs industriels du Cloud Public investissent chacun entre 10 et 20 milliards de dollars par an dans leurs infrastructures.

CAPEX IBM Microsoft AWS Google Oracle

Les jeux sont faits : tous les autres grands fournisseurs historiques, IBM, HP, Oracle, Dell… ont perdu, définitivement, cette bataille des infrastructures cloud.

TENCENT 70 B$ in CloudLes seuls challengers sérieux sont trois acteurs chinois, Alibaba, Tencent et Baidu. Ils investissent eux aussi plusieurs dizaines de milliards de dollars par an. Tencent vient d’annoncer 70 B$ d’investissements en 5 ans, 14 B$ par an, pour “rattraper” Alibaba qui est le leader actuel en Chine.

Ces centaines de milliards de dollars d’investissements cumulés dans leurs infrastructures cloud représentent aujourd’hui une “barrière à l’entrée”, un “moat” en anglais, infranchissable.

Ces géants du cloud ont un deuxième avantage, et il est au moins aussi important ; ils ont gardé leur extraordinaire capacité à innover. Ce graphique montre la croissance du nombre des innovations d’AWS entre 2008 et 2018. En 2018, ce chiffre a dépassé 1 800, plus de 35 par semaine !

AWS innovations 2019

Le résultat de ces innovations : les entreprises qui travaillent avec ces grands fournisseurs ont accès à une offre de services dont le nombre dépasse largement la centaine, comme le montre cette liste des services proposés par GCP et AWS.

AWS et GCP list of services

J’entends tous les jours des discours de DSI qui craignent de devenir prisonnier de cet oligopole. Ils ont la mémoire courte ! Quelles sont les parts de marché de Microsoft dans la bureautique du poste de travail, d’Oracle dans les bases de données, de SAP dans les ERP intégrés ?

La situation de dépendance vis-à-vis d’un fournisseur est en pratique beaucoup plus faible dans le domaine des infrastructures cloud que dans celui des solutions historiques, installées dans des centres de calcul privés.

Les infrastructures Cloud ont permis une “abstraction” des couches bases d’infrastructures, et personne ne va s’en plaindre.

Une entreprise qui utilise les Clouds Publics ne se pose plus de questions sur l’OS des serveurs, leur marque, les supports de stockage utilisés. Quelques exemples de ces nouvelles réponses :

● Les containers ont remplacé les machines virtuelles, et sont portables d’un fournisseur à l’autre.

● Kubernetes, gestionnaire Open Source de containers, créé par Google, est devenu le standard utilisé aussi par AWS et Azure.

OCI, Open Container Initiative, est une association qui regroupe tous les acteurs importants du Cloud et rend plus facile une interopérabilité forte des solutions.

Anthos GCP on AWS● Avec Anthos, Google propose une remarquable solution de portabilité des applications Cloud d’un fournisseur à l’autre. Voir Google faire la promotion d’Anthos sur son grand concurrent AWS, c’est quand même peu fréquent dans nos métiers ! Avez-vous déjà vu Oracle promouvoir une interopérabilité avec DB2 d’IBM ?

● Microsoft propose avec Arc un service avec les mêmes objectifs qu’Anthos.

Résumé de l’état de l’offre dans les Clouds Publics en 2020

Avec AWS, Azure et GCP, toutes les organisations ont aujourd’hui à leur disposition :

● Des offres très compétitives.

● Un choix très large de services.

● Une présence mondiale.

● Des interopérabilités fortes.

● Des innovations permanentes.

En clair : en 2020, l’offre de solutions Clouds est très en avance sur la réalité des usages !

Infrastructures Cloud Offre >> Demande

Je n’ai plus rencontré depuis longtemps un véritable professionnel du numérique qui me dit qu’il ne pouvait pas migrer sur le cloud parce que l’offre n’était pas mature.

 

GAIA-X : ce qui se cache derrière ce nom

Logo GAIA-X data infraLe projet GAIA-X est né en Allemagne, et ses objectifs sont résumés dans ce court document. La France est le premier pays européen à le rejoindre.

Il met l’accent sur l’importance de la donnée, et ce n’est pas moi qui vais m’en plaindre. J’ai modifié mon modèle initial B I S, (Business Infrastructure Support) en B I S D, en ajoutant le D pour donnée.

Les rédacteurs du projet GAIA-X ont publié plusieurs documents pour le présenter, disponibles sur le site du ministère allemand de l’Économie et de l’Énergie :

Document initial de présentation, en octobre 2019 : 56 pages.

Projet européen lance la deuxième phase : 13 pages.

Architecture technique : 56 pages.

Appel à l’Europe : 40 pages.

Règles de gestion et architecture de standards : 25 pages.

Promouvoir l’innovation en Europe : 30 pages.

C’est un total de 220 pages, qui ne se lisent pas comme celles d’un roman de gare ! J’ai fait l’effort de lire l’ensemble de ces documents, et je ne suis pas certain d’avoir tout compris.

On ne peut pas nier l’ampleur de l’ambition, ni la complexité technique qui va avec. J’en prendrai comme seul exemple ce schéma sur l’architecture technique de GAIA-X.

GAIA-X schéma architecture

Parmi tous les politiques, dirigeants et DSI qui se sont empressés de dire tout le bien qu’ils pensaient de GAIA-X, à commencer par les deux ministres de l’Économie, combien d’entre eux :

● Ont lu ces documents.

● Ont compris ce qu’ils contenaient.

Ce sont des documents écrits pour l’essentiel par des chercheurs et universitaires ; leur langage, leurs préoccupations sont loin de la réalité des attentes des entreprises.

L’origine allemande de ces travaux se traduit par des préoccupations majeures sur la sécurité et la confidentialité des données et des réticences “fortes” vis-à-vis des solutions Clouds Publics.

L’objectif principal de GAIA-X, l’architecture des données, est en lui-même d’une extrême complexité, technique et organisationnelle. En se limitant à ce seul sujet des données, GAIA-X aurait déjà eu beaucoup de mal à se transformer en un ensemble de solutions opérationnelles et à proposer des réponses plus performantes que celles, de grande qualité, qui existent déjà sur le marché.

Rappel : dans ce domaine de la gestion des données, toutes les solutions innovantes s’appuient sur… les clouds publics.

Comme le montre le schéma d’architecture général ci-dessus, l’ambition de GAIA-X va bien au-delà de cette seule dimension données.

On y retrouve tous les autres domaines du numérique, chacun d’entre eux étant en lui-même très complexe. Identité numérique, IoT, intelligence Artificielle, Big Data, réseaux, HPC, Edge Computing… aucun sujet ne manque à l’appel !!!

GAIA-X Cloud SouverainLes commentateurs l’ont bien compris : derrière ce paravent des “données”, c’était l’idée ancienne des “clouds souverains” de sinistre mémoire qui renait de ses cendres !

Proposer des Clouds souverains en 2012, avec CloudWatt et Numergy, et des moyens ridiculement faibles, c'était déjà un combat désespéré. Recommencer les mêmes erreurs en 2020 : c’est pathétique !

Le kaléidoscope des entreprises qui ont annoncé leur participation à GAIA-X est… surprenant : des  fournisseurs d'infrastructures, des ESN, des opérateurs télécoms, des éditeurs de logiciels, des entreprises clientes. La première liste des partenaires, appelée à s’agrandir, regroupe déjà 22 organisations.

Members GaiaX Cloud European

Les membres de GAIA-X, souvent concurrents, se battront entre eux pour ramasser les miettes du marché Cloud qui seront laissées par les géants industriels, américains et chinois.

Qui croira une seconde que les quatre acteurs français des infrastructures Cloud, Outscale, Scaleway, Orange ou OVH, tous membres de GAIA-X, vont collaborer pour répondre au cahier des charges d’une entreprise française suffisamment inconsciente pour envisager des solutions GAIA-X ?

Acteurs Francais GAIA

Combien d’années et de milliards d’euros faudra-t-il pour que l’on comprenne que GAIA-X est un projet d’une ambition démesurée, qui arrive trop tard, et qui n’a aucune chance de s’imposer dans le marché des infrastructures Cloud ?

 

Quels potentiels de succès pour l’Europe dans le Cloud

Est-ce que l’échec inéluctable de GAIA-X signifie que l’Europe doit abandonner toute ambition de succès dans le Cloud ? Non !

Mon optimisme reprend le dessus et je réponds sans hésiter que l’Europe a déjà montré sa capacité à réussir dans le Cloud.

Il faut simplement bien choisir ses combats et consacrer toutes son énergie, ses ressources et ses compétences sur… les usages, en clair les solutions SaaS, Software as a Service.

Le marché des solutions Cloud, infrastructures et usages, est mondial : toute vision étriquée, française ou européenne, est vouée à l'echec. Outscale, la filiale IaaS de Dassault Systèmes, l'a bien compris : Outscale est déployé, depuis le début, aux Etats-Unis, en Asie et en Europe.

L’Europe et la France en particulier sont déjà très performantes dans le domaine des SaaS.

Point nine 300 French SaaS Startups copieUne illustration : Point Nine, l’un des plus grands “Venture Capital” du monde, avait identifié, fin 2018, plus de 300 startups logicielles en France. Il y en a plusieurs milliers dans l’ensemble des pays de l’Union européenne.
Dans sa liste, Point Nine utilise la même segmentation que moi dans le modèle B I S D :

● Horizontal Software : les fonctions S, Support, qui correspondent aux activités transverses universelles dans les entreprises.

● Vertical Software : les fonctions B, Business, spécifiques d’un secteur d’activité.

On trouve dans cette liste de très beaux succès mondiaux, tels que TalentSoft, Kyriba, Doctolib, Dataiku ou Aircall. Ces entreprises se sont toutes développées sans faire appel à des fonds publics.

L’immense majorité de ces éditeurs SaaS européens s’appuient sur les infrastructures AWS, GCP ou Azure. Ceci leur permet de :

● Garantir une qualité de service exceptionnelle à leurs clients.

● Consacrer 100 % de leur investissements au développement de leurs logiciels

● Offrir leurs services dans le monde entier.

Les opportunités dans le SaaS sont encore très nombreuses et l’Europe doit rester un espace de création de nouveaux éditeurs SaaS.

WizyEMM HPUn exemple ? Notre entreprise Wizy.io travaille depuis 4 années pour développer un gestionnaire de terminaux Android, WizyEMM. Nous avons l’ambition de devenir un leader mondial !

● Solution SaaS construite sur GCP. Quand on travaille avec Android, le choix de Google est logique.

● Solution de rupture, technique et financière, par rapport aux offres historiques.

● Nos concurrents : des “PME” qui ont pour nom IBM, Microsoft ou VMWare.

● Notre marché : le monde, avec une priorité sur la zone Asie Pacifique, où se trouvent 75% des terminaux Android.

● Ventes indirectes, en s’appuyant sur les opérateurs télécoms, les fabricants de terminaux et des distributeurs.

Le défi qu’il reste à relever en Europe pour les éditeurs SaaS est celui de la taille critique. Beaucoup se font racheter par des acteurs américains ou asiatiques ou doivent “émigrer” aux États-Unis pour accélérer leur croissance.

Au lieu de perdre beaucoup de temps et d’argent sur GAIA-X, les autorités européennes doivent orienter leurs efforts pour aider des centaines d’éditeurs SaaS dans leur croissance à s’implanter en Europe et dans le monde entier. C’est moins “prestigieux”, mais beaucoup plus efficace !

Et si l'on fixait à l'Europe des objectifs ambitieux, mais réalistes, pour l'année 2023 ?

● 1 000 éditeurs SaaS français réalisant plus de 50% de leur chiffre d'affaires à l'international.

● 5 000 éditeurs SaaS européens réalisant plus de 50% de leur chiffre d'affaires à l'international.

 

GAIA-X : un projet “Européen” ?

Flags European Union - GAIA-XLa conférence de lancement de GAIA-X a réuni deux des 23 pays de l’Union européenne, l’Allemagne comme créateur du projet, rejoint par la France.

● Est-ce suffisant pour en faire un projet européen ?

● Qu’en pensent tous les autres états ?

● Quelle motivation, positive ou négative, vont-ils avoir pour s’impliquer dans un projet à l’avenir incertain dont ils sont exclus ?

● La référence à Airbus a été faite : il a fallu des dizaines d’années pour que cette collaboration commence à fonctionner.

Tout n’est pas noir dans le monde de la coopération européenne ; un autre grand projet a été lancé fin 2019 dans le domaine des batteries pour véhicules électriques. L’objectif est de moins dépendre de la Chine.

Dans le cadre de ce projet, le groupe automobile PSA a pris les devants et annoncé qu’il va construire une “GigaFactory” de batteries électriques d’ici à 2022.

PSA Gigafactory batteries

À l’inverse de GAIA-X, ce projet est “bien né” :

● Limité dans son domaine : les batteries électriques, et rien d’autre.

● Le marché des véhicules électriques est en forte croissance. La demande de batteries va fortement augmenter au cours des prochaines années.

● Des progrès techniques majeurs peuvent être fait dans ce domaine.

● La grande taille des usines est indispensable pour obtenir des prix de revient compétitifs, comme l’a montré Tesla avec ses “méga-factory” aux USA et en Chine.

 

Plus grand risque créé par GAIA-X : recréer des motifs d’attentisme !

Frein et accélérateur COVID GAIAJ’ai une excellente nouvelle pour tous les trouillards du numérique, dirigeants, DSI, entreprises publiques ou privées : vous avez maintenant une bonne raison de bloquer la Transformation Numérique de votre organisation. Pour assurer la “souveraineté européenne” de vos évolutions, vous allez attendre, longtemps, que les solutions GAIA-X soient disponibles.

Vous étiez paniqués par l’accélération qu’avait donnée le COVID-19 à la Transformation Numérique de votre organisation ; vous disposez maintenant d’un frein très puissant avec GAIA-X.

Anne  ma sœur AnneCette attente interminable d’une offre européenne de cloud souverain (“Anne, ma sœur Anne, ne vois-tu rien venir ?) est une excellente nouvelle pour les géants américains du Cloud que le projet GAIA-X est supposé concurrencer. Ce long délai leur permettra d'accroître leur domination sur le marché européen et les rendra encore plus incontournables.

 

Synthèse : le mirage GAIA-X

AdS DPC Yes No  S 328331661Non, je ne suis pas un méchant anti-européen !

Non, je ne suis pas un suppôt des grands méchants GAFAM !

