Louis Naugès

Je ne pensais pas devoir, en 2019, écrire encore sur ce sujet !

En 2011, j’avais publié dans ce blog un billet sur la “néphophobie”, la peur du cloud. Son contenu est, malheureusement, toujours d’actualité.

Je rencontre encore tous les jours dans mes séminaires et missions de conseil, des entreprises de toute taille, privées et publiques, qui me disent que les solutions Clouds Publics ne sont pas possibles pour elles, pour des raisons de “confidentialité” ou de “sécurité”.

Les solutions clouds publics d’infrastructures IaaS (Infrastructures as a Service) existent depuis 2006, avec AWS (Amazon Web Services) et les usages SaaS (Software as a Service) depuis 1999, avec Salesforce.

Si “clouds publics” était synonyme de “dangers publics”, cela se saurait...

Deux questions distinctes, sécurité et confidentialité

Les deux questions universelles posées par les entreprises sont toujours les mêmes :

• Quel est le niveau de sécurité des infrastructures informatiques que j’utilise ?
• Est-ce que mes données sont bien protégées ?

C’est en séparant clairement ces deux questions que l’on peut progresser rapidement, proposer des réponses précises et créer la confiance dans les Clouds Publics.

La première des tactiques des anti-clouds et de regrouper ces questions pour rendre plus opaque la situation ; il ne faut pas tomber dans ce piège.

La deuxième tactique utilisée par les anti-clouds est de poser la question dans l’absolu : peut-on faire confiance aux Clouds Publics ?

La seule question qui vaille est relative : entre Clouds Publics et solutions gérées en interne, dans mes centres de calcul privés, quelle est la meilleure, ou la moins mauvaise solution en matière de sécurité et de confidentialité ?

Vos données sont, au choix :

• Dans des infrastructures qui vous appartiennent, gérées par vous ou hébergées.
• Dans des Clouds Publics.

Il n’y a pas d’autres options.

Peut-on garantir une sécurité parfaite ? Non !

Peut-on garantir une confidentialité parfaite ? Non !

Toute personne qui prétend le contraire est un menteur ou un imbécile.

Je vous propose de traiter séparément, sereinement, logiquement, ces deux thèmes, sécurité et confidentialité.

Sécurité des Clouds Publics

En 2019, quatre fournisseurs, et quatre fournisseurs seulement, proposent des solutions IaaS industrielles et pérennes : (par ordre alphabétique)

• Aliyun, du chinois Alibaba.
• AWS, Amazon Web Services.
• GCP, Google Cloud Platform.
• Azure, de Microsoft.

Cet oligopole regroupe des entreprises sérieuses, professionnelles, qui investissent massivement dans des infrastructures informatiques de qualité.

Ils investissent aussi massivement dans la sécurité de leurs infrastructures, avec des équipes dont la taille approche ou dépasse le millier de personnes.

Leur rôle est clair, comme le présente ce schéma : mettre à la disposition de leurs clients des infrastructures dont ils garantissent la sécurité, la sécurité du cloud.

Ils ne sont pas responsables de ceux que font leurs clients avec ces infrastructures. Un constructeur automobile est responsable de la qualité des voitures qu’il commercialise, qui passent des tests de plus en plus difficiles. Il ne peut pas garantir qu’un conducteur qui conduit avec 3 g d’alcool à 120 km/h en ville ne va pas causer des catastrophes humaines.

Bien conscients que cette question est essentielle pour garantir leur succès à long terme, les quatre géants des Clouds Publics publient de nombreux documents présentant leurs démarches pour garantir un niveau de sécurité très élevé.

Je vous propose de lire quelques-uns de ces documents, de Alibaba, AWS, Google ou Azure.

Posez-vous ensuite honnêtement la question : est-ce que mes équipes internes sont capables de proposer des niveaux de sécurité au moins aussi élevés que ces professionnels du cloud ?

La fiabilité de ces fournisseurs est remarquable, oui. Elle ne sera jamais parfaite et aucun d’entre eux ne propose des contrats SLA de garantie de services à 100% : ils savent très bien qu’aucune entreprise n’est à l’abri d’une panne ou d’un incident, technique ou humain.

Ce graphique donne les temps de panne (downtime) d’AWS, Google et Microsoft pour 2018. C’est le nombre total de minutes d’interruption de services sur toute l’année 2018. Pour mieux apprécier leur performance, il faut savoir que l’interruption d’un seul service dans une seule zone géographique est comptabilisée.

Niveau exceptionnel de sécurité, niveau exceptionnel de fiabilité : les géants du Cloud Public ont démontré depuis de nombreuses années qu’ils sont capables de faire mieux que 99,999 % des entreprises qui essaient de gérer en interne leurs infrastructures informatiques.

Tous les dirigeants rationnels et honnêtes l’ont compris ; problème réglé !

Reste maintenant à aborder un thème plus polémique, celui de la confidentialité des contenus. Avant, il est indispensable d’étudier la géopolitique des acteurs concernés, et en priorité, celle des “anciens combattants” de l’informatique.

Les anciens combattants, vecteurs d’une épidémie mortelle, la trouille

Les solutions Clouds Publics d’infrastructures et d’usages bouleversent tous les secteurs d’activités informatiques ; les constructeurs historiques, qui ne sont pas idiots, l’ont bien compris et... ont choisi la trouille comme arme de défense principale.

J’ai regroupé dans ce schéma les “anciens combattants” de l’informatique dans cinq grandes familles :

• Les fournisseurs d’infrastructures.
• Les éditeurs de logiciels historiques, et en particulier les ERP intégrés.
• Les vendeurs de solutions archaïques de sécurité, dont la peur est le fond de commerce.
• Les consultants en sécurité, avocats et juristes, autres champions de la peur.
• Et, bien sûr, les nombreux DSI qui défendent leurs anciens attributs de pouvoir tels que les centres de calcul privés.

Fournisseurs historiques d’infrastructures

Ils vendaient des serveurs, des disques de stockage ; ils ont pour nom Dell, HP ou IBM. Les géants du Cloud Public n’achètent pas chez eux : ils sont trop chers et pas assez performants. Google et les autres font fabriquer directement leurs matériels en Asie, avec des modèles dont la majorité est en Open Source, fédéré par l’association OCP, Open Compute Project, créée par Facebook en 2011.

Les entreprises qui migrent sur le cloud n’achètent plus leurs matériels. Les maxi-entreprises comme Bank of America qui peuvent encore se permettre de garder des centres de calculs privés le font en.. achetant des serveurs compatibles OCP.

Etonnez-vous que ces fournisseurs historiques fassent la gueule et essaient de convaincre leurs ex-clients que le Cloud Privé est plus sûr que le Cloud Public.

Editeurs historiques d’applications

Il était un temps, fort lointain, où les entreprises achetaient des logiciels à installer dans leurs centres de calcul, payaient fort cher des licences et des contrats de maintenance. Elles avaient aussi la joie de devoir gérer elles-mêmes les mises à jour, pour le plus grand bonheur des ESN, Entreprises de Services Numériques. Les deux champions incontestés de cet ancien monde avaient pour nom SAP et Oracle. Allergiques aux solutions SaaS natives, multi-tenant, ces éditeurs essaient de survivre en faisant croire que l’hébergement dans le cloud d’instances spécifiques à chaque client, c’est beaucoup mieux.

Vendeurs de solutions archaïques de sécurité

Les lecteurs de ce blog qui ont connu l’informatique de grand-papa vont regarder ce schéma avec un œil attendri : cela leur rappellera leur jeunesse, époque révolue où il fallait installer des dizaines de serveurs spécialisés pour chaque fonction de sécurité. On les nommait “appliances”, cela faisait plus chic et moderne. Les leaders de ces marchés avaient pour nom Cisco, Fortinet ou Palo Alto Networks.

Clouds Publics = disparition des centres de calcul des entreprises.

Clouds Publics = disparition du marché des appliances de sécurité en tout genre.

Consultants en sécurité, avocats et juristes

Qu’elle était sympathique l’époque où les entreprises essayaient, sans succès, de gérer elles-mêmes la sécurité et la confidentialité dans leurs informatiques internes. Des armées de consultants en sécurité leur apprenaient les meilleures pratiques dans ces domaines. Les nouvelles menaces arrivaient plus vite que leurs capacités à les gérer et créaient de nouveaux flux de revenus sans fin.

Juristes et avocats étaient prêts à aider les entreprises à régler les nombreux litiges que créaient ces failles continues de sécurité. Les Clouds Publics assèchent ces vieux marchés lucratifs ; ces professionnels du droit mettent maintenant leurs espoirs dans des lois telles que le RGPD qui créent de nouvelles contraintes, de nouvelles craintes.

DSI historiques, qui défendent leurs territoires de pouvoir

Ces quatre familles de fournisseurs historiques, dont l’avenir est fortement compromis par les solutions Clouds Publics, ne survivraient pas longtemps s’ils n’avaient pas… l’oreille attentive d’un grand nombre de DSI qui se sentent, eux aussi, menacés par le tsunami Cloud Public.

Fournisseurs et DSI historiques, unis par une même peur du futur, propagent cette trouille auprès de leurs dirigeants et collaborateurs. Le moindre incident dans le Cloud Public, et il y en a, est monté en épingle, utilisé comme un épouvantail très efficace. Ils oublient simplement de dire que toutes les grandes failles informatiques de ces dernières années, toutes les pertes de données pour des dizaines et centaines de millions de personnes ont toutes, sans exception, eu lieu dans leurs centres de calcul internes, véritables passoires numériques.

Confidentialité des données

La protection des données utilisées par les entreprises, qu’elles concernent les clients externes, les collaborateurs, les produits… est depuis toujours une priorité.

L’arrivée des solutions de Clouds Publics ne crée pas un nouveau problème de protection, mais oblige les entreprises à s’adapter à de nouveaux défis, à rechercher de nouvelles solutions.

Une fois de plus, il ne faut pas raisonner dans l’absolu et se poser une mauvaise question :

“Est-ce que mes données sont bien protégées dans les clouds publics ?”

La bonne démarche consiste à comparer les solutions dans les clouds publics avec la situation actuelle, avec des données souvent stockées dans des centres de calcul internes, dans des serveurs répartis dans toute l’entreprise et aussi sur des centaines, des milliers de PC, smartphones et autres tablettes.

La seule question raisonnable à se poser est :

Est-ce que l’utilisation de Clouds Publics rend moins bonne ou améliore la protection de mes données ?

Pour les entreprises positives, raisonnables, rationnelles qui ont compris les potentiels des clouds publics il est facile de traduire cette question générale en la décomposant en une suite de questions plus techniques et en recherchant, cas par cas, s’il existe des réponses de qualité.

Sans prétendre à l’exhaustivité, j’ai identifié quelques questions principales à se poser :

• Utiliser un parefeu (Firewall) pour mieux contrôler les données qui entrent et sortent.
• Chiffrer des données, quelles données.
• Utiliser une solution de SSO, Single Sign On, pour faciliter la vie des utilisateurs et éviter un trop grand nombre de mots de passe.
• Utiliser une Authentification forte, une double authentification pour compléter les mots de passe.
• Mettre en œuvre des copies de sécurité (Backup) pour se protéger des pertes volontaires ou involontaires de données
• Choisir un CASB, Cloud Access Security Broker, outils récents créés spécialement pour protéger les Clouds.
• ….

Les professionnels de la sécurité informatique pourront trouver que mon analyse est très incomplète, mais j’assume une démarche pragmatique et raisonnable qui va à l’essentiel.

Avant de présenter quelques solutions qui répondent à ses demandes légitimes, il faut poser une question préalable sur la motivation des entreprises et des DSI qui mènent ces études.

Je les classe en deux familles :

• Les entreprises positives, qui recherchent vraiment des solutions, et sont ravies quand on leur propose des réponses raisonnables.
• Les entreprises négatives, qui cherchent des “alibis” pour ne pas aller vers des solutions Clouds Publics, et font “la gueule” à chaque fois qu’une solution proposée fait tomber une barrière dans la course de haies qu’elles organisent en espérant ne jamais arriver au bout.

Entreprises à la recherche d’alibis, passez votre chemin, assumez votre à priori négatif et ne faites pas perdre votre temps à des fournisseurs ou consultants qui chercheront, en vain, à vous aider.

Pour les autres, la bonne nouvelle est qu’il existe des solutions de grande qualité, que je regroupe sous le nom TaaS : Trust as a Service, Confiance comme un service.

Solutions TaaS : Trust as a Service

Vous êtes, honnêtement, prêt à basculer tout ou partie de votre environnement numérique dans des Clouds Publics si vous trouvez des réponses de qualité à vos préoccupations légitimes.

Votre démarche peut être décomposée en trois étapes :

• Commencez par sélectionner les fonctionnalités dont vous avez vraiment besoin, dans la liste que j’ai préparée.
• Recherchez les solutions disponibles sur le marché. L’offre TaaS est pléthorique, avec plusieurs dizaines de produits de grande qualité.
• Faites confiance à vos équipes techniques pour évaluer et sélectionner les solutions qui, selon elles, sont les mieux adaptées à vos attentes spécifiques. Ce ne doit pas être systématiquement le plus complet ou le plus cher.

