Louis Naugès

L’un des centres de calcul d’un grand hébergeur mondial, Global Switch, situé à Clichy en région parisienne, a été victime d’un incendie dans la semaine du 24 avril 2023. 

Ces incendies sont rares, mais ils se produisent de temps en temps et aucune entreprise n’est à l’abri d’un tel accident dans un centre de calcul, qu’il soit:

• Géré directement par l’entreprise, “On Premise”.
• Chez un hébergeur.
• Sous la responsabilité d’un acteur du Cloud Public.

Cet incendie a immédiatement déclenché une polémique sur la qualité des services proposés par les géants du cloud public américain. Pourquoi? Le Cloud Public GCP de Google a été touché et des services proposés par une “Zone France Paris” ont été indisponibles pendant plusieurs heures.

Mon ami Alain Garnier, PDG de Jamespot, a immédiatement publié sur LinkedIn une vidéo pour commenter cet incident. Il m’a personnellement cité en me reprochant gentiment d'être un “suppôt” des géants du Cloud Public. 

Suppôt, non, mais grand fan, oui. Sur ce point, il a tout à fait raison et je ne m’en suis jamais caché, depuis plus de 15 ans.

Cette mise en cause et cet accident m’ont donné l’envie et l’occasion d’apporter des éclaircissements sur les différentes implantations géographiques des géants du Cloud Public.

C’est un sujet qui est rarement abordé et amène trop d’entreprises à faire des erreurs qu’elles pourraient éviter quand elles travaillent avec les grands acteurs du Cloud Public.

Ce que j'explique dans ce texte est valable pour tous les grands acteurs du Cloud Public, AWS d’Amazon, Azure de Microsoft et GCP de Google. 

L’incendie: les faits

Dans la nuit du 25 au 26 avril 2023, un incendie a éclaté dans un des centres de calcul de l’hébergeur Global Switch, situé à Clichy, en région parisienne. Cet incendie a entraîné l’arrêt de ce centre de calcul.

De nombreuses organisations qui hébergeaient leurs services numériques dans ce centre de calcul ont annoncé que ces services étaient indisponibles. Parmi les organisations importantes touchées, on peut citer le service Cybermalvaillance du gouvernement français et la ville de Lille.

C'est à chacune de ces entreprises qu’il incombe la responsabilité d’avoir préparé leur PRA, Plan de Reprise d’Activité. J’espère que c’était le cas pour la majorité d’entre elles.

Mais c’est bien évidemment le “client” Google-GCP de ce centre de calcul qui a retenu l’attention et fait couler le plus d’encre, ce qui est logique.

Un géant du Cloud Public, un “Hyperscaler” qui subit une panne, c’est suffisamment rare pour que la planète numérique française s’en émeuve.

J’ai un “scoop” pour les personnes qui sont ravies de pouvoir critiquer le supposé manque de résilience des géants du Cloud Public: des pannes, ils en ont en permanence, et j’y reviens longuement dans le prochain paragraphe.

Depuis des années, Google met à la disposition de ses clients un tableau de bord de l’état de fonctionnement de tous ses services, dans chaque région géographique. 

Il est mis à jour en temps réel. Voilà un instantané d’une partie de ce tableau, le 26 avril 2023: il indique clairement que tous les services dans la “Zone Europe-West9, Paris” sont indisponibles.

Cette zone de GCP est répartie chez quatre hébergeurs différents, comme le rappelle Google dans un communiqué: 

“ Google Cloud se reposant sur trois autres datacenters de la région parisienne (Interxion, Data4 et Telehouse), la firme a proposé à ses clients de « basculer » temporairement et d’éviter la zone affectée (europe-west9).”

La redondance, le PRA natif font partie des services standards de GCP.
Aucun client n’a perdu de données comme le rappelait Emmanuelle Olivié-Paul, utilisatrice de GCP dans cette zone, dans sa réponse au billet LinkedIn d’Alain Garnier que je cite au début de ce billet.

Ce deuxième instantané du tableau de disponibilité des services de GCP, pris le 29 avril 2023, montre que la situation est normalisée.

Les Clouds Publics, des pannes en permanence

Qui peut croire, ou tenter de faire croire que les infrastructures géantes des fournisseurs de Clouds Publics ne tombent jamais en panne?

Je n’ai jamais, je ne tiendrai jamais un tel discours, ce serait ridicule.

Dans un billet de blog publié en 2019, il y a quatre ans, sur le thème “Clouds Publics, la confiance”, j’abordais une fois encore ce sujet. J’avais inséré ce graphique qui mettait en évidence les temps de panne de GCP, AWS et Azure pour l’année 2018.

Toute personne qui essaie de me faire dire le contraire, ou est de mauvaise foi, ou n’a jamais lu mes écrits.

Une étude très récente, publiée en mars 2023 par Parametrix, société spécialisée dans l’assurance des risques numériques, fait le point sur toutes les pannes qui se sont produites en 2022 chez AWS, GCP et Azure.

J’ai extrait de ce rapport cette phrase qui résume bien la situation:

“In 2022, Parametrix identified a total of 1190 performance disruptions across this cloud landscape. Some 41.4% of these events, 492 in total, were classified by Parametrix as critical.” (C’est moi qui ai mis en gras quelques mots.)

Oui, vous avez bien lu, près de 1200 incidents en une année, plus de 3 par jour! Ils sont nuls, ces géants du Cloud Public!

Ce graphique, présent dans ce rapport, indique les principales causes de ces incidents.

Les incidents matériels sur les infrastructures physiques, comme les incendies, sont de loin les… moins fréquents, à 8,33%, 3,5 fois moins que ceux causés par des erreurs humaines.

Ce que demandent les clients d’AWS, GCP ou Azure, ce n’est pas qu’ils leur garantissent qu’ils n’auront jamais de pannes, ce qui serait une demande idiote.

Ce que demandent ces clients, c’est qu’AWS, GCP ou Azure mettent en œuvre toutes les procédures et méthodes nécessaires pour les mettre à l’abri de ces pannes inévitables.

Et cela, AWS, GCP et Azure le font, et le font très bien!

Ce n’est pas pour cela que les entreprises doivent basculer dans les Clouds Publics sans prendre des précautions importantes, au contraire.

L’une des premières décisions à prendre, et elle est essentielle, c’est de bien choisir la ou les zones géographiques dans lesquelles elles vont déployer leurs applications.

C’est ce que j’analyse dans le paragraphe qui suit.

Les différentes familles d’implantation des géants du Cloud Public

Les informations que j’utilise sont publiques; toutes les entreprises peuvent y accéder quand elles doivent choisir leurs fournisseurs d’infrastructures Cloud Public.

Je vais illustrer mon analyse par l’exemple de GCP de Google, qui a été mis en cause à la suite de cet incendie.

Comme je l’ai écrit plus haut, j’aurais pu faire la même démonstration pour AWS ou Azure.

Les fournisseurs de Cloud Public proposent trois grandes familles d’implantations:

• Les centres de calcul dont ils sont propriétaires et qu’ils gèrent eux-mêmes.
• Des centres de calcul qui appartiennent à des hébergeurs et où ils localisent une partie de leurs services IaaS.
• Des points de présence: ce sont des petits sites qui ont pour fonction principale de proposer des accès par fibres optiques à des centres de calcul GCP. Ils sont utilisés pour réduire la latence.

Cette liste, disponible sur le site de GCP, identifie en toute transparence ces différentes familles d’implantations.

Centres de calculs appartenant à GCP

Un grand centre de calcul, construit et géré par GCP, représente un investissement supérieur à 500 millions de dollars et peut atteindre 1 ou 2 milliards de dollars.

Cette carte du monde montre l’implantation des centres de calculs qui appartiennent à GCP.

Google dispose de centres de calcul en propre dans 36 régions, réparties sur 109 zones. Ils sont en priorité installés aux Etats-Unis et en Europe.

Centres de calculs “Edge”, hébergés

Pour assurer une présence dans le plus grand nombre possible de pays, Google GCP installe une partie de ses services chez des hébergeurs locaux, comme Global Switch en France.

Dans cette configuration, GCP n’est pas maître de la gestion des centres de calcul, qui est déléguée aux hébergeurs.

C’est ce qui permet à GCP d’annoncer une présence dans plus de 200 pays.

Ce sont souvent des installations “politiques”, réalisées pour répondre aux exigences de certains pays ou entreprises qui exigent que leurs données soient stockées sur leur territoire.

“Edge” ne veut pas dire une installation unique: pour des raisons évidentes de résilience, GCP répartit ses installations “Edge” chez des hébergeurs différents. Dans le cas de Paris, ils sont quatre.

On le voit sur cette carte, où sont aussi indiqués les centres de calcul en périphérie, nommés “Edge".

Il existe un moyen simple de vérifier si une zone géographique GCP est gérée par Google en direct ou hébergée: il suffit de compter le nombre de services disponibles. Ils sont beaucoup plus nombreux dans les zones gérées en direct par Google.

Cette carte met aussi en évidence un autre investissement majeur de Google, dans les fibres optiques sous-marines.

Points de présence

Sur cette autre carte Google, les principaux points de présence sont visualisés.

Google annonce qu’il dispose de 7 500 points de présence dans le monde. C’est une bonne nouvelle. Ceci permet à toute entreprise, où qu’elle soit située, de trouver un point de présence proche qui garantit un accès rapide, par fibre optique, à GCP.

Le cas de l’Europe

En analysant les données fournies par Google, j’ai pu construire ce tableau qui fait le point sur la situation actuelle des implantations de GCP en Europe. Ce n’est qu’une photographie à un instant donné, de nouveaux investissements étant réalisés en permanence.

Au moment où je publie ce texte, GCP est présent dans la majorité des grands pays européens, dans 35 villes:

• 6 implantations de centres de calcul appartenant à Google. Ils sont tous situés dans des pays de l’Europe du Nord.
• 29 implantations “Edge”, hébergés. 
• C’est le cas de la France, où il n’y a pas de centres de calcul appartenant à Google, mais deux “Edge” à Paris et Marseille. 

Dans le paragraphe qui suit, je présente mes recommandations concernant les différentes options qui s’offrent à une entreprise, publique ou privée, quand elle doit choisir les zones géographiques où elle souhaite déployer ses usages numériques dans un Cloud Public.

Recommandations

L’immense majorité des entreprises publiques et privées ont le libre choix du pays où elles peuvent utiliser des services de Clouds Publics, et c’est une très bonne chose.

Il y a quelques exceptions, variables selon les pays.

En France, la plus connue est celle liée aux données de Santé. Il est obligatoire d’obtenir une certification HDS, Hébergement de Données de Santé, pour proposer des services dans ce domaine. Comme le montre cette liste officielle, publiée par le ministère de la Santé et de la Prévention, plusieurs centaines d’organisations sont certifiées HDS.

AWS, GCP et Azure font partie de cette liste, et cela ne surprendra personne.

Conséquence: Google est obligé d’utiliser les zones hébergées en France pour les données de santé et ne peut pas les porter sur des centres de calcul qu’il gère en direct.

Pour toutes les autres entreprises, le choix est libre, même s’il y a souvent des pressions politiques pour que l’hébergement ait lieu en France.

Si votre entreprise décide ou préfère héberger ses applications et ses données en France, elle a le choix entre des grands acteurs du Cloud Public, tous présents en France, ou des acteurs français eux aussi présents en France.

Si je fais le choix de travailler avec GCP pour tout ou partie de mes usages numériques, j’ai plusieurs options:

• Je choisis un “Edge” en France: si tous les services dont j’ai besoin sont disponibles dans cette zone, c’est une piste raisonnable.
• Je choisis une zone gérée directement par Google, par exemple en Belgique ou aux Pays-Bas. Je suis certain d’accéder à tous les services disponibles et à des infrastructures uniquement dédiées à GCP.
• Je choisis d’utiliser plusieurs zones pour mes usages. C’est une évidence pour les entreprises qui sont présentes à l’international.

Depuis peu, GCP propose aux entreprises un nouveau service: Cloud Region Picker.

Il permet de choisir la zone où elles peuvent exécuter leurs programmes en tenant compte du poids respectif que l’on donne à trois paramètres:

• L’impact carbone.
• Le coût.
• La latence.

Les réponses varient toutes les 5 minutes, en fonction des conditions météos des différentes zones et des taux d’utilisation des ressources.

Dans cet exemple, réalisé à Paris le 1er mai 2023 à 13h, j’ai regardé deux options. Dans les deux cas j’ai gardé une latence identique, à 50% d’importance:

• Option du haut: prix,critère essentiel. Impact carbone, critère pas important.
• Option du bas: prix, critère pas important. Impact carbone, critère essentiel.

Les résultats sont spectaculaires: GCP propose 4 zones pour chaque option, et ce sont au total 8 zones différentes qui sont proposées.

Je trouve cette initiative excellente et elle n’est disponible que chez les géants du Cloud Public, qui ont des installations dans le monde entier et peuvent faire profiter leurs clients de toutes les possibilités d’ensoleillement ou de vent.