Non, je ne me réjouis pas des échecs européens dans les domaines des infrastructures Cloud !

Mais…

Oui, j’ai la capacité d’analyser rationnellement les évolutions des offres dans le numérique.

Oui, ma priorité c’est d’aider toutes les organisations à réussir leur Transformation Numérique en choisissant les solutions numériques dont elles ont besoin, indépendamment de leur nationalité.

Oui, l’Europe et la France ont de forts potentiels dans la création d’usages SaaS/Cloud innovants et à vocation mondiale.

GAIA-X est un mirage très dangereux pour la compétitivité européenne. Comme tous les mirages, plus on avance, plus il s’éloigne.

Mirage GAIA-X Cloud Européen

Pour les entreprises, que faire face à GAIA-X ?

Pierre Tombale - GAIA-XLa bonne réponse : ignorer totalement GAIA-X, continuer à investir dans une Transformation Numérique où les solutions Cloud d’infrastructures et d’usages ont une place majeure et… attendre tranquillement que GAIA-X ne soit plus qu’un mauvais souvenir, comme tant d’autres projets mort-nés tels que CloudWatt, Numergy ou OpenStack.

Je n’ai pas écrit ces lignes de gaieté de cœur, croyez-moi. Je l’ai fait car j’ai très peur des impacts négatifs de l’initiative GAIA-X sur la vitesse avec laquelle les organisations européennes vont affronter les défis de leur Transformation Numérique.

Oui, j’ai le courage d’exprimer des opinions qui froissent beaucoup de monde.


Pseudo Cloud, ou Cloud Natif ?

 

Menteur grand nez CloudEn 2019, connaissez-vous un seul DSI, un seul fournisseur de solutions numériques qui ne se déclare pas être un très grand fan du Cloud ? Moi, non. 

Après 15 ans d’existence, l’expression “Cloud Computing” fait partie des “meubles numériques” et plus personne n’ose se déclarer ouvertement contre.

Petit problème : le mot Cloud a autant de significations différentes que de personnes qui l’utilisent.

Il devient urgent de clarifier la situation ; je vous propose de simplifier l’analyse en séparant en deux grandes familles les visions “Cloud” des entreprises :

  • Pseudo Cloud : utilisation de solutions Cloud pour faire comme avant, pour ne rien changer en profondeur.
  • Cloud Natif : utiliser intelligemment les nouveaux potentiels du Cloud pour repenser ses usages numériques, autrement.

 

Le Cloud, le vrai, aujourd’hui

J’écrivais déjà en 2012, il y a plus de 7 ans, un billet sur le “faux cloud”, et ce texte reste, hélas, d’actualité.

AdS DPC IaaS  PaaS  SaaS S 162794428Les fondamentaux du cloud sont très stables, depuis les années 2007 :

  • Des infrastructures IaaS, Infrastructure as a Service, que l’on paye à l’usage, en OPEX.
  • Des applications SaaS, Software as a Service, multi-tenant, avec une même instance pour tous les clients.
  • Des outils de développement PaaS, Platform as a Service, de plus en plus indépendants des infrastructures, avec les démarches Serverless.

Ce ne sont pas des concepts d’une extrême complexité ! Fournisseurs et DSI sont tous capables de les comprendre.

Pourquoi faut-il, en 2019, que je rencontre encore des personnes intelligentes qui, en apparence, parlent de Clouds qui n’ont rien à voir avec ces idées simples ?

 

Pseudo Cloud : comment le reconnaître

DPC Choice highway S 55298497Vous ne rencontrerez jamais une personne qui vous dira qu’elle a une démarche “pseudo cloud”. Il y a heureusement des indicateurs clefs qui ne trompent pas, et qui permettent d’identifier cet animal bizarre qui se dit cloud, essaie de ressembler au cloud, mais n’a rien de commun avec un cloud natif.

La liste qui suit, de décisions Pseudo Cloud, n’est pas exhaustive, mais permet d'identifier les entreprises Pseudo Cloud avec une marge d’erreur inférieure à 10 %.

Migrer ses machines virtuelles (VM) sur le cloud.

Oui, il est possible de porter rapidement des VM sur Azure, GCP de Google ou AWS. Ces trois grands acteurs industriels du cloud public ont tous signé des accords avec VMware pour faciliter cette migration.

Porter ses applications historiques sur le cloud.

Exécuter Oracle Applications sur AWS ou SAP sur Azure, c’est possible depuis longtemps. Cela a un nom, depuis plus de 30 ans : l’hébergement d’applications, qui existait bien avant l’arrivée du premier cloud public, AWS en 2007.

Choisir une application en “mode SaaS”.

Derrière ce vocable “mode SaaS”, les éditeurs historiques proposent le plus souvent des applications traditionnelles hébergées, multi-instances, mono-tenant, qui n’ont aucune des caractéristiques des véritables applications SaaS, multi-tenant.

Man falling in SAP:4HANAMigrer ses applications SAP vers S/4 HANA

J’ai écrit un billet entier pour dire tout le “bien” que je pense de cette démarche.

C’est beaucoup plus dangereux qu’un simple portage à l’identique d’une application SAP classique sur une infrastructure Cloud. Avec HANA, la malheureuse entreprise qui se laisse piéger devient doublement prisonnière de SAP, pour ses applications et pour ses… infrastructures en étant obligé de choisir une base de données propriétaire SAP.

Choisir des applications de BI, Business Intelligence à installer sur poste de travail

On peut citer, parmi les plus connues, Qlik Sense ou Tableau. Comme tous les usages Cloud Natif, les applications de BI doivent pouvoir être utilisées depuis un navigateur ; DataStudio de Google en est un bon exemple.

Utiliser des outils bureautiques installés sur PC.

C’est l’exemple le plus classique, le plus répandu que je connais de Pseudo Cloud. Une majorité d’entreprises font aujourd’hui le choix d’Office 365 et croient, ou font semblant de croire qu’elles… migrent sur le Cloud. Dans 90 % des cas, elles continuent à déployer la version PC d’Office, avec Word, PowerPoint ou Excel, ce qui est la négation d’une solution Cloud Native.

AdS DPC homéopathie S 24910859Tous ces indicateurs ont un point commun : ils permettent aux entreprises de continuer à fonctionner “comme avant le cloud”. Ils représentent :

  • Des changements homéopathiques dans tous les domaines d’infrastructures, d’applications, d’externalisation, de développement.
  • Des changements homéopathiques dans les modes de travail des collaborateurs, qui continuent à utiliser leurs applications paléontologiques telles que Microsoft Office sur leur PC ou SAP.
  • Des changements homéopathiques dans la gouvernance des SI, toujours considérés comme des centres de coûts.

Rappel : la France vient de décider que l’homéopathie avait des résultats “peu probants”, mais n’était pas dangereuse pour la santé. La même remarque peut être faite pour les démarches “Pseudo Cloud” : elles n’ont aucune efficacité prouvée, mais sont sans risques à court terme.

 

Cloud Natif : signes distinctifs

Aujourd’hui, les géants du IaaS proposent des offres d’une exceptionnelle richesse, et qui s’améliorent tous les ans.

Ce double tableau montre l’évolution du nombre de services proposés par GCP, Google Cloud Platform, entre février 2017 et juillet 2019. L’évolution des offres AWS est très similaire.

Google GCP 2017 vs 2019

La majorité de ces services n’existe pas dans les solutions numériques “pré cloud”. Connaître, maîtriser et savoir utiliser ces centaines de services, c’est un travail à temps plein, qui demande des compétences exceptionnelles, réparties dans des équipes de haut niveau.

Ce deuxième tableau, d’avril 2018, présente les logos de… 5000 logiciels SaaS pour les seules fonctions marketing et commerciales ! Malgré mes efforts et une veille technologique quotidienne de 2 heures, je n’en connais pas plus de 3 % à 5 %.

Marketing map solutions

Avoir une démarche “Cloud Natif”, c’est comprendre et accepter que le panorama des offres du Cloud n’a plus rien à voir avec ce qui était disponible il y a 10 ou 15 ans. C’est aussi comprendre et accepter qu’il faut tout repenser, remettre à plat, dans les infrastructures, les usages et les développements.

  • Essayer de répliquer dans ses petits centres de calcul privés la richesse fonctionnelle d’un AWS ou d’un GCP : absurde, impossible, ridicule, hors de prix…
  • Continuer à penser ERP intégré, quand des dizaines de milliers de solutions SaaS remarquables, chacune dans leurs créneaux proposent des solutions plus ergonomiques, plus économiques, plus performantes, plus rapides à déployer, c’est conduire une voiture du début du 20è siècle à l’époque des véhicules électriques et autonomes.

J’ai regroupé ces quatre images automobiles qui illustrent bien ces différences d’approches :

Canoo Electric Car

  • Une des premières voitures à moteur était une voiture à cheval à laquelle on avait ajouté un moteur thermique (Musée de Mulhouse). Une bonne représentation des ERP des années 1990.
  • A côté, j’ai mis une photo de la “nouvelle” Porsche électrique Taycan annoncée en septembre 2019. Rien ne vous choque sur cette photo ? Regardez bien ! Elle porte la mention “Turbo” ! Turbo sur un véhicule électrique, ils ont tout compris chez Porsche ! Une excellente illustration des ERP en 2019, tels SAP/4 HANA, qui n’ont rien compris à la profonde évolution des solutions cloud natives.
  • En dessous, il y a deux photos, externes et internes, d’un nouveau véhicule électrique, de l’entreprise Canoo. Tout a été repensé, de A à Z, pour profiter des innovations rendues possibles par des moteurs électriques placés dans les roues.

Les entreprises cloud natives ont compris et accepté qu’il est indispensable de tout remettre à plat. Quelques exemples de décisions Cloud Natif :

  • Fermer le plus vite possible tous mes centres de calculs archaïques.
  • Créer des équipes d’infrastructures de haut niveau qui maîtrisent les solutions IaaS.
  • Essayer de trouver parmi les milliers de solutions SaaS disponibles des réponses “raisonnables” aux attentes des métiers pour les fonctions support.
  • Développer, avec des équipes internes de “builders”, les applications cœur métiers en microservices, Serverless…
  • Redonner leur indépendance aux données, les sortir du carcan des applications historiques.
  • Repenser les échanges avec la DG et les directions métiers, se mettre à leur service et répondre rapidement à leurs demandes légitimes d’innovations rapides.

Rien de tout cela n’est facile, dans un monde Cloud Natif, j’en suis conscient. Je sais aussi que c’est totalement impossible dans une démarche Pseudo Cloud.

 

Les “Exits” vers un Cloud Natif

Ce billet est écrit début octobre 2019, avant qu’une décision définitive sur le Brexit ne soit prise. 

Sans attendre le résultat du Brexit, je propose aux responsables de la Transformation Numérique de leur entreprise de mettre en chantier trois “Exit” numériques ; ceci ne concerne que les entreprises qui ont encore comme “membres” de leur espace numérique ces solutions historiques.

Pseudo Cloud - Cloud Natif fournisseurs

  • SAPExit : c’est de loin le plus difficile ! J’ai écrit l’année dernière un long billet qui présente les nouvelles compétences nécessaires à la DSI pour réussir à sortir de SAP. En y mettant beaucoup d’énergie et de courage, il faudra probablement 3 à 7 ans aux grandes entreprises pour réussir leur SAPExit. Raison de plus pour démarrer, immédiatement !
  • OraclExit : il peut prendre deux formes, selon les entreprises, exit des bases de données et/ou des applications. Cet Exit est probablement celui qui sera le plus rentable, surtout pour la partie bases de données, qui sont omniprésentes dans les grandes entreprises.
  • VMware Tansu = containers + VMVMExit : Passer d’une plateforme VM à des containers est de loin le plus rapide et le plus facile de tous les Exit. Bravo à VMWare qui a bien compris que les containers ont gagné la partie et propose maintenant Tanzu, sa solution maison containers.

 

Un test simple : êtes-vous Pseudo Cloud ou Natif Cloud ?

Je vous propose un test simple pour vous aider à comprendre à quel groupe appartient votre entreprise. Il comporte dix thèmes et pour chacun vous devez choisir une seule des deux réponses, en mettant 1 dans la colonne PC (Pseudo Cloud) ou CN (Cloud Natif).

Important : il ne s’agit pas d’évaluer la situation actuelle, mais la cible que vous avez définie pour votre Transformation Numérique.

Ce tableau, que vous pouvez agrandir et copier, vous servira pour enregistrer vos réponses.

Matrice Pseudo Cloud - Cloud Natif

Une rapide explication pour chacun de ces thèmes :

  • ERP intégrés vs Best of Breed. Est-ce qu’un ERP intégré fait partie de votre démarche ou est-ce que vous optez en priorité pour des solutions SaaS “Best of Breed”.
  • Souhaitez-vous garder des applications historiques, en mode hébergé, ou basculer au maximum sur des solutions SaaS multi-tenant.
  • Voyez-vous un avenir aux grandes applications monolithiques ou avez-pris la décision de privilégier des applications microservices, qui communiquent par API.
  • Est-ce que l’externalisation des développements restera la règle ou allez-vous reconstruire des équipes importantes de développement en interne pour reprendre la maîtrise de vos applications cœur métier.
  • Allez-vous continuer à utiliser des VM ou vont-elles être rapidement remplacées par des containers.
  • Des centres de calcul privés, aussi appelés Clouds Privés, garderont-ils une place importante dans le futur ou voyez-vous l’avenir de vos infrastructures dans des solutions IaaS, avec une démarche DataCenterLess (sans centres de calculs privés).
  • Pensez-vous que vos collaborateurs ne peuvent pas travailler sans Office sur leurs postes de travail ou qu’une bureautique “Web” comme G Suite est la meilleure réponse pour eux.
  • Serez-vous capable, ou non, d’éliminer pour la grande majorité des collaborateurs toutes les applications installées sur les PC pour basculer vers des solutions navigateurs.
  • Vos dirigeants et directeurs financiers sont-ils prêts à accepter que les budgets du numérique basculent d’une culture CAPEX, investissements, à une approche OPEX, coûts de fonctionnement.
  • Pour la sécurité, allez-vous continuer à faire confiance à des pare-feux traditionnels, périmétriques, qui protègent vos lieux de travail, ou acceptez-vous de déployer des pare-feux dans le cloud, tels que Zscaler, qui protègent les accès de vos collaborateurs où qu’ils soient.