Ce tableau ne prétend pas à l’exhaustivité ; je l’ai créé pour renforcer le message : pour chaque fonction recherchée, il existe de nombreuses solutions. Tous les produits cités font partie des leaders de leurs marchés respectifs.

A titre d’exemple pour la ligne SSO : Okta, Ping et OneLogin sont de remarquables solutions et toutes ont été choisies par des entreprises que je connais. Quelle est la meilleure ? Il n’y a aucune réponse possible à cette question.

La confiance... ne se décrète pas

Vous faites confiance à votre banquier, votre médecin, votre coach sportif pour vous accompagner et vous aider, chacun dans leurs domaines. Ce n’est pas une confiance aveugle, mais raisonnée.

Votre entreprise doit suivre la même démarche concernant le choix de ses partenaires dans le Cloud Public : créer les conditions d’une confiance raisonnable.

Cette confiance n’est pas seulement rationnelle, elle ne se décrète pas. Je prends l’avion plus de 100 fois par an et fais confiance à quelques compagnies aériennes à qui je confie ma vie. Je connais des personnes, intelligentes, qui souffrent d’aviophobie (ou aérodromophobie) et préfèrent prendre leur voiture pour des voyages de plus de 2 000 km. Les statistiques sont formelles : la probabilité de mourir d’un accident de voiture sur 2 000 km est beaucoup plus élevée qu’en avion. Cela ne suffira pas à les faire changer d’avis et à prendre l’avion.

Si vous souffrez d’une néphophobie maladive, ma recommandation est très simple : n’allez pas vers des solutions Clouds Publics.

Pour terminer, je vais prendre deux exemples très révélateurs du comportement des anti Clouds Publics qui cherchent, et trouvent, de bonnes raisons de ne pas y aller.

Cloud Act

Ah, cet épouvantail extraordinaire qui a pour nom Cloud Act ! Impossible de participer à une réunion sur les dangers du Cloud sans que l’on évoque le Cloud Act. Combien de personnes se sont données la peine de savoir ce que signifie “Cloud” dans Cloud Act ?

Cloud = Clarifying Lawful Overseas Use of Data Act. Ce n’est qu’un acronyme, pas très heureux, il faut en convenir. Le Cloud n’a strictement rien à voir avec le Cloud Act ; il traite de l’accès aux données en dehors du territoire américain, mais indépendamment de la nature des infrastructures qui hébergent ces données !

A l’inverse, ils sont peu nombreux à parler de la position de la France sur ces sujets.

Espionnage : la France au premier rang avec l’ANSSI !

Des enfants de chœur, les Français ? Pas du tout ! Tout le monde espionne tout le monde et la France est très bien placée dans le palmarès des champions. Vous souhaitez protéger vos données ? Ne les mettez surtout pas dans des serveurs hébergés en France : l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) s’arroge le droit d’accéder à toute donnée qui a le malheur de se trouver dans un serveur situé sur le territoire français !

Synthèse

Ces combats d’arrière-garde sur les dangers du Cloud Public, libre à vous de continuer à les mener dans les années qui viennent.
Vous trouverez de très nombreux fournisseurs prêts à vous conforter dans vos peurs, vos trouilles, vos angoisses métaphysiques, ravis de vous fourguer des solutions hors de prix et inutiles, ceintures et bretelles, pour vous protéger de risques inexistants.

Si c’est votre vision du futur, votre culture, ne m’appelez pas pour vous accompagner dans vos stratégies numériques du XXe siècle, qui vous mèneront, rapidement, dans le mur.

Constructeur de logiciels, c’est probablement le plus beau métier dans le monde du numérique.

Ce sont les personnes qui construisent des produits et services utilisés par des milliards de personnes, tous les jours.

Le vocabulaire a beaucoup évolué depuis les débuts de l’informatique : programmeur, développeur puis ingénieur logiciel.

Depuis peu apparaît l’expression “Builders”, constructeurs, que j’aime beaucoup. Les grands acteurs du cloud emploient de plus en plus cette expression, comme le montrent ces deux extraits de la conférence introductive du CEO d’AWS, Andy Jassy lors de la réunion “Re-invent” de novembre 2018.

Aujourd’hui, ces “ingénieurs logiciels” sont employés en priorité par les éditeurs de logiciels, grand public et professionnels.

Les entreprises innovantes ont compris, récemment, qu’il est urgent de reconstruire en interne des équipes de “Builders” de logiciels. Toutes les entreprises, et en priorité les plus grandes, doivent suivre leur exemple, embaucher et former des milliers de constructeurs de logiciels.

Une priorité de plus, pour 2019.

Situation actuelle : une catastrophe absolue, dangereuse, intenable

Les entreprises, et en particulier les plus grandes, ont commis depuis une vingtaine d’années une faute majeure, en supprimant les équipes internes de développement.

Le mythe de l’ERP intégré, capable de tout faire y est pour beaucoup, aidé en cela par les grandes ESN qui déploient des équipes de plusieurs dizaines de personnes pour les “paramétrer” dans des missions qui ne finissent jamais. C’est une poule aux œufs d’or qu’elles n’ont aucun intérêt à tuer...

Je croise tous les jours de grandes entreprises où il n’y a plus une seule personne qui écrit du code pour une application sur mesure ! Des “chefs de projets” gèrent, avec un outil très “puissant et professionnel”, Excel, les prestataires qui exécutent ces travaux de développement, le plus souvent dans des pays lointains tels que l’Inde.

Pour mesurer l’étendue de ce désastre, il suffit de consulter la “bible” de l’emploi des informaticiens dans les entreprises, le document publié par le Cigref (Club Informatique des Grandes Entreprises Françaises), la nomenclature des métiers du Système d’Information.

Dans ce long document de 193 pages, mis à jour en 2018, où tous les métiers sont censés être cités, j’ai recherché l’occurrence de quelques mots importants, liés aux développements modernes tels que :

• Devops
• Microservices
• Serverless
• Container
• Ingénieur logiciel

Ils brillent tous par leur absence : aucun n’est cité, même une seule fois !

J’ai identifié les deux seuls métiers qui parlent de développement :

• 3.2. Concepteur - Développeur : que trouve-t-on comme compétence nécessaire ? “Adapte et paramètre les progiciels applicatifs (ERP)” ! La messe est dite…
• 3.5. Paramétreur de progiciels : dans ce deuxième cas, c’est encore plus clair !

Ce qui me navre, ce qui me désespère, c’est que ce document représente un travail long et sérieux, par de personnes occupant des postes élevés dans les DSI de grandes entreprises françaises. Il est un reflet précis de la vision actuelle de ces entreprises et confirme que pour elles, les véritables métiers du développement… n’ont pas droit de cité chez elles.

Optimiste de nature, je me prends à rêver, à ouvrir la version 2019 de ce document et y découvrir... au moins trois définitions de fonctions liées à des métiers de constructeur professionnel de logiciels.

Deux grandes familles de demandes, donc... d’outils

Démarrée il y a 20 ans, la révolution des solutions logicielles SaaS, Software as a Service, a permis de répondre à 99 % des attentes des entreprises pour les fonctions S, Support, du modèle B I S que je propose depuis 2015.

C’est une excellente nouvelle : cela libère du temps et des ressources pour investir dans des développements spécifiques pour les fonctions B, Business ou cœur métier.

Une fois de plus, l’unicité des réponses est le plus grand danger : pour répondre à des demandes spécifiques très différentes, il faut proposer des solutions… très différentes.

Solutions de développement : minima communs

Tous les outils utilisés pour développer des applications spécifiques ont les caractéristiques communes suivantes :

• Disponibles dans des clouds publics industriels : en pratique, sur AWS d’Amazon, GCP de Google ou Azure de Microsoft.
• Accessibles depuis un navigateur et sur tous les objets d’accès du marché, depuis les smartphones jusqu’aux Chromebooks.
• Fonctionnent dans une logique collaborative native, pour permettre le partage des applications qui seront construites.

Matrice des attentes et des outils

Attentes et outils peuvent être classés en deux grandes familles, ce qui permet de construire une matrice à 4 cases :

• Attentes structurées et complexes : les usages cœur métier d’une entreprise sont dans cette famille : gestion des infrastructures de transport dans une ville, équilibrage de l’offre et de la demande d’électricité…
• Attentes flexibles et légères : tableaux de bord pour suivre le lancement d’un nouveau produit, processus d’embauche d’un nouveau salarié…
• Outils industriels de développement : solutions Serverless, microservices...
• Outils “Low Code” de développement : Business Intelligence, Business Process Management...

Il est important de le préciser : il n’y a pas une famille plus “noble” que l’autre. Il ne faut pas opposer les développeurs “pros” qui maîtrisent les outils industriels aux bricoleurs qui utilisent les outils légers. Ils ont tous des rôles essentiels dans la réussite de la Transformation Numérique d’une entreprise.

Attentes légères, outils “Low Code”

La demande d’applications légères, flexibles, faciles à modifier est universelle. Quand une DSI n’a pas de réponse à ces demandes, quand elle ne trouve ni le temps ni les ressources pour y répondre, on assiste à l’explosion des informatiques fantômes et du cloud fantôme.

Il est urgent de recréer une confiance réciproque entre la DSI et les métiers pour que, ensemble, il soit possible de construire ces centaines d’applications légères.

Avec la banalisation du cloud public et des solutions SaaS, l’offre d’outils performants “Low Code” est devenue très riche et d’une exceptionnelle qualité.

L’expression “Low Code” semble s’imposer face à “Zéro Code” : elle correspond mieux à la réalité et ne crée pas de fausses attentes auprès des personnes qui pourraient penser que l’on peut construire des applications avec “zéro effort”.

Principales familles d’outils “Low Code”

Le regroupement de ces outils en trois familles que je propose est pragmatique, probablement incomplet et contestable.

Business Intelligence : ce sont des outils qui permettent de construire des tableaux de bord, des visualisations de résultats. Face aux solutions anciennes, complexes et chères, de nouveaux entrants comme Google Data Studio ou Power BI de Microsoft représentent l’avenir de cette famille d’outils.

BPM : Business Process Management. Pour construire des “workflows”, des processus légers, une solution comme RunMyProcess, développée par des Français et rachetée par Fujitsu ou Kissflow sont de bons exemples de solutions performantes.

Remplacement des applications Excel : je ne connais pas d’entreprises où des dizaines, des centaines ou des milliers d’applications Excel ne soient pas omniprésentes. J’ai souvent critiqué ces applications, mal écrites, avec des erreurs de logique dans presque 70% des cas. La bonne nouvelle, aujourd’hui, c’est que de nouveaux outils, 100 % Cloud, permettent de construire des applications de remplacement, plus performantes, plus faciles à développer et… partageables. Le nouveau leader dans ce domaine a pour nom AirTable.

DSI : quels rôles pour outils “Low Code”

Laisser les directions métiers et les collaborateurs de l’entreprise seuls avec ces outils “Low Code” est une très mauvaise idée ! Les équipes de la DSI doivent être capables de les prendre en charge pour permettre une collaboration efficace avec les métiers.

Les compétences les équipes de la DSI dans ce domaine :

• Sélectionner les différents outils : elles vérifient que ce sont de véritables outils SaaS et proposent des solutions adaptées aux différentes demandes, en en limitant raisonnablement le nombre. Il n’est pas nécessaire de pousser deux solutions de BI qui font à peu près la même chose ! Les entreprises qui utilisent G Suite choisiront Google Data Studio, celles qui ont déployé Office 365, Power BI.
• Maîtriser et connaître les outils sélectionnés : il ne suffit pas d’en parler aux métiers, il faut être capable de présenter concrètement les fonctionnalités de ces différents outils et de les aider à en comprendre les potentiels et les limites.
• Pouvoir développer des applications légères : les équipes “Low Code” de la DSI réalisent des développements légers si les métiers le demandent. Quel pourcentage des usages légers sera réalisé par la DSI, quel pourcentage par les métiers ? Les réponses seront très différentes selon les entreprises.
• Aider dans le choix de l’outil le mieux adapté à une demande : il ne sera pas toujours facile ou évident de choisir un outil pour répondre à une demande précise. KissFlow ou Airtable ? Dans de nombreux cas, les deux réponses sont possibles : DSI et métiers choisiront, ensemble, la réponse qui leur paraît la plus raisonnable.
• Former des personnes dans les métiers pour qu’ils construisent eux-mêmes tout ou partie des applications dont ils ont besoin. Quand les métiers sont prêts à se prendre en main sur certains de ces outils, la DSI peut leur mettre le pied à l’étrier.

Avec des outils de construction “Low Code” bien choisis et maîtrisés, tout le monde sera gagnant, l’entreprise, les métiers et la DSI.