C’est une excellente opportunité pour les entreprises de montrer concrètement qu’elles ont envie d’œuvrer pour une véritable frugalité numérique.

Reste une option que je n’ai pas encore abordée, le multi-cloud. Elle est recommandée par Alain Garnier dans la vidéo dont je parle au début.

Que faut-il en penser?

Multi Cloud et résilience

Une démarche Multi Cloud consiste à utiliser plusieurs fournisseurs différents de services Cloud pour son entreprise.

C’est une idée vieille comme le monde, celle qui consiste à ne pas mettre “tous ses œufs dans un même panier”.

Est-ce une bonne idée d’utiliser une démarche Multi Cloud pour améliorer la résilience de son Système d’Information en cas d’accidents comme l’incendie de Global Switch?

La réponse est claire: non, non et non!

Pourquoi? Imaginez que vous utilisez GCP pour votre application de gestion commerciale et que le site qui l’héberge prend feu. Combien de temps vous faudrait-il pour trouver une version de cette application compatible avec un autre Cloud comme AWS et l’y déployer? Poser la question, c’est y répondre.

Si la réponse Multi Cloud n’est pas la bonne, quelle démarche faut-il privilégier? 

Elle est beaucoup plus simple, et je l’ai présentée dans ce billet: une démarche multi sites chez le même fournisseur de Cloud. Rien de plus simple! La réplication dans une autre zone géographique prendra instantanément le relais, sans aucun délai.

Ceci ne veut absolument pas dire que la démarche Multi Cloud n’a aucun intérêt, au contraire. La majorité des entreprises avec lesquelles je travaille ont choisi deux ou au maximum trois fournisseurs parmi AWS, GCP ou Azure.

Ce n’est jamais pour répondre à des problèmes de résilience.

Quelles sont les raisons qui militent pour le Multi Cloud?

• Résilience? Non.
• Services Clouds de base? Non. Tous les fournisseurs proposent des services de base en calcul, stockage, bases de données qui sont très proches les uns des autres.
• Services avancés différents? Oui. C’est de loin la raison principale. Chaque grand acteur a des domaines spécialisés pour lesquels il propose des services meilleurs que ses concurrents. C’est le cas avec AWS pour l’informatique industrielle et IoT. C’est le cas pour GCP dans le domaine du Big Data et du décisionnel.
• Faire jouer la concurrence entre les fournisseurs? C’est parfois le cas, mais moins souvent qu’on ne le croit.

Résumé

J’ai eu l’opportunité d’acquérir en France une formation d’ingénieur, qui m’a aidé à avoir des raisonnements scientifiques, rationnels et pragmatiques.

Ce texte ne parle que de la meilleure manière de garantir la fiabilité et la résilience de ses infrastructures dans des Clouds Publics, de garantir une continuité de services quand des catastrophes comme un incendie ou une erreur humaine se produisent, incidents qui sont inévitables.

Traiter les sujets importants, un par un, c’est la seule manière rationnelle de progresser que je connaisse.

Rappel: Il y a de nombreux autres sujets “chauds” quand on aborde le thème des Clouds Publics. Ils ne sont pas traités dans ce texte.

J’ai écrit des dizaines de billets sur mon blog qui parlent de toutes les autres facettes du Cloud Public, et ce depuis 15 ans.

Pendant cette fin de semaine, j’ai dévoré d’une seule traite un livre exceptionnel qui… ne parle pas de numérique!

Il s’agit de “L’ouvrier qui murmurait à l’oreille des cadres”, écrit par Jean-Michel Frixon

Je vous recommande chaudement de le lire. C’est un livre court, bien écrit et personne ne peut rester insensible aux messages humanistes qu’il véhicule.

C’est le deuxième livre écrit par Jean-Michel Frixon. Dans son premier ouvrage, “Michelin, Matricule F7246710”, il raconte ses 43 ans passés chez Michelin comme ouvrier. 

Ce premier livre a eu des impacts surprenants, qu’il raconte dans le deuxième.

Je vais utiliser plusieurs citations tirées de ce livre pour illustrer les messages essentiels qu’il porte.

Ils sont rares, les livres écrits par un ouvrier et qui parlent d’une manière aussi brillante des graves erreurs de management trop souvent commises dans les entreprises.

J’y suis d’autant plus sensible que depuis plusieurs années, avec WizyVision, la solution SaaS/Cloud que nous avons développée, nous équipons en priorité les équipes terrain, les personnes dont parle Jean-Michel Frixon.

Nous rencontrons trop souvent des problèmes similaires à ceux évoqués dans ce livre.

Je n’ai pas souhaité faire un résumé de ce livre. J’ai fait le choix, personnel, de mettre en lumière les thèmes qui m’ont le plus marqués. Chacun d’entre vous, après l’avoir lu, pourra y trouver d’autres enseignements utiles.

Vous êtes dirigeant, cadre, confortablement installé dans votre bureau, ou en télétravail, à l’abri du bruit, de la chaleur ou du froid: lisez ce livre, tous!

Vous comprendrez la réalité de la vie de ces travailleurs terrain, que vous ne rencontrez jamais. Ce sont des hommes et des femmes de très grande valeur, pour qui la qualité du travail réalisé est essentielle, qui ne peuvent pas télétravailler et vous demandent simplement… d’aller à leur rencontre et de les respecter.

Le sujet du livre

Après le succès surprise de son premier livre, et une forte exposition médiatique, Jean-Michel Frixon a été contacté par les dirigeants de Michelin.

Je cite:

• P 79 - Demande faite par le Directeur industriel monde de Michelin, Jean-Christophe Guérin. Mr Frixon, accepteriez-vous de réaliser un tour de France des usines Michelin au début de l’année 2022, pour rencontrer les ouvriers dans les ateliers, mais aussi d’intervenir auprès des différents cadres, dans le but de témoigner votre vision du management…?
• P 64 - C’est un col bleu qui s’exprimera à des cols blancs!
• P 91 - Demande faite par Mr Florent Ménégaux, PDG de Michelin:… mais j’ai vraiment besoin de vous, de votre aide, et sincèrement je vous en remercie par avance…

Ce livre, c’est l’histoire extraordinaire de ce projet, des rencontres avec les dirigeants du COMEX de Michelin et de plusieurs de ses visites dans des usines du Groupe Michelin.

Managers, allez sur le terrain !

C’est un reproche unanime de l’auteur et des personnes qu’il a rencontrées: les cadres et les dirigeants ne vont jamais assez au contact du terrain.

Je cite:

• Page 75 - Je comprends aisément que vos emplois du temps ne vous laissent guère le loisir de vous rendre dans les ateliers. Cela dit, ne serait-ce que deux ou trois fois par an, il est nécessaire et indispensable d’aller sur le terrain. Ne déléguez surtout pas cette mission à un subalterne! Oui, il faut vous rendre physiquement dans les ateliers pour rencontrer les ouvriers… Une dernière chose, dans la mesure de vos possibilités, ne prévenez pas de votre venue!
• Page 107 - Un ouvrier: Nos hiérarchiques…? Bah, il faudrait qu’ils viennent un peu plus nous voir sur le terrain, pour se rendre compte de la charge de travail. 
• Page 115 - Commentaire d’un directeur d’usine: nous n’avons pas su détecter cette évidence pourtant simple, de l’utilité de notre présence plus fréquente auprès d’eux.

La déconnexion entre le monde du terrain des bureaux, des cadres et dirigeants est généralisée. Elle est très mal vécue par les personnes sur le terrain.

C’est une démarche que je pratique depuis des années: à chacune de mes missions de transformation numérique, je passe plus de 70% de mon temps sur le terrain, pour rencontrer les personnes qui “font”. 

Mon constat est le même: rien ne se passe sur le terrain comme l’imaginent les cols blancs de la DSI. Eux aussi, ils ne vont jamais assez sur le terrain; j’y reviendrai à la fin de ce texte.

Et le respect ?

Ce qui choque le plus les collaborateurs terrain, les ouvriers de Michelin, c’est le manque de considération de leurs activités par les responsables, qu’ils soient les chefs directs ou les dirigeants de haut niveau.

Je cite encore Jean-Michel Frixon:

• P56 - Je ne porte plus les regards lourds et trop souvent condescendants de certains cols blancs.
• P 60 - Jean-Christophe Guérin, directeur industriel monde, membre du COMEX… Son état de sidération à la découverte de comportements avilissants de certains managers rencontrés au cours de ma carrière.
• P 61 - Ma rage et ma colère étaient seulement à l’encontre de mon chef de service injurieux, insolent et irrespectueux.
• P 105 - Un ouvrier: je n’en dirais pas autant avec mon hiérarchique! D’ailleurs, si j’ai un souci dans mon travail, ce n’est pas la peine que j’aille le voir, il n’y connaît rien!
• P 128 -  Là où les erreurs de management engendrent le plus souvent des blessures profondes et indélébiles…
• P 166 - Ma plus grande adversité fut bien celle d’affronter à longueur de temps, le manque de légitimité et de reconnaissance de la part de nombreux hiérarchiques, habillés des seuls vêtements de l’arrogance, de la suffisance et de l’incompétence.

Et il y a des dizaines d’autres citations du même type que j’aurais pu reprendre.

Et on ne parle pas des usines du XIXe siècle. Il s’agit d’une grande entreprise française, à la fin du XXe et au début du XXIe siècle.

Méconnaissance de la noblesse des métiers manuels, mépris pour les personnes qui les exercent, ces comportements sont encore beaucoup trop fréquents chez les chefs directs de ces collaborateurs terrain et les dirigeants des entreprises en France, et dans le monde entier.

Et ne me dites pas que cela ne se passe pas dans votre entreprise! L’une des leçons les plus claires que j’ai tirée de cette lecture c’est, pour beaucoup de dirigeants, la découverte de comportements dont ils n’avaient pas conscience, étant trop loin du terrain.

Comme on le verra dans le paragraphe suivant, ce sentiment était sincère, et la réaction des dirigeants de Michelin a été exemplaire et remarquable.

Dirigeants de Michelin, une réaction exceptionnelle

Bravo, les dirigeants de Michelin! Je suis très admiratif de la manière dont ils ont réagi, et rapidement, à la publication du premier livre de Jean-Michel Frixon.

Ils auraient pu ignorer ce message fort, mettre la poussière sous le tapis, attendre que la vaguelette d’indignation s’arrête. Au contraire, ils sont allés vers l’auteur, avec beaucoup de respect et de bienveillance.

Il y a trois moments forts dans ce livre qui montrent à quel point les dirigeants de Michelin ont pris conscience de l’importance du message porté par Jean-Michel Frixon:

• Le chapitre “Le tête-à-tête”, qui commence page 91. Il raconte en détail la rencontre de l’auteur avec Florent Ménégaux, le PDG de Michelin. Je l’ai lu avec beaucoup d’émotion. C’est tout sauf un “coup de communication”, comme vont l’interpréter, je le crains, trop de personnes qui refusent de croire qu’un dirigeant et un ouvrier puissent avoir un dialogue ouvert et guidé par un respect mutuel.
• Les chapitres “Un parterre de hauts cadres”, page 69 et “La parole d’un ouvrier”, page 73 qui racontent l’intervention de Jean-Michel Frixon devant tous les dirigeants industriels mondiaux du groupe Michelin. Ces pages montrent à quel point, dans des entreprises courageuses comme Michelin, un dialogue ouvert et porteur d’avenir peut s’ouvrir entre les dirigeants et un ouvrier.
• Et bien évidemment, tous les chapitres qui racontent ses visites dans cinq usines du groupe Michelin, pendant lesquelles il rencontre à chaque fois des ouvriers et des dirigeants de ces usines. Ce sont des moments forts, qui ne peuvent pas laisser insensible un lecteur, s’il a un minimum de sensibilité aux relations humaines dans les entreprises industrielles.

Vous qui lisez ce billet de blog et travaillez dans une grande entreprise qui emploie des travailleurs terrain: êtes-vous prêts à suivre la même démarche que Michelin?

Vous n’avez pas un Jean-Michel Frixon dans votre entreprise? Et si vous l’invitiez à parler devant votre COMEX, dans les semaines qui viennent?

Similarités avec le numérique au service des équipes terrain

Dans le livre que j’ai co-écrit en 2018 avec Dominique Mockly, PDG de Teréga, “Dirigeants, acteurs de la Transformation Numérique”, il y a, page 136, un schéma qui préconise de redonner le pouvoir au terrain, de privilégier une démarche “Bottom Up” plutôt que la démarche actuelle qui est très “Top Down”.

J’ai retrouvé dans le livre de Jean-Michel Frixon le même message:

Ce qui font “savent”. 

L’expression “Cols blancs, cols bleus” est peut-être moins utilisée aujourd’hui, mais elle est omniprésente dans le livre de Jean-Michel Frixon. Mettre les cols blancs au service des cols bleus, inverser la pyramide du pouvoir dans les entreprises, c’est une priorité absolue.