Comment analyser vos résultats

Comptez combien de “1” vous avez dans la colonne CN, Cloud Natif :

Echelle 10 niveaux Pseudo Natif Cloud

  • De zéro à trois : votre entreprise a clairement choisi une démarche Pseudo Cloud.
  • De quatre à six : vous hésitez entre les deux démarches, mais êtes bien parti pour devenir rapidement Cloud Natif.
  • De sept à dix : vous avez basculé dans une véritable logique Cloud Natif.

 

En synthèse : la situation actuelle en France

Je vais réutiliser la courbe de Gauss de l’innovation, qui répartit les entreprises en cinq grandes familles.

Gauss Innovation - Pseudo vs Natif Cloud

Sur la courbe de gauche, j’ai représenté la situation du Pseudo Cloud : il ne reste plus qu’un tout petit nombre d’entreprises retardataires à considérer qu’elles ne sont pas Cloud, mais au sens Pseudo Cloud.

La courbe de droite correspond aux entreprises qui sont vraiment Cloud Natives. Elles sont encore dans la famille des premiers adopteurs, largement minoritaires.

Dirigeants et responsables de la Transformation Numérique, le plus dangereux est de se mentir à soi-même et de se persuader que l’on est Cloud Natif quand en réalité on est resté dans une démarche Pseudo Cloud.
J’espère que ce billet vous aidera à mieux comprendre à laquelle de ces deux familles appartient votre entreprise.




Clouds Publics : la confiance...

 

AdS DPC cloud risk walking S 201821174Je ne pensais pas devoir, en 2019, écrire encore sur ce sujet !

En 2011, j’avais publié dans ce blog un billet sur la “néphophobie”, la peur du cloud. Son contenu est, malheureusement, toujours d’actualité.

Je rencontre encore tous les jours dans mes séminaires et missions de conseil, des entreprises de toute taille, privées et publiques, qui me disent que les solutions Clouds Publics ne sont pas possibles pour elles, pour des raisons de “confidentialité” ou de “sécurité”.

Les solutions clouds publics d’infrastructures IaaS (Infrastructures as a Service) existent depuis 2006, avec AWS (Amazon Web Services) et les usages SaaS (Software as a Service) depuis 1999, avec Salesforce.

Si “clouds publics” était synonyme de “dangers publics”, cela se saurait...

 

Deux questions distinctes, sécurité et confidentialité

Cloud security vs confidentialityLes deux questions universelles posées par les entreprises sont toujours les mêmes :

  • Quel est le niveau de sécurité des infrastructures informatiques que j’utilise ?
  • Est-ce que mes données sont bien protégées ?

C’est en séparant clairement ces deux questions que l’on peut progresser rapidement, proposer des réponses précises et créer la confiance dans les Clouds Publics.

La première des tactiques des anti-clouds et de regrouper ces questions pour rendre plus opaque la situation ; il ne faut pas tomber dans ce piège.

La deuxième tactique utilisée par les anti-clouds est de poser la question dans l’absolu : peut-on faire confiance aux Clouds Publics ?

La seule question qui vaille est relative : entre Clouds Publics et solutions gérées en interne, dans mes centres de calcul privés, quelle est la meilleure, ou la moins mauvaise solution en matière de sécurité et de confidentialité ?

Vos données sont, au choix :

  • Dans des infrastructures qui vous appartiennent, gérées par vous ou hébergées.
  • Dans des Clouds Publics.

Il n’y a pas d’autres options.

Peut-on garantir une sécurité parfaite ? Non !

Peut-on garantir une confidentialité parfaite ? Non !

Toute personne qui prétend le contraire est un menteur ou un imbécile.

Je vous propose de traiter séparément, sereinement, logiquement, ces deux thèmes, sécurité et confidentialité.

 

Sécurité des Clouds Publics

Logo Géants CloudEn 2019, quatre fournisseurs, et quatre fournisseurs seulement, proposent des solutions IaaS industrielles et pérennes : (par ordre alphabétique)

  • Aliyun, du chinois Alibaba.
  • AWS, Amazon Web Services.
  • GCP, Google Cloud Platform.
  • Azure, de Microsoft.

Cet oligopole regroupe des entreprises sérieuses, professionnelles, qui investissent massivement dans des infrastructures informatiques de qualité.

Ils investissent aussi massivement dans la sécurité de leurs infrastructures, avec des équipes dont la taille approche ou dépasse le millier de personnes.

Security of on the cloudLeur rôle est clair, comme le présente ce schéma : mettre à la disposition de leurs clients des infrastructures dont ils garantissent la sécurité, la sécurité du cloud.

Ils ne sont pas responsables de ceux que font leurs clients avec ces infrastructures. Un constructeur automobile est responsable de la qualité des voitures qu’il commercialise, qui passent des tests de plus en plus difficiles. Il ne peut pas garantir qu’un conducteur qui conduit avec 3 g d’alcool à 120 km/h en ville ne va pas causer des catastrophes humaines.

Bien conscients que cette question est essentielle pour garantir leur succès à long terme, les quatre géants des Clouds Publics publient de nombreux documents présentant leurs démarches pour garantir un niveau de sécurité très élevé.

Je vous propose de lire quelques-uns de ces documents, de Alibaba, AWS, Google ou Azure.

Posez-vous ensuite honnêtement la question : est-ce que mes équipes internes sont capables de proposer des niveaux de sécurité au moins aussi élevés que ces professionnels du cloud ?

La fiabilité de ces fournisseurs est remarquable, oui. Elle ne sera jamais parfaite et aucun d’entre eux ne propose des contrats SLA de garantie de services à 100% : ils savent très bien qu’aucune entreprise n’est à l’abri d’une panne ou d’un incident, technique ou humain.

Cloud Downtime 2018 - AWS  GCP  AzureCe graphique donne les temps de panne (downtime) d’AWS, Google et Microsoft pour 2018. C’est le nombre total de minutes d’interruption de services sur toute l’année 2018. Pour mieux apprécier leur performance, il faut savoir que l’interruption d’un seul service dans une seule zone géographique est comptabilisée.

Niveau exceptionnel de sécurité, niveau exceptionnel de fiabilité : les géants du Cloud Public ont démontré depuis de nombreuses années qu’ils sont capables de faire mieux que 99,999 % des entreprises qui essaient de gérer en interne leurs infrastructures informatiques.

Tous les dirigeants rationnels et honnêtes l’ont compris ; problème réglé !

Reste maintenant à aborder un thème plus polémique, celui de la confidentialité des contenus. Avant, il est indispensable d’étudier la géopolitique des acteurs concernés, et en priorité, celle des “anciens combattants” de l’informatique.

 

Les anciens combattants, vecteurs d’une épidémie mortelle, la trouille

Les solutions Clouds Publics d’infrastructures et d’usages bouleversent tous les secteurs d’activités informatiques ; les constructeurs historiques, qui ne sont pas idiots, l’ont bien compris et... ont choisi la trouille comme arme de défense principale.

J’ai regroupé dans ce schéma les “anciens combattants” de l’informatique dans cinq grandes familles :

  • Les fournisseurs d’infrastructures.
  • Les éditeurs de logiciels historiques, et en particulier les ERP intégrés.
  • Les vendeurs de solutions archaïques de sécurité, dont la peur est le fond de commerce.
  • Les consultants en sécurité, avocats et juristes, autres champions de la peur.
  • Et, bien sûr, les nombreux DSI qui défendent leurs anciens attributs de pouvoir tels que les centres de calcul privés.

Anciens combattants Cloud

Fournisseurs historiques d’infrastructures

OCP logo  OCP acceptedIls vendaient des serveurs, des disques de stockage ; ils ont pour nom Dell, HP ou IBM. Les géants du Cloud Public n’achètent pas chez eux : ils sont trop chers et pas assez performants. Google et les autres font fabriquer directement leurs matériels en Asie, avec des modèles dont la majorité est en Open Source, fédéré par l’association OCP, Open Compute Project, créée par Facebook en 2011.

Les entreprises qui migrent sur le cloud n’achètent plus leurs matériels. Les maxi-entreprises comme Bank of America qui peuvent encore se permettre de garder des centres de calculs privés le font en.. achetant des serveurs compatibles OCP.

Etonnez-vous que ces fournisseurs historiques fassent la gueule et essaient de convaincre leurs ex-clients que le Cloud Privé est plus sûr que le Cloud Public.

Editeurs historiques d’applications

Il était un temps, fort lointain, où les entreprises achetaient des logiciels à installer dans leurs centres de calcul, payaient fort cher des licences et des contrats de maintenance. Elles avaient aussi la joie de devoir gérer elles-mêmes les mises à jour, pour le plus grand bonheur des ESN, Entreprises de Services Numériques. Les deux champions incontestés de cet ancien monde avaient pour nom SAP et Oracle. Allergiques aux solutions SaaS natives, multi-tenant, ces éditeurs essaient de survivre en faisant croire que l’hébergement dans le cloud d’instances spécifiques à chaque client, c’est beaucoup mieux.

Vendeurs de solutions archaïques de sécurité

Security appliancesLes lecteurs de ce blog qui ont connu l’informatique de grand-papa vont regarder ce schéma avec un œil attendri : cela leur rappellera leur jeunesse, époque révolue où il fallait installer des dizaines de serveurs spécialisés pour chaque fonction de sécurité. On les nommait “appliances”, cela faisait plus chic et moderne. Les leaders de ces marchés avaient pour nom Cisco, Fortinet ou Palo Alto Networks.

Clouds Publics = disparition des centres de calcul des entreprises.

Clouds Publics = disparition du marché des appliances de sécurité en tout genre.

Consultants en sécurité, avocats et juristes

AdS DPC Cyberwar S 121916236Qu’elle était sympathique l’époque où les entreprises essayaient, sans succès, de gérer elles-mêmes la sécurité et la confidentialité dans leurs informatiques internes. Des armées de consultants en sécurité leur apprenaient les meilleures pratiques dans ces domaines. Les nouvelles menaces arrivaient plus vite que leurs capacités à les gérer et créaient de nouveaux flux de revenus sans fin.

Juristes et avocats étaient prêts à aider les entreprises à régler les nombreux litiges que créaient ces failles continues de sécurité. Les Clouds Publics assèchent ces vieux marchés lucratifs ; ces professionnels du droit mettent maintenant leurs espoirs dans des lois telles que le RGPD qui créent de nouvelles contraintes, de nouvelles craintes.

DSI historiques, qui défendent leurs territoires de pouvoir

AdS DPC Manager with umbrella danger S 168264171Ces quatre familles de fournisseurs historiques, dont l’avenir est fortement compromis par les solutions Clouds Publics, ne survivraient pas longtemps s’ils n’avaient pas… l’oreille attentive d’un grand nombre de DSI qui se sentent, eux aussi, menacés par le tsunami Cloud Public.

Fournisseurs et DSI historiques, unis par une même peur du futur, propagent cette trouille auprès de leurs dirigeants et collaborateurs. Le moindre incident dans le Cloud Public, et il y en a, est monté en épingle, utilisé comme un épouvantail très efficace. Ils oublient simplement de dire que toutes les grandes failles informatiques de ces dernières années, toutes les pertes de données pour des dizaines et centaines de millions de personnes ont toutes, sans exception, eu lieu dans leurs centres de calcul internes, véritables passoires numériques.

 

Confidentialité des données

La protection des données utilisées par les entreprises, qu’elles concernent les clients externes, les collaborateurs, les produits… est depuis toujours une priorité.

L’arrivée des solutions de Clouds Publics ne crée pas un nouveau problème de protection, mais oblige les entreprises à s’adapter à de nouveaux défis, à rechercher de nouvelles solutions.

Une fois de plus, il ne faut pas raisonner dans l’absolu et se poser une mauvaise question :

“Est-ce que mes données sont bien protégées dans les clouds publics ?”

AdS DPC Data stored every where 84427391La bonne démarche consiste à comparer les solutions dans les clouds publics avec la situation actuelle, avec des données souvent stockées dans des centres de calcul internes, dans des serveurs répartis dans toute l’entreprise et aussi sur des centaines, des milliers de PC, smartphones et autres tablettes.

La seule question raisonnable à se poser est :

Est-ce que l’utilisation de Clouds Publics rend moins bonne ou améliore la protection de mes données ?

Pour les entreprises positives, raisonnables, rationnelles qui ont compris les potentiels des clouds publics il est facile de traduire cette question générale en la décomposant en une suite de questions plus techniques et en recherchant, cas par cas, s’il existe des réponses de qualité.


Sans prétendre à l’exhaustivité, j’ai identifié quelques questions principales à se poser :

  • Utiliser un parefeu (Firewall) pour mieux contrôler les données qui entrent et sortent.
  • Chiffrer des données, quelles données.
  • Utiliser une solution de SSO, Single Sign On, pour faciliter la vie des utilisateurs et éviter un trop grand nombre de mots de passe.
  • CASB explained in RedUtiliser une Authentification forte, une double authentification pour compléter les mots de passe.
  • Mettre en œuvre des copies de sécurité (Backup) pour se protéger des pertes volontaires ou involontaires de données
  • Choisir un CASB, Cloud Access Security Broker, outils récents créés spécialement pour protéger les Clouds.
  • ….

Les professionnels de la sécurité informatique pourront trouver que mon analyse est très incomplète, mais j’assume une démarche pragmatique et raisonnable qui va à l’essentiel.

Avant de présenter quelques solutions qui répondent à ses demandes légitimes, il faut poser une question préalable sur la motivation des entreprises et des DSI qui mènent ces études.

AdS DPC positive vs negative S 189391249Je les classe en deux familles :

  • Les entreprises positives, qui recherchent vraiment des solutions, et sont ravies quand on leur propose des réponses raisonnables.
  • Les entreprises négatives, qui cherchent des “alibis” pour ne pas aller vers des solutions Clouds Publics, et font “la gueule” à chaque fois qu’une solution proposée fait tomber une barrière dans la course de haies qu’elles organisent en espérant ne jamais arriver au bout.

Entreprises à la recherche d’alibis, passez votre chemin, assumez votre à priori négatif et ne faites pas perdre votre temps à des fournisseurs ou consultants qui chercheront, en vain, à vous aider.

Pour les autres, la bonne nouvelle est qu’il existe des solutions de grande qualité, que je regroupe sous le nom TaaS : Trust as a Service, Confiance comme un service.

 

Solutions TaaS : Trust as a Service

Vous êtes, honnêtement, prêt à basculer tout ou partie de votre environnement numérique dans des Clouds Publics si vous trouvez des réponses de qualité à vos préoccupations légitimes.