Attentes structurées, outils industriels

Rappel : seules les fonctions B, cœur métier, sont concernées par des développements structurés sur mesure, si des solutions SaaS verticales ne sont pas disponibles pour ces métiers.

Il existe dans toutes les entreprises grandes ou moyennes, des attentes cœur métier pour lesquelles on ne trouve pas d’applications SaaS ou on souhaite construire une application différente, innovante et porteuse de compétitivité.

Il ne devrait plus venir à l’esprit d’un dirigeant ou d’un DSI l’idée saugrenue d’essayer de modifier un ERP non adapté pour répondre à ces attentes. La seule réponse moderne est de… construire une application sur mesure.

Des outils industriels modernes, très puissants

Nous sommes en 2019 ! L’offre d’outils de construction d’applications structurées n’a plus rien à voir avec celles que connaissaient les développeurs il y a encore 5 ans.

Construire des applications, aujourd’hui, c’est le “Nirvana” pour les “builders” !

Les fondamentaux de l’offre :

• Disponibles dans des clouds publics ou… des clouds publics, AWS, GCP ou Azure.
• Serverless : Lambda chez AWS, Functions chez Azure ou GCP permettent aux constructeurs d’applications de se concentrer sur le code, rien que sur le code, et de ne plus se préoccuper des infrastructures sous-jacentes.
• Microservices : de petites équipes de constructeurs (les célèbres “two pizza teams” chères à Amazon) travaillent dans une logique de composants définis par leurs “API” d’entrée et de sortie.
• Devops : chaque équipe est responsable de la construction de ses composants, de la mise en production et de la maintenance.
• Containers : masqués aux développeurs, ces composants s’exécutent dans des containers.
• Open Source : la majorité des technologies d’infrastructures et de constructions s’appuient sur des solutions Open Source : Docker, Kubernetes, Istio…

Des équipes internes, sous la responsabilité de la DSI

A l’inverse de ce qui peut se faire pour les outils de constructions légers, les constructions d’applications structurées doivent rester à 100 % sous la responsabilité de la DSI. Ce serait une très mauvaise idée de laisser croire aux métiers qu’ils pourraient les construire eux-mêmes. Nous sommes nombreux à savoir conduire une voiture, beaucoup moins à savoir piloter un Airbus 320.

S’agissant d’applications cœur métier essentielles pour les entreprises, la majorité des constructeurs de ces applications sont des collaborateurs internes et permanents de l’entreprise. Il serait suicidaire de confier la maîtrise de ces constructions à des ESN !

Ces équipes internes de “builders” ont une triple compétence :

• Maîtriser les démarches modernes et les outils de constructions cités plus haut.
• Une compréhension raisonnable des activités de leur entreprise, pour être capables de dialoguer efficacement avec les métiers. Dans les grandes entreprises, cela signifie qu’il faudra des équipes spécialisées par grands métiers, pour plus d’efficacité.
• La capacité de travailler dans une logique “produit”, et non pas projet. La pérennité de ces produits logiciels est vitale ; elle inclut leur maintenance et leur évolution pour garantir qu’ils restent pertinents pendant plusieurs années.

Et si la DSI redevenait ce qu’elle n’aurait jamais dû cesser d’être : un lieu où les constructeurs, les réalisateurs sont plus nombreux et mieux considérés que les “managers”, les chefs de projets ?

Résumé

Une entreprise qui ne dispose pas en interne de deux équipes de constructeurs de logiciels, pour réaliser aussi bien des applications légères avec des outils “Low Code” que des applications structurées avec des outils industriels est incapable de répondre aux attentes de tous ses clients internes et externes.

Quelle taille pour ces deux équipes de constructeurs ? Je vous propose un objectif minimum de… 20 % du nombre de collaborateurs permanents de la DSI !

Dirigeants et DSI, vous devez investir immédiatement et massivement pour créer ces équipes, les former, leur proposer des plans de carrière attractifs pour qu’une personne puisse dire : “j’ai 50 ans, je suis fier de mon métier de constructeur de logiciels et… je gagne très bien ma vie.”

Un beau défi de plus pour les entreprises courageuses et innovantes !

Transformation numérique, transformation digitale, ces expressions sont maintenant sur les lèvres de tous les dirigeants et DSI.

Qu’en est-il dans la réalité ? Que se passe-t-il vraiment dans les entreprises ?

Je rencontre des dizaines d’entreprises dans mes missions de conseil et des milliers de personnes dans les séminaires que j’anime chaque année. Ce n’est pas un échantillon important, mais il en priorité constitué d’entreprises qui sont plus innovantes que la moyenne, sinon elles ne me feraient pas intervenir.

J’ai pris la décision d’écrire ce billet “coup de gueule”, car je constate que l’écart entre le discours de modernité et la réalité des actions est immense.

J’avais, moi aussi, le choix entre courage et trouille : courage de l’écrire, et d’être “black listé” par de nombreux DSI, ou trouille de me fâcher avec de nombreux donneurs d’ordres potentiels.

J’ai choisi le courage, mot qui est au cœur de ma démarche, et qui figure dans la “baseline” de mon blog.

Avez-vous rencontré des personnes qui sont contre la Transformation Numérique ? Moi, pas !

Le discours sur la Transformation Numérique est omniprésent dans les réunions de dirigeants et de professionnels du numérique.

En 2018, le CIGREF, Club Informatique des Grandes Entreprises Françaises, a publié un nouveau document sur ce thème, centré sur sa valeur économique.

Cela fait bien longtemps que je n’ai pas rencontré des dirigeants ou des DSI qui ne se présentent pas comme des fans de la Transformation Numérique de leur entreprise, au moins dans leurs discours.

Le livre que j’ai co-écrit avec Dominique Mockly sur le thème “Dirigeants, Acteurs de la Transformation Numérique” a été bien reçu et nous sommes souvent invités par des dirigeants ou des fournisseurs à donner des conférences pour en présenter les thèmes principaux.

Devant un tel enthousiasme, je ne devrais voir autour de moi que des entreprises en pleine Transformation Numérique, prenant à bras le corps cette transformation et permettant à tous leurs collaborateurs d’en profiter. Hélas, hélas, hélas, la réalité est toute autre : les actes ne suivent que rarement les grands et beaux discours d’innovation numérique. Je rencontre tous les jours des entreprises dont les modes de travail n’ont pas changé en profondeur depuis des dizaines d’années.

L’exemple le plus frappant est celui des outils bureautiques, universels, utilisés par une grande majorité de collaborateurs : il illustre remarquablement bien ce décalage entre la parole et l’action. C’est le sujet que je vais utiliser pour illustrer les différences entre une démarche “courage” et une démarche “trouille”.

Les outils “bureautiques”, seuls outils universels

Quelles sont les solutions numériques les plus répandues dans toutes les entreprises, utilisées par le plus grand nombre de personnes ? Ce sont les outils bureautiques : messagerie, agenda, traitement de texte, tableur …

Si les dirigeants et responsables du numérique souhaitent vraiment que la Transformation Numérique concerne, rapidement, un maximum de personnes, il n’y a pas de méthode plus efficace que le remplacement des versions démodées, en fin de vie, de ces outils bureautiques, disponibles depuis plus de 25 ans ; ils ont pour noms Microsoft Office, Exchange ou Lotus Notes.

Utiliser Microsoft Office en 2019 ? C’est aussi “moderne” que d’utiliser une machine à écrire en 1990 !

Changer en profondeur les modes de travail de tous les collaborateurs en déployant des solutions de nouvelle génération devrait être la priorité de toutes les entreprises. Ceci permet de toucher :

• Ceux qui ont déjà une bureautique archaïque, ce qui représente environ 50 % de la population des entreprises en France.
• Les 50 %, des opérationnels en priorité, qui n’ont pas accès à ces outils ; on ne pouvait pas les équiper de PC Windows avec Microsoft Office.

Conditions “techniques” d’une Transformation Numérique réussie

Les lignes qui suivent sont un rappel des conditions minimales que doivent remplir les solutions numériques choisies pour accompagner une Transformation Numérique.

• Disponibles dans des clouds publics : c’est dans ces environnements que les innovations les plus importantes naissent.
• Solutions SaaS véritables, multitenant : c’est la seule manière de disposer de solutions industrielles et de ne jamais avoir à gérer des mises à jour.
• Accessibles sur tout objet d’accès : les clients internes et externes ont le droit de choisir leurs objets d’accès : PC, Macintosh, smartphones Android ou iOS, tablettes ou Chromebooks.
• Navigateur fenêtre universelle d’accès : une solution numérique non accessible depuis un navigateur n’a plus droit de cité dans une entreprise ; c’est le minimum commun disponible sur tous les objets d’accès.
• Collaboratif natif : toutes les fonctionnalités proposées doivent être prévues pour permettre le partage, nativement. Un document sera partagé par défaut, individuel par exception.
• Une seule version d’un contenu, à tout instant, pour tout le monde : partage et cohérence des informations ne peuvent pas être obtenus autrement.
• Des coûts raisonnables : 10 € par mois est un ordre de grandeur pour une bureautique moderne de base : un smartphone à 200 € et des outils logiciels à 50 € par an permettent de tenir dans ce budget.

En 2000, les entreprises avaient le choix entre deux fournisseurs: IBM avec Lotus et Microsoft avec Exchange.

En 2019, les entreprises ont le choix entre deux fournisseurs : Microsoft avec Office 365 et Google avec G Suite.

Dites-moi quelle solution vous avez choisie ou envisagez de mettre en œuvre, je vous dirai si vous êtes… courageux ou trouillard !

Les entreprises courageuses choisissent G Suite

Il y a exactement 12 ans, en février 2007, Google annonçait à Paris, en première mondiale, Google Apps, devenu depuis G Suite.

Je parlais déjà, dans ce billet, des entreprises “prudentes” qui allaient trouver mille raisons pour ne pas faire le saut vers une bureautique Web ; en 2007, on ne parlait pas encore du Cloud. Je ne pensais vraiment pas que les arguments que je présentais à l’époque seraient encore valides 12 ans plus tard !

Depuis cette date des millions d’entreprises ont fait le choix G Suite, y compris les plus grandes.

Valeo, Veolia, Essilor, Airbus, la banque BBVA en Espagne, Teréga, Auchan, Solvay, Decathlon… la liste est longue de ces entreprises courageuses qui ont fait ce choix. Valeo a été la première grande société mondiale, dès 2007, à choisir G Suite ; bravo, Valeo !

G Suite répond à toutes les caractéristiques techniques que j’ai présentées dans le paragraphe précédent. Il n’y a donc aucune raison “objective”, rationnelle, de ne pas faire ce choix.

Un exemple : aucune mise à jour n’a été nécessaire sur les postes de travail depuis le premier jour de déploiement.

Les entreprises trouillardes se réfugient dans Office 365

En 2011, 4 ans après l’arrivée de G Suite, Microsoft a lancé sa “solution cloud”, Office 365, comme l’indique leur site lors de l’annonce.

Des entreprises innovantes, courageuses, avaient démontré que basculer ses solutions bureautiques dans un cloud public était possible et ne déclenchait pas de catastrophes majeures. Le terrain était préparé pour que les autres entreprises envisagent de suivre leur exemple.

Bravo, Microsoft, qui a su proposer, à partir de 2011, un outil ancien, ravalé, pseudo-cloud, qui répondait bien aux attentes de non-changement des entreprises traditionnelles au sens de la courbe de Gauss de l’innovation.

Gérer les changements profonds induits par un basculement vers des solutions bureautiques Cloud ? C’était un traumatisme trop fort, des obstacles infranchissables pour les entreprises qui avaient la trouille de toucher aux habitudes de leurs collaborateurs internes.

Office 365, c’est encore en 2019 la parfaite illustration d’une démarche de pseudo-changement.

Je rencontre deux familles d’entreprises qui ont fait le choix Office 365 :

• Les plus lucides, qui reconnaissent qu’elles ont eu peur d’affronter les changements que supposait un basculement sur G Suite.
• Les autres, qui essaient de s’autoconvaincre qu’elles innovent en choisissant une solution de parfaite continuité avec le passé. Quelle tristesse devant ce refus d’affronter la réalité !

La seule, la véritable raison pour laquelle les entreprises trouillardes choisissent encore Office 365 en 2019, c’est que cette solution... n’induit aucun changement dans les usages de leurs collaborateurs. Ils peuvent garder leurs clients lourds, des PC avec Office et Outlook et continuer avec leurs modes archaïques de travail et des documents distribués sur des milliers de postes de travail Windows

Démontrer qu’Office 365 n’est pas une solution techniquement valable est très, trop facile :

• Il est nécessaire de disposer d’un client lourd. Comment utiliser Office 365 depuis un Macintosh, un iPhone ou des smartphones Android ? Très simple, il suffit… d’installer les applications spécialisées pour ces postes de travail, qui ne sont pas totalement compatibles entre elles. Vous souhaitez utiliser un Chromebook ? Désolé, ce n’est pas possible.
• On retrouve toutes les joies immenses des mises à jour périodiques, comme le montre ce message reçu par un client Office 365.
• Vous souhaitez partager un document ? Pas de problèmes, vous pouvez le mettre dans SharePoint Online ; ce n’est pas obligatoire et la gestion des partages est complexe.
• ...