On doit la retrouver dans le domaine de l'informatique et du numérique! 

Les grands projets “Top Down”, les ERP intégrés, sont dans plus de 90% des cas rejetés par les acteurs opérationnels du terrain, et avec raison. Demander à un travailleur terrain de remplir un formulaire ou un écran SAP ou Oracle, il faut n’avoir jamais été sur le terrain pour penser que c’est une bonne idée!

J’ai réalisé il y a quelques années une mission pour un grand constructeur automobile français: il s’agissait de proposer une solution informatique pour des usines de taille moyenne à installer dans des pays à faible culture industrielle. 

J’ai demandé à visiter une “petite” usine du groupe pour mieux comprendre quelles pouvaient être les attentes des utilisateurs. Les équipes informatiques à qui j’ai fait la demande m’ont demandé: pourquoi?

J’ai insisté et des personnes de la DSI ont accepté de m'accompagner pendant la visite de cette petite usine à l’ouest de la France. 

Les trois principaux résultats de cette visite:

• Les équipes informatiques qui travaillaient sur ce projet n'avaient jamais mis les pieds dans une usine de leur entreprise. C’est moi qui les ai obligés à faire cette visite!
• Le directeur de l’usine nous a très bien reçus et nous a dit: merci d’être venu me voir, cela fait 15 ans que personne de la DSI n’est venu visiter mon usine.
• A la fin de la journée, les informaticiens qui m’avaient accompagné m’ont dit: “On a appris beaucoup de choses”!

Toutes ces expériences m’ont amené à créer il y a 4 ans WizyVision, la première solution numérique universelle au service des équipes terrain.

WizyVision a été construit pour répondre aux véritables attentes et contraintes des collaborateurs terrain.

Tout se fait depuis un smartphone, autour de la photo et de la voix, sans avoir besoin d’utiliser le clavier du smartphone.

A ma grande surprise, et j’en suis ravi, Jean-Michel Frixon a cité une situation dans laquelle WizyVision aurait été une excellente réponse.

Je cite:

 P 106 - Dans un atelier logistique des transports.… se présente un routier de nationalité étrangère qui présente ses documents. Il ne parle pas la langue de Molière. L’ouvrier, lui, ne parle pas la langue de Shakespeare et demande l’aide de sa collègue.

Ce problème de la faible maîtrise de la langue est un sujet essentiel sur le terrain. WizyVision, en s’appuyant sur la photo et la voix, permet à toute personne illettrée ou qui ne maîtrise pas la lecture ou l’écriture d’utiliser des outils numériques.

Dans l’exemple cité, WizyVision qui embarque de l'Intelligence Artificielle aurait permis de lire tout le texte, quelle que soit la langue utilisée. Aussi dopées à l’IA, les fonctions voix vers texte et texte vers la voix auraient facilité des échanges entre ces deux personnes, sans risques d’erreur de compréhension.

Amis informaticiens, DSI et responsables du numérique, vous aussi, sortez de vos bureaux climatisés, allez dans les usines, sur les chantiers, dans les magasins, rencontrez des travailleurs terrain et accompagnez-les dans leurs activités quotidiennes.

Vous découvrirez, en quelques heures, quelques jours, quels sont les “irritants” quotidiens de leurs métiers, auxquels des solutions numériques simples comme WizyVision peuvent répondre en quelques heures sans avoir besoin de faire un schéma directeur à 5 ans ou de réfléchir pendant des mois à une “intégration” aux outils informatiques existants.

La bonne nouvelle pour vous rassurer: 100% des fonctionnalités de WizyVision sont ouvertes par API pour échanger, si et seulement si c’est nécessaire, avec les applications “Cols Blancs” existantes. Cela évitera de créer une “informatique fantôme” dont vous avez si peur.

Le CIGREF, Club Informatique des Grandes Entreprises Françaises, a pris il y a quelques semaines, l’excellente initiative de créer un groupe de travail sur le numérique au service des équipes terrain.

Je leur propose d’inviter Jean-Michel Frixon à plancher devant leur groupe de travail. Même si le numérique n’est pas son domaine de compétences dominant, je suis certain qu’il peut apporter beaucoup à ce groupe de travail.

Synthèse

Vous êtes dirigeant, responsable opérationnel dans une entreprise qui emploie des travailleurs terrain? 

Faites un investissement “somptuaire”: achetez autant d’exemplaires du livre de Jean-Michel Frixon, à 15,50 €, que vous avez de membres du COMEX ou de responsables opérationnels, et demandez-leur à tous de le lire.

Vous ne le regretterez pas!

Je ne sais pas si Jean-Michel Frixon est prêt à refaire, en dehors de Michelin, le séminaire qu’il a animé pour le COMEX de cette entreprise.

Posez-lui la question. S’il répond oui, ce sera l’un des meilleurs investissements que vous pourrez faire pour améliorer le management de votre entreprise et favoriser des échanges plus fréquents entre le monde du bureau et celui des équipes terrain.

Sans collaborateurs terrain, votre entreprise n’existe pas.

Sans solutions numériques adaptées aux attentes de vos collaborateurs terrain, le système d’information de votre entreprise ne peut pas fonctionner efficacement.

Redonner le pouvoir, la priorité au terrain, doit devenir votre priorité en 2023.

Merci, merci, merci, Jean-Michel Frixon, pour cet ouvrage exceptionnel qui porte un message positif, d’espoir, dont on a vraiment besoin en France en ce moment.

Dans la première partie de cette analyse, j’ai présenté les principales familles de terminaux disponibles pour répondre aux attentes des équipes terrain.

Dans cette deuxième partie, j’aborde des sujets plus complexes, organisationnels et culturels:

• Quels sont les modes d’acquisition possibles.
• Comment prendre en compte la dimension Frugalité Numérique.
• Quels outils pour gérer et sécuriser les terminaux des équipes terrain.

Modes d’acquisition et d’usages

Il existe différentes familles de terminaux pour répondre aux attentes des équipes terrain. Les entreprises ont aussi à leur disposition plusieurs options pour gérer l’acquisition et les usages de ces terminaux. 

Les quatre principales démarches sont:

• Le mode kiosque.
• Le terminal managé.
• COPE : Corporate Owned, Personally Enabled.
• BYOD : Bring Your Own Device.

Le mode Kiosque

Le mode Kiosque est utilisé quand un terminal est dédié aux seuls usages professionnels. Ne sont installées sur le terminal que la ou les applications nécessaires pour l’activité des collaborateurs. Ceci permet d’avoir un écran simplifié au maximum pour favoriser l’efficacité des usages.

C’est une bonne approche pour des activités très structurées, comme la lecture de codes barres dans un entrepôt ou la livraison de colis.

Dans le mode Kiosque, l’entreprise fournit et gère le terminal mis à disposition du collaborateur terrain.

Terminal managé

Cette démarche est une version plus souple et étendue du mode Kiosque. Même si le terminal n’est utilisé que pour des activités professionnelles, le collaborateur terrain accède à plus d’applications. Il peut s’agir d’applications privées d’entreprises, par exemple pour la collaboration, et d’applications publiques externes comme WhatsApp. L’entreprise peut décider d’interdire certaines applications ou certaines fonctionnalités du terminal. On peut par exemple bloquer l’usage d’une carte SIM si le terminal est utilisé uniquement dans un espace clos comme une usine ou un entrepôt quand le WiFi est disponible partout.

Comme dans le mode Kiosque, c’est l’entreprise qui fournit et gère le terminal mis à disposition du collaborateur terrain.

Démarche COPE: Corporate Owned, Personally Enabled.

On rentre maintenant dans une démarche où le même terminal est utilisé pour des usages professionnels et personnels.

Le terminal est fourni et géré par l’entreprise, mais il est aussi utilisable par le collaborateur pour ses usages personnels, y compris en dehors des lieux professionnels et pendant le week-end ou les vacances.

La démarche COPE peut être utilisée par des entreprises de toute taille.

Deux cas d’usages emblématiques de cette démarche COPE sont ceux de la Poste en France et de Walmart aux Etats-Unis.

Le projet Facteo de la Poste a été lancé en 2011. Plus de 70 000 postiers sont équipés du terminal “Facteo”, un smartphone Android standard du marché, correspondant à la catégorie “Terminaux grand public durcis” présentée dans la première partie de cette analyse.

On trouve sur Facteo:

• Des applications professionnelles à l’usage des facteurs: demandes de congés…
• Des applications professionnelles tournées vers les clients.
• Des applications personnelles, clairement séparées des usages professionnels.

Plus récemment, en 2021, le distributeur américain Walmart a décidé d’équiper ses “associates”, en clair tous les collaborateurs terrain, avec un smartphone en mode COPE et une “Super App”, [email protected], qui regroupe tous les usages possibles dans une seule application.

En 2021, ce sont plus de 740 000 collaborateurs qui ont été équipés d’un smartphone Samsung, qu’ils peuvent utiliser en remplacement de leur smartphone personnel s’ils le souhaitent.

Tous les coûts sont pris en charge par Walmart.

Démarche BYOD: Bring Your Own Device

Le BYOD est l’inverse de COPE: le terminal appartient au collaborateur, qui l’utilise aussi pour ses activités professionnelles.

L’entreprise participe au coût du terminal en remboursant tous les mois au collaborateur une somme liée au terminal et aux coûts réseau. La démarche du forfait mensuel, indépendant du prix du terminal, est celle qui est la plus fréquemment utilisée.

Dès 2011, j’avais abordé le thème du BYOD, qui semblait promis à un bel avenir.

En 2014, j’avais écrit la préface du premier livre publié en France sur le thème du BYOD.

Si la démarche BYOD est souvent utilisée dans les startups et les entreprises du numérique, elle est très peu répandue dans les entreprises moyennes et grandes et plus souvent en France que dans d’autres pays.

Il y a plusieurs freins à la diffusion d’une démarche BYOD:

• Difficulté pour l’entreprise de gérer des terminaux qui ne lui appartiennent pas.
• Réticence des équipes informatiques et en particulier des responsables de la sécurité à voir des terminaux non gérés accéder aux réseaux et applications de l’entreprise.
• Complexité administrative et fiscale sur la manière de traiter le remboursement fait au collaborateur.

Les entreprises qui acceptent le principe d’un terminal unique pour les usages professionnels et personnels choisissent en priorité une démarche COPE plutôt que BYOD.

La gestion d’un parc de terminaux mobiles pour les équipes terrain pose des questions que l’on rencontre moins souvent avec les équipes bureaux car les modes d’usages sont très différents. L’immense majorité des terminaux mobiles des collaborateurs bureaux leurs sont affectés de manière permanente.

Les principales questions qui se posent:

• Peut-on avoir un parc de terminaux mobiles banalisés, non liés à une personne? Réponse, oui. C’est souvent le cas pour les usages en mode Kiosque. Le secteur de la logistique où les chauffeurs-livreurs sont des personnes externes en est un bon exemple.
• Est-il possible d’avoir des terminaux mobiles en libre-service ? Réponse, oui. Cette approche est par exemple utilisée quand le travail se fait en continu, avec des personnes différentes qui occupent un même poste de travail à différentes heures de la journée, dans l’industrie, le commerce ou la logistique.
• Est-ce que les équipes terrain ont besoin d’une adresse email avant d’être équipées? Réponse, non. Un grand nombre de collaborateurs terrain n’utilisent pas le mail.
• Simple SIM ou double SIM dans le cas d’un terminal COPE ou BYOD: il est possible de séparer sur un terminal mobile les usages professionnels et personnels même quand une seule carte SIM est utilisée. Le principal avantage d’une double SIM, c’est la capacité d’identifier sans ambiguïtés les coûts réseau professionnels et personnels. 

Dimension Frugalité Numérique

Pendant longtemps, la question de la frugalité ou sobriété numérique n’était pas posée dans les entreprises. Elle devient aujourd’hui une priorité, et personne ne va s’en plaindre.

C’est un sujet que j’ai souvent abordé; ce billet de blog est consacré à la frugalité numérique des terminaux.

Concernant les terminaux, toutes les études récentes et sérieuses sur les thèmes de la frugalité numérique sont d’accord sur deux points essentiels:

• Les postes de travail sont la principale source d’impact sur la planète.
• La construction du terminal a plus d’impacts que son usage.

Ce graphique, tiré d’une étude publiée par le CIGREF (Club Informatique des Grandes Entreprises Françaises) confirme que:

• Les terminaux représentent plus de 75% des impacts du numérique, beaucoup plus que les réseaux ou les centres de calcul.
• La phase de fabrication peut représenter jusqu’à 80% des impacts du numérique.

Aujourd’hui, l’équipement avec un terminal des collaborateurs terrain ne peut plus se faire sans prendre en compte cette dimension frugalité numérique.

Ceci pose deux questions:

• Durée d’utilisation des terminaux.
• Nombre de terminaux par personne.