Votre démarche peut être décomposée en trois étapes :

  • Commencez par sélectionner les fonctionnalités dont vous avez vraiment besoin, dans la liste que j’ai préparée.
  • Recherchez les solutions disponibles sur le marché. L’offre TaaS est pléthorique, avec plusieurs dizaines de produits de grande qualité.
  • Faites confiance à vos équipes techniques pour évaluer et sélectionner les solutions qui, selon elles, sont les mieux adaptées à vos attentes spécifiques. Ce ne doit pas être systématiquement le plus complet ou le plus cher.

Ce tableau ne prétend pas à l’exhaustivité ; je l’ai créé pour renforcer le message : pour chaque fonction recherchée, il existe de nombreuses solutions. Tous les produits cités font partie des leaders de leurs marchés respectifs.

Outils solutions Cloud Confiance

A titre d’exemple pour la ligne SSO : Okta, Ping et OneLogin sont de remarquables solutions et toutes ont été choisies par des entreprises que je connais. Quelle est la meilleure ? Il n’y a aucune réponse possible à cette question.

 

La confiance... ne se décrète pas

Vous faites confiance à votre banquier, votre médecin, votre coach sportif pour vous accompagner et vous aider, chacun dans leurs domaines. Ce n’est pas une confiance aveugle, mais raisonnée.

Votre entreprise doit suivre la même démarche concernant le choix de ses partenaires dans le Cloud Public : créer les conditions d’une confiance raisonnable.

AdS DPC aviophobie peur avion S 79412735Cette confiance n’est pas seulement rationnelle, elle ne se décrète pas. Je prends l’avion plus de 100 fois par an et fais confiance à quelques compagnies aériennes à qui je confie ma vie. Je connais des personnes, intelligentes, qui souffrent d’aviophobie (ou aérodromophobie) et préfèrent prendre leur voiture pour des voyages de plus de 2 000 km. Les statistiques sont formelles : la probabilité de mourir d’un accident de voiture sur 2 000 km est beaucoup plus élevée qu’en avion. Cela ne suffira pas à les faire changer d’avis et à prendre l’avion.

Si vous souffrez d’une néphophobie maladive, ma recommandation est très simple : n’allez pas vers des solutions Clouds Publics.

Pour terminer, je vais prendre deux exemples très révélateurs du comportement des anti Clouds Publics qui cherchent, et trouvent, de bonnes raisons de ne pas y aller.

Cloud Act

Ah, cet épouvantail extraordinaire qui a pour nom Cloud Act ! Impossible de participer à une réunion sur les dangers du Cloud sans que l’on évoque le Cloud Act. Combien de personnes se sont données la peine de savoir ce que signifie “Cloud” dans Cloud Act ?

Cloud = Clarifying Lawful Overseas Use of Data Act. Ce n’est qu’un acronyme, pas très heureux, il faut en convenir. Le Cloud n’a strictement rien à voir avec le Cloud Act ; il traite de l’accès aux données en dehors du territoire américain, mais indépendamment de la nature des infrastructures qui hébergent ces données !

A l’inverse, ils sont peu nombreux à parler de la position de la France sur ces sujets.

Espionnage : la France au premier rang avec l’ANSSI !

ANSSI Accès serveurs en FranceDes enfants de chœur, les Français ? Pas du tout ! Tout le monde espionne tout le monde et la France est très bien placée dans le palmarès des champions. Vous souhaitez protéger vos données ? Ne les mettez surtout pas dans des serveurs hébergés en France : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’arroge le droit d’accéder à toute donnée qui a le malheur de se trouver dans un serveur situé sur le territoire français !

 

Synthèse

AdS DPC old planes S 121561349Ces combats d’arrière-garde sur les dangers du Cloud Public, libre à vous de continuer à les mener dans les années qui viennent.
Vous trouverez de très nombreux fournisseurs prêts à vous conforter dans vos peurs, vos trouilles, vos angoisses métaphysiques, ravis de vous fourguer des solutions hors de prix et inutiles, ceintures et bretelles, pour vous protéger de risques inexistants.

Si c’est votre vision du futur, votre culture, ne m’appelez pas pour vous accompagner dans vos stratégies numériques du XXe siècle, qui vous mèneront, rapidement, dans le mur.


Des équipes internes de constructeurs de logiciels, de “Builders” : indispensable et urgent

 

DPC Ads Software Engineer Woman S 1552206Constructeur de logiciels, c’est probablement le plus beau métier dans le monde du numérique.

Ce sont les personnes qui construisent des produits et services utilisés par des milliards de personnes, tous les jours.

Le vocabulaire a beaucoup évolué depuis les débuts de l’informatique : programmeur, développeur puis ingénieur logiciel.

Depuis peu apparaît l’expression “Builders”, constructeurs, que j’aime beaucoup. Les grands acteurs du cloud emploient de plus en plus cette expression, comme le montrent ces deux extraits de la conférence introductive du CEO d’AWS, Andy Jassy lors de la réunion “Re-invent” de novembre 2018.

AWS Builders tools

Aujourd’hui, ces “ingénieurs logiciels” sont employés en priorité par les éditeurs de logiciels, grand public et professionnels.

Les entreprises innovantes ont compris, récemment, qu’il est urgent de reconstruire en interne des équipes de “Builders” de logiciels. Toutes les entreprises, et en priorité les plus grandes, doivent suivre leur exemple, embaucher et former des milliers de constructeurs de logiciels.

Une priorité de plus, pour 2019.

 

Situation actuelle : une catastrophe absolue, dangereuse, intenable

Software development teamsLes entreprises, et en particulier les plus grandes, ont commis depuis une vingtaine d’années une faute majeure, en supprimant les équipes internes de développement.

Le mythe de l’ERP intégré, capable de tout faire y est pour beaucoup, aidé en cela par les grandes ESN qui déploient des équipes de plusieurs dizaines de personnes pour les “paramétrer” dans des missions qui ne finissent jamais. C’est une poule aux œufs d’or qu’elles n’ont aucun intérêt à tuer...

Je croise tous les jours de grandes entreprises où il n’y a plus une seule personne qui écrit du code pour une application sur mesure ! Des “chefs de projets” gèrent, avec un outil très “puissant et professionnel”, Excel, les prestataires qui exécutent ces travaux de développement, le plus souvent dans des pays lointains tels que l’Inde.

Cigref nomemclature 2018 des métiersPour mesurer l’étendue de ce désastre, il suffit de consulter la “bible” de l’emploi des informaticiens dans les entreprises, le document publié par le Cigref (Club Informatique des Grandes Entreprises Françaises), la nomenclature des métiers du Système d’Information.

Dans ce long document de 193 pages, mis à jour en 2018, où tous les métiers sont censés être cités, j’ai recherché l’occurrence de quelques mots importants, liés aux développements modernes tels que :

  • Devops
  • Microservices
  • Serverless
  • Container
  • Ingénieur logiciel

Ils brillent tous par leur absence : aucun n’est cité, même une seule fois !

J’ai identifié les deux seuls métiers qui parlent de développement :

  • 3.2. Concepteur - Développeur : que trouve-t-on comme compétence nécessaire ? “Adapte et paramètre les progiciels applicatifs (ERP)” ! La messe est dite…
  • 3.5. Paramétreur de progiciels : dans ce deuxième cas, c’est encore plus clair !

Ce qui me navre, ce qui me désespère, c’est que ce document représente un travail long et sérieux, par de personnes occupant des postes élevés dans les DSI de grandes entreprises françaises. Il est un reflet précis de la vision actuelle de ces entreprises et confirme que pour elles, les véritables métiers du développement… n’ont pas droit de cité chez elles.

Optimiste de nature, je me prends à rêver, à ouvrir la version 2019 de ce document et y découvrir... au moins trois définitions de fonctions liées à des métiers de constructeur professionnel de logiciels.

 

Deux grandes familles de demandes, donc... d’outils

Démarrée il y a 20 ans, la révolution des solutions logicielles SaaS, Software as a Service, a permis de répondre à 99 % des attentes des entreprises pour les fonctions S, Support, du modèle B I S que je propose depuis 2015.

C’est une excellente nouvelle : cela libère du temps et des ressources pour investir dans des développements spécifiques pour les fonctions B, Business ou cœur métier.

Une fois de plus, l’unicité des réponses est le plus grand danger : pour répondre à des demandes spécifiques très différentes, il faut proposer des solutions… très différentes.

Solutions de développement : minima communs

Tous les outils utilisés pour développer des applications spécifiques ont les caractéristiques communes suivantes :

  • Disponibles dans des clouds publics industriels : en pratique, sur AWS d’Amazon, GCP de Google ou Azure de Microsoft.
  • Accessibles depuis un navigateur et sur tous les objets d’accès du marché, depuis les smartphones jusqu’aux Chromebooks.
  • Fonctionnent dans une logique collaborative native, pour permettre le partage des applications qui seront construites.

Outils de développement - minima communs

 

Matrice des attentes et des outils

Attentes et outils peuvent être classés en deux grandes familles, ce qui permet de construire une matrice à 4 cases :

Matrice attentes outils développements

  • Attentes structurées et complexes : les usages cœur métier d’une entreprise sont dans cette famille : gestion des infrastructures de transport dans une ville, équilibrage de l’offre et de la demande d’électricité…
  • Attentes flexibles et légères : tableaux de bord pour suivre le lancement d’un nouveau produit, processus d’embauche d’un nouveau salarié…
  • Outils industriels de développement : solutions Serverless, microservices...
  • Outils “Low Code” de développement : Business Intelligence, Business Process Management...

Il est important de le préciser : il n’y a pas une famille plus “noble” que l’autre. Il ne faut pas opposer les développeurs “pros” qui maîtrisent les outils industriels aux bricoleurs qui utilisent les outils légers. Ils ont tous des rôles essentiels dans la réussite de la Transformation Numérique d’une entreprise.

 

Attentes légères, outils “Low Code”

Logo Low code developmentLa demande d’applications légères, flexibles, faciles à modifier est universelle. Quand une DSI n’a pas de réponse à ces demandes, quand elle ne trouve ni le temps ni les ressources pour y répondre, on assiste à l’explosion des informatiques fantômes et du cloud fantôme.

Il est urgent de recréer une confiance réciproque entre la DSI et les métiers pour que, ensemble, il soit possible de construire ces centaines d’applications légères.

Avec la banalisation du cloud public et des solutions SaaS, l’offre d’outils performants “Low Code” est devenue très riche et d’une exceptionnelle qualité.

L’expression “Low Code” semble s’imposer face à “Zéro Code” : elle correspond mieux à la réalité et ne crée pas de fausses attentes auprès des personnes qui pourraient penser que l’on peut construire des applications avec “zéro effort”.

Principales familles d’outils “Low Code”

Le regroupement de ces outils en trois familles que je propose est pragmatique, probablement incomplet et contestable.

Business Intelligence : ce sont des outils qui permettent de construire des tableaux de bord, des visualisations de résultats. Face aux solutions anciennes, complexes et chères, de nouveaux entrants comme Google Data Studio ou Power BI de Microsoft représentent l’avenir de cette famille d’outils.

Outils BI exemples Google et Microsoft

BPM : Business Process Management. Pour construire des “workflows”, des processus légers, une solution comme RunMyProcess, développée par des Français et rachetée par Fujitsu ou Kissflow sont de bons exemples de solutions performantes.

Kissflow HP

Remplacement des applications Excel : je ne connais pas d’entreprises où des dizaines, des centaines ou des milliers d’applications Excel ne soient pas omniprésentes. J’ai souvent critiqué ces applications, mal écrites, avec des erreurs de logique dans presque 70% des cas. La bonne nouvelle, aujourd’hui, c’est que de nouveaux outils, 100 % Cloud, permettent de construire des applications de remplacement, plus performantes, plus faciles à développer et… partageables. Le nouveau leader dans ce domaine a pour nom AirTable.

AirTable HP

 

DSI : quels rôles pour outils “Low Code”

Laisser les directions métiers et les collaborateurs de l’entreprise seuls avec ces outils “Low Code” est une très mauvaise idée ! Les équipes de la DSI doivent être capables de les prendre en charge pour permettre une collaboration efficace avec les métiers.

Les compétences les équipes de la DSI dans ce domaine :

  • DPC outils tools SS 64120784Sélectionner les différents outils : elles vérifient que ce sont de véritables outils SaaS et proposent des solutions adaptées aux différentes demandes, en en limitant raisonnablement le nombre. Il n’est pas nécessaire de pousser deux solutions de BI qui font à peu près la même chose ! Les entreprises qui utilisent G Suite choisiront Google Data Studio, celles qui ont déployé Office 365, Power BI.
  • Maîtriser et connaître les outils sélectionnés : il ne suffit pas d’en parler aux métiers, il faut être capable de présenter concrètement les fonctionnalités de ces différents outils et de les aider à en comprendre les potentiels et les limites.
  • Pouvoir développer des applications légères : les équipes “Low Code” de la DSI réalisent des développements légers si les métiers le demandent. Quel pourcentage des usages légers sera réalisé par la DSI, quel pourcentage par les métiers ? Les réponses seront très différentes selon les entreprises.
  • Choice AirTable KissFlowAider dans le choix de l’outil le mieux adapté à une demande : il ne sera pas toujours facile ou évident de choisir un outil pour répondre à une demande précise. KissFlow ou Airtable ? Dans de nombreux cas, les deux réponses sont possibles : DSI et métiers choisiront, ensemble, la réponse qui leur paraît la plus raisonnable.
  • Former des personnes dans les métiers pour qu’ils construisent eux-mêmes tout ou partie des applications dont ils ont besoin. Quand les métiers sont prêts à se prendre en main sur certains de ces outils, la DSI peut leur mettre le pied à l’étrier.

Avec des outils de construction “Low Code” bien choisis et maîtrisés, tout le monde sera gagnant, l’entreprise, les métiers et la DSI.

 

Attentes structurées, outils industriels

Rappel : seules les fonctions B, cœur métier, sont concernées par des développements structurés sur mesure, si des solutions SaaS verticales ne sont pas disponibles pour ces métiers.

Il existe dans toutes les entreprises grandes ou moyennes, des attentes cœur métier pour lesquelles on ne trouve pas d’applications SaaS ou on souhaite construire une application différente, innovante et porteuse de compétitivité.

Il ne devrait plus venir à l’esprit d’un dirigeant ou d’un DSI l’idée saugrenue d’essayer de modifier un ERP non adapté pour répondre à ces attentes. La seule réponse moderne est de… construire une application sur mesure.