Il y a un argument massue utilisé par ces entreprises quand je les challenge sur leurs choix : on “pourrait” travailler en mode Web… Petit problème : personne parmi les grandes entreprises ne le fait ! J’ai pendant 3 ans collaboré avec une société américaine de plusieurs milliers de collaborateurs qui avait déployé Office 365 et j’avais une adresse mail chez eux ; j’étais le seul, je dis bien le seul, à utiliser la version navigateur de cet outil.

Les alibis les plus cités pour justifier le choix de la solution trouille

Une fois que la décision de non-changement est prise, de déployer Office 365 et que G Suite est soit non considéré soit éliminé, il faut bien sûr trouver des arguments pour essayer de s’autoconvaincre que c’est une bonne décision.

La liste qui suit n’est pas exhaustive, mais on y trouve les “best sellers”.

Pauvreté fonctionnelle

G Suite est une solution intéressante, mais elle ne répond pas aux attentes de nos utilisateurs qui ont des besoins professionnels non couverts.

C’était vrai en 2007, ce ne l’est plus en 2019.

Le cas le plus emblématique est celui d’Excel : mes contrôleurs de gestion ne peuvent pas se passer d’Excel. C’est faux pour plus de 90% des utilisateurs bureautiques d’Excel, comme le montre ce tableau comparatif : Google Tableur propose 425 fonctions, Excel 471.

Question : combien de vos collaborateurs utilisent 200 fonctions d’Excel ou plus ?

Il faut surtout séparer Excel Bureautique et Excel outil applicatif, comme je l’ai longuement expliqué dans un billet récent qui préconise d’éliminer les applications Excel.

Il existe aujourd’hui de remarquables outils, clouds natifs, qui permettent de construire des applications Web légères, partagées, beaucoup plus ergonomiques et plus fiables que les applications construites avec Excel. Je pronostique qu’un nouveau leader va apparaître dans ce domaine. Son nom : Airtable.

Si quelques personnes dans votre entreprise, ont, objectivement, encore besoin d’un outil bureautique très puissant et que les solutions de G Suite ne répondent pas à leurs attentes, rien n’interdit, avec un peu de pragmatisme, de leur donner accès à G Suite pour tous leurs usages “normaux” et de leur laisser, en plus, leurs versions existantes d’Excel ou “PauvrePoint”.

Espionnage des contenus par Google et la NSA

Cet argument n’est pas spécifique aux outils bureautiques cloud. Je ne vois objectivement pas de différences entre le cloud public Azure de Microsoft et celui de Google pour G Suite sur ce sujet. Les deux proposent des niveaux de sécurité supérieurs à ceux que peuvent fournir les centres de calcul privés des entreprises dans plus de 99,999 % des cas.

Rappel : il est aussi possible, pour les entreprises qui sont “ceinture et bretelle”, de chiffrer les données dans ces deux clouds avec une clef de chiffrement qui est propriété de l’entreprise et à laquelle ni Google ni Microsoft n’ont accès.

Usages non connectés, off-line

Comment travailler quand on n’a pas accès à un réseau ? C’est supposé être l’argument majeur contre G Suite.

Il y a plusieurs réponses “rationnelles” :

• En 2019, la probabilité de ne pas avoir accès à un réseau 3G, 4G ou Wi-Fi est de plus en plus faible. Chez soi, au bureau, à l’hôtel, dans le train… ces réseaux sont omniprésents.
• Le mode de fonctionnement “off-line” existe pour G Suite. J’ai écrit une partie de ce billet dans un avion Air France qui n’a pas encore de Wi-Fi. C’est un mode dégradé, oui, mais suffisant pour continuer à travailler dans la grande majorité des cas. Les modifications que j’apporte à mon texte sont synchronisées avec le cloud dès que je dispose à nouveau d’un réseau à l’arrivée.

En même temps qu’elles utilisent cet argument fallacieux, les entreprises réfléchissent au droit à la… déconnection de leurs collaborateurs. On ne se posait pas cette question en 2007 !

Si on se la pose aujourd’hui, c’est qu’effectivement on peut être connecté en permanence.

Dialogue avec l’extérieur

Mes clients, mes fournisseurs utilisent tous Microsoft Office et je dois pouvoir partager des documents avec eux.

Dans ce cas aussi, il existe d’excellentes réponses pratiques :

• Echanger des documents au format standard PDF est souvent plus efficace et plus sûr, surtout quand on ne souhaite pas les modifier.
• Il est possible, dans G Suite, d’importer des documents aux formats propriétaires de Microsoft (xls, ppt…), de les garder dans ces formats et de les modifier. On perd par contre la possibilité de travailler en mode collaboratif.
• Pour les documents créés par l’entreprise dans G Suite, on peut à tout moment les exporter dans les formats propriétaires de Microsoft.

N’oublions pas que la dématérialisation des échanges se généralise et que les formats propriétaires Microsoft n’y ont pas leur place. Personne ne pleurera leur disparition, en espérant qu’elle soit la plus rapide possible.

Si on veut noyer son chien… tout le monde connait ce proverbe. La rationalité dans les décisions a ses limites, et ne peut pas lutter contre la trouille des entreprises, leur incapacité à gérer des changements pourtant indispensables et bénéfiques pour tous, entreprises et collaborateurs.

Synthèse

Un grand nombre de DSI et de dirigeants “bien pensants” vont lire ce texte en se disant que j’écris des âneries, que je suis payé par Google et ne comprend rien à la vraie vie des entreprises sérieuses.

Je suis profondément inquiet quand je constate que le sentiment de trouille l’emporte face à la rationalité et que de trop nombreuses entreprises refusent de préparer leurs collaborateurs à une Transformation Numérique indispensable et urgente.

Votre entreprise est dans l’une de ces trois situations :

• Vous avez déployé G Suite : bravo pour votre courage, vous êtes prêts pour aller plus loin, plus vite dans votre Transformation Numérique.
• Vous êtes encore sur des solutions archaïques et vous posez la question de la migration : choisissez votre camp, celui du courage ou celui de la trouille.
• Vous utilisez Office 365 : ayez le courage de remettre en cause ce choix dicté par la trouille, repartez dans la bonne direction…

Vous savez ce qu’il vous reste à faire : aurez-vous… le courage de passer à l’action, immédiatement ?

MAJ du 25 février 2019

Les difficultés techniques de mise en œuvre d'une solution cloud bureautique n'existent pas ; seules les dimensions humaines et organisationnelles peuvent ralentir une Transformation Numérique dans ce domaine.

Comment imaginer une seconde qu'une entreprise qui n'est pas capable de réussir en bureautique pourra le faire dans les autres domaines du numérique, applicatifs en particulier, où les défis techniques sont beaucoup plus grands.

Dans la première partie, j’ai présenté les risques d’une démarche « Red Flag » qui consiste à voter des lois censées protéger la population, selon le célèbre « principe de précaution », mais qui ont comme conséquence de bloquer l’innovation dans les technologies et usages numériques.

L’exemple étudié était celui des véhicules autonomes.

L’intelligence Artificielle, les données personnelles et la santé sont trois autres domaines qui seront profondément chamboulés par l’accroissement exponentiel de la puissance des outils numériques. Face à des ruptures majeures, difficiles à anticiper, le risque « Red Flag » est très fort dans ces trois domaines.

Intelligence Artificielle

J’ai plusieurs fois présenté les potentiels de l’Intelligence Artificielle dans ce blog, en particulier ici et là.

La Chine a compris que la maîtrise de l’Intelligence Artificielle était l’une des clés du succès pour un état et en a fait une priorité pour son gouvernement, avec le plan AI 2030, lancé en 2017.

Ce plan prévoit trois étapes :

• 2020 : se mettre au niveau des meilleurs, en clair des Etats-Unis.
• 2025 : devenir le meilleur dans quelques domaines clés de l’IA.
• 2030 : être le leader mondial de l’Intelligence Artificielle.

Pour améliorer l’efficacité de son plan IA, le gouvernement chinois est très directif ; il a réparti les secteurs d’actions prioritaires entre les trois géants du numérique, Alibaba, Baidu et Tencent. Connaissant les liens très forts qui unissent ces entreprises avec le gouvernement, il est peu probable qu’elles ne respectent pas cette « directive » !

Aujourd’hui, les Etats-Unis sont encore les plus avancés dans la maîtrise des technologies de l’IA ; pour combien de temps ? La nouvelle équipe politique arrivée avec Donald Trump ne brille pas par sa connaissance et son intérêt pour l’innovation numérique.

Plus inquiétant encore, il a créé un comité pour piloter l’IA aux Etats-Unis ; petit problème, les organismes supposés l’aider ont des postes vacants au niveau des dirigeants !

Eric Schmidt, ancien Président de Alphabet-Google, est persuadé que les Etats-Unis auront été dépassés par la Chine dès 2025.

Lors d’une conférence en juillet 2018, VeraLinn Jamieson, Général de l’US Air Force, a fait part de sa préoccupation sur ce même sujet : elle aussi est persuadée que les Etats-Unis vont perdre la bataille de l’IA, et donne quelques chiffres intéressants :

• Dépenses US en IA en 2017 : 2 milliards de dollars.
• Dépenses Chine en IA en 2017 : 12 milliards de dollars.
• Dépenses Chine en IA en 2020 : 70 milliards de dollars.

L’Europe a déjà perdu une première bataille essentielle, celle du cloud public, qui sert de fondation numérique pour l’avancée des solutions d’Intelligence Artificielle.

La France a fait réaliser par une équipe dirigée par un brillant mathématicien Cedric Vilani un rapport sur l’IA, publié en mars 2018.Ce rapport a le mérite de poser beaucoup de bonnes questions et de rappeler que c’est au seul niveau de l’Europe que l’on peut espérer concurrencer la Chine et les Etats-Unis.

Est-ce qu’il a déclenché un tsunami intellectuel en France et en Europe, une prise de conscience forte que nous risquons de perdre la bataille essentielle des 10 prochaines années ? Hélas, non, et ce rapport terminera, comme beaucoup, sa vie sur une étagère, couvert de poussières…

Un exemple édifiant et récent, daté du 4 juillet 2018, confirme que j’ai raison de m’inquiéter : l’adoption par la France d’un projet de loi « Cyber », ramassis de recettes anciennes, qui n’ont jamais fonctionné, telles que celle d’un cloud souverain de sinistre mémoire.

C’est une parfaite illustration d’une loi « Red Flag » proposée par des personnes dont la compréhension des défis du monde numérique ne me semble pas très élevée…

Pour conclure sur une vision positive, je vous propose de lire l’interview de Diane Greene, CEO de Google Cloud ; elle présente, très bien, les challenges de la cohabitation entre des technologies qui avancent très vite et des régulateurs qui ne sont pas capables d’aller aussi vite.

J’en ai extrait une phrase sur le thème de l’Intelligence Artificielle qui va tout à fait dans le sens de ce blog :

« But I personally think it’s important not to hamper the good it can do because of the bad it can do. »

(Mais je pense personnellement qu’il ne faut pas entraver le bien qu’elle (IA) peut faire à cause du mal qu’elle peut aussi faire.)

Données personnelles

Images, visages, photos et vidéos, données financières ou de santé, géolocalisation, achats sur internet, commentaires sur hôtels ou restaurants, réseaux sociaux, meta-données d’échanges numériques… la liste est longue des traces numériques laissées par des milliards de personnes, tous les jours.

Ces données personnelles sont des « ingrédients » essentiels pour les outils d’IA et de Machine Learning.

Les capacités et performances des outils numériques permettent aujourd’hui, et demain encore plus, de mémoriser et d’analyser toutes ces données, sans contraintes de volumétrie et de temps de traitement.

Il est facile d’imaginer des centaines d’usages positifs et innovants rendus possibles par l’exploitation de ces données :

• Personnaliser les recommandations d’achats, de voyage, de lecture en fonction de nos préférences.
• Optimisation des covoiturages et codéplacements pour réduire les coûts de transports, les dépenses énergétiques et les émissions de CO2.
• Meilleure qualité, plus grande efficience des services publics liés à l’unicité et le partage des informations.
• ...

Il est aussi facile d’imaginer des centaines d’usages négatifs et dangereux de ces mêmes données :

• Surveillance policière des « mauvais citoyens » comme cela se pratique dans de nombreux pays : la Chine en est l’exemple le plus impressionnant.
• Publicités ciblées et envahissantes à tout moment, en tout lieu.
• Contrôle excessif des salariés par les entreprises.
• ...

L’Europe a imposé en 2018 un ensemble de directives sur la protection des données personnelles, le RGPD, Règlement Général de Protection des Données. (GDPR en Anglais).