Durée d’utilisation des terminaux

On l’a vu dans la première partie, le smartphone est le terminal dominant pour les équipes terrain.

En Europe, la durée d’utilisation moyenne d’un smartphone est de trois années, comme le montre cette étude. Dans les entreprises, ils sont utilisés en priorité par les collaborateurs bureaux.

Dans cette hypothèse de trois années pour un smartphone:

• Les ¾ de ses impacts sur la planète sont liés à sa fabrication.
• ¼ seulement des impacts est créé par les usages.

Comparé au monde du bureau, le monde du terrain est un bien meilleur élève! Les terminaux utilisés aujourd’hui, spécialisés ou professionnels durcis, ont une durée de vie utile au moins égale à 5 années.

Lorsqu'un smartphone est utilisé pendant 5 ans ou plus:

• Sa fabrication ne représente plus que 50% des impacts sur la planète.
• Son usage a le même impact que sa fabrication, 50%. Ce sont des chiffres que l’on retrouve pour les PC portables dont la durée d’usage moyenne est de cinq ans.

Chaque année d’usage gagnée est une excellente nouvelle pour la planète.

L’utilisation de plus en plus fréquente de terminaux grand public durcis ne devrait pas trop impacter cette durée d’usage. Ils peuvent eux aussi être utilisés sans difficulté pendant cinq ans ou plus.

La frugalité numérique, c’est une raison de plus pour ne pas utiliser de terminaux grand public d’entrée de gamme ; leur fiabilité n’est pas suffisante pour un usage professionnel de cinq années ou plus.

Nombre de terminaux par personne

Deux smartphones par personne, c’est une très mauvaise idée!

Même si la durée de vie est portée à 5 ans, deux smartphones utilisés par la même personne représentent un impact sur la planète de 150, comparé aux 100 dans le cas de l’usage d’un seul smartphone:

• 50% pour la fabrication de chaque smartphone = 100% pour deux.
• 50% pour son utilisation. 

C’est 50% de plus!

Tous les collaborateurs terrain sont aujourd’hui équipés d’un smartphone personnel.

Comment éviter le doublement du parc de smartphones lors de l’équipement des collaborateurs terrain?

La démarche la plus logique serait de basculer en BYOD. Le collaborateur garde son smartphone personnel et l’utilise aussi pour ses usages professionnels. Comme on l’a vu plus haut, la démarche BYOD est difficile à mettre en œuvre, en particulier dans les grandes entreprises.

La deuxième approche raisonnable est de proposer un smartphone COPE aux collaborateurs terrain. Il faut en même temps les encourager à se séparer de leur smartphone personnel existant. Pour le faire, il y a plusieurs pistes:

• Leur demander de le transmettre autour d’eux à une personne qui n’est pas encore équipée.
• Le vendre sur une des nombreuses plateformes qui proposent des smartphones de seconde main.
• Au minimum, s’il est en fin de vie, le rapporter à un organisme qui le détruira, mais en récupérant tous les composants encore utiles, et en particulier les métaux rares.

Cette démarche COPE ne peut pas être utilisée quand on déploie des terminaux spécialisés type ATEX ou terminaux durcis professionnels. Elle prend tout son sens chaque fois qu’un téléphone grand public durci peut être choisi.

Bonne nouvelle: le smartphone européen Fairphone 4 fait partie des modèles qui sont “Android Enterprise Recommended”. Les smartphones Fairphone ont été les premiers au monde à être conçus dès l’origine pour être facilement réparables et évolutifs.

Les entreprises qui ont communiqué auprès de leurs collaborateurs, bureaux et terrain, pour expliquer les impacts des terminaux sur la planète ont toutes été entendues et comprises par ces collaborateurs. Ceci facilite beaucoup l’acceptabilité d’une démarche COPE. Il faut simplement que ces collaborateurs soient rassurés sur l'étanchéité absolue entre les deux espaces professionnels et personnels.

C’est le sujet du prochain paragraphe.

Gérer et sécuriser les terminaux

EMM (Enterprise Mobility Management), anciennement MDM (Mobile Device Management), des solutions pour la gestion d’un parc de terminaux existent depuis des dizaines d’années.

Les leaders historiques de ce marché, que l’on retrouve sur ce quadrant magique du Gartner, sont Microsoft, IBM, Ivanti…

On peut regrouper les fonctionnalités des outils EMM en quelques grandes familles:

• Gestion du terminal:
• Déploiement sur le terrain.
• Maintenance à distance.
• Bloquer de manière définitive un terminal perdu ou volé.
• Permettre ou non l’usage des caméras.
• Réseaux autorisés: 4G ou 5G, WiFi, Bluetooth…
• Géolocalisation.
• Geofencing: limiter la zone géographique où il peut être utilisé.
• Management des applications:
• Choix et contrôle des applications autorisées.
• Déploiement automatique des applications autorisées et leurs mises à jour.
• Gestion des données:
• Transfert automatique vers des fichiers centraux.
• Horodatage des données.
• Effacement à distance.
• Utilisation d’outils de chiffrement.
• Gestion des utilisateurs:
• Inscription, suppression, modifications.
• Identification: email, numéro de téléphone…
• Tableaux de bord pour suivre les indicateurs essentiels.

Quand les démarches COPE ou BYOD sont mises en œuvre, une autre fonction des EMM devient essentielle: garantir l’étanchéité absolue entre les deux espaces, personnel et professionnel.

Sur ce schéma, on visualise le même terminal en mode COPE, dans trois situations différentes:

• 1 : Le container personnel avec les applications choisies par le collaborateur.
• 2 : Le container professionnel avec les applications de l’entreprise.
• 3 : Le container professionnel mis en veille pour le WE.

Le collaborateur terrain doit être convaincu que l’entreprise ne pourra pas “espionner” ses usages personnels. Les EMM le font très bien, mais… Il reste un problème de confiance, particulièrement aigu en France.

L’entreprise devra réaliser un gros travail pour:

• Rassurer les collaborateurs.
• Convaincre les organismes sociaux et les syndicats.
• Garantir le droit à la déconnexion professionnelle, pour les personnes qui le souhaitent.

Combien de logiciels de gestion de parc de terminaux?

C’est une question qui est souvent posée: faut-il un seul outil EMM pour gérer toutes les familles de terminaux, tous les OS, des équipes bureaux et terrain, ou est-il plus efficace et plus économique de déployer plusieurs EMM adaptés à chaque famille?

Tous les grands leaders cités par le Gartner sont “multi OS”: Windows, macOS, Linux, Android et iOS.

Ceci n’a pas entravé le succès d’EMM spécialisés: un bon exemple est JAMF, spécialisé dans tous les terminaux proposés par Apple.

La question se repose, avec la prévision de croissance massive du nombre de terminaux pour les équipes terrain.

Les collaborateurs dans les bureaux utilisent des terminaux très différents:

• PC Windows.
• PC Apple.
• Chromebooks.
• Smartphones iOS ou Android.
• Tablettes Windows, iOS ou Android.

Ils sont souvent équipés de deux, voire trois terminaux différents.

A l’inverse, les collaborateurs terrain sont équipés d’un seul terminal:

• Smartphones ou tablettes Android dans plus de 80% des cas.
• Smartphones ou tablettes iOS dans environ 15% des cas.

Les informaticiens ont toujours eu une forte préférence pour l’unicité des solutions, le Master PC, les ERP intégrés…démarches qui sont censées leur faciliter la vie.

Le débat permanent, intégré versus “Best of Breed”, se pose aussi pour les EMM.

Dans le domaine des EMM pour les équipes terrain, qui est le sujet de ce billet,  j’encourage les entreprises à peser le pour et le contre d’un EMM dédié aux terminaux des équipes terrain. Quand il s’agit de parcs importants, les solutions spécialisées sont plus efficaces et surtout… beaucoup plus économiques.

Exemple d’un EMM terrain “best of breed”, WizyEMM

(Rappel: WizyEMM est une solution SaaS construite par Wizy.io, entreprise dont je suis l’un des cofondateurs.)

WizyEMM a été développé au départ pour répondre aux attentes de Chronopost et du groupe DPD, un grand transporteur européen. Ils cherchaient un EMM performant et économique lors du renouvellement de leur parc de terminaux pour les équipes terrain, qui basculait de Microsoft CE vers Android. WizyEMM est aujourd’hui déployé chez ce transporteur sur des dizaines de milliers de terminaux Android, dans plusieurs pays européens.

WizyEMM est parti d’une feuille blanche, au moment où Google avait décidé de reprendre la main sur le marché des terminaux Android en fixant des règles communes à minima, pour tous les EMM.

WizyEMM est donc un des premiers EMM de nouvelle génération, ce qui lui procure des avantages importants:

• Nativement Cloud SaaS, multi tenant, sur GCP, le Cloud Public de Google.
• Conforme aux recommandations les plus récentes d’Android.
• Utilise l’agent natif de Google (AMAPI), ce qui permet d’être compatible, par défaut, avec tous les équipements recommandés par Android Entreprise.
• S’adapte à des parcs de terminaux très variés, de constructeurs différents.
• Permet de pousser automatiquement les mises à jour. Lorsqu’Android annonce une nouvelle version, elle est immédiatement déployable dans les parcs installés gérés par WizyEMM.
• Facilite les mises à jour à distance de tous les logiciels d’un terminal, ce qui évite le retour physique des terminaux dans les bureaux centraux.
• Capacité pour les clients d’exporter toutes les données d’utilisations des terminaux dans l’entrepôt de données BigQuery de Google et de créer des tableaux de bord sur mesure. Cette capture d'écran illustre cette possibilité. Les données ont été floutées car ce tableau correspond à un cas réel d'un client de WizyEMM.

Flexibilité dans les modes de facturation

L’autre domaine important dans lequel WizyEMM a innové est celui des modes de facturation disponibles, très flexibles:

• Mensuel ou annuel, la démarche classique de tous les EMM du marché.
• Pay as you Go: sans engagement préalable, au fur et à mesure que les terminaux sont mis en fonctionnement.
• Lifetime : pour toute la durée de vie du terminal. Ceci permet de passer dans un mode de financement en CAPEX, pour les entreprises qui souhaitent réduire leurs dépenses en OPEX. Cette option intéresse beaucoup les directions financières.
• Possibilité, pour les grands clients, de créer une instance Cloud dédiée, option choisie par le Groupe DPD dont fait partie Chronopost.

Résumé

L’équipement des équipes terrain d’un terminal mobile est un préalable à tout déploiement d’applications numériques adaptées à leurs attentes.

La bonne nouvelle: les options sont nombreuses et opérationnelles:

• Familles de terminaux.
• Modes d’acquisition et d’usages.
• Solutions pour gérer et sécuriser les terminaux.
• Possibilités de concilier efficacité et protection de la planète.

Tout ceci ne doit pas vous faire oublier l’essentiel: s’ils ne le sont pas encore, l'équipement de tous vos collaborateurs terrain avec un terminal numérique doit faire partie de vos priorités.

Pour eux, pour votre entreprise, pour votre efficacité et votre rentabilité, c’est l’un des meilleurs investissements que vous pourrez faire, dès cette année.

 Depuis plusieurs années, je milite pour que les équipes terrain, les FLW, Front Line Workers en anglais, ne soient plus les oubliés de la Transformation Numérique des entreprises, privées ou publiques.

Pour cela, ils ont besoin d’applications spécifiques; les usages traditionnels des équipes bureaux ne répondent pas à leurs attentes et à leurs contraintes spécifiques. J’en ai longuement parlé dans ce billet de blog.

Des logiciels, des applications adaptées à leurs attentes, c’est bien, oui, mais pour y accéder il faut d’abord que les collaborateurs terrain soient équipés d’un terminal, d’un objet d’accès.

Dans ce billet je vous propose une analyse des principales options disponibles pour équiper vos collaborateurs terrain.

C'est un sujet très opérationnel, pragmatique, qui concerne des millions de personnes en France et des milliards dans le monde.

Quels objets numériques entre les mains des équipes terrain

En anglais, un autre nom des équipes terrain est “deskless”, les personnes sans bureaux. Ces personnes sont sur des chantiers, dans des champs, dans des camions ou camionnettes, dans les allées des supermarchés ou dans les chambres des malades dans les hôpitaux.

Ils ont besoin d’outils numériques mobiles, légers et robustes.

Quels sont les terminaux les plus utilisés par les équipes terrain? 

Mes estimations sont les suivantes:

• Les smartphones en priorité, dans plus de 80% des cas.
• Des tablettes, pour environ 15% des personnes.
• Une minorité, de l’ordre de 5%, dispose d'un ordinateur portable, alors que ces ordinateurs portables sont utilisés par l’immense majorité des collaborateurs dans les bureaux.

Il existe, hélas, une quatrième famille de terminaux mis à la disposition de la majorité des équipes terrain : elle a pour nom… RIEN !

Et oui, il y a encore des entreprises qui osent laisser leurs collaborateurs terrain sans aucun outil numérique, ce qui est proprement scandaleux.