Des outils industriels modernes, très puissants

Nous sommes en 2019 ! L’offre d’outils de construction d’applications structurées n’a plus rien à voir avec celles que connaissaient les développeurs il y a encore 5 ans.

AdS DPC Nirvana SS 227574772Construire des applications, aujourd’hui, c’est le “Nirvana” pour les “builders” !

Les fondamentaux de l’offre :

  • Disponibles dans des clouds publics ou… des clouds publics, AWS, GCP ou Azure.
  • Serverless : Lambda chez AWS, Functions chez Azure ou GCP permettent aux constructeurs d’applications de se concentrer sur le code, rien que sur le code, et de ne plus se préoccuper des infrastructures sous-jacentes.
  • Microservices : de petites équipes de constructeurs (les célèbres “two pizza teams” chères à Amazon) travaillent dans une logique de composants définis par leurs “API” d’entrée et de sortie.
  • Devops : chaque équipe est responsable de la construction de ses composants, de la mise en production et de la maintenance.
  • Containers : masqués aux développeurs, ces composants s’exécutent dans des containers.
  • Open Source : la majorité des technologies d’infrastructures et de constructions s’appuient sur des solutions Open Source : Docker, Kubernetes, Istio…

Des équipes internes, sous la responsabilité de la DSI

AdS DCP Builder woman SS 52830103A l’inverse de ce qui peut se faire pour les outils de constructions légers, les constructions d’applications structurées doivent rester à 100 % sous la responsabilité de la DSI. Ce serait une très mauvaise idée de laisser croire aux métiers qu’ils pourraient les construire eux-mêmes. Nous sommes nombreux à savoir conduire une voiture, beaucoup moins à savoir piloter un Airbus 320.

S’agissant d’applications cœur métier essentielles pour les entreprises, la majorité des constructeurs de ces applications sont des collaborateurs internes et permanents de l’entreprise. Il serait suicidaire de confier la maîtrise de ces constructions à des ESN !

 

Ces équipes internes de “builders” ont une triple compétence :

  • Maîtriser les démarches modernes et les outils de constructions cités plus haut.
  • Une compréhension raisonnable des activités de leur entreprise, pour être capables de dialoguer efficacement avec les métiers. Dans les grandes entreprises, cela signifie qu’il faudra des équipes spécialisées par grands métiers, pour plus d’efficacité.
  • La capacité de travailler dans une logique “produit”, et non pas projet. La pérennité de ces produits logiciels est vitale ; elle inclut leur maintenance et leur évolution pour garantir qu’ils restent pertinents pendant plusieurs années.

Et si la DSI redevenait ce qu’elle n’aurait jamais dû cesser d’être : un lieu où les constructeurs, les réalisateurs sont plus nombreux et mieux considérés que les “managers”, les chefs de projets ?

 

Résumé

Two teams developmentUne entreprise qui ne dispose pas en interne de deux équipes de constructeurs de logiciels, pour réaliser aussi bien des applications légères avec des outils “Low Code” que des applications structurées avec des outils industriels est incapable de répondre aux attentes de tous ses clients internes et externes.

 

Quelle taille pour ces deux équipes de constructeurs ? Je vous propose un objectif minimum de… 20 % du nombre de collaborateurs permanents de la DSI !

Dirigeants et DSI, vous devez investir immédiatement et massivement pour créer ces équipes, les former, leur proposer des plans de carrière attractifs pour qu’une personne puisse dire : “j’ai 50 ans, je suis fier de mon métier de constructeur de logiciels et… je gagne très bien ma vie.”

Un beau défi de plus pour les entreprises courageuses et innovantes !

 


Transformation Numérique pour tous : le courage ou… la trouille

 

AdS DPC Courage switch S 62842445Transformation numérique, transformation digitale, ces expressions sont maintenant sur les lèvres de tous les dirigeants et DSI.

Qu’en est-il dans la réalité ? Que se passe-t-il vraiment dans les entreprises ?

Je rencontre des dizaines d’entreprises dans mes missions de conseil et des milliers de personnes dans les séminaires que j’anime chaque année. Ce n’est pas un échantillon important, mais il en priorité constitué d’entreprises qui sont plus innovantes que la moyenne, sinon elles ne me feraient pas intervenir.

J’ai pris la décision d’écrire ce billet “coup de gueule”, car je constate que l’écart entre le discours de modernité et la réalité des actions est immense.

J’avais, moi aussi, le choix entre courage et trouille : courage de l’écrire, et d’être “black listé” par de nombreux DSI, ou trouille de me fâcher avec de nombreux donneurs d’ordres potentiels.

J’ai choisi le courage, mot qui est au cœur de ma démarche, et qui figure dans la “baseline” de mon blog.

 

Avez-vous rencontré des personnes qui sont contre la Transformation Numérique ? Moi, pas !

Le discours sur la Transformation Numérique est omniprésent dans les réunions de dirigeants et de professionnels du numérique.

En 2018, le CIGREF, Club Informatique des Grandes Entreprises Françaises, a publié un nouveau document sur ce thème, centré sur sa valeur économique.

Cela fait bien longtemps que je n’ai pas rencontré des dirigeants ou des DSI qui ne se présentent pas comme des fans de la Transformation Numérique de leur entreprise, au moins dans leurs discours.

Couverture livre DTN copieLe livre que j’ai co-écrit avec Dominique Mockly sur le thème “Dirigeants, Acteurs de la Transformation Numérique” a été bien reçu et nous sommes souvent invités par des dirigeants ou des fournisseurs à donner des conférences pour en présenter les thèmes principaux.

Devant un tel enthousiasme, je ne devrais voir autour de moi que des entreprises en pleine Transformation Numérique, prenant à bras le corps cette transformation et permettant à tous leurs collaborateurs d’en profiter. Hélas, hélas, hélas, la réalité est toute autre : les actes ne suivent que rarement les grands et beaux discours d’innovation numérique. Je rencontre tous les jours des entreprises dont les modes de travail n’ont pas changé en profondeur depuis des dizaines d’années.

L’exemple le plus frappant est celui des outils bureautiques, universels, utilisés par une grande majorité de collaborateurs : il illustre remarquablement bien ce décalage entre la parole et l’action. C’est le sujet que je vais utiliser pour illustrer les différences entre une démarche “courage” et une démarche “trouille”.

 

Les outils “bureautiques”, seuls outils universels

Quelles sont les solutions numériques les plus répandues dans toutes les entreprises, utilisées par le plus grand nombre de personnes ? Ce sont les outils bureautiques : messagerie, agenda, traitement de texte, tableur …

Si les dirigeants et responsables du numérique souhaitent vraiment que la Transformation Numérique concerne, rapidement, un maximum de personnes, il n’y a pas de méthode plus efficace que le remplacement des versions démodées, en fin de vie, de ces outils bureautiques, disponibles depuis plus de 25 ans ; ils ont pour noms Microsoft Office, Exchange ou Lotus Notes.

MAE et Office antiquitésUtiliser Microsoft Office en 2019 ? C’est aussi “moderne” que d’utiliser une machine à écrire en 1990 !

Changer en profondeur les modes de travail de tous les collaborateurs en déployant des solutions de nouvelle génération devrait être la priorité de toutes les entreprises. Ceci permet de toucher :

  • Ceux qui ont déjà une bureautique archaïque, ce qui représente environ 50 % de la population des entreprises en France.
  • Les 50 %, des opérationnels en priorité, qui n’ont pas accès à ces outils ; on ne pouvait pas les équiper de PC Windows avec Microsoft Office.

 

Conditions “techniques” d’une Transformation Numérique réussie

Les lignes qui suivent sont un rappel des conditions minimales que doivent remplir les solutions numériques choisies pour accompagner une Transformation Numérique.

  • Disponibles dans des clouds publics : c’est dans ces environnements que les innovations les plus importantes naissent.
  • Solutions SaaS véritables, multitenant : c’est la seule manière de disposer de solutions industrielles et de ne jamais avoir à gérer des mises à jour.
  • Accessibles sur tout objet d’accès : les clients internes et externes ont le droit de choisir leurs objets d’accès : PC, Macintosh, smartphones Android ou iOS, tablettes ou Chromebooks.
  • Navigateur fenêtre universelle d’accès : une solution numérique non accessible depuis un navigateur n’a plus droit de cité dans une entreprise ; c’est le minimum commun disponible sur tous les objets d’accès.
  • Collaboratif natif : toutes les fonctionnalités proposées doivent être prévues pour permettre le partage, nativement. Un document sera partagé par défaut, individuel par exception.
  • Une seule version d’un contenu, à tout instant, pour tout le monde : partage et cohérence des informations ne peuvent pas être obtenus autrement.
  • Des coûts raisonnables : 10 € par mois est un ordre de grandeur pour une bureautique moderne de base : un smartphone à 200 € et des outils logiciels à 50 € par an permettent de tenir dans ce budget.

IBM Microsoft 2000 - Microsoft G suite 2019En 2000, les entreprises avaient le choix entre deux fournisseurs: IBM avec Lotus et Microsoft avec Exchange.

En 2019, les entreprises ont le choix entre deux fournisseurs : Microsoft avec Office 365 et Google avec G Suite.

Dites-moi quelle solution vous avez choisie ou envisagez de mettre en œuvre, je vous dirai si vous êtes… courageux ou trouillard !

 

Les entreprises courageuses choisissent G Suite

Il y a exactement 12 ans, en février 2007, Google annonçait à Paris, en première mondiale, Google Apps, devenu depuis G Suite.

Je parlais déjà, dans ce billet, des entreprises “prudentes” qui allaient trouver mille raisons pour ne pas faire le saut vers une bureautique Web ; en 2007, on ne parlait pas encore du Cloud. Je ne pensais vraiment pas que les arguments que je présentais à l’époque seraient encore valides 12 ans plus tard !

Depuis cette date des millions d’entreprises ont fait le choix G Suite, y compris les plus grandes.

Valeo, Veolia, Essilor, Airbus, la banque BBVA en Espagne, Teréga, Auchan, Solvay, Decathlon… la liste est longue de ces entreprises courageuses qui ont fait ce choix. Valeo a été la première grande société mondiale, dès 2007, à choisir G Suite ; bravo, Valeo !

AdS DPC 100 % S  96008063G Suite répond à toutes les caractéristiques techniques que j’ai présentées dans le paragraphe précédent. Il n’y a donc aucune raison “objective”, rationnelle, de ne pas faire ce choix.

Un exemple : aucune mise à jour n’a été nécessaire sur les postes de travail depuis le premier jour de déploiement.

 

Les entreprises trouillardes se réfugient dans Office 365

Office 365 Home PageEn 2011, 4 ans après l’arrivée de G Suite, Microsoft a lancé sa “solution cloud”, Office 365, comme l’indique leur site lors de l’annonce.

Des entreprises innovantes, courageuses, avaient démontré que basculer ses solutions bureautiques dans un cloud public était possible et ne déclenchait pas de catastrophes majeures. Le terrain était préparé pour que les autres entreprises envisagent de suivre leur exemple.

AdS DPC ravalement facade Chartres SS 171019391Bravo, Microsoft, qui a su proposer, à partir de 2011, un outil ancien, ravalé, pseudo-cloud, qui répondait bien aux attentes de non-changement des entreprises traditionnelles au sens de la courbe de Gauss de l’innovation.

Gérer les changements profonds induits par un basculement vers des solutions bureautiques Cloud ? C’était un traumatisme trop fort, des obstacles infranchissables pour les entreprises qui avaient la trouille de toucher aux habitudes de leurs collaborateurs internes.

Office 365, c’est encore en 2019 la parfaite illustration d’une démarche de pseudo-changement.

Je rencontre deux familles d’entreprises qui ont fait le choix Office 365 :

  • Les plus lucides, qui reconnaissent qu’elles ont eu peur d’affronter les changements que supposait un basculement sur G Suite.
  • Les autres, qui essaient de s’autoconvaincre qu’elles innovent en choisissant une solution de parfaite continuité avec le passé. Quelle tristesse devant ce refus d’affronter la réalité !

La seule, la véritable raison pour laquelle les entreprises trouillardes choisissent encore Office 365 en 2019, c’est que cette solution... n’induit aucun changement dans les usages de leurs collaborateurs. Ils peuvent garder leurs clients lourds, des PC avec Office et Outlook et continuer avec leurs modes archaïques de travail et des documents distribués sur des milliers de postes de travail Windows

Démontrer qu’Office 365 n’est pas une solution techniquement valable est très, trop facile :

  • Il est nécessaire de disposer d’un client lourd. Comment utiliser Office 365 depuis un Macintosh, un iPhone ou des smartphones Android ? Très simple, il suffit… d’installer les applications spécialisées pour ces postes de travail, qui ne sont pas totalement compatibles entre elles. Vous souhaitez utiliser un Chromebook ? Désolé, ce n’est pas possible.
  • MaJ Office 365 RafalOn retrouve toutes les joies immenses des mises à jour périodiques, comme le montre ce message reçu par un client Office 365.
  • Vous souhaitez partager un document ? Pas de problèmes, vous pouvez le mettre dans SharePoint Online ; ce n’est pas obligatoire et la gestion des partages est complexe.
  • ...

Il y a un argument massue utilisé par ces entreprises quand je les challenge sur leurs choix : on “pourrait” travailler en mode Web… Petit problème : personne parmi les grandes entreprises ne le fait ! J’ai pendant 3 ans collaboré avec une société américaine de plusieurs milliers de collaborateurs qui avait déployé Office 365 et j’avais une adresse mail chez eux ; j’étais le seul, je dis bien le seul, à utiliser la version navigateur de cet outil.

 

Les alibis les plus cités pour justifier le choix de la solution trouille

Une fois que la décision de non-changement est prise, de déployer Office 365 et que G Suite est soit non considéré soit éliminé, il faut bien sûr trouver des arguments pour essayer de s’autoconvaincre que c’est une bonne décision.

La liste qui suit n’est pas exhaustive, mais on y trouve les “best sellers”.

Pauvreté fonctionnelle

G Suite est une solution intéressante, mais elle ne répond pas aux attentes de nos utilisateurs qui ont des besoins professionnels non couverts.

C’était vrai en 2007, ce ne l’est plus en 2019.

Nb fonctions G sheets vs ExcelLe cas le plus emblématique est celui d’Excel : mes contrôleurs de gestion ne peuvent pas se passer d’Excel. C’est faux pour plus de 90% des utilisateurs bureautiques d’Excel, comme le montre ce tableau comparatif : Google Tableur propose 425 fonctions, Excel 471.