J’accepte de faire l’hypothèse positive que les personnes qui ont travaillé sur le RGPD étaient uniquement guidées par de bonnes intentions. On peut faire la même hypothèse sur les députés anglais qui avaient voté la loi « Red Flag » originale.

Quelle sera notre analyse « objective » du RGPD dans 10 ou 15 ans ? Est-ce que le RGPD aura eu un impact majoritairement positif en protégeant les citoyens européens ? Est-ce qu’il sera considéré comme une loi « Red Flag » qui a bloqué l’innovation en Europe et permis aux Etats-Unis et à la Chine de prendre une avance encore plus insurmontable dans les usages de l’Intelligence Artificielle ?

Je vois au moins trois des principes du RGPD qui peuvent le transformer en « Red Flag » :

• Limitation de la conservation : des découvertes scientifiques faites dans les prochaines années pourraient, pour déboucher sur des bénéfices pratiques, nécessiter de longues séries de données historiques qui auront été détruites pour respecter le RGPD.
• Limitation des finalités : l’impossibilité d’utiliser des données pour des usages non prévus dés le départ peut bloquer des applications innovantes, impossibles à anticiper aujourd’hui, pour lesquels ces données seraient indispensables.
• Minimisation des données : ne pas pouvoir mémoriser des données que l’on pourrait saisir facilement parce qu’elles ne sont pas indispensables pour le seul traitement autorisé peut appauvrir notre connaissance et rendre impossibles de nouveaux usages à forte valeur ajoutée, des recherches scientifiques ou médicales majeures.

Il n’est pas « politiquement correct » d’oser s’attaquer au RGPD et à sa « noble » mission de protéger les citoyens européens des grands méchants GAFAM américains et BATX chinois.

Posez-vous honnêtement la question : quelle est, selon vous, la probabilité que le RGPD soit considéré en 2025 comme une loi « Red Flag » ?

Le fait que le RGPD puisse être une mauvaise idée n’est plus un sujet tabou ;

Cet article, publié début août 2018, en est une bonne illustration. Il annonce clairement la couleur : «  Le RGPD va éroder notre vie privée, pas la protéger ».

Monde de la santé

Le monde de la santé est un secteur dans lequel les avancées du numérique sont spectaculaires; c’est aussi celui qui peut :

• Le plus bénéficier des avancées de l’Intelligence Artificielle.
• Créer le plus grand nombre de lois « Red Flag ».

C’est aussi dans la santé que convergent les deux autres domaines présentés dans ce texte, l’Intelligence Artificielle et les données personnelles.

J’ai sélectionné quelques-unes des nombreuses innovations annoncées ces derniers mois dans le monde de la santé :

• Une meilleure compréhension du système immunitaire.
• Un logiciel d’IA obtient de meilleures notes à un examen pour devenir médecin généraliste que les humains.
• Des outils de Machine Learning qui peuvent rendre des traitements anti cancéreux moins nocifs.
• Il serait possible de mieux anticiper les patients d’un hôpital qui pourrait être en danger de mort.
• En Chine, l’IA a fait mieux que 15 médecins dans le diagnostic de tumeurs cancéreuses.
• DeepMind, une des filiales AI de Google, annonce qu’elle peut diagnostiquer des défauts de la vision aussi bien que des spécialistes.

Et nous n’en sommes qu’au tout début !

Donner son corps pour la science : il a fallu des siècles pour que cela devienne acceptable ; il y a encore trop de personnes qui refusent de le faire.


Donner ses « données médicales » pour la science : ce sera un combat encore plus difficile, mais vital pour l’avenir de l’innovation au service de la santé des 7 milliards d’humains. Peut-on concilier une raisonnable protection de ses données de santé avec leur partage pour faire avancer la science ? J’en suis persuadé, mais fais encore partie de la minorité.

Je reviens une dernière fois sur la croissance impressionnante de la Chine dans le domaine de l’Intelligence Artificielle en vous recommandant de lire ce texte récent, publié par Peter Diamantis, qui résume très bien les avantages concurrentiels de ce pays :

• Abondance des données.
• Des entrepreneurs très agressifs.
• Une forte montée des compétences locales.
• Le rôle clé du gouvernement.

Compétence en IA, pas de RGPD, excellente maîtrise de la médecine : tout est en place pour faire de la Chine le pays leader mondial des innovations dans le monde de la santé.

Si cette analyse ne vous fait pas peur, ne vous fait pas craindre pour l’avenir de l’Europe, alors, bienvenue dans un monde ancien qui veut encore croire que des lois « Red Flag » peuvent protéger les personnes en bloquant des évolutions technologiques majeures.

Synthèse

Toute innovation numérique crée des risques potentiels nouveaux pour les citoyens, les entreprises et les états, oui bien sûr.

Toute innovation numérique apporte des bénéfices potentiels nouveaux aux citoyens, aux entreprises et aux états, oui bien sûr.

Peut-on anticiper avec précision ces risques ou ces bénéfices ? Non, bien sûr !

Il nous faudra choisir en permanence entre deux approches :

• Principe de précaution : on part de l’hypothèse que les risques sont supérieurs aux bénéfices ; on essaie de bloquer l’innovation.
• Principe d’innovation : on fait l’hypothèse que les bénéfices sont supérieurs aux risques : on décide d’y aller.

J’ai clairement choisi mon camp : le danger mortel, c’est de tuer l’innovation, de perdre la bataille de la compétitivité mondiale. Nous devons de toute urgence redécouvrir les vertus du risque, de l’échec, du fait que les voitures autonomes, l’intelligence artificielle appliquée à la santé vont tuer des personnes.

Tout espoir n’est pas perdu ! L’Europe vient d’échapper, pour le moment, à une loi « Red Flag » ; elle a bloqué, provisoirement, une loi qui aurait pu étendre de manière déraisonnable les droits de copyright aux contenus numériques on-line.

La France est l’un des seuls pays à avoir inscrit le principe de précaution dans sa constitution ; elle l’a fait en 2005, il y a plus de 10 ans.

Comme l’explique cet article du journal les Echos, ce principe de précaution ne sert à rien, juridiquement, mais paralyse l’innovation et l’initiative.

Face à la croissance exponentielle de la puissance des outils numériques, face à la croissance exponentielle des nouveaux usages rendus possibles par ces outils, le principe de précaution représente un danger mortel pour la France, s’il est appliqué « sans modération ».

Ce que je crains, ce que je constate dans trop d’entreprises, c’est que ce sont justement ces accélérations de l’innovation qui déclenchent des peurs irrationnelles ; la tentation est forte d’utiliser ce principe de précaution avec la douce illusion que l’on peut bloquer l’évolution des technologies.

Red Flag

L’un des exemples les plus anciens est le plus emblématique de ce principe de précaution est la loi « Red Flag », drapeau rouge, votée en Angleterre à la fin du 18e siècle, lorsque les premiers véhicules à moteur sont apparus.

Cette loi, qui est restée en vigueur pendant plus de 30 ans, exigeait que tout véhicule à moteur soit précédé d’un homme, à pied, portant un drapeau rouge pour signaler que l’engin qui le suivait était porteur de dangers.

Je ne pense pas que cette loi ai fortement contribué à la croissance de l’industrie automobile en Angleterre…

Combien de lois ou de recommandations « Red Flag » seront promulguées en France au cours des cinq prochaines années ?

Une remarquable étude sur les usages du numérique dans le monde a été publiée par Hootsuite, début janvier 2018. J’en ai extrait cette page qui évalue l’optimisme numérique dans les pays étudiés ; la France fait partie du peloton de tête des plus… pessimistes ! Sur ce terreau craintif, il sera hélas facile de faire pousser des lois « Red Flag » anti innovations numériques.

Nos amis allemands sont encore plus mal classés ; leur remarquable résistance aux solutions Cloud Publics y trouve peut-être une explication…

Etablir un inventaire de tous les domaines où le numérique joue un rôle et qui pourraient être touchés par des lois « Red Flag » serait fastidieux et déprimant.

J’ai préféré analyser trois thèmes importants :

• Les véhicules autonomes ; sera traité dans la première partie.
• L’intelligence Artificielle.
• Les données personnelles.

Ces deux sujets seront abordés dans la deuxième partie de cette analyse.

Véhicules Autonomes

  En 2004, il y a 15 ans, DARPA (Defense Advanced Research Project Agency), organisme du DoD (Department of Defense), aux USA, a lancé un ambitieux projet, le Grand Challenge. Il récompensait les premiers véhicules sans conducteur qui seraient capables de se déplacer dans le désert.

Cet investissement de recherche a été remarquablement efficace ; après ce coup de pouce, d’immenses progrès ont été réalisés et des milliards de dollars ont été investis pour mettre sur les routes des voitures, taxis ou camions autonomes.

Avant de parler des risques « potentiels » que pourraient poser ces véhicules autonomes, il est important de rappeler quels sont les risques « actuels » des véhicules conduits par des humains.

Les assassins actuels de la route

Toutes les études sérieuses montrent qu’environ 90 % des accidents entraînant mort d’homme sont provoqués par des erreurs humaines. Les pays en émergence sont plus touchés que les pays développés.

Les chiffres sont accablants ; le nombre annuel de personnes tuées sur les routes :

• 1 300 000 morts dans le monde.
• 40 000 aux USA.
• 3 500 en France.

Ces assassins de la route, ce sont des personnes « normales » qui commettent leurs crimes en conduisant :

• Trop vite.
• Sous l’emprise de l’alcool ou des drogues.
• En utilisant un smartphone pour échanger des messages ou regarder des images ou des vidéos.

Rappel : un assassin est une personne qui a prémédité son crime ; c’est le cas d’une personne qui conduit en état d’ivresse ou droguée et qui sait très bien qu’elle présente un danger majeur pour la société.

Larry Page et Sergueï Brin, les fondateurs de Google, auraient décidé de se lancer dans la construction de véhicules autonomes quand ils ont découvert ce chiffre de 1,3 million de morts annuels sur les routes.

Niveaux d’autonomie des véhicules autonomes

 Cinq niveaux différents d’autonomie ont été définis ; ils vont du niveau 1, aucune autonomie, à 5, tous les occupants sont des passagers, il n’y a plus de conducteur.

En 2018, le niveau 3 est atteint par des voitures haut de gamme comme Audi ou Tesla.

Il y a deux grandes écoles de pensée qui s’opposent sur la meilleure manière de faire avancer les performances des véhicules autonomes :

• La majorité des constructeurs traditionnels sont partisans d’une démarche progressive, en passant par les niveaux intermédiaires 3 et 4 avant d’arriver à 5.
• Un petit nombre d’entreprises comme Google avec Waymo ou le français Navya proposent des véhicules qui sont immédiatement au niveau 5.

Je pense que le niveau 4, où le conducteur ne doit intervenir que dans des situations d’urgence, est plus dangereux que le niveau 5. Les rares accidents des véhicules au niveau 4 sont dus au fait que le conducteur « occasionnel » s’ennuie tellement qu’il n’est plus prêt à intervenir quand il le doit.

Des milliers d’articles ont été écrits sur un seul accident : une voiture niveau 4 d’Uber qui a tué une personne qui traversait de nuit une route. La responsabilité a été initialement attribuée à un mauvais réglage du logiciel.

Les enquêtes de police ont trouvé la cause principale de cet accident mortel ; l’analyse des usages de son smartphone a démontré que la conductrice qui était supposée surveiller la route pour intervenir en cas d’urgence… regardait l’émission « the voice » sur son smartphone depuis plus de 40 minutes !

Il n’y a pas encore eu, à ma connaissance, d’accidents mortels provoqués par des voitures de niveau 5. Il s’en produira certainement quelques-uns dans les mois ou années qui viennent.

Les véhicules Waymo de Google avaient parcouru 5 millions de miles en mai 2017 et s’approchent aujourd’hui les 5 millions, sans aucun accident mortel. Ce chiffre est à comparer aux 3 000 000 millions de miles conduits par les Américains en 1 an, soit 1 million de fois plus. Il n’est pas encore possible d’établir une statistique sérieuse sur la réduction du nombre de morts ; on peut seulement établir quelques hypothèses.

Est-ce que les véhicules autonomes seront 10, 100 ou 1000 fois plus sûrs que les humains au volant ? Nul ne le sait, par contre il est certain qu’ils vont tuer des personnes, comme le rappelle cet article.

Les airbags, cités dans cet article, ont tué 200 personnes et sauvé 45 000 vies ; les premiers modèles d'airbags étaient imparfaits et la majorité des morts ont eu lieu au début. Ils ont un niveau d’efficacité supérieur à 200 ; le nombre de personnes sauvées est 200 fois supérieur à celui des tués.

Prenons l’hypothèse 100 fois moins de morts pour les véhicules autonomes ; cela veut dire qu’il y aura chaque année :

• 400 morts causés par des véhicules autonomes aux Etats Unis, environ 1 par jour.
• 35 morts causés par des véhicules autonomes en France, proche de 1 par semaine.