Promenez-vous dans les allées de vos supermarchés, regardez les travailleurs qui réparent vos routes ou installent des panneaux solaires sur vos toits : beaucoup d’entre eux ne sont pas équipés d’un smartphone ou d’une tablette professionnelle. Par contre, pendant les pauses, ils sortent tous leurs… smartphones personnels.

Principales familles de terminaux pour les équipes terrain

L’offre de terminaux pour les équipes terrain est très large. Elle peut être classée en quatre familles principales:

• Terminaux très spécialisés.
• Terminaux durcis professionnels.
• Terminaux grand public durcis.
• Terminaux grand public universels.

Terminaux très spécialisés, tels que pour les activités en zones ATEX

Dans certains métiers, des contraintes de sécurité obligent les entreprises à utiliser des terminaux très spécialisés. L’exemple le plus connu est celui des environnements industriels ATEX, où les risques d’explosion sont forts. Cet article de Wikipédia présente en détail les différentes catégories de zones ATEX à protéger.

Pour être utilisé en zones ATEX, un terminal doit répondre à des contraintes très fortes de sécurité pour éviter le moindre risque d’étincelle qui pourrait provoquer une explosion.

Ces terminaux ATEX sont, et c’est logique:

• Plus lourds et encombrants.
• Souvent équipés d’une version ancienne d’Android.
• Chers: les prix démarrent à 1 500 € et peuvent atteindre 5 000 €.
• Construits pour avoir des durées de vie longues, supérieures à 5 ans.
• Absolument pas adaptés à des usages grand public.

Les collaborateurs qui doivent travailler en zones ATEX peuvent être:

• Très souvent en zone ATEX: ils seront équipés d’un terminal ATEX de manière permanente.
• Amenés à y entrer de manière occasionnelle. Dans ce cas, il est plus efficace et économique d’avoir quelques terminaux ATEX en libre-service. Avant de rentrer en zone ATEX, le collaborateur laisse son terminal classique et prend un ATEX.

En pratique, les entreprises qui ont besoin de terminaux ATEX ont déjà équipé les collaborateurs terrain de ces terminaux.

Terminaux durcis professionnels

Cette famille de terminaux est ancienne, antérieure aux smartphones. L’expression “PDA” est souvent utilisée pour parler des anciens modèles. Historiquement, ils fonctionnaient sous Windows CE, que Microsoft a décidé d’arrêter.
Aujourd’hui, la majorité des offres est constituée de smartphones Android. 

Le marché est dominé par des fournisseurs spécialisés, qui ont pour nom Zebra, Honeywell, Datalogic, Bluebird, Crosscall...

Ils sont utilisés en priorité dans des activités liées aux entrepôts, au transport et à la logistique ou au secteur de la distribution. C’est le plus souvent pour des usages très professionnels, très spécialisés pour lesquels la rapidité d’usage et la fiabilité sont des facteurs majeurs de choix.

Les caractéristiques communes de tous ces terminaux durcis spécialisés:

• Utilisation de batteries interchangeables, pour permettre aux équipes terrain de disposer de plusieurs batteries si nécessaire et pour en améliorer la durée de vie.
• Bonne résistance à l’eau et aux poussières: IP68 le plus souvent.
• Protection contre les chocs et les chutes.
• Construits pour durer 5 ans ou plus.
• Services, maintenance, pièces de rechange disponibles pendant longtemps, 7 ans ou plus.

Un grand nombre d’équipements annexes sont disponibles pour s’adapter à la variété des conditions d’utilisation : lecteurs de codes barres, poignée, support pour le bras…

Pendant longtemps, les prix de vente de ces terminaux durcis spécialisés étaient élevés, dans la fourchette de 1 000 € à 2 500 €.

Ce sont aussi des terminaux qui n’ont pas vocation à être utilisés à titre personnel. Les fonctionnalités qu’ils privilégient ne sont pas celles que demandent les personnes pour leurs smartphones personnels.

Pour contrer l’arrivée des terminaux grand public (voir plus loin), ces fabricants spécialisés proposent aussi des terminaux professionnels durcis d’entrée de gamme, à des prix inférieurs, compris entre 500 € et 1000 €.

On peut citer comme exemples le TC26 de Zebra ou le EDA 51 de Honeywell.

Ces terminaux répondent bien aux attentes des entreprises dès que les activités se déroulent dans des environnements moins contraignants en matière de fiabilité. 

Terminaux grand public durcis

Cette génération de terminaux d’origine grand public, avec quelques fonctionnalités additionnelles pour les rendre aptes à des usages dans les entreprises est récente.

Ils proposent:

• Des protections contre l’eau de niveau IP67 ou 68.
• Une meilleure résistance aux chocs.
• Des durées de garantie minimales de 3 ans ou plus.
• Des prix de vente inférieurs à 600 €.

Samsung est le leader actuel de ce marché avec ses modèles XCover pro 5 et 6.

Pour des équipes terrain qui travaillent dans des environnements moins contraignants, par exemple à l’intérieur d’un supermarché, l’option d’un terminal grand public durci est souvent une bonne réponse.

Ce sont aussi des terminaux que l’on peut utiliser à titre personnel, car ils sont construits à partir de terminaux grand public que l’on a “durci”.

J’y reviens dans la deuxième partie de cette analyse où j’aborde le thème des modes d’acquisition et d’usages.

Terminaux grand public entrée de gamme

Il peut être tentant, pour les entreprises qui souhaitent équiper à moindre coût leurs équipes terrain de rechercher les terminaux  Android grand public d’entrée de gamme, que l’on trouve à des prix inférieurs à 250 €.

Je déconseille totalement cette option: ces terminaux ne sont pas adaptés à des usages professionnels : durée de vie faible, sensibilité aux chocs et à l’eau, plus difficile à gérer de manière industrielle…

Je vous propose une règle simple: choisir uniquement des terminaux qui sont sur le site “Android Enterprise recommended”. Ce sont tous les terminaux que l’on peut gérer de manière professionnelle.

Comment choisir les terminaux adaptés aux attentes des équipes terrain

Dans les entreprises grandes et moyennes, il est peu probable qu’une seule famille de terminaux réponde à toutes les attentes des collaborateurs terrain, même si la tentation est forte d’uniformiser les parcs.

La démarche la plus efficace est d’accepter le principe d’une variété raisonnable du parc de terminaux.

• Ne pas investir dans des terminaux grand public d’entrée de gamme.
• Priorité aux terminaux grand public durcis pour tous les collaborateurs pour lesquels cette solution est adaptée. Principaux avantages:
• Les coûts les plus bas possibles.
• Des terminaux proches de ceux qu’utilisent les collaborateurs pour leurs usages personnels.
• La possibilité d’avoir un terminal à usages mixtes, professionnels et grand public, sujet qui sera abordé dans la deuxième partie de cette analyse.
• Pour les seuls collaborateurs terrain pour lesquels les terminaux grand public durcis ne sont pas suffisants, utilisation de terminaux durcis professionnels. Le choix de cette famille a deux conséquences:
• Des budgets d’achat en hausse.
• L’impossibilité d’utiliser le même terminal pour des usages professionnels et personnels.
• Par exception, et uniquement quand c’est indispensable, achat de terminaux très spécialisés, tels que les ATEX.

Dans cette première partie, j’ai répondu à la question la plus simple: quelles sont les options matérielles disponibles pour équiper les collaborateurs terrain.

Dans la deuxième partie, je vais aborder des sujets plus complexes, car moins techniques et plus organisationnels et culturels:

• Quels sont les modes d’acquisition possibles.
• Comment prendre en compte la dimension Frugalité Numérique.
• Quels outils pour gérer et sécuriser ces terminaux pour les équipes terrain.

Réconciliation et numérique, ce sont deux mots qui sont rarement utilisés ensemble.
C’est pourtant ce que je vous propose de faire dans ce billet.

En droit, une réconciliation met fin à une procédure de divorce. Je rencontre trop souvent des entreprises dans lesquelles il existe des divorces importants entre les quatre composants que je vais présenter.
Le numérique à vocation à devenir un acteur de ces réconciliations. C’est une excellente nouvelle.

Les quatre composants à réconcilier

J’ai identifié quatre composants entre lesquels le numérique peut devenir un outil de réconciliation:

• Le monde physique.
• Le monde numérique.
• Les équipes bureau.
• Les équipes terrain.

Le monde physique est celui du réel, des usines, des champs, des entrepôts, des salles d’opération dans les hôpitaux, des magasins…

Le monde numérique a pour objectif de créer une image, aussi ressemblante que possible, de ces différents mondes physiques.

Les équipes bureaux, les cols blancs, travaillent en priorité dans le monde numérique.

Les équipes terrain, les personnes en première ligne, sont directement au contact des mondes physiques.

Réconcilier monde physique et monde numérique

La représentation numérique d’un monde physique est par définition imparfaite.

Le monde du numérique est celui du discontinu, du codé, alors que le monde du physique est celui de l’analogique, de la continuité.

Prenons l'exemple simple des couleurs. La référence des couleurs dans le monde numérique est le guide Pantone, qui comprend plus de 2000 couleurs. 2000, c’est beaucoup, mais c’est microscopique par rapport à l’infinité des couleurs différentes que l’on peut rencontrer dans la nature.

Réconcilier le monde physique et le monde numérique, ce n’est pas chercher une identité parfaite entre les deux, par définition impossible. C’est faire en sorte que la représentation numérique soit suffisamment proche du monde physique pour répondre aux usages que l’on souhaite en faire. La définition d’une photo utilisée pour une page Web n’aura pas besoin d’autant de pixels que celle utilisée pour une affiche urbaine de 4m x 3m.

J'ai choisi deux exemples, les inventaires et les jumeaux numériques.

Les entreprises suivent l’état des stocks dans leurs entrepôts et leurs magasins dans le monde numérique. Au fil du temps, il se produit des divergences de plus en plus fortes entre le monde physique et son image numérique, divergences liées à des vols, des pertes ou de la casse. Ceci oblige les entreprises à fermer ces lieux pour réaliser un inventaire physique, un comptage des objets dans les magasins et à… réconcilier le physique et le numérique en mettant à jour les données dans l’image numérique du monde réel.

Dans un billet récent, j’ai présenté les solutions et outils permettant de construire un jumeau numérique d’une installation physique. 

L’installation physique est gérée au plus près par des solutions adaptées, de type SCADA. On envoie dans le jumeau numérique une copie des données utilisées par le SCADA pour créer des modèles numériques de gestion et simulation de ces mondes physiques.

Pour un jumeau numérique, le défi est double: réduire les décalages entre le monde physique et le SCADA, puis entre le SCADA et le jumeau numérique.

Réconcilier équipes bureaux et équipes terrain

Dans trop d’entreprises, les divorces entre les équipes bureaux et les équipes terrain sont plus nombreux qu’on ne le pense. Les équipes bureaux, bien installées dans leurs locaux confortables et climatisés, sont loin de la réalité des mondes physiques des chantiers, des usines avec leurs nuisances sonores ou de météo inclémente. 

La France est hélas un des pays où le décalage entre ces deux mondes est le plus fort. Cela commence dès l’école, avec les formations “nobles” vers les métiers du tertiaire et les formations “voies de garage” vers les métiers manuels. Je salue les efforts actuels du gouvernement pour valoriser les apprentissages, mais le chemin est encore long avant que le prestige des beaux métiers terrain rejoigne celui des métiers du bureau.

“Ceux qui font, savent”. Cette évidence est souvent méconnue par ceux qui, dans leurs bureaux, “imaginent”, comment le travail devrait être fait sur le terrain. La vision théorique depuis les bureaux n’est jamais conforme à la réalité des activités terrain.

Cette méfiance entre ces deux populations est une source d’inefficacité et de dysfonctionnement dans les entreprises. Trop d’usages numériques sont imposés par les entreprises aux équipes terrain, pour contrôler leurs activités. Dans nombre de mes missions de Transformation Numérique, j’ai croisé des informaticiens qui n’avaient jamais mis les pieds sur le terrain, dans un point de vente, une usine ou un entrepôt.

Rôles potentiels des outils numériques dans ces réconciliations

Depuis les débuts de l’informatique dans les entreprises, vers les années 1960, la priorité a été donnée aux équipes bureau:

• Les premiers usages ont été des applications très structurées, autour des processus comptables, financiers et de paye.
• À partir des années 1980-1990, les outils universels, bureautiques, se sont diffusés massivement auprès de toutes les personnes dans les bureaux. Ils sont complétés par des outils Low-Code ou No-Code, dont l’ancêtre était Excel.

Plus récemment, des outils structurés ont été mis entre les mains des équipes terrain. Pour l’essentiel, ce sont des applications qui permettent de contrôler leurs activités, comme on l’a vu plus haut.

Situation actuelle

Ce tableau à quatre cases résume la position actuelle du numérique dans les entreprises.