Question : combien de vos collaborateurs utilisent 200 fonctions d’Excel ou plus ?

Il faut surtout séparer Excel Bureautique et Excel outil applicatif, comme je l’ai longuement expliqué dans un billet récent qui préconise d’éliminer les applications Excel.

Il existe aujourd’hui de remarquables outils, clouds natifs, qui permettent de construire des applications Web légères, partagées, beaucoup plus ergonomiques et plus fiables que les applications construites avec Excel. Je pronostique qu’un nouveau leader va apparaître dans ce domaine. Son nom : Airtable.

AirTable HP

Si quelques personnes dans votre entreprise, ont, objectivement, encore besoin d’un outil bureautique très puissant et que les solutions de G Suite ne répondent pas à leurs attentes, rien n’interdit, avec un peu de pragmatisme, de leur donner accès à G Suite pour tous leurs usages “normaux” et de leur laisser, en plus, leurs versions existantes d’Excel ou “PauvrePoint”.

Espionnage des contenus par Google et la NSA

Cet argument n’est pas spécifique aux outils bureautiques cloud. Je ne vois objectivement pas de différences entre le cloud public Azure de Microsoft et celui de Google pour G Suite sur ce sujet. Les deux proposent des niveaux de sécurité supérieurs à ceux que peuvent fournir les centres de calcul privés des entreprises dans plus de 99,999 % des cas.

Rappel : il est aussi possible, pour les entreprises qui sont “ceinture et bretelle”, de chiffrer les données dans ces deux clouds avec une clef de chiffrement qui est propriété de l’entreprise et à laquelle ni Google ni Microsoft n’ont accès.

Usages non connectés, off-line

Comment travailler quand on n’a pas accès à un réseau ? C’est supposé être l’argument majeur contre G Suite.

Il y a plusieurs réponses “rationnelles” :

  • En 2019, la probabilité de ne pas avoir accès à un réseau 3G, 4G ou Wi-Fi est de plus en plus faible. Chez soi, au bureau, à l’hôtel, dans le train… ces réseaux sont omniprésents.
  • G suite off lineLe mode de fonctionnement “off-line” existe pour G Suite. J’ai écrit une partie de ce billet dans un avion Air France qui n’a pas encore de Wi-Fi. C’est un mode dégradé, oui, mais suffisant pour continuer à travailler dans la grande majorité des cas. Les modifications que j’apporte à mon texte sont synchronisées avec le cloud dès que je dispose à nouveau d’un réseau à l’arrivée.

En même temps qu’elles utilisent cet argument fallacieux, les entreprises réfléchissent au droit à la… déconnection de leurs collaborateurs. On ne se posait pas cette question en 2007 !

Si on se la pose aujourd’hui, c’est qu’effectivement on peut être connecté en permanence.

Dialogue avec l’extérieur

Mes clients, mes fournisseurs utilisent tous Microsoft Office et je dois pouvoir partager des documents avec eux.

Dans ce cas aussi, il existe d’excellentes réponses pratiques :

  • Echanger des documents au format standard PDF est souvent plus efficace et plus sûr, surtout quand on ne souhaite pas les modifier.
  • Download G suite as...Il est possible, dans G Suite, d’importer des documents aux formats propriétaires de Microsoft (xls, ppt…), de les garder dans ces formats et de les modifier. On perd par contre la possibilité de travailler en mode collaboratif.
  • Pour les documents créés par l’entreprise dans G Suite, on peut à tout moment les exporter dans les formats propriétaires de Microsoft.

N’oublions pas que la dématérialisation des échanges se généralise et que les formats propriétaires Microsoft n’y ont pas leur place. Personne ne pleurera leur disparition, en espérant qu’elle soit la plus rapide possible.

Si on veut noyer son chien… tout le monde connait ce proverbe. La rationalité dans les décisions a ses limites, et ne peut pas lutter contre la trouille des entreprises, leur incapacité à gérer des changements pourtant indispensables et bénéfiques pour tous, entreprises et collaborateurs.

 

Synthèse

Un grand nombre de DSI et de dirigeants “bien pensants” vont lire ce texte en se disant que j’écris des âneries, que je suis payé par Google et ne comprend rien à la vraie vie des entreprises sérieuses.

AdS DPC Scarier than change SS 177052115Je suis profondément inquiet quand je constate que le sentiment de trouille l’emporte face à la rationalité et que de trop nombreuses entreprises refusent de préparer leurs collaborateurs à une Transformation Numérique indispensable et urgente.

Votre entreprise est dans l’une de ces trois situations :

  • Vous avez déployé G Suite : bravo pour votre courage, vous êtes prêts pour aller plus loin, plus vite dans votre Transformation Numérique.
  • Vous êtes encore sur des solutions archaïques et vous posez la question de la migration : choisissez votre camp, celui du courage ou celui de la trouille.
  • Vous utilisez Office 365 : ayez le courage de remettre en cause ce choix dicté par la trouille, repartez dans la bonne direction…

Vous savez ce qu’il vous reste à faire : aurez-vous… le courage de passer à l’action, immédiatement ?

MAJ du 25 février 2019

Les difficultés techniques de mise en œuvre d'une solution cloud bureautique n'existent pas ; seules les dimensions humaines et organisationnelles peuvent ralentir une Transformation Numérique dans ce domaine.

Comment imaginer une seconde qu'une entreprise qui n'est pas capable de réussir en bureautique pourra le faire dans les autres domaines du numérique, applicatifs en particulier, où les défis techniques sont beaucoup plus grands.


Red Flag : le danger, mortel, d’un principe de précaution mal utilisé - Deuxième partie

 

Red Flag Car UKDans la première partie, j’ai présenté les risques d’une démarche « Red Flag » qui consiste à voter des lois censées protéger la population, selon le célèbre « principe de précaution », mais qui ont comme conséquence de bloquer l’innovation dans les technologies et usages numériques.

L’exemple étudié était celui des véhicules autonomes.

L’intelligence Artificielle, les données personnelles et la santé sont trois autres domaines qui seront profondément chamboulés par l’accroissement exponentiel de la puissance des outils numériques. Face à des ruptures majeures, difficiles à anticiper, le risque « Red Flag » est très fort dans ces trois domaines.

 

Intelligence Artificielle

J’ai plusieurs fois présenté les potentiels de l’Intelligence Artificielle dans ce blog, en particulier ici et .

La Chine a compris que la maîtrise de l’Intelligence Artificielle était l’une des clés du succès pour un état et en a fait une priorité pour son gouvernement, avec le plan AI 2030, lancé en 2017.

Ce plan prévoit trois étapes :

  • 2020 : se mettre au niveau des meilleurs, en clair des Etats-Unis.
  • 2025 : devenir le meilleur dans quelques domaines clés de l’IA.
  • 2030 : être le leader mondial de l’Intelligence Artificielle.

China AI  Baidu  Alibaba TencentPour améliorer l’efficacité de son plan IA, le gouvernement chinois est très directif ; il a réparti les secteurs d’actions prioritaires entre les trois géants du numérique, Alibaba, Baidu et Tencent. Connaissant les liens très forts qui unissent ces entreprises avec le gouvernement, il est peu probable qu’elles ne respectent pas cette « directive » !

Aujourd’hui, les Etats-Unis sont encore les plus avancés dans la maîtrise des technologies de l’IA ; pour combien de temps ? La nouvelle équipe politique arrivée avec Donald Trump ne brille pas par sa connaissance et son intérêt pour l’innovation numérique.

Trump top AI adviserPlus inquiétant encore, il a créé un comité pour piloter l’IA aux Etats-Unis ; petit problème, les organismes supposés l’aider ont des postes vacants au niveau des dirigeants !

Eric Schmidt, ancien Président de Alphabet-Google, est persuadé que les Etats-Unis auront été dépassés par la Chine dès 2025.

Lors d’une conférence en juillet 2018, VeraLinn Jamieson, Général de l’US Air Force, a fait part de sa préoccupation sur ce même sujet : elle aussi est persuadée que les Etats-Unis vont perdre la bataille de l’IA, et donne quelques chiffres intéressants :

  • Dépenses US en IA en 2017 : 2 milliards de dollars.
  • Dépenses Chine en IA en 2017 : 12 milliards de dollars.
  • Dépenses Chine en IA en 2020 : 70 milliards de dollars.

L’Europe a déjà perdu une première bataille essentielle, celle du cloud public, qui sert de fondation numérique pour l’avancée des solutions d’Intelligence Artificielle.

Rapport Vilani couvertureLa France a fait réaliser par une équipe dirigée par un brillant mathématicien Cedric Vilani un rapport sur l’IA, publié en mars 2018.Ce rapport a le mérite de poser beaucoup de bonnes questions et de rappeler que c’est au seul niveau de l’Europe que l’on peut espérer concurrencer la Chine et les Etats-Unis.

Est-ce qu’il a déclenché un tsunami intellectuel en France et en Europe, une prise de conscience forte que nous risquons de perdre la bataille essentielle des 10 prochaines années ? Hélas, non, et ce rapport terminera, comme beaucoup, sa vie sur une étagère, couvert de poussières…

Un exemple édifiant et récent, daté du 4 juillet 2018, confirme que j’ai raison de m’inquiéter : l’adoption par la France d’un projet de loi « Cyber », ramassis de recettes anciennes, qui n’ont jamais fonctionné, telles que celle d’un cloud souverain de sinistre mémoire.

C’est une parfaite illustration d’une loi « Red Flag » proposée par des personnes dont la compréhension des défis du monde numérique ne me semble pas très élevée…

Pour conclure sur une vision positive, je vous propose de lire l’interview de Diane Greene, CEO de Google Cloud ; elle présente, très bien, les challenges de la cohabitation entre des technologies qui avancent très vite et des régulateurs qui ne sont pas capables d’aller aussi vite.

J’en ai extrait une phrase sur le thème de l’Intelligence Artificielle qui va tout à fait dans le sens de ce blog :

« But I personally think it’s important not to hamper the good it can do because of the bad it can do. »

(Mais je pense personnellement qu’il ne faut pas entraver le bien qu’elle (IA) peut faire à cause du mal qu’elle peut aussi faire.)

 

Données personnelles

AdS DPC Personal Data S 200863820Images, visages, photos et vidéos, données financières ou de santé, géolocalisation, achats sur internet, commentaires sur hôtels ou restaurants, réseaux sociaux, meta-données d’échanges numériques… la liste est longue des traces numériques laissées par des milliards de personnes, tous les jours.

Ces données personnelles sont des « ingrédients » essentiels pour les outils d’IA et de Machine Learning.

Les capacités et performances des outils numériques permettent aujourd’hui, et demain encore plus, de mémoriser et d’analyser toutes ces données, sans contraintes de volumétrie et de temps de traitement.

Il est facile d’imaginer des centaines d’usages positifs et innovants rendus possibles par l’exploitation de ces données :

  • Personnaliser les recommandations d’achats, de voyage, de lecture en fonction de nos préférences.
  • Optimisation des covoiturages et codéplacements pour réduire les coûts de transports, les dépenses énergétiques et les émissions de CO2.
  • Meilleure qualité, plus grande efficience des services publics liés à l’unicité et le partage des informations.
  • ...

Il est aussi facile d’imaginer des centaines d’usages négatifs et dangereux de ces mêmes données :

  • Surveillance policière des « mauvais citoyens » comme cela se pratique dans de nombreux pays : la Chine en est l’exemple le plus impressionnant.
  • Publicités ciblées et envahissantes à tout moment, en tout lieu.
  • Contrôle excessif des salariés par les entreprises.
  • ...

RGPD 7 PrincipesL’Europe a imposé en 2018 un ensemble de directives sur la protection des données personnelles, le RGPD, Règlement Général de Protection des Données. (GDPR en Anglais).

J’accepte de faire l’hypothèse positive que les personnes qui ont travaillé sur le RGPD étaient uniquement guidées par de bonnes intentions. On peut faire la même hypothèse sur les députés anglais qui avaient voté la loi « Red Flag » originale.

Quelle sera notre analyse « objective » du RGPD dans 10 ou 15 ans ? Est-ce que le RGPD aura eu un impact majoritairement positif en protégeant les citoyens européens ? Est-ce qu’il sera considéré comme une loi « Red Flag » qui a bloqué l’innovation en Europe et permis aux Etats-Unis et à la Chine de prendre une avance encore plus insurmontable dans les usages de l’Intelligence Artificielle ?

Je vois au moins trois des principes du RGPD qui peuvent le transformer en « Red Flag » :

  • Limitation de la conservation : des découvertes scientifiques faites dans les prochaines années pourraient, pour déboucher sur des bénéfices pratiques, nécessiter de longues séries de données historiques qui auront été détruites pour respecter le RGPD.
  • Limitation des finalités : l’impossibilité d’utiliser des données pour des usages non prévus dés le départ peut bloquer des applications innovantes, impossibles à anticiper aujourd’hui, pour lesquels ces données seraient indispensables.
  • Minimisation des données : ne pas pouvoir mémoriser des données que l’on pourrait saisir facilement parce qu’elles ne sont pas indispensables pour le seul traitement autorisé peut appauvrir notre connaissance et rendre impossibles de nouveaux usages à forte valeur ajoutée, des recherches scientifiques ou médicales majeures.

Il n’est pas « politiquement correct » d’oser s’attaquer au RGPD et à sa « noble » mission de protéger les citoyens européens des grands méchants GAFAM américains et BATX chinois.

GDPR eroding privacyPosez-vous honnêtement la question : quelle est, selon vous, la probabilité que le RGPD soit considéré en 2025 comme une loi « Red Flag » ?

Le fait que le RGPD puisse être une mauvaise idée n’est plus un sujet tabou ;

Cet article, publié début août 2018, en est une bonne illustration. Il annonce clairement la couleur : «  Le RGPD va éroder notre vie privée, pas la protéger ».

 

Monde de la santé

AdS DPC Medical Data S 69886882Le monde de la santé est un secteur dans lequel les avancées du numérique sont spectaculaires; c’est aussi celui qui peut :

  • Le plus bénéficier des avancées de l’Intelligence Artificielle.
  • Créer le plus grand nombre de lois « Red Flag ».

C’est aussi dans la santé que convergent les deux autres domaines présentés dans ce texte, l’Intelligence Artificielle et les données personnelles.