Est-ce que le « principe de précaution » acceptera un tel niveau de morts ? Est-ce que des lois « Red Flag » contre les véhicules autonomes ne seront pas votées si une dizaine de personnes sont tuées au cours des 2 ou 3 prochaines années ?

Deux approches pour réduire les morts sur les routes

La première considère que les véhicules autonomes ne sont pas la réponse ; il faut donc agir sur les assassins humains du volant. La levée de boucliers déclenchée par la réduction de la vitesse de 90 à 80 km/h sur les routes nationales, pour sauver environ 300 personnes, montre que nous ne sommes pas prêts à des lois « Red Flag » pour les humains.
Ces lois « Red Flag » seraient pourtant très simples à écrire :

• Conduite en état d’ivresse ou sous l’emprise de drogues : retrait immédiat du permis de conduire pendant 1 an. En cas de récidive dans les cinq ans, retrait définitif du permis de conduire et interdiction de le repasser pendant 10 ans.
• Consultation de son smartphone au volant : retrait immédiat et définitif du permis de conduire et interdiction de le repasser pendant 5 ans.

Je ne suis pas certain que la population française est prête à accepter des règles aussi efficaces que contraignantes.

Ces lois pourraient au mieux espérer réduire à 1 500 personnes le nombre de morts sur les routes de France.

La deuxième approche consiste à promouvoir les véhicules autonomes de type 5 pour qu’ils deviennent la norme, le plus vite possible.

Cette loi « Red Flag » serait, elle aussi, facile à écrire :

• Autorisation immédiate d’essais de véhicules autonomes de niveau 5, sur autoroutes et en ville en priorité. Généralisation des essais sur toutes les routes en 2021.
• Interdiction de commercialiser des véhicules non autonomes de niveau 5 à partir de 2025.
• Interdiction généralisée de conduire un véhicule à moteur pour tous les humains à partir de 2035.

Avec cette loi, on devrait réduire le nombre de morts à moins de 100 personnes par an sur les routes de France.

Ceci permettrait à tous les Français et Françaises de continuer à picoler, à se droguer ou à utiliser un smartphone pendant leurs déplacements.

De ces deux lois « Red Flag » quelle est celle que vous seriez prêt à soutenir ?

Dans la deuxième partie de ce billet, j’aborderai les thèmes intelligence artificielle et données personnelles.

Le cloud public n’est pas sécurisé ! Mes données ne sont pas protégées dans un cloud public ! AWS, Google, Microsoft Azure ne sont pas des fournisseurs sérieux, capables d’offrir la même sécurité que les acteurs historiques : IBM, HP, Cisco, Dell…

Cela fait dix ans que j’entends ces rengaines, transmises par des DSI, des dirigeants et des RSSI (Responsables de la Sécurité des SI).

L’un des thèmes dominants est celui de la protection de son « territoire », au sens physique du terme, comme le faisaient les châteaux forts du Moyen Âge, entourés de grandes murailles.

Cette démarche de protection périmétrique, qui était raisonnable au « Moyen Âge de l’informatique », n’a plus aucun sens aujourd’hui.

Voyons pourquoi.

Sécurité périmétrique entreprise

 Dans l’ancien monde informatique, les choses étaient simples : l’essentiel de l’activité se passait à l’intérieur de l’entreprise :

• Les serveurs étaient hébergés dans un centre de calcul appartenant à l’entreprise.
• Les postes de travail, des PC Windows, étaient reliés à un réseau Ethernet filaire, géré par les équipes internes.
• Les accès informatiques à l’extérieur de l’entreprise par les salariés n’étaient que rarement nécessaires, souvent bloqués.
• Un firewall, ou pare-feu était mis en œuvre, pour protéger les ressources et personnes présentes à l’intérieur de l’entreprise de toute attaque venant des « barbares » présents à l’extérieur.

Aujourd’hui, tout a changé !

• Les infrastructures sont gérées par des industriels du cloud public, AWS, Google ou Microsoft.
• De plus en plus d’applications SaaS, Software as a Service, sont utilisées, et elles sont toutes, par nature, hébergées à l’extérieur de l’entreprise.
• Les postes de travail sont variés, mobiles, smartphones, tablettes, PC portables ou Chromebooks, et reliés à des réseaux mobiles, 3G, 4G ou WiFi.
• Les collaborateurs ont besoin et exigent l’accès à leurs applications en tout lieu, à toute heure.

Dans ce nouveau monde, obliger les transferts de données à transiter par l’intérieur de l’entreprise pour ressortir ensuite vers le cloud n’a aucun sens.

Sécurité périmétrique pays

C’est plus récent, mais encore plus ridicule ! De trop nombreuses voix s’élèvent pour exiger une protection périmétrique autour de chaque pays. On pousse même l’absurdité jusqu’à exiger que les données d’un pays soient stockées dans ce pays !

C’est une approche suicidaire et qui n’a aucun sens. Il faut remonter à nos grands stratèges militaires qui avaient imaginé la « Ligne Maginot » pour trouver une démarche aussi inutile et inefficace.

En 2012, la France a frappé fort en imaginant que deux fournisseurs de « Clouds souverains », Numergy et CloudWatt allaient bouter dehors les envahisseurs AWS ou Google ; ils avaient tous les deux disparu en 2015.

Je préfère la démarche moderne d’un acteur français du cloud public qui n’a jamais demandé 1 € à l’état, Outscale.

Comme l’illustre la carte de leurs centres de calcul, ils sont présents dans le monde entier, et non pas retranchés dans l’hexagone.

Nouveau modèle : triple confiance

Je suis probablement l’une des personnes les plus sensibles à la sécurité des SI et à la protection des données ; c’est pour atteindre ces objectifs que je milite pour une approche différente, aujourd’hui indispensable.

Comment créer la « confiance » ? La bonne démarche consiste à segmenter le problème en trois composants :

• Confiance accès.
• Confiance transport.
• Confiance partage.

Cette démarche par composants a comme avantage supplémentaire la modularité et la flexibilité dans le choix des solutions. On peut à tout instant modifier l’un des outils utilisés sans remettre en cause tous les autres.

Hypocondriaques de la sécurité des SI, j’ai une mauvaise nouvelle pour vous ! Il existe des dizaines de solutions de haute qualité qui répondent très bien à ce besoin de confiance aux trois niveaux. Vous ne pourrez plus vous plaindre de l’absence de sécurité !

Il vous restera toujours la possibilité de vous retrouver entre vous, dans ces très nombreuses conférences sur la sécurité des SI qui ont pour principal objectif de transmettre des messages de peur et de maintenir les emplois de pseudo-professionnels de la sécurité arcboutés sur des démarches démodées et dangereuses.

J’ai proposé de regrouper ces solutions sous le nom TaaS, Trust as a Service. Ceci permet d’utiliser un mot positif, Trust - Confiance pour remplacer des mots à consonance négative comme sécurité.

Confiance Accès 

Ce premier niveau de confiance doit permettre :

• De garantir l’identité de la personne qui se connecte.
• De vérifier que l’objet utilisé peut le faire sans risques.
• De moduler les droits en fonction des lieux et heures de connexion.

Cette confiance d’accès doit être garantie pour les «5 A» en anglais, ou en français :

• Toute personne
• Tout objet d’accès
• À tout moment
• En tout lieu
• Pour tout contenu

Les entreprises disposent aujourd’hui de tous les outils nécessaires pour garantir cette confiance d’accès. Quelques exemples :

• MDM Mobile Device Management : gestion des outils mobiles, séparation des données et applications professionnelles et privées..
• Authentification forte : code aléatoire, SMS, empreintes digitales…
• Chiffrement des contenus sur les objets d’accès.
• Vérifier que les mises à jour d’OS et d’applications sont réalisées.

Les challenges majeurs à régler ne sont plus dans le domaine de la confiance, mais dans :

• L’ergonomie des solutions, pour les rendre raisonnablement transparentes pour tous les collaborateurs.
• Le coût élevé de trop nombreux produits.

Confiance Transport

Aujourd’hui, créer les conditions de « Confiance Transport » ne pose plus de difficultés majeures.

L’objectif est simple : transporter en sécurité des données, depuis un objet d’accès vers un espace de partage. 

Tout est disponible pour créer les conditions de cette confiance transport :

• 
• HTTPS : les échanges entre l’objet d’accès et le serveur sont chiffrés de manière transparente pour les utilisateurs. Offre une excellente protection depuis des dizaines d’années.
• Chiffrement des contenus : si, pour un tout petit nombre de données hypersensibles, on souhaite aller au-delà de HTTPS, il est très facile de rajouter une fonction de chiffrement des contenus. Dans ce domaine aussi, de remarquables solutions existent depuis longtemps : PGP, racheté par Symantec, en est un bon exemple.
• Pare-feu dans le cloud : pour remplacer les pare-feu anciens, périmétriques, il est possible de déployer des « pare-feu cloud » qui protègent les collaborateurs, où qu’ils soient. Zscaler est la solution dominante, aujourd’hui.

Confiance transport : problème réglé.

 
Confiance Partage 

C’est dans ce domaine que les fantasmes sur la non-confiance à accorder au cloud public sont les plus virulents :

• Le grand méchant Google va lire mes mails.
• La NSA va pirater mes données commerciales et les envoyer à mon concurrent américain.
• Mes données personnelles vont se retrouver chez Microsoft maintenant qu’ils ont racheté LinkedIn.
• ….

Oui, bien sûr, des risques majeurs existent lorsque des données sensibles sont stockées dans des centres de calcul. Oui, mais :

• Ces risques sont beaucoup plus élevés dans des centres de calcul passoires, que certains continuent à appeler « clouds privés ». Toutes les failles importantes de sécurité de 2016 et 2017 ont eu lieu lorsque les entreprises géraient elles-mêmes leurs centres de calcul.
• Les grands acteurs industriels du cloud public ont des moyens techniques et humains pour assurer la sécurité et la confidentialité des données qui leur sont confiées sans commune mesure avec ceux des entreprises, même les plus grandes.

Lisez attentivement ce que proposent AWS ou Google pour protéger leurs centres de calcul. Ensuite, posez-vous une question simple : est-ce que je suis capable d’offrir le même niveau de sécurité ?

Prenons deux exemples, le chiffrement et la réglementation européenne GDPR.

AWS, Google ou Microsoft chiffrent toutes les données qui leur sont confiées. Quand je l’explique à mes interlocuteurs, il y en a toujours un pour me rétorquer : « Oui, mais ce sont eux qui ont la clef et ils la donneront si une autorité politique ou policière en fait la demande ». Les conditions dans lesquelles ils acceptent de le faire sont exceptionnelles, comme le montre cette victoire de Microsoft dans un procès avec le gouvernement américain.

Je ne résiste jamais au plaisir de poser à mon tour une question : quel est le pourcentage de vos données qui sont chiffrées dans vos centres de calcul ? La réponse que j’obtiens le plus souvent : 0 %.

Pour rassurer leurs clients, nos champions du cloud public sont allés encore plus loin : ils proposent tous, comme AWS dans cet exemple, de chiffrer vos données avec une clef qui vous appartient, à laquelle ils n’ont pas accès.

 Fin mai 2018, la directive européenne sur la protection des données personnelles, la GDPR, s’imposera à toutes les organisations présentes en Europe, et c’est une excellente initiative. Cela a créé de superbes opportunités « business » pour juristes, professionnels de l’informatique et sociétés de services qui proposent d’aider les entreprises à être en règle avec la GDPR.

L’essentiel des données de mes entreprises est dans des clouds Google. J’ai reçu il y a quelques jours ce sympathique message de Google :

• M’informant que tout était déjà prêt, en novembre 2017.
• Me donnant le texte des nouvelles règles qui s’appliqueront, pour que j’aie le temps de les étudier.
• Me confirmant que je n’aurai rien à faire le jour de la mise en vigueur de la GDPR, ils vont l’activer pour moi.

Dois-je rajouter que les mises en conformité GDPR de mes entreprises ne m’auront pas coûté 1 €, ni occupé une seule journée de travail d’un collaborateur ?

Synthèse

Cette démarche simple, pragmatique, des « trois confiances » permet à toute organisation, quelle que soit sa taille, de créer un exceptionnel niveau de confiance pour accélérer sa transformation numérique.

Elle peut le faire en utilisant des solutions industrielles du marché, de haute qualité et qui seront de plus en performantes dans les mois et années qui viennent.

Libre à vous de rester sur vos vieilles démarches périmétriques, mais ne comptez pas sur moi pour vous accompagner… Le « passe muraille », célèbre monument de Montmartre à Paris : une excellente illustration de vos firewalls passoires si vous continuez dans cette voie sans issue.

J’accompagne des entreprises de tout secteur, de toute taille, dans l’amélioration de leurs Systèmes d’Information (SI).

Je passe l’essentiel de mon temps sur le terrain, dans les usines, dans les bureaux locaux, pour comprendre la réalité des attentes et des usages.

Le décalage entre la vision théorique des personnes du siège et la réalité pratique du terrain est très fort ; ce décalage représente un danger majeur pour la performance des entreprises.