• 80 % des investissements sont réalisés dans la colonne Equipes Bureau.
• Les investissements pour les équipes terrain restent faibles; ils sont concentrés sur des usages structurés de contrôle.

Êtes-vous capable de citer le nom d’une solution numérique au service des équipes terrain qui soit aussi connue que Salesforce, SAP ou Office 365? La réponse est non, ce qui montre bien à quel point ce domaine du numérique pour les équipes terrain est en retard dans toutes les entreprises.

Il y a dans ce tableau un gigantesque “trou dans la raquette”: les outils universels, No-Code et Low-Code pour les équipes terrain brillent par leur absence.

Une case vide, à remplir

Les outils universels pour les équipes bureaux, traitement de texte, tableur, agenda partagé ou messagerie électronique ne sont absolument pas adaptés aux attentes des équipes terrain.

Google, avec Workspace, Microsoft avec Office 365 ont essayé de convaincre dirigeants et DSI qu’il fallait à tout prix déployer ces outils bureautiques pour les équipes terrain. Ces deux éditeurs ont construit des offres “lite”, plus économiques pour eux. Peine perdue, les taux d’usages de ces outils bureautiques par les équipes terrain restent très bas, dans toutes les entreprises.

Il restait donc à inventer les outils universels dont les équipes terrain ont vraiment besoin. 

Avec WizyVision nous avons relevé ce défi et fait le pari que les ingrédients du succès sont:

• L’accès par un smartphone.
• Mettre les photos au cœur des logiciels.
• Permettre de rajouter des commentaires vocaux.
• En pratique: tuer les formulaires textes dont toutes les équipes terrain ont horreur.

Sur ce nouveau graphique, WizyVision devient une réponse universelle aux attentes des équipes terrain.

Je propose de nommer Frontique ces outils universels terrain, le pendant de la bureautique des équipes bureau.

Les solutions frontiques, au service de la réconciliation numérique

Aujourd’hui, les entreprises disposent pour la première fois de tous les outils numériques nécessaires pour réconcilier équipes terrain et équipes bureau. 

Les solutions frontiques, comme WizyVision, facilitent de nombreuses réconciliations:

• Réconciliation des équipes terrain avec les outils numériques. Comme l’explique très bien Gilles Roux, DSI de l’entreprise de distribution Schiever dans cet entretien, les équipes terrain acceptent vite des outils pensés pour eux. Je cite: “L’approche proposée par Wizy.io a tout de suite séduit les utilisateurs pilotes en magasins car les solutions développées reposent sur la prise de photos et des extractions d’information directement à partir de ces photos.”
• Réconciliations entre équipes terrain et bureaux. La possibilité pour les équipes terrain d’échanger directement à partir de leur smartphone avec les personnes au siège valorise leur travail et crée des liens positifs entre ces deux populations.
• Réconciliations entre équipes terrain et solutions numériques existantes. Toutes les fonctionnalités de WizyVision sont ouvertes par API. Ceci permet aux équipes terrain d’échanger dans les deux sens avec les outils numériques en place. Un exemple simple: à partir d’une photo de l’équipement sur lequel il doit intervenir, une personne de maintenance peut recevoir immédiatement sur son smartphone les informations pertinentes, relatives à ce seul équipement spécifique, comme les dernières interventions réalisées.

J’ai la faiblesse de croire que ce tableau des options disponibles peut rendre beaucoup de services dans toutes les entreprises et faciliter ces réconciliations.

Il n’y a pas de copyright! Vous pouvez le diffuser, massivement.

Just one more thing…

Illettrisme? L'incapacité pour une personne à comprendre un texte qu’elle lit.

L'illettrisme est un fléau mondial. Comme le montre cette étude, il touche 48% de la population mondiale.

En France, on estime que 3 millions d’adultes sont illettrés.

Il ne faut pas confondre analphabétisme et illettrisme:

• Une personne analphabète ne connaît pas l’alphabet.
• Une personne illettrée sait reconnaître les lettres, mais ne comprend pas un texte.

Pour illustrer cette différence, prenons l’exemple de la musique. Comme une majorité de personnes ayant suivi des cours de solfège je suis capable de placer sur une partition musicale un do, un sol ou un fa.  Je suis par contre un illettré musical et incapable de “lire” cette partition. J’ai beaucoup d’admiration pour mes amis musiciens qui se mettent au piano et "déchiffrent" une partition.

48% d'illettrés dans le monde, c’est environ 3 milliards de personnes adultes, dont 2 milliards travaillent, toutes dans des équipes terrain.

Cette situation correspond à l’une des plus dramatiques fractures numériques d’aujourd’hui.

Les solutions numériques existantes, toutes à base de texte, sont inutilisables par ces deux milliards de travailleurs illettrés.

Il y a quelques mois, j’avais publié un billet sur les quatre principales fractures numériques.

À l'époque, je n'avais pas connaissance de cette étude sur l'illettrisme. 

Ceci m’oblige maintenant à en ajouter une cinquième:

Les personnes illettrées qui ne peuvent pas utiliser les solutions informatiques existantes qui sont toutes basées sur le texte et l’écriture.

Quand nous avons créé WizyVision, cette dimension illettrisme n’était pas sur notre radar. Cette prise de conscience nous a amenés à devenir “entreprise à mission”:

Réconcilier le monde des illettrés avec le numérique: permettre à toute personne illettrée de rentrer dans le monde numérique professionnel.

Avant l’écriture, l’humanité communiquait en utilisant l’image et la voix. Nous en avons un exemple magnifique en France avec la grotte de Lascaux.

WizyVision, qui s’appuie sur l’image et la voix, permet de revenir aux fondamentaux de la communication humaine!

On m’a souvent fait la critique suivante: “vous profitez des défaillances du système éducatif mondial”.

Oui, il est scandaleux que la moitié de l’humanité soit illettrée.

Oui on peut se poser des questions sur l’efficacité de l’UNESCO, qui existe depuis 50 ans.
Oui, mais on ne peut pas attendre que ces milliards de personnes deviennent capables de lire pour les faire rentrer dans l’ère du numérique.

Chez WizyVision, nous sommes fiers d’avoir construit la première plateforme numérique moderne qui permet d'ouvrir la porte du numérique à la moitié de la population des equipes terrain dans le monde.

Résumé: réconciliations numériques et espoirs

Jusqu'à présent, les progrès exponentiels des performances des outils numériques ont été utilisés en priorité pour les équipes bureaux, dans leurs activités structurées et bureautiques. Pour ces équipes bureaux, les solutions sont aujourd’hui en avance sur les usages et ce décalage s’accroît tous les jours.

À l’inverse, dans une majorité d’entreprises, les travailleurs terrain restent les parents pauvres de la transformation numérique.

Je souhaite aujourd’hui porter un message positif, un message d’espoir.

Toutes les personnes qui travaillent, dans les bureaux et en première ligne, illettrées ou pas, peuvent maintenant collaborer et devenir acteurs de la transformation numérique de leur entreprise, pour l’ensemble de leurs activités.

La bureautique, portée dans les années 1980 à 1990 par l’arrivée des PC et de logiciels tels que Word et Excel, a été le catalyseur de la diffusion du numérique pour les équipes bureaux.

La frontique, portée par les smartphones et des logiciels comme WizyVision qui s’appuient sur l’image et la voix, peut et doit devenir à partir de 2023 le catalyseur de la diffusion du numérique pour tous les collaborateurs sur le terrain.

Dans un monde où les nuages noirs de la guerre, du déréglement climatique et de l’inflation sont omniprésents, cela fait du bien de pouvoir porter un message aussi fort, aussi positif.

La cyberattaque contre un hôpital de la région parisienne en août 2022, après les deux années de pandémie COVID-19, m’ont donné l’idée de rapprocher deux mondes que tout, en apparence, sépare le monde de la santé et celui des cyberattaques.

J’ai analysé cette attaque dans un texte sur LinkedIn.

Un nouveau article fait le point sur les conséquences de cette attaque et annonce une nouvelle attaque contre un EPHAD.

L'objectif prioritaire de ce nouveau billet est pédagogique. Cette analogie entre le monde de la santé et de la cybersécurité devrait aider les décideurs à mieux comprendre comment ils peuvent améliorer la protection de leurs entreprises face à des cyberattaques de plus en plus sophistiquées. Il est écrit en priorité pour des décideurs qui ne sont pas des spécialistes du sujet.

Rappel: les principaux cyberrisques

Sur le fond, j’ai abordé ce sujet dans ces deux billets récents sur mon blog:

• Confidentialité des données et Clouds Publics: quelles réponses en 2022.
• Basculer les OIV, Opérateurs d’Importance Vitale, dans les Clouds Publics

Je reprends un schéma de l’un de ces billets pour résumer la problématique de ces cyber risques:

• Une entreprise peut choisir de garder ses infrastructures en interne, “On Premise”, ou les migrer vers des Clouds Publics tels qu’AWS, GCP ou Azure.
• L’entreprise doit pouvoir faire face à trois familles de cyberrisques:
• Les attaques sur les infrastructures.
• Les attaques sur les applications et les données.
• Les attaques par des États, en priorité les États-Unis, qui s’appuient sur leurs lois extraterritoriales.

Les nombreux échanges qui se sont déroulés après la publication de ces deux textes m’ont montré à quel point il était difficile d’expliquer, simplement et rationnellement, pourquoi les positions que je défends sont celles qui répondent le mieux aux besoins des entreprises, toutes les entreprises, pour se protéger des cyberrisques.

Vaccin et traitements: deux démarches de défense dans la santé

Dans le monde de la médecine, il existe deux démarches principales pour se protéger d'une maladie:

• La vaccination: une action réalisée avant que la maladie ne se déclenche.
• Un traitement: action déclenchée après l’apparition de la maladie.

Le premier vaccin moderne a été inventé il y a un peu plus de 200 ans, en 1798, par Edward Jenner pour traiter la variole.

Depuis cette date, plus d’une vingtaine de maladies, souvent mortelles, ont été éradiquées par la mise au point de vaccins. C’est l’une des plus belles réussites de la médecine mondiale.

Hélas, il existe encore de nombreuses maladies comme le VIH pour lesquelles des vaccins ne sont pas encore disponibles. 

Quand une personne est touchée par une maladie, deux cas sont possibles:

• Elle a été vaccinée: dans l’immense majorité des cas, elle développe une forme bénigne de la maladie. C’est le cas pour la grippe ou la COVID-19.
• Elle n’a pas été vaccinée ou le vaccin n’existe pas: des formes graves de la maladie se développent et peuvent conduire à la mort. Pour certaines maladies comme le VIH, les progrès remarquables de la médecine ont permis de développer des traitements performants qui permettent de vivre avec cette maladie, mais sans en guérir.

Hélas, il existe encore trop de personnes allergiques à la science et qui refusent les vaccins, mettant en danger leur santé et celle des autres personnes. 

Vous avez compris que je n’ai aucun respect pour ces “antivax”.

Vaccin et traitements: deux démarches de défense contre les cyberrisques

Dans le monde de la cybersécurité, il existe deux démarches principales pour se protéger des cyberrisques:

• La vaccination: une action réalisée avant que l’attaque ne se déclenche.
• Un traitement: une action déclenchée après l’apparition de l’attaque.

Les premiers vaccins contre les cyberrisques sont nés au cours de ces 15 dernières années.

Dans mes récents billets sur ces sujets, j’ai mis en évidence les trois principaux vaccins contre les cyberrisques qui sont disponibles, aujourd’hui:

• Vaccin 1: les Clouds Publics.
• Vaccin 2: les solutions Zero Trust.
• Vaccin 3: les outils de chiffrement.

Les vaccins contre la COVID-19 n’éliminent pas le risque d’une attaque de la maladie, mais en réduisent très fortement les conséquences et la probabilité de décès.

Les vaccins contre les cyberrisques n’éliminent pas les risques d’une cyberattaque, mais en réduisent très fortement les impacts et la probabilité de cessation d’activité de l’entreprise.

Ces trois vaccins contre les cyberrisques existent et ont fait la preuve de leur efficacité. 

Toutes les entreprises, grandes ou petites, publiques ou privées, OIV (Opérateurs d’Importance Vitale) ou pas, ont en 2022 la possibilité de commencer une campagne de vaccination contre les cyberrisques. 

Les délais pour que la vaccination soit efficace ne sont hélas pas les mêmes pour la COVID-19 et les cyberrisques.

Les premiers effets positifs des vaccins contre la COVID-19 sont obtenus au bout de quelques jours. Il faudra plusieurs mois, souvent plusieurs années avant que les entreprises soient efficacement protégées par ces trois vaccins.

Raison de plus pour commencer, immédiatement, ces campagnes de vaccination.
Toute l’industrie du numérique, tous les politiques, tous les organismes chargés de la sécurité des Systèmes d’Information comme l’ANSSI doivent se mobiliser en 2022 pour faire de la vaccination contre les cyberrisques une grande cause nationale.