J’ai sélectionné quelques-unes des nombreuses innovations annoncées ces derniers mois dans le monde de la santé :

Et nous n’en sommes qu’au tout début !

Donner son corps pour la science : il a fallu des siècles pour que cela devienne acceptable ; il y a encore trop de personnes qui refusent de le faire.


Donner ses « données médicales » pour la science : ce sera un combat encore plus difficile, mais vital pour l’avenir de l’innovation au service de la santé des 7 milliards d’humains. Peut-on concilier une raisonnable protection de ses données de santé avec leur partage pour faire avancer la science ? J’en suis persuadé, mais fais encore partie de la minorité.

China next AI super PowerJe reviens une dernière fois sur la croissance impressionnante de la Chine dans le domaine de l’Intelligence Artificielle en vous recommandant de lire ce texte récent, publié par Peter Diamantis, qui résume très bien les avantages concurrentiels de ce pays :

  • Abondance des données.
  • Des entrepreneurs très agressifs.
  • Une forte montée des compétences locales.
  • Le rôle clé du gouvernement.

Compétence en IA, pas de RGPD, excellente maîtrise de la médecine : tout est en place pour faire de la Chine le pays leader mondial des innovations dans le monde de la santé.

Si cette analyse ne vous fait pas peur, ne vous fait pas craindre pour l’avenir de l’Europe, alors, bienvenue dans un monde ancien qui veut encore croire que des lois « Red Flag » peuvent protéger les personnes en bloquant des évolutions technologiques majeures.

  

Synthèse

Toute innovation numérique crée des risques potentiels nouveaux pour les citoyens, les entreprises et les états, oui bien sûr.

Toute innovation numérique apporte des bénéfices potentiels nouveaux aux citoyens, aux entreprises et aux états, oui bien sûr.

Peut-on anticiper avec précision ces risques ou ces bénéfices ? Non, bien sûr !

Précaution - risk vs reward

Il nous faudra choisir en permanence entre deux approches :

  • Principe de précaution : on part de l’hypothèse que les risques sont supérieurs aux bénéfices ; on essaie de bloquer l’innovation.
  • Principe d’innovation : on fait l’hypothèse que les bénéfices sont supérieurs aux risques : on décide d’y aller.

J’ai clairement choisi mon camp : le danger mortel, c’est de tuer l’innovation, de perdre la bataille de la compétitivité mondiale. Nous devons de toute urgence redécouvrir les vertus du risque, de l’échec, du fait que les voitures autonomes, l’intelligence artificielle appliquée à la santé vont tuer des personnes.

Tout espoir n’est pas perdu ! L’Europe vient d’échapper, pour le moment, à une loi « Red Flag » ; elle a bloqué, provisoirement, une loi qui aurait pu étendre de manière déraisonnable les droits de copyright aux contenus numériques on-line.

 


Red Flag : le danger, mortel, d’un principe de précaution mal utilisé - Première partie

 

AdS DPC Précaution S 46696494La France est l’un des seuls pays à avoir inscrit le principe de précaution dans sa constitution ; elle l’a fait en 2005, il y a plus de 10 ans.

Comme l’explique cet article du journal les Echos, ce principe de précaution ne sert à rien, juridiquement, mais paralyse l’innovation et l’initiative.

Face à la croissance exponentielle de la puissance des outils numériques, face à la croissance exponentielle des nouveaux usages rendus possibles par ces outils, le principe de précaution représente un danger mortel pour la France, s’il est appliqué « sans modération ».

Ce que je crains, ce que je constate dans trop d’entreprises, c’est que ce sont justement ces accélérations de l’innovation qui déclenchent des peurs irrationnelles ; la tentation est forte d’utiliser ce principe de précaution avec la douce illusion que l’on peut bloquer l’évolution des technologies.

 

Red Flag

L’un des exemples les plus anciens est le plus emblématique de ce principe de précaution est la loi « Red Flag », drapeau rouge, votée en Angleterre à la fin du 18e siècle, lorsque les premiers véhicules à moteur sont apparus.

Red Flag Law UK 1860 S

Cette loi, qui est restée en vigueur pendant plus de 30 ans, exigeait que tout véhicule à moteur soit précédé d’un homme, à pied, portant un drapeau rouge pour signaler que l’engin qui le suivait était porteur de dangers.

Je ne pense pas que cette loi ai fortement contribué à la croissance de l’industrie automobile en Angleterre…

Combien de lois ou de recommandations « Red Flag » seront promulguées en France au cours des cinq prochaines années ?

Une remarquable étude sur les usages du numérique dans le monde a été publiée par Hootsuite, début janvier 2018. J’en ai extrait cette page qui évalue l’optimisme numérique dans les pays étudiés ; la France fait partie du peloton de tête des plus… pessimistes ! Sur ce terreau craintif, il sera hélas facile de faire pousser des lois « Red Flag » anti innovations numériques.

Nos amis allemands sont encore plus mal classés ; leur remarquable résistance aux solutions Cloud Publics y trouve peut-être une explication…

Digital Optimism - France last

Etablir un inventaire de tous les domaines où le numérique joue un rôle et qui pourraient être touchés par des lois « Red Flag » serait fastidieux et déprimant.

J’ai préféré analyser trois thèmes importants :

  • Les véhicules autonomes ; sera traité dans la première partie.
  • L’intelligence Artificielle.
  • Les données personnelles.

Ces deux sujets seront abordés dans la deuxième partie de cette analyse.

 

Véhicules Autonomes

  Darpa Challenge carEn 2004, il y a 15 ans, DARPA (Defense Advanced Research Project Agency), organisme du DoD (Department of Defense), aux USA, a lancé un ambitieux projet, le Grand Challenge. Il récompensait les premiers véhicules sans conducteur qui seraient capables de se déplacer dans le désert.

Cet investissement de recherche a été remarquablement efficace ; après ce coup de pouce, d’immenses progrès ont été réalisés et des milliards de dollars ont été investis pour mettre sur les routes des voitures, taxis ou camions autonomes.

Avant de parler des risques « potentiels » que pourraient poser ces véhicules autonomes, il est important de rappeler quels sont les risques « actuels » des véhicules conduits par des humains.

  

Les assassins actuels de la route

Toutes les études sérieuses montrent qu’environ 90 % des accidents entraînant mort d’homme sont provoqués par des erreurs humaines. Les pays en émergence sont plus touchés que les pays développés.

Les chiffres sont accablants ; le nombre annuel de personnes tuées sur les routes :

  • 1 300 000 morts dans le monde.
  • 40 000 aux USA.
  • 3 500 en France.

Ces assassins de la route, ce sont des personnes « normales » qui commettent leurs crimes en conduisant :

  • Trop vite.
  • Sous l’emprise de l’alcool ou des drogues.
  • En utilisant un smartphone pour échanger des messages ou regarder des images ou des vidéos.

Rappel : un assassin est une personne qui a prémédité son crime ; c’est le cas d’une personne qui conduit en état d’ivresse ou droguée et qui sait très bien qu’elle présente un danger majeur pour la société.

Larry Page et Sergueï Brin, les fondateurs de Google, auraient décidé de se lancer dans la construction de véhicules autonomes quand ils ont découvert ce chiffre de 1,3 million de morts annuels sur les routes.

 

Niveaux d’autonomie des véhicules autonomes

 Cinq niveaux différents d’autonomie ont été définis ; ils vont du niveau 1, aucune autonomie, à 5, tous les occupants sont des passagers, il n’y a plus de conducteur.

En 2018, le niveau 3 est atteint par des voitures haut de gamme comme Audi ou Tesla.

Il y a deux grandes écoles de pensée qui s’opposent sur la meilleure manière de faire avancer les performances des véhicules autonomes :

  • La majorité des constructeurs traditionnels sont partisans d’une démarche progressive, en passant par les niveaux intermédiaires 3 et 4 avant d’arriver à 5.
  • Un petit nombre d’entreprises comme Google avec Waymo ou le français Navya proposent des véhicules qui sont immédiatement au niveau 5.

Je pense que le niveau 4, où le conducteur ne doit intervenir que dans des situations d’urgence, est plus dangereux que le niveau 5. Les rares accidents des véhicules au niveau 4 sont dus au fait que le conducteur « occasionnel » s’ennuie tellement qu’il n’est plus prêt à intervenir quand il le doit.

Des milliers d’articles ont été écrits sur un seul accident : une voiture niveau 4 d’Uber qui a tué une personne qui traversait de nuit une route. La responsabilité a été initialement attribuée à un mauvais réglage du logiciel.

Uber Driver Streaming the voiceLes enquêtes de police ont trouvé la cause principale de cet accident mortel ; l’analyse des usages de son smartphone a démontré que la conductrice qui était supposée surveiller la route pour intervenir en cas d’urgence… regardait l’émission « the voice » sur son smartphone depuis plus de 40 minutes !

Il n’y a pas encore eu, à ma connaissance, d’accidents mortels provoqués par des voitures de niveau 5. Il s’en produira certainement quelques-uns dans les mois ou années qui viennent.

Waymo Google 5 M miles drivenLes véhicules Waymo de Google avaient parcouru 5 millions de miles en mai 2017 et s’approchent aujourd’hui les 5 millions, sans aucun accident mortel. Ce chiffre est à comparer aux 3 000 000 millions de miles conduits par les Américains en 1 an, soit 1 million de fois plus. Il n’est pas encore possible d’établir une statistique sérieuse sur la réduction du nombre de morts ; on peut seulement établir quelques hypothèses.

Self driving cars will kill peopleEst-ce que les véhicules autonomes seront 10, 100 ou 1000 fois plus sûrs que les humains au volant ? Nul ne le sait, par contre il est certain qu’ils vont tuer des personnes, comme le rappelle cet article.

Les airbags, cités dans cet article, ont tué 200 personnes et sauvé 45 000 vies ; les premiers modèles d'airbags étaient imparfaits et la majorité des morts ont eu lieu au début. Ils ont un niveau d’efficacité supérieur à 200 ; le nombre de personnes sauvées est 200 fois supérieur à celui des tués.

Prenons l’hypothèse 100 fois moins de morts pour les véhicules autonomes ; cela veut dire qu’il y aura chaque année :

  • 400 morts causés par des véhicules autonomes aux Etats Unis, environ 1 par jour.
  • 35 morts causés par des véhicules autonomes en France, proche de 1 par semaine.

Est-ce que le « principe de précaution » acceptera un tel niveau de morts ? Est-ce que des lois « Red Flag » contre les véhicules autonomes ne seront pas votées si une dizaine de personnes sont tuées au cours des 2 ou 3 prochaines années ?

  

Deux approches pour réduire les morts sur les routes

La première considère que les véhicules autonomes ne sont pas la réponse ; il faut donc agir sur les assassins humains du volant. La levée de boucliers déclenchée par la réduction de la vitesse de 90 à 80 km/h sur les routes nationales, pour sauver environ 300 personnes, montre que nous ne sommes pas prêts à des lois « Red Flag » pour les humains.
AdS DPC Drunk driving S 55786554Ces lois « Red Flag » seraient pourtant très simples à écrire :

  • Conduite en état d’ivresse ou sous l’emprise de drogues : retrait immédiat du permis de conduire pendant 1 an. En cas de récidive dans les cinq ans, retrait définitif du permis de conduire et interdiction de le repasser pendant 10 ans.
  • Consultation de son smartphone au volant : retrait immédiat et définitif du permis de conduire et interdiction de le repasser pendant 5 ans.

Je ne suis pas certain que la population française est prête à accepter des règles aussi efficaces que contraignantes.

Ces lois pourraient au mieux espérer réduire à 1 500 personnes le nombre de morts sur les routes de France.

La deuxième approche consiste à promouvoir les véhicules autonomes de type 5 pour qu’ils deviennent la norme, le plus vite possible.

Renault autonome Genève 3:2018Cette loi « Red Flag » serait, elle aussi, facile à écrire :

  • Autorisation immédiate d’essais de véhicules autonomes de niveau 5, sur autoroutes et en ville en priorité. Généralisation des essais sur toutes les routes en 2021.
  • Interdiction de commercialiser des véhicules non autonomes de niveau 5 à partir de 2025.
  • Interdiction généralisée de conduire un véhicule à moteur pour tous les humains à partir de 2035.

Avec cette loi, on devrait réduire le nombre de morts à moins de 100 personnes par an sur les routes de France.

Ceci permettrait à tous les Français et Françaises de continuer à picoler, à se droguer ou à utiliser un smartphone pendant leurs déplacements.

De ces deux lois « Red Flag » quelle est celle que vous seriez prêt à soutenir ?

Dans la deuxième partie de ce billet, j’aborderai les thèmes intelligence artificielle et données personnelles.

 

 


Sécurités historiques, périmétriques, pour entreprises & pays… un combat d’arrière-garde !

 

AdS DPC Old lock cadenas S 89945035Le cloud public n’est pas sécurisé ! Mes données ne sont pas protégées dans un cloud public ! AWS, Google, Microsoft Azure ne sont pas des fournisseurs sérieux, capables d’offrir la même sécurité que les acteurs historiques : IBM, HP, Cisco, Dell…

Cela fait dix ans que j’entends ces rengaines, transmises par des DSI, des dirigeants et des RSSI (Responsables de la Sécurité des SI).

L’un des thèmes dominants est celui de la protection de son « territoire », au sens physique du terme, comme le faisaient les châteaux forts du Moyen Âge, entourés de grandes murailles.

Cette démarche de protection périmétrique, qui était raisonnable au « Moyen Âge de l’informatique », n’a plus aucun sens aujourd’hui.

Voyons pourquoi.

 

Sécurité périmétrique entreprise

 Dans l’ancien monde informatique, les choses étaient simples : l’essentiel de l’activité se passait à l’intérieur de l’entreprise :

Muraille circulaire - Firewall entreprise

  • Les serveurs étaient hébergés dans un centre de calcul appartenant à l’entreprise.
  • Les postes de travail, des PC Windows, étaient reliés à un réseau Ethernet filaire, géré par les équipes internes.
  • Les accès informatiques à l’extérieur de l’entreprise par les salariés n’étaient que rarement nécessaires, souvent bloqués.
  • Un firewall, ou pare-feu était mis en œuvre, pour protéger les ressources et personnes présentes à l’intérieur de l’entreprise de toute attaque venant des « barbares » présents à l’extérieur.

Aujourd’hui, tout a changé !