Il devient urgent, urgentissime, d’inverser les priorités du SI et de donner plus de pouvoir, d’importance au terrain.

Aujourd’hui : priorité au siège

Les SI sont construits par des informaticiens, au siège, pour des dirigeants, au siège, pour répondre aux attentes des salariés des directions centrales, au siège. Il ne faut donc pas s’étonner que ces SI soient bien reçus par les collaborateurs… du siège.

Il existe aussi un monde lointain, différent, que l’on appelle le terrain, sur lequel ne s’aventurent jamais les dirigeants et les informaticiens. Il faudrait pour cela quitter des bureaux climatisés, dans les beaux quartiers, et rentrer dans des territoires bizarres, où l’on rencontre des personnes bizarres, qui sont en contact direct avec les machines ou les clients. Ces créatures bizarres travaillent de manière « bizarre » et ne suivent jamais les consignes et les processus « intelligents » construits par les populations supérieures des sièges qui « savent » comment il faut faire, même s’ils n’ont jamais mis les pieds sur ces terrains lointains.

Ces SI hypertrophiés siège sont ceux que je rencontre le plus dans mes missions. Ils contiennent des données fausses, qui ne représentent pas la réalité du terrain. Fournir au siège une image réelle du terrain serait très dangereux : tout décalage entre une image idéale de la réalité attendue par les collaborateurs du siège et ce qui se passe vraiment se traduirait immédiatement par des retours de bâtons punissant lourdement les « serfs » locaux qui osent déplaire aux puissants, aux sachants… du siège.

Et si l’on inversait la démarche, en donnant la priorité au terrain ?

Demain : priorité au terrain

Dès que possible, je demande aux dirigeants avec qui je travaille de passer du temps sur le terrain. Je leur propose aussi que des personnes de la DSI m’accompagnent dans ces visites terrain, chez eux. A ma grande surprise, je découvre souvent qu’ils n’avaient jamais entrepris cette démarche. Externe, je leur sers de guide sur le terrain de… leur propre entreprise !

Il n’est pas nécessaire de passer des dizaines de jours sur le terrain pour prendre conscience des graves déficiences de ces SI au service du siège.

Il suffit d’accompagner ces acteurs opérationnels dans leur mission, dans leurs activités quotidiennes pour découvrir que ces SI sont en permanence des empêcheurs de travailler efficacement. J’ai trop souvent l’impression qu’ils ont été construits pour rendre les opérationnels le moins efficace possible ! 

Le plus impressionnant, c’est l’extraordinaire bonne volonté de ces opérationnels du terrain qui font tout pour arriver à travailler, malgré les difficultés majeures, les bâtons dans les roues créées par ces SI.

L’inversion des priorités devient urgente : il faut reconstruire un SI dont les clients principaux sont les acteurs du terrain et tout faire pour leur permettre de travailler efficacement, ce qu’ils arrivent malgré tout à faire aujourd’hui, en dépit des difficultés créées par les SI orientés siège.

La bonne nouvelle : ces SI orientés terrain sont beaucoup plus faciles et plus rapides à construire que les SI existants, orientés siège. Pourquoi ?

• Les acteurs du terrain ont envie de bien travailler, de construire des produits de qualité, de répondre aux attentes des clients qu’ils rencontrent.
• Leurs véritables besoins informationnels sont simples, et demandent rarement l’accès à des centaines de données.
• C’est sur le terrain qu’il est possible de saisir des données exactes, correspondant à la réalité des activités des entreprises.

Un choc organisationnel et culturel très fort

Simplifier la vie des opérationnels, leur faire confiance, mettre le SI en priorité à leur service… ce sont des changements majeurs, beaucoup plus organisationnels que techniques.

Ces difficultés, on ne les rencontrera pas sur le terrain, mais… au siège où les personnes devront s’adapter à un SI qui leur demande de tout faire pour rendre plus facile la vie quotidienne des opérationnels.

L’une des actions les plus efficaces, les plus simples pour réduire ce choc organisationnel : demander à chaque collaborateur du siège de passer une semaine sur le terrain, non pas en visite, mais en acteur !

La première population « siège » à envoyer sur le terrain ? Les informaticiens, tous les informaticiens ! Ils reviendront, comme Ulysse dans le poème de Joachim du Bellay, « plein d’usage et raison », en se demandant comment ils ont pu construire des SI aussi catastrophiques, aussi loin de la réalité des attentes, simples, du terrain.

Comment reconstruire ces SI donnant la priorité au terrain ? Je reviendrai très vite sur ce sujet.

Je rencontre encore trop souvent des professionnels des Systèmes d’Information (SI) qui continuent à penser que le « nirvana », pour leur entreprise, serait une solution intégrée, bien sûr proposée par un seul fournisseur.

Les échecs universels des ERP intégrés au cours des 25 dernières années n’ont hélas pas servi de leçon.

Je reviens aujourd’hui sur ce sujet, car les dangers de cette vision « intégrée » d’un SI deviennent mortels dans un monde où tout évolue de plus en plus vite :

• Les attentes des clients externes et internes.
• La richesse et la variété des solutions disponibles.
• Le besoin de réactivité des entreprises, publiques et privées pour s’adapter à un monde aux évolutions imprévisibles.

Le modèle du couteau suisse

Je vais utiliser dans ce billet mon outil intégré favori, le couteau suisse le plus spectaculaire, fabriqué par Wenger.

Ce modèle réunit tout ce qu’ils ont réussi à mettre dans un couteau...de poche, 87 outils pour 141 fonctions !!! Un grand bravo aux ingénieurs qui ont réussi à mettre en moyenne deux fonctions par lame. Son poids : 1.345 kg. Le couteau est livré dans un coffret en bois, accompagné du très officiel certificat, délivré par le Guiness World Records Book, qui vous garantit que vous avez le modèle le plus complet disponible sur le marché.

Je n’ai pas trouvé une image plus forte pour illustrer l’absurdité des solutions intégrées. Vous serez d’accord avec moi pour dire que cet objet contient :

• La meilleure scie pour préparer votre bois pour l’hiver.
• La lame la plus performante pour découper un jambon.
• L’objet le plus commode pour couper vos ongles.
• …

J’espère que chaque fois qu’un fournisseur informatique vous parlera des mérites de sa solution « intégrée », il fera apparaître dans votre esprit cette image du couteau suisse qui fait tout, qui fait tout très mal.

Moyen de transports « intégrés »

Le monde du transport illustre bien la valeur d’une approche industrielle, « best of breed », à l’opposé de l’intégré, pour répondre aux attentes du marché.

C’est un domaine d’extrême spécialisation, comme l’illustre ce schéma.

Trains, avions, bateaux, voitures, bicyclettes, nous avons à notre disposition un grand nombre de moyens de transports différents. Dans chaque famille, il existe des milliers d’objets différents pour nous permettre de choisir celui qui correspond le mieux à nos besoins ou nos attentes.
Les compétences nécessaires pour bien maîtriser ces objets sont elles aussi très différentes. Certaines peuvent être très répandues, comme la capacité d’utiliser une voiture ou une bicyclette, les outils « bureautiques » universels.

D’autres demandent des compétences beaucoup plus fortes, un apprentissage de plusieurs années, comme celles d’un pilote d’avion, les outils informatiques structurés.

Un exemple emblématique montre à quel point il est difficile, et déraisonnable de vouloir « intégrer » : qui n’a jamais rêvé, coincé dans un embouteillage, de pouvoir décoller pour en sortir. Cela fait des dizaines d’années que de brillants ingénieurs cherchent à construire une « voiture volante » ou un « avion qui roule », en combinant 2 modes de transport en un seul. Cela fait des dizaines d’années que le marché des voitures volantes reste… cloué au sol.

Cela n’empêche pas de nombreux investisseurs, y compris en Silicon Valley, de croire que ce marché va décoller.

Même si, un jour,  c’était le cas, il faudrait immédiatement pousser plus loin l’intégration et exiger que ces voitures volantes sachent aussi…naviguer en devenant amphibies.

Solutions informatiques « intégrées »

A l’inverse du monde industriel du transport, l’informatique a grandi autour du mythe des solutions intégrées. C’est surtout vrai dans le domaine des logiciels d’entreprises.

Les fonctionnalités dont peut avoir besoin une entreprise sont aussi variées que les moyens de transport :

• Gestion commerciale, CRM
• Marketing
• Paye
• Gestion des ressources humaines
• Logistique
• Gestion de production
• Supply Chain
• ….

Les « clients » de ces solutions sont eux aussi très divers dans leurs activités, leurs compétences et leurs attentes :

• Commercial
• Ouvrier spécialisé
• Informaticien
• Agriculteur
• Electricien
• ….

 Si le bon sens avait été présent dans les directions informatiques, il y a longtemps que l’on aurait compris qu’il fallait des outils différents, pour des fonctions différentes et des clients différents.

Hélas, les directions informatiques sont tombées sous le charme de deux redoutables familles de « Sirènes », les éditeurs d’ERP intégrés et les grandes sociétés de services informatiques ravies de récupérer des contrats de mise en œuvre pluriannuels qui se chiffraient en millions d’euros.

A l’inverse d’Ulysse, qui s’était fait attacher au mât de son bateau pour résister à leurs chants, elles n’ont pas eu l’intelligence de se préparer à ce danger.

Les deux plus redoutables de ces sirènes assassines sont SAP et Oracle, qui ont réussi à coloniser les SI de la majorité des grandes organisations.

Cette malédiction des solutions intégrées n’est pas irrémédiable ; il est aujourd’hui possible d’y échapper en s’appuyant sur les solutions innovantes nées avec les Clouds Publics et les solutions SaaS, Software as a Service. 

Différentes fonctions, différents clients, différentes solutions

A chacun sa compétence ! C’est une évidence dans le monde « normal », depuis des décennies. Les industriels ont compris depuis longtemps que fabriquer un produit de qualité, compétitif, est très difficile et les oblige à y consacrer toute leur énergie.

Je pense que vous serez tous d’accord pour dire que j’ai établi dans ce schéma et cette liste les « meilleurs » liens entre un moyen de transport et le fournisseur le mieux placé pour répondre à ma demande :

• Renault pour les avions.
• Airbus pour les trains.
• Alstom pour les bateaux.
• Beneteau pour les voitures.

Feriez-vous confiance à Michelin s’il venait vous vendre des pare-brises ? Feriez-vous confiance Saint-Gobain s’il venait vous vendre des pneumatiques ?

Bien sûr que non !

Expliquez-moi alors pourquoi vous faites encore aveuglément confiance à ces éditeurs de solutions intégrées, ces vendeurs de pilules miracles, ces charlatans, qui vous vendent un ensemble intégré contenant un CRM, un outil de gestion de production, un autre pour les ressources humaines…

Il est urgent de sortir de votre crédibilité moyenâgeuse !

Dans le monde des solutions logicielles, ce mouvement de spécialisation est devenu possible, depuis plus de dix ans, avec l’arrivée de plusieurs milliers de véritables solutions SaaS. Il permet aux responsables informatiques et aux entreprises de trouver rapidement d’excellentes solutions spécialisées, répondant bien aux différentes attentes des clients.

Pour chaque famille de demandes, il existe maintenant plusieurs solutions. L’offre n’est pas encore aussi riche que dans le monde de l’automobile, mais elle est aujourd’hui suffisante pour répondre, bien, à l’essentiel des attentes de vos clients.

Le challenge de la cohérence 

Une majorité de dirigeants et responsables informatiques comprennent que la démarche « intégrée » est dangereuse et sont sensibles aux avantages d’une approche « Best of Breed ».

La première question qu’ils me posent est celle de la cohérence du SI, et c’est évidemment une question pertinente.

Je suis souvent amené à leur retourner la question et à m’interroger sur la cohérence du SI intégré actuel. La situation est souvent catastrophique, surtout dans les grandes organisations ; des dizaines d’instances différentes de « L’ERP intégré », sont déployées, sous différentes versions, mises en œuvre par des sociétés de service différentes. Quand on va sur le terrain, on découvre des centaines, des milliers d’applications Excel qui sont les principales sources, fausses, d’information pour des milliers de personnes !

Mettre en place un nouveau SI qui soit moins cohérent que l’ancien, c’est souvent un challenge impossible à relever !

L’excellente nouvelle, c’est qu’il est maintenant possible de construire un SI cohérent avec des composants différents, plus facilement qu’avec les anciennes approches intégrées.

Cette cohérence s’obtient en agissant sur deux axes :

Installation d’une plateforme d’AaaS : Aggregation as a Service.

C’est un sujet que j’ai déjà traité dans ce blog ; ces solutions AaaS sont un élément clef, indispensable, de tout SI moderne. La bonne nouvelle, c’est que les offres, Cloud évidemment, sont aujourd’hui solides et performantes.

Cinq des solutions disponibles sont :

• Mulesoft
• Jitterbit
• SnapLogic
• Workato
• Crosscut

Les solutions IaaS permettent des échanges structurés par connecteurs, API ou WebServices.