Dans quelques jours, le mardi 6 septembre 2022, est organisée à Paris l’Université d’été de la cybersécurité. Des représentants de haut niveau des trois domaines dont j’ai parlé, l’industrie du numérique, les politiques et l’ANSSI y seront présents.

Ce serait le tremplin idéal pour lancer cette initiative!

Dans l’annonce de cette conférence, il y a une seule expression qui me gène beaucoup: c’est, vous l'avez deviné…”solutions souveraines”.

Oui, la France et l’Europe disposent de nombreux acteurs de grande qualité dans la lutte contre les cyberrisques, en particulier pour le vaccin 2, Zero Trust et le vaccin 3, chiffrement.

Par contre, croire une seconde que l’on peut se protéger en n’utilisant que des solutions souveraines, françaises ou même européennes, c’est une illusion très dangereuse, mortelle.

Les défis posés par les cybercriminels sont mondiaux, les solutions pour se protéger, aussi.

Science et rationalité vs obscurantisme et irrationalité, il faut choisir, vite

On le vit dans le domaine de la santé: des personnes, beaucoup trop nombreuses, mettent en danger leur vie, celle de leurs enfants et des personnes autour d’elles en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins qui ont fait depuis longtemps la preuve de leur efficacité.

On le vit aussi dans le domaine des cyberrisques: des dirigeants, des responsables du numérique et de sa sécurité mettent en danger l’avenir des entreprises où ils travaillent en ayant des raisonnements moyenâgeux et irrationnels, en refusant les vaccins contre les cyberrisques, qui ont fait depuis quelques années la preuve de leur efficacité.

Les antivax COVID mènent le même combat irrationnel que les antivax cyberrisques.

Il est urgent que le bon sens l’emporte et que le nombre des antivax cyberrisques se réduise très vite dans les entreprises en France et en Europe.

Les OIV, Opérateurs d’Importance Vitale, sont des organisations considérées par les États comme stratégiques dans leurs activités. Elles sont soumises à des contraintes fortes en ce qui concerne la sécurité de leurs opérations, et tout le monde le comprend.

Ce billet de blog sera en priorité centré sur les OIV en France, mais il existe des OIV dans tous les pays, et ce que j’écris pour la France est valable dans le reste du monde. Le logo OIV ci-dessus est celui de… Monaco.

La position que je défends dans ce texte représente un virage à 180° par rapport au consensus actuel dans la majorité des pays:

• La position dominante des pays: les Clouds Publics sont interdits pour les OIV.
• Ma position: toutes les OIV doivent basculer leurs infrastructures numériques dans les Clouds Publics, et le plus vite possible.

OIV - Organisation d’Importance Vitale

Cet article de Wikipédia est une bonne introduction au sujet des OIV en France.

J’en ai extrait ce tableau qui liste les secteurs considérés comme stratégiques par l’État français et les ministères auxquels ils sont rattachés.

Il y a environ 250 OIV en France. La liste de leurs noms n'est pas publique, mais il n’est pas difficile d’en identifier la majorité, connaissant les secteurs économiques concernés.

Dans le domaine de la sécurité numérique des OIV, c’est l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information qui est chargée de la supervision des actions des OIV dans ces domaines. C’est une attribution logique et pertinente.

Infrastructures physiques, infrastructures numériques

Il est essentiel de bien différencier:

• Les infrastructures physiques. Ce sont tous les équipements matériels utilisés dans les activités à protéger: réseau ferré pour les trains, réseaux de transports d’électricité ou de gaz, réseaux de distribution d’eau…
• Les infrastructures numériques. Elles sont utilisées pour gérer les données nécessaires au fonctionnement des infrastructures physiques.

La majorité des OIV gère des infrastructures physiques et les infrastructures numériques qui les pilotent.

Il existe quelques OIV, comme les banques, qui ne gèrent que des infrastructures numériques.

Les règles relatives à la sécurité de ces deux familles d’infrastructures sont très différentes, comme je l’explique dans ce billet.

À garder “On Premise”: gestion industrielle des infrastructures physiques

La sécurité des infrastructures physiques doit être une préoccupation prioritaire des états.

Dans ce billet de blog publié en novembre 2021, j’ai placé la sécurité des infrastructures physiques en tête de la liste des principaux risques que j’ai identifiés, d’ici à 2030.

Le deuxième grand risque identifié est lié à Taiwan. Les tensions créées en août 2022 par la visite de Nancy Pelosi à Taiwan confirment mes inquiétudes.

De quoi parle-t-on?

- Transport d’énergie: gaz, électricité.

- Gestion de l’eau.

- Transport de personnes : rail, route, air.

- Réseaux de données, filaires et sans fil.

- Infrastructures hospitalières.

-...

Si des cybercriminels prennent le contrôle de ces réseaux physiques, il peut y avoir mort d’hommes, et en très grand nombre. Imaginez une seconde ce qui pourrait se passer si une organisation criminelle prenait la main sur un réseau ferroviaire et envoyait les trains les uns contre les autres en agissant sur les aiguillages.

La coupure totale, à 100% de tout accès Internet, Web ou Cloud est la méthode la plus efficace pour réduire ces risques de prise de contrôle à distance. 99% ne sont pas suffisants; une seule porte numérique ouverte suffit pour qu’une cyberattaque soit possible.

Aujourd’hui, un trop grand nombre de ces réseaux ont encore des points d’accès ouverts, par exemple pour les mises à jour de logiciels.

Aucune exception ne doit être tolérée.

C’est en pratique, plus difficile à réussir qu’on ne le pense.

Je ne connais pas les plans de l’ANSSI dans ce domaine, mais si ce n’est pas fait, il serait utile de créer une structure de coordination permettant aux 200+ OIV ayant des réseaux physiques de partager leurs meilleures pratiques dans ce domaine. 

Les problématiques sont très proches, les solutions aussi, que l’on gère un réseau de transport de gaz ou ferroviaire.

La démarche que je privilégie est celle de la création d’un jumeau numérique, un “digital twin” en anglais.

Ce schéma présente le mode de fonctionnement d’un jumeau numérique.

• Les réseaux industriels, gérés par des logiciels regroupés sous le nom de SCADA, sont 100% déconnectés du Cloud et d’Internet.
• Les données liées à l’activité des réseaux industriels sont envoyées, en même temps, vers le SCADA et vers le jumeau numérique, construit dans un Cloud Public.
• Pour garantir la protection du SCADA, il est indispensable que la liaison qui transmet les données vers le Cloud Public soit physiquement unidirectionnelle.
• La société Teréga, le deuxième transporteur de gaz en France avec GRTGaz, et avec qui j’ai eu l’honneur de collaborer, à développé en interne une solution innovante de “diode numérique” qui rend impossible le retour de données en provenance du Cloud Public. La solution complète proposée par Teréga, io-base, s’appuie sur le Cloud Public AWS pour le jumeau numérique.

Toutes les OIV qui gèrent des réseaux physiques peuvent mettre en œuvre une démarche SCADA + Jumeau Numérique. C’est le moyen le plus efficace que je connaisse pour conjuguer sécurité des infrastructures physiques et capacité de pilotage numérique en s’appuyant sur la puissance des Clouds Publics.

La solution française io-base de Teréga pourrait devenir rapidement un standard en Europe si l’ANSSI en fait la promotion et pousse toutes les OIV françaises à l’adopter.

Dans mon billet de blog de fin 2021, “j’ai mal à mon Europe du Numérique”, j'ai identifié sept DC2E, Digital Commando of Excellence en Europe, domaines dans lesquels l’Europe pouvait encore espérer jouer un rôle raisonnable en 2030.

Les jumeaux numériques sont le quatrième de ces sept domaines.

La réussite de cette démarche de jumeaux numériques en Europe peut ensuite s’exporter dans tous les pays du monde, qui ont exactement les mêmes soucis de protection de leurs infrastructures industrielles. 

Motivant, non?

Infrastructures numériques des OIV, situation actuelle

Maintenant que les problèmes de sécurité des infrastructures physiques des OIV sont maîtrisés, on peut s’attaquer au deuxième défi, leurs infrastructures numériques.

Comme je l’ai écrit récemment, mes analyses démontrent que les infrastructures numériques des grands Clouds Publics industriels sont, et de loin, les plus sécurisées au monde, celles qui protègent le mieux les données des entreprises.

Les OIV sont, par définition, les entreprises françaises qui ont le plus besoin de sécuriser leurs infrastructures numériques.

Conséquence “logique”: la priorité pour la France est de basculer le plus vite possible les infrastructures numériques des 250 OIV françaises dans les Clouds Publics.

La situation en 2022 est pour le moins… paradoxale:

• Il faut protéger le plus possible les infrastructures numériques des OIV françaises.
• On interdit, ou déconseille très fortement aux OIV d’utiliser les Clouds Publics.
• On  encourage les OIV à rester le plus longtemps possible sur des infrastructures “On Premise”.
• Le résultat obtenu est l’inverse de celui espéré: les OIV seraient les dernières entreprises en France à disposer d'infrastructures numériques sécurisées.

Comme tout citoyen français responsable, je souhaite que les OIV disposent des solutions d’infrastructures numériques les plus sécurisées possibles.

Conséquence: la stratégie actuelle “pas d’infrastructures Clouds Publics pour les OIV” doit être remplacée immédiatement par une stratégie qui représente un virage à 180°:

Les infrastructures numériques les plus sécurisées pour les OIV…

 sont dans les Clouds Publics.

Infrastructures numériques des OIV, dans Clouds Publics, à partir de 2023

Dans le billet de blog cité plus haut, j’ai identifié cinq niveaux d’infrastructures numériques en fonction des niveaux de confiance qu’elles procurent dans la protection des données:

• OP = On Premise: la plus mauvaise solution, et de loin.
• CP = Cloud Public, utilisé de manière native, sans sécurités supplémentaires.
• CP+ = Cloud Public, avec utilisation des clés de chiffrement fournies par l’opérateur de Cloud Public. 
• CP++ = Cloud Public avec utilisation de clés de chiffrement fournies par l’entreprise, que l’opérateur de Cloud Public ne connaît pas.
• CPC = Cloud Public de Confiance: les infrastructures numériques appartiennent à des sociétés françaises ou européennes, ce qui les met à l’abri des lois extraterritoriales comme celles utilisées par les États-Unis.

J’utiliserai cette classification dans la suite de mon analyse.

Quelles infrastructures Clouds Publics pour les jumeaux numériques des OIV

Dans un paragraphe précédent, j’ai présenté le principe des jumeaux numériques: ils travaillent sur une copie des données venant des infrastructures physiques.

Toutes les données utilisées pour créer un jumeau numérique n’ont pas les mêmes niveaux de criticité. Cela dépend des métiers des OIV:

• Pour une entreprise de transport ferroviaire, le nombre et la localisation des wagons n’ont pas besoin d’une protection forte.
• Le niveau de remplissage d’une réserve de gaz est une donnée publique.
• Dans le secteur nucléaire, les informations relatives au transport des combustibles sont beaucoup plus sensibles.
• La localisation des sous-marins atomiques français demande un niveau de protection maximal.

En pratique, cela veut dire que chaque OIV devra choisir pour son jumeau numérique la famille de Clouds Publics qui correspond au niveau nécessaire de confidentialité des données.

Ce tableau donne une possible répartition des jumeaux numériques des OIV françaises par niveaux de solutions. Il n’a aucune valeur “scientifique”: c’est une première estimation que je propose. 

La bonne démarche consiste à commencer par le niveau de base, CP. S’il est suffisant, ce qui sera probablement le cas pour 30% à 50% des OIV, il n’est pas nécessaire d’investir dans les niveaux de protection supérieurs, plus complexes et plus coûteux.

Ensuite, au cas par cas, chaque OIV peut monter dans les niveaux de confidentialité, CP+, CP++ pour trouver la meilleure réponse.

Les solutions CPC seront choisies par les seules OIV qui en ont un besoin impératif. Si je devais donner un pourcentage, je le situerais à moins de 10%. Les OIV travaillant dans le domaine militaire sont des candidats logiques.

Quelles infrastructures Clouds Publics pour les Systèmes d’Information des OIV

Les Systèmes d'Information des OIV sont de la même nature que ceux des autres entreprises.

Dans le billet déjà cité plusieurs fois, j’ai présenté deux réponses possibles pour les entreprises face à ces défis de la confidentialité des données:

• Une réponse irrationnelle: les risques perçus par les dirigeants sont beaucoup plus élevés que dans la réalité.
• Une réponse rationnelle, qui analyse de manière posée et sérieuse les risques et choisit les réponses les plus raisonnables, cas par cas.

Je fais évidemment l’hypothèse que tous les dirigeants et DSI des OIV et de l’ANSSI sont des personnes rationnelles.

Ce tableau donne mon évaluation générale de la répartition des solutions Clouds Publics pour toutes les entreprises. La majorité des OIV sont des entreprises grandes ou moyennes. Il est possible que les pourcentages soient un peu différents.