AdS DPC chicken Inside outside S 98088222

  • Les infrastructures sont gérées par des industriels du cloud public, AWS, Google ou Microsoft.
  • De plus en plus d’applications SaaS, Software as a Service, sont utilisées, et elles sont toutes, par nature, hébergées à l’extérieur de l’entreprise.
  • Les postes de travail sont variés, mobiles, smartphones, tablettes, PC portables ou Chromebooks, et reliés à des réseaux mobiles, 3G, 4G ou WiFi.
  • Les collaborateurs ont besoin et exigent l’accès à leurs applications en tout lieu, à toute heure.

Dans ce nouveau monde, obliger les transferts de données à transiter par l’intérieur de l’entreprise pour ressortir ensuite vers le cloud n’a aucun sens.

  

Sécurité périmétrique pays

Muraille circulaire - ligne maginotC’est plus récent, mais encore plus ridicule ! De trop nombreuses voix s’élèvent pour exiger une protection périmétrique autour de chaque pays. On pousse même l’absurdité jusqu’à exiger que les données d’un pays soient stockées dans ce pays !

C’est une approche suicidaire et qui n’a aucun sens. Il faut remonter à nos grands stratèges militaires qui avaient imaginé la « Ligne Maginot » pour trouver une démarche aussi inutile et inefficace.

En 2012, la France a frappé fort en imaginant que deux fournisseurs de « Clouds souverains », Numergy et CloudWatt allaient bouter dehors les envahisseurs AWS ou Google ; ils avaient tous les deux disparu en 2015.

Je préfère la démarche moderne d’un acteur français du cloud public qui n’a jamais demandé 1 € à l’état, Outscale.

Map Data Centers Outscale

Comme l’illustre la carte de leurs centres de calcul, ils sont présents dans le monde entier, et non pas retranchés dans l’hexagone.

  

Nouveau modèle : triple confiance

Je suis probablement l’une des personnes les plus sensibles à la sécurité des SI et à la protection des données ; c’est pour atteindre ces objectifs que je milite pour une approche différente, aujourd’hui indispensable.

Comment créer la « confiance » ? La bonne démarche consiste à segmenter le problème en trois composants :

Securité 3 niveaux - Personne : transport : Data center

  • Confiance accès.
  • Confiance transport.
  • Confiance partage.

Cette démarche par composants a comme avantage supplémentaire la modularité et la flexibilité dans le choix des solutions. On peut à tout instant modifier l’un des outils utilisés sans remettre en cause tous les autres.

AdS DPC Hypochondriac S 47590383Hypocondriaques de la sécurité des SI, j’ai une mauvaise nouvelle pour vous ! Il existe des dizaines de solutions de haute qualité qui répondent très bien à ce besoin de confiance aux trois niveaux. Vous ne pourrez plus vous plaindre de l’absence de sécurité !

Il vous restera toujours la possibilité de vous retrouver entre vous, dans ces très nombreuses conférences sur la sécurité des SI qui ont pour principal objectif de transmettre des messages de peur et de maintenir les emplois de pseudo-professionnels de la sécurité arcboutés sur des démarches démodées et dangereuses.

J’ai proposé de regrouper ces solutions sous le nom TaaS, Trust as a Service. Ceci permet d’utiliser un mot positif, Trust - Confiance pour remplacer des mots à consonance négative comme sécurité.

 

Confiance Accès 

Ce premier niveau de confiance doit permettre :

  • De garantir l’identité de la personne qui se connecte.
  • De vérifier que l’objet utilisé peut le faire sans risques.
  • De moduler les droits en fonction des lieux et heures de connexion.

Sécurité Accès - 5ACette confiance d’accès doit être garantie pour les «5 A» en anglais, ou en français :

  • Toute personne
  • Tout objet d’accès
  • À tout moment
  • En tout lieu
  • Pour tout contenu


Les entreprises disposent aujourd’hui de tous les outils nécessaires pour garantir cette confiance d’accès. Quelques exemples :

AdS DPC Secure smartphone S 109939800

  • MDM Mobile Device Management : gestion des outils mobiles, séparation des données et applications professionnelles et privées..
  • Authentification forte : code aléatoire, SMS, empreintes digitales…
  • Chiffrement des contenus sur les objets d’accès.
  • Vérifier que les mises à jour d’OS et d’applications sont réalisées.

Les challenges majeurs à régler ne sont plus dans le domaine de la confiance, mais dans :

  • L’ergonomie des solutions, pour les rendre raisonnablement transparentes pour tous les collaborateurs.
  • Le coût élevé de trop nombreux produits.

  

Confiance Transport

AdS DPC Trusted Link S 140835419Aujourd’hui, créer les conditions de « Confiance Transport » ne pose plus de difficultés majeures.

L’objectif est simple : transporter en sécurité des données, depuis un objet d’accès vers un espace de partage. 

Tout est disponible pour créer les conditions de cette confiance transport :

  • Confiance transport
  • HTTPS : les échanges entre l’objet d’accès et le serveur sont chiffrés de manière transparente pour les utilisateurs. Offre une excellente protection depuis des dizaines d’années.
  • Chiffrement des contenus : si, pour un tout petit nombre de données hypersensibles, on souhaite aller au-delà de HTTPS, il est très facile de rajouter une fonction de chiffrement des contenus. Dans ce domaine aussi, de remarquables solutions existent depuis longtemps : PGP, racheté par Symantec, en est un bon exemple.
  • Pare-feu dans le cloud : pour remplacer les pare-feu anciens, périmétriques, il est possible de déployer des « pare-feu cloud » qui protègent les collaborateurs, où qu’ils soient. Zscaler est la solution dominante, aujourd’hui.

Confiance transport : problème réglé.

 
Confiance Partage
 

AdS DPC Secure Cloud Sharing S 57198898C’est dans ce domaine que les fantasmes sur la non-confiance à accorder au cloud public sont les plus virulents :

  • Le grand méchant Google va lire mes mails.
  • La NSA va pirater mes données commerciales et les envoyer à mon concurrent américain.
  • Mes données personnelles vont se retrouver chez Microsoft maintenant qu’ils ont racheté LinkedIn.
  • ….

Oui, bien sûr, des risques majeurs existent lorsque des données sensibles sont stockées dans des centres de calcul. Oui, mais :

  • Ces risques sont beaucoup plus élevés dans des centres de calcul passoires, que certains continuent à appeler « clouds privés ». Toutes les failles importantes de sécurité de 2016 et 2017 ont eu lieu lorsque les entreprises géraient elles-mêmes leurs centres de calcul.
  • Les grands acteurs industriels du cloud public ont des moyens techniques et humains pour assurer la sécurité et la confidentialité des données qui leur sont confiées sans commune mesure avec ceux des entreprises, même les plus grandes.

Lisez attentivement ce que proposent AWS ou Google pour protéger leurs centres de calcul. Ensuite, posez-vous une question simple : est-ce que je suis capable d’offrir le même niveau de sécurité ?

Prenons deux exemples, le chiffrement et la réglementation européenne GDPR.

Microsoft win over US governmentAWS, Google ou Microsoft chiffrent toutes les données qui leur sont confiées. Quand je l’explique à mes interlocuteurs, il y en a toujours un pour me rétorquer : « Oui, mais ce sont eux qui ont la clef et ils la donneront si une autorité politique ou policière en fait la demande ». Les conditions dans lesquelles ils acceptent de le faire sont exceptionnelles, comme le montre cette victoire de Microsoft dans un procès avec le gouvernement américain.

Je ne résiste jamais au plaisir de poser à mon tour une question : quel est le pourcentage de vos données qui sont chiffrées dans vos centres de calcul ? La réponse que j’obtiens le plus souvent : 0 %.

AWS KMS Key Management Service bring your own keysPour rassurer leurs clients, nos champions du cloud public sont allés encore plus loin : ils proposent tous, comme AWS dans cet exemple, de chiffrer vos données avec une clef qui vous appartient, à laquelle ils n’ont pas accès.

 Fin mai 2018, la directive européenne sur la protection des données personnelles, la GDPR, s’imposera à toutes les organisations présentes en Europe, et c’est une excellente initiative. Cela a créé de superbes opportunités « business » pour juristes, professionnels de l’informatique et sociétés de services qui proposent d’aider les entreprises à être en règle avec la GDPR.

L’essentiel des données de mes entreprises est dans des clouds Google. J’ai reçu il y a quelques jours ce sympathique message de Google :

Google ready for GDPR

  • M’informant que tout était déjà prêt, en novembre 2017.
  • Me donnant le texte des nouvelles règles qui s’appliqueront, pour que j’aie le temps de les étudier.
  • Me confirmant que je n’aurai rien à faire le jour de la mise en vigueur de la GDPR, ils vont l’activer pour moi.

Dois-je rajouter que les mises en conformité GDPR de mes entreprises ne m’auront pas coûté 1 €, ni occupé une seule journée de travail d’un collaborateur ?

 

Synthèse

Passe Muraille MontmartreCette démarche simple, pragmatique, des « trois confiances » permet à toute organisation, quelle que soit sa taille, de créer un exceptionnel niveau de confiance pour accélérer sa transformation numérique.

Elle peut le faire en utilisant des solutions industrielles du marché, de haute qualité et qui seront de plus en performantes dans les mois et années qui viennent.

Libre à vous de rester sur vos vieilles démarches périmétriques, mais ne comptez pas sur moi pour vous accompagner… Le « passe muraille », célèbre monument de Montmartre à Paris : une excellente illustration de vos firewalls passoires si vous continuez dans cette voie sans issue.

 


Siège vs terrain : inverser les priorités du Système d’Information

 

Fléches inverseJ’accompagne des entreprises de tout secteur, de toute taille, dans l’amélioration de leurs Systèmes d’Information (SI).

Je passe l’essentiel de mon temps sur le terrain, dans les usines, dans les bureaux locaux, pour comprendre la réalité des attentes et des usages.

Le décalage entre la vision théorique des personnes du siège et la réalité pratique du terrain est très fort ; ce décalage représente un danger majeur pour la performance des entreprises.

Il devient urgent, urgentissime, d’inverser les priorités du SI et de donner plus de pouvoir, d’importance au terrain.

 

Aujourd’hui : priorité au siège

Siège terrain - Aujourd'huiLes SI sont construits par des informaticiens, au siège, pour des dirigeants, au siège, pour répondre aux attentes des salariés des directions centrales, au siège. Il ne faut donc pas s’étonner que ces SI soient bien reçus par les collaborateurs… du siège.

Il existe aussi un monde lointain, différent, que l’on appelle le terrain, sur lequel ne s’aventurent jamais les dirigeants et les informaticiens. Il faudrait pour cela quitter des bureaux climatisés, dans les beaux quartiers, et rentrer dans des territoires bizarres, où l’on rencontre des personnes bizarres, qui sont en contact direct avec les machines ou les clients. Ces créatures bizarres travaillent de manière « bizarre » et ne suivent jamais les consignes et les processus « intelligents » construits par les populations supérieures des sièges qui « savent » comment il faut faire, même s’ils n’ont jamais mis les pieds sur ces terrains lointains.

Ces SI hypertrophiés siège sont ceux que je rencontre le plus dans mes missions. Ils contiennent des données fausses, qui ne représentent pas la réalité du terrain. Fournir au siège une image réelle du terrain serait très dangereux : tout décalage entre une image idéale de la réalité attendue par les collaborateurs du siège et ce qui se passe vraiment se traduirait immédiatement par des retours de bâtons punissant lourdement les « serfs » locaux qui osent déplaire aux puissants, aux sachants… du siège.

Et si l’on inversait la démarche, en donnant la priorité au terrain ?

 

Demain : priorité au terrain

Louis Terrain x 2Dès que possible, je demande aux dirigeants avec qui je travaille de passer du temps sur le terrain. Je leur propose aussi que des personnes de la DSI m’accompagnent dans ces visites terrain, chez eux. A ma grande surprise, je découvre souvent qu’ils n’avaient jamais entrepris cette démarche. Externe, je leur sers de guide sur le terrain de… leur propre entreprise !

Il n’est pas nécessaire de passer des dizaines de jours sur le terrain pour prendre conscience des graves déficiences de ces SI au service du siège.

Il suffit d’accompagner ces acteurs opérationnels dans leur mission, dans leurs activités quotidiennes pour découvrir que ces SI sont en permanence des empêcheurs de travailler efficacement. J’ai trop souvent l’impression qu’ils ont été construits pour rendre les opérationnels le moins efficace possible ! 

Le plus impressionnant, c’est l’extraordinaire bonne volonté de ces opérationnels du terrain qui font tout pour arriver à travailler, malgré les difficultés majeures, les bâtons dans les roues créées par ces SI.

Terrain siège - demainL’inversion des priorités devient urgente : il faut reconstruire un SI dont les clients principaux sont les acteurs du terrain et tout faire pour leur permettre de travailler efficacement, ce qu’ils arrivent malgré tout à faire aujourd’hui, en dépit des difficultés créées par les SI orientés siège.

La bonne nouvelle : ces SI orientés terrain sont beaucoup plus faciles et plus rapides à construire que les SI existants, orientés siège. Pourquoi ?

  • Les acteurs du terrain ont envie de bien travailler, de construire des produits de qualité, de répondre aux attentes des clients qu’ils rencontrent.
  • Leurs véritables besoins informationnels sont simples, et demandent rarement l’accès à des centaines de données.
  • C’est sur le terrain qu’il est possible de saisir des données exactes, correspondant à la réalité des activités des entreprises.

 

Un choc organisationnel et culturel très fort

AdS DPC Cultural shock S 136113354Simplifier la vie des opérationnels, leur faire confiance, mettre le SI en priorité à leur service… ce sont des changements majeurs, beaucoup plus organisationnels que techniques.

Ces difficultés, on ne les rencontrera pas sur le terrain, mais… au siège où les personnes devront s’adapter à un SI qui leur demande de tout faire pour rendre plus facile la vie quotidienne des opérationnels.

L’une des actions les plus efficaces, les plus simples pour réduire ce choc organisationnel : demander à chaque collaborateur du siège de passer une semaine sur le terrain, non pas en visite, mais en acteur !

Plaque J du BellayLa première population « siège » à envoyer sur le terrain ? Les informaticiens, tous les informaticiens ! Ils reviendront, comme Ulysse dans le poème de Joachim du Bellay, « plein d’usage et raison », en se demandant comment ils ont pu construire des SI aussi catastrophiques, aussi loin de la réalité des attentes, simples, du terrain.

Comment reconstruire ces SI donnant la priorité au terrain ? Je reviendrai très vite sur ce sujet.