Création de plusieurs référentiels de données

C’est un sujet qui va devenir vital dans les années qui viennent, et je vais y consacrer prochainement un billet complet. Il s’agit de créer plusieurs référentiels par grandes familles de données, RH, commercial, financières, techniques… Ces référentiels seront des sources de données cohérentes pour toutes les applications « Best of Breed ».

Si je devais recommander une seule bonne résolution à prendre pour l’année 2018, se serait sans hésitation :

Abandon définitif de l’idée absurde

des solutions informatiques intégrées

Solutions intégrées = tout, tout mal

Il existe encore de nombreuses, trop nombreuses DSI, Direction des Systèmes d’Information, rattachées à une Direction financière.

Il est temps que, à l’image de la chenille qui se transforme en papillon pour prendre son envol, les DSI s’émancipent du carcan de la Direction financière.

En même temps, l’évolution des métiers financiers peut servir de guide à ce qui doit se passer dans le monde des Systèmes d’Information.

Evolution métiers des Directions financières au XXe siècle

Il était fréquent, au début du XXe siècle que les grandes entreprises gèrent leurs propres banques.

Il était « risqué » de faire confiance à des banques externes, et ces entreprises pensaient que leur argent était plus en sécurité à l’intérieur de leurs murs !

Aujourd’hui, toutes les entreprises ont abandonné cette fonction « banque interne » et ont externalisé ces activités, non cœur métier, à des banques professionnelles à qui elles font « confiance ».

Il existe d’excellents logiciels SaaS, Software as a Service, tel que Kyriba, pour les aider à gérer leurs finances et trésoreries réparties dans plusieurs banques.

Avec un décalage de plusieurs dizaines d’années, ces mêmes entreprises vont faire suivre le même chemin à leurs centres de calcul.

Les centres de calcul, au début du XXIe siècle

Au début de ce siècle, toutes les entreprises géraient elles-mêmes leurs centres de calcul, qui abritaient leurs applications informatiques.

Protégées par des pare-feu censés les protéger des « méchants » vivant à l’extérieur, les bandits de la forêt de Sherwood, elles confiaient leur Système d’Information à des collaborateurs internes.

Il y a urgence à abandonner ces « ex bonnes pratiques » comme nous le rappellent tous les jours les catastrophes induites par cette gestion en interne.

La faillite des centres de calcul privés

Il ne se passe pas une seule semaine sans que l’on apprenne que de grandes entreprises ont été victimes de l’amateurisme de leurs équipes informatiques internes.

Sur les seuls 15 derniers jours du mois de mai 2017, j’ai retenu trois « incidents » qui ont frappé des « PME » européennes.

A la suite de l’attaque WannayCry, qui ne pouvait se diffuser que dans des centres de calcul incapables d’avoir des serveurs à jour des correctifs de sécurité Windows, des dizaines d’entreprises ont subi des pertes importantes. 

Renault a fermé l’une de ses usines pendant toute une journée.

• Quel est le coût financier de cet arrêt en perte de Chiffres d’Affaires dû à la non-production des voitures ?
• Quel est le coût pour Renault de cet arrêt sur le plan de l’image de l’entreprise ?

Telefónica, l’opérateur national de télécommunications en Espagne a envoyé un message à tous ses collaborateurs :

• Arrêtez immédiatement tous vos ordinateurs.
• Rentrez chez vous !

Mêmes questions :

• Quel est le coût financier de cet arrêt en perte d’activités ?
• Quel est le coût pour Telefónica de cet arrêt sur le plan de l’image de l’entreprise ?

A la suite d’une panne informatique, British Airways a été obligé d’annuler tous ses vols au départ de Londres pendant le Week End.

• Quel est le coût financier de cet arrêt en perte de Chiffres d’Affaires dû à l’annulation de plusieurs centaines de vols ?
• Quel est le coût pour British Airways de cet arrêt sur le plan de l’image de l’entreprise ?

Arrêtons ces massacres ! Il est temps que tous les DSI, de toutes les entreprises du monde, comprennent qu’ils n’ont ni les compétences ni les ressources pour gérer professionnellement leurs centres de calcul privés. Ces centres de calcul privés sont de véritables passoires à la merci d’attaquants professionnels qui ne vont plus leur laisser une seule chance de protéger efficacement leurs entreprises.

Et ne venez pas me dire que vous êtes bien meilleur que les DSI de Renault, Telefónica ou British Airways ; ce sont sûrement des personnes de qualité qui essaient de faire, le mieux possible, leur métier. Ils sont simplement face à une réalité que beaucoup ont du mal à accepter : gérer un centre de calcul privé de manière efficace et sécurisée est devenu une tâche impossible.

Le Cloud Public, seule solution raisonnable en 2017

Il y a dix ans, Amazon créait, avec son département AWS, Amazon Web Services, le premier acteur du marché IaaS, Infrastructure as a Service. Aujourd’hui, les trois grands fournisseurs de plateformes IaaS, AWS, Google Cloud Platform et Microsoft Azure ont gagné la bataille du Cloud : les solutions Cloud Public vont faire disparaître tous les centres de calcul privés, que certains persistent à appeler Clouds Privés.

Des milliers d’entreprises aujourd’hui, toutes demain, feront confiance à ces géants industriels pour gérer leurs infrastructures informatiques, comme elles ont confié leur argent à de grandes banques.

Pour assurer cette « confiance », il existe un grand nombre de solutions SaaS, Software as a Service, tel que Zscaler présenté sur ce graphique, permettant de construire une plateforme de « Trust », TaaS, Trust as a Service. 

Avant que cette victoire du Cloud Public ne soit complète, il reste un dernier obstacle à franchir, et il est de taille : la réticence, la résistance de quelques DSI qui n’ont pas le courage de sauter le pas, qui craignent, à tort, de perdre le contrôle de leurs infrastructures.

Résumé

Les Directeurs financiers des entreprises ont compris, il y a longtemps, qu’il n’était pas raisonnable d’essayer d’être aussi efficaces que des banquiers professionnels.

Les DSI des entreprises comprennent, aujourd’hui, qu’il n’est pas raisonnable d’essayer d’être aussi efficaces que des fournisseurs de Clouds Publics d’infrastructures.

Les quatre schémas de ce billet montrent comment les entreprises vont répliquer les décisions prises sur les "banques internes" dans les "infrastructures informatiques internes".

Attendrez-vous d’être la prochaine victime d’une cyberattaque pour basculer sur le Cloud Public ?

Attendrez-vous le prochain plantage de votre centre de calcul privé actuel pour basculer sur le Cloud Public ?

Il est plus intelligent de devancer une catastrophe annoncée, inéluctable, et de préparer, aujourd’hui, la migration de vos infrastructures informatiques sur des Clouds Publics industriels, économiques, surs et pérennes.

En ce début d’année, après les fêtes, beaucoup d’entre nous ont pris de bonnes résolutions alimentaires pour essayer de perdre quelques kilos mal placés.

A coté des régimes «miracles» qui naissent chaque année et disparaissent l’année d’après, il existe de bonnes pratiques reconnues par les professionnels sérieux de la nutrition. Le plus connu est le régime méditerranéen, à base de produits naturels tels que les fruits ou l’huile d’olive.

Et s’il existait un régime méditerranéen pour les Systèmes d’Information, permettant de combattre leur obésité croissante ?

Réponse dans ce billet...

L’obésité actuelle, des personnes et des Systèmes d’Information

L’obésité est un fléau mondial ; sa croissance forte est généralisée dans la majorité des grands pays, comme le montre ce graphique.

Les impacts de ces situations de surpoids et d’obésité sur la santé sont bien connus et documentés : 2015 est la première année qui a vu l’espérance de vie baisser aux États-Unis, aussi bien pour les hommes que pour les femmes.

Les mauvaises alimentaires en cause sont bien connues : abus du sucre, des graisses non naturelles, de l’alcool, des fast foods...

Les personnes qui essaient d’alerter les populations sur ces risques se heurtent à des lobbies alimentaires très puissants.

Et si l’évolution actuelle du monde des Systèmes d’Information ressemblait beaucoup à celle de l’alimentation dans le monde ?

 Il est difficile d’avoir des chiffres sur l’évolution de l’obésité des Systèmes d’Information ; ce ne sont pas des chiffres que les entreprises ont très envie de partager !

Il faut donc saluer le courage de la DINSIC, Direction Interministérielle du Numérique et du Système d'Information et de Communication de l'État ; son nouveau directeur, Henri Verdier, a pris l’initiative de publier un document très complet sur l’état des grands projets informatiques dans le secteur public. 

Les chiffres clefs de ce document :

• Montant total des budgets : 2, 29 Md€.
• Durée moyenne des projets : 6,2 années.
• Ecart budgétaire moyen : 32 %.

J’entends déjà les pourfendeurs du secteur public se scandaliser de ces chiffres et de la «mauvaise qualité» de la gestion de ces projets. J’aimerais bien que nos grands acteurs du CAC 40 aient, eux aussi, le courage de publier des chiffres sur leurs grands projets informatiques.

Les causes de cette «obésité informatique» sont bien connues :

• Projets ERP intégrés qui ne sont jamais terminés.
• Solutions informatiques anciennes, hors de prix de nos amis Oracle, IBM ou autres.
• Infrastructures gérées en interne.
• ...

En ce début d’année 2017, la situation sur le front de l’obésité est très préoccupante, que ce soit pour les personnes ou pour les SI.

Situation préoccupante, oui ! Désespérée, non !

Des solutions existent, pour les personnes et pour les SI.

Un régime minceur, pour les personnes et les Systèmes d’Information

Tous les nutritionnistes du monde connaissent les avantages d’un régime alimentaire équilibré ; régime méditerranéen, aussi appelé régime crétois. Ils divergent sur des points de détail, mais convergent sur l’essentiel. Le régime méditerranéen fait maintenant partie du «patrimoine culturel immatériel de l’humanité» pour l’Unesco.

La majorité des personnes obèses ou en surpoids connaissent le régime méditerranéen et savent qu’il est une réponse efficace à leur problème de poids. Cette connaissance ne les empêche pas de continuer dans leurs mauvaises habitudes alimentaires. En cause, un manque de volonté, de courage pour affronter la réalité et accepter un changement important dans leurs habitudes.

La situation est très semblable dans le monde des Systèmes d’Information !

Les spécialistes de la «santé» des SI connaissent les dangers de cet embonpoint informatique :

• Rigidité du SI
• Difficulté pour le faire évoluer
• Budgets non contrôlés
• Dépenses opérationnelles très élevées qui bloquent toute innovation.
• ...

Ils en connaissent aussi les raisons, déjà évoquées plus haut : ERP, Infrastructures gérées en interne...

Cela fait des années que je parle dans ce blog des bonnes pratiques qui permettent de reconstruire un SI «fit», en forme, répondant rapidement aux attentes des clients externes et internes. Ce «régime méditerranéen SI» est basé sur des composants maintenant bien connus :

• La démarche B I S, Business Infrastructures Support.
• La priorité aux infrastructures Cloud Public.
• Des solutions SaaS pour 99 % des fonctions support.
• La renaissance du développement sur mesure pour les usages cœur métier.
• Un navigateur comme point d’entrée universel sur tous les usages.
• ...

 Toutes ces recettes pour construire un SI de qualité sont connues, depuis de nombreuses années.

Je peux, aujourd’hui :

• Retrouver une bonne forme physique en suivant des recettes éprouvées.
• Retrouver un SI en bonne forme physique en suivant des recettes éprouvées.

Je constate malheureusement tous les jours que l’obésité des SI augmente très vite, comme celle des personnes. Cette obésité SI touche en priorité les grandes organisations. Elles refusent d’abandonner les solutions nocives pour la santé du SI de leur entreprise, qui ont pour noms SAP, Oracle, MS Office et quelques autres poisons dangereux. Ils sont d’autant plus redoutables que, comme le sucre, le tabac ou la cocaïne, ils créent des addictions fortes dont il est très difficile de se libérer.

Oui, il faut beaucoup de courage à une personne pour affronter son surpoids et suivre un régime dont les bénéfices sont certains, mais qui demande de changer beaucoup de choses dans sa vie quotidienne.

Oui, il faut beaucoup de courage à un DSI pour affronter le surpoids de son SI, les mauvaises habitudes de ses équipes, le lobby des fournisseurs qui poussent des solutions dangereuses et mettre en œuvre un régime dont les bénéfices sont certains, mais qui demande de changer beaucoup de choses dans le mode de fonctionnement de sa direction.

Synthèse

Quel Système d’Information souhaitez-vous pour votre entreprise ?

• Un SI obèse, porteur de maladies mortelles.
• Un Si «fit», garantissant la bonne santé de votre entreprise.

C’est une décision qui vous appartient et vous de pouvez plus vous abriter sous des alibis technologiques pour justifier votre choix.

Courage d’affronter des changements difficiles, renoncement devant les difficultés que cela représente, à vous de choisir.