Pour les OIV, j’estime que les pourcentages pourraient être dans les fourchettes suivantes:

• Cloud Public: 60% à 80%.
• Cloud Public +: 10% à 30%.
• Cloud Public ++: 1% à 10%.
• Cloud Confiance: 1% à 3%.

Ce qu’il faut retenir: en choisissant rationnellement et avec pragmatisme les solutions Clouds Publics disponibles, 99% des OIV françaises peuvent basculer 99% de leur Système d’Information dans les Clouds Publics, et immédiatement.

Pourquoi 99% et pas 100%? Je n’aime pas beaucoup le 100%, car on le rencontre très rarement sur le terrain! Il y a dans ce billet une exception à cette règle: les réseaux industriels qui doivent être déconnectés d’Internet et du Cloud à 100%, pas à 99,99%.

Résumé

Je suis prêt à collaborer activement avec l’ANSSI pour les aider dans cette mission urgente, d’intérêt national: la migration des infrastructures numériques de toutes les OIV françaises dans des Clouds Publics.

Ce sera un signal fort et positif pour toutes les entreprises françaises! 

Si les OIV peuvent utiliser les solutions IaaS des Clouds Publics, il deviendra très difficile, limite impossible, pour les dirigeants de toutes les entreprises de dire qu’ils ne peuvent pas utiliser les Clouds Publics car ils n’offrent pas un niveau de sécurité suffisant.

Un beau chantier en perspective, à démarrer avant la fin de l’année 2022.

Dans mon billet précédent, j’ai commenté les annonces faites par Google et Thales autour d’un Cloud de Confiance en France, avec la création d’une entreprise commune, S3ns.

Je pensais faire une deuxième partie sur le même thème, mais j’ai décidé d’élargir le sujet pour aborder le thème de la confidentialité des données dans les Clouds Publics.

C’est l’une des questions que l’on me pose le plus souvent aujourd’hui dans mes missions d’accompagnement des entreprises dans leur Transformation Numérique.

Conséquence: un billet plus long que le précédent!

Rassurez-vous, l’annonce du Cloud de Confiance Google-Thales fait partie des réponses analysées dans ce deuxième billet.

Dans ce billet, je vais me concentrer sur les solutions IaaS, Infrastructures as a Service et PaaS, Platform as a Service. Le thème des applications SaaS, construites majoritairement sur les plateformes IaaS des Clouds Publics, ne sera pas abordé.

Le débat actuel sur les Clouds de Confiance est lui aussi centré sur les solutions IaaS et PaaS.

Une remarque avant de rentrer dans le vif du sujet: j’ai été surpris de trouver parmi les sponsors de cette journée Google - Thales, Orange et Capgemini, avec chacun un stand. Ce sont en principe les deux partenaires choisis par Microsoft pour construire leur version concurrente d'un Cloud de Confiance, sous le nom de Bleu…

Principales options

J’ai fait le choix dans ce billet d’aller à l’essentiel. Que mes amis RSSI me pardonnent si je simplifie et caricature parfois la réalité. Mon objectif est d’aider les dirigeants d’entreprises, qui n’ont pas toujours une maîtrise complète de ce sujet, à comprendre quelles sont les principales options à leur disposition, pour ne pas freiner leur migration vers les Clouds Publics.

Dans la suite de ce billet, je segmente l’offre d’infrastructures serveurs en cinq grandes familles:

• OP =  “On Premise”. L’entreprise investit, en CAPEX, dans ses propres infrastructures. Ces solutions sont aussi appelées Centres de calcul privés ou Cloud Privé.
• CP = Cloud Public. L’entreprise utilise de manière “standard” les solutions proposées par les acteurs industriels des Clouds Publics, sans rajouter des solutions supplémentaires pour protéger les données.
• CP+ =  Cloud Public avec un niveau de confidentialité supplémentaire. Le chiffrement des données est généralisé, en utilisant le plus souvent les clés de chiffrement AES 256, proposées et gérées par les fournisseurs de Clouds Publics.
• CP++ = Cloud Public encore plus sécurisé. Les clés de chiffrement sont gérées par les entreprises et les fournisseurs de Clouds Publics n’y ont pas accès.
• CPC = Cloud Public de Confiance. C’est une solution CP++ qui est en plus compatible avec le référentiel SecNumCloud, qui protège l’entreprise des lois extraterritoriales. Rappel: ceci n’est vrai que pour la dernière version de la norme SecNumCloud, la version 3.2.

Le point sur SecNumCloud

Dans l’annonce de sa création, S3ns a clairement indiqué qu’ils espéraient obtenir la certification SecNumCloud dans les 24 mois qui viennent. C’est le point 8 de la liste des annonces faites lors de la journée du 30 juin 2022.

Il est important de comprendre ce que représente ce référentiel.

SecNumCloud est un référentiel français géré par l’ANSSI, Agence Nationale de Sécurité des Systèmes d’Information. La première version est née en 2016; la version la plus récente, 3.2, existe depuis mars 2022. Cette certification est valable 3 ans; elle doit donc être renouvelée tous les 3 ans.

Au niveau européen, des travaux sont en cours pour définir une norme commune, l’EUCS : European Cybersecurity Certification Scheme for Cloud Services. Pour le moment, SecNumCloud reste une certification française.

C’est un point essentiel: SecNumCloud ne certifie pas une entreprise, un fournisseur, mais des produits et des services, et un par un.

Un fournisseur ne peut pas annoncer qu’il est certifié SecNumCloud. Il doit indiquer quels sont les services qu’il propose qui sont certifiés.

La liste la plus récente des produits et services certifiés SecNumCloud par l’ANSSI, publiée en juin 2022, est longue ; elle comprend 19 pages.

L’un des ateliers de cette journée Google-Thales était animé par l’UGAP, union d’achat du secteur public. Dans la liste des services d’informatique en nuage référencés par l’UGAP, deux d’entre eux, OVH et Outscale, avec une *, sont certifiés SecNumCloud.

J’ai regardé dans la liste de l’ANSSI quels étaient les services certifiés.

Pour OVH, il s’agit de “Private Cloud”. Cette certification, selon l’ancienne norme, devient caduque en décembre 2022. Sachant qu’OVH n’a jamais obtenu les certifications de Uptime Institute, qui définissent les niveaux Tier 1, 2, 3 ou 4 pour les centres de calcul, je trouve “surprenant” qu’OVH fasse état de sa certification SecNumCloud en parlant de leurs activités Clouds Publics.

À l’inverse, Outscale est certifié pour ses activités IaaS Cloud on demand, en clair Cloud Public. Pour Outscale aussi cette certification selon l’ancienne norme se termine en décembre 2022.

J’ai rajouté sur ce tableau OODrive qui, lui, a trois services certifiés, mais ce sont des services d’applications.

On comprend mieux pourquoi S3ns annonce qu’il lui faudra 24 mois pour obtenir la certification SecNumCloud des nombreux services Google qui seront proposés.

En résumé, chaque fois qu’un fournisseur de Cloud vous dira qu’il est certifié SecNumCloud, n’oubliez pas de lui demander… pour quels services?

Les trois principaux risques numériques

Dans un souci de simplification, j’ai regroupé les risques numériques que doit affronter une entreprise en trois familles. Ces risques existent, que l’entreprise gère ses infrastructures “On Premise” ou dans des Clouds Publics.

• Attaques sur les infrastructures, 1 dans le schéma.
• Attaques sur les données et les applications, 2 dans le schéma.
• Attaques extraterritoriales par des états étrangers, 3 dans le schéma.

Attaques sur les infrastructures

Dans ce domaine, les jeux sont faits, et depuis des années. Aucune entreprise ne peut mettre autant de ressources techniques, humaines et financières pour protéger les infrastructures que les géants du Cloud Public, tels qu’AWS, GCP et Azure.

En 2022, investir un seul euro de plus dans un centre de calcul privé est une erreur stratégique majeure. Tout dirigeant qui prend cette décision met en danger la sécurité et les finances de son entreprise.

Il y a quelques exceptions à cette règle. La principale est celle de la gestion des infrastructures physiques d’entreprises qui travaillent dans les domaines de l’énergie, du transport ou des télécommunications.

J’ai écrit un billet entier sur ce thème; je considère que c’est en 2022 le plus grand risque numérique qui menace le monde.

La bonne démarche:

• Éliminer 100% des liens entre ces infrastructures industrielles, Internet et le Cloud.
• Construire un jumeau numérique dans… les Clouds Publics.

Attaques sur les données et les applications

Ce sont les entreprises qui sont responsables de la protection de leurs données et de leurs applications, pas les fournisseurs de solutions IaaS et PaaS.

Dans l’Ancien Monde, “On Premise”, les solutions utilisées pour tenter d’assurer cette protection étaient les VPN et les parefeux périmétriques autour des centres de calcul privés.
Ces solutions ne sont plus valables dans un monde numérique moderne construit dans les Clouds Publics. Une démarche “Zero Trust” devient indispensable. Elle fait l’hypothèse que rien n’est sécurisé et qu’il faut tout contrôler:

• L’identité de la personne qui se connecte.
• Le ou les objets d’accès utilisés.
• Les différents réseaux de transport des données.
• Les droits d’accès aux différentes applications.
• ….

Une entreprise qui déciderait de basculer vers des Clouds Publics sans mettre en œuvre une démarche “Zéro Trust” prendrait des risques numériques insensés.

La bonne nouvelle en 2022: l’offre de solutions de très grande qualité permettant de construire une architecture “Zero Trust” est pléthorique. 

Attaques extraterritoriales par des états étrangers

C’est “Le” sujet de tous les débats autour des risques liés à l’usage des Clouds Publics dominés par des fournisseurs américains ou chinois.

En janvier 2022, lors de l’annonce du projet d’accord entre Google et Thales, j’avais écrit un billet sur ce thème.

Je vais simplement ajouter à ce que j’ai écrit dans ce billet deux précisions:

• Aujourd’hui, les clés de chiffrement AES 256 sont inviolables. Je ne m’intéresse pas au débat théorique sur une éventuelle rupture de ces clés lorsque l’informatique quantique sera opérationnelle.
• FISA 702 permet à des organismes gouvernementaux américains de demander à des fournisseurs de Clouds Publics américains l'accès à des données appartenant à des citoyens (pas des entreprises) européens. C’est exact, mais le fournisseur de Clouds Publics peut transmettre les données chiffrées, sans avoir l’obligation de les déchiffrer!

Comme le montre la flèche 3 dans le schéma des trois risques, c’est dans ce cas, et dans ce cas seulement, que la démarche “Cloud de Confiance” proposée par S3ns prend tout son… sens. J’ai enfin compris d’où vient le nom S3ns!

Comme les infrastructures S3ns sont la propriété d’une entreprise française, Thales, les lois extraterritoriales américaines ne peuvent pas s’appliquer.

Quel niveau de confiance numérique, selon les solutions retenues

Les entreprises ne doivent pas se tromper de combat dans leurs efforts pour résister aux attaques numériques.

Plus de 99% des risques sont liés aux attaques de cybercriminels, privés ou étatiques, qui vont essayer d’exploiter les failles de sécurité qui existent dans vos infrastructures, vos applications et vos données, les flèches 1 et 2 de mon schéma initial.

Se polariser sur les attaques extraterritoriales est une grave erreur. En prenant l’analogie avec l’avenir de notre planète, se serait l’équivalent de consacrer toutes nos ressources à la protection contre l’éventuelle arrivée d’un grand astéroïde sur la terre et d’oublier les dangers immédiats que font peser les excès de gaz à effet de serre.

Dans ce graphique, j’ai résumé le niveau de confiance numérique que je donne à chaque option présentée au début de ce billet.

• OP, On Premise: j’ai mis 50%, et je suis gentil. C’est de très très loin la plus mauvaise solution pour se protéger des risques numériques réels en 2022.
• CP, Cloud Public: le niveau de confiance est au minimum de 95%, sous réserve bien sûr d’avoir mis en œuvre une démarche “Zero Trust”.
• CP+: Cloud Public avec clés de chiffrement gérées par les fournisseurs de Clouds Publics. Le niveau minimal de confiance atteint maintenant 99%.
• CP++: Cloud Public avec clés de chiffrement gérées par les entreprises. Le niveau de confiance dépasse 99,99% dans cette option.
• CPC, Cloud Public de Confiance: la sécurité parfaite n’existant jamais, j’ai mis une note de 99,9999% à la confiance que l’on peut accorder à cette option.

Choix de solutions : rationnel et irrationnel 

Que les choses seraient simples si l’on vivait dans un monde rationnel!

Hélas, ce n'est pas le cas, et le numérique n’échappe pas à une montée inquiétante de l'irrationalité.

Plusieurs millions d’Américains ont partagé cette photo supposée prise avec un très puissant téléobjectif qui “prouve” que la terre est plate, car on y voit en même temps la Statue de la Liberté et la Tour Eiffel, séparées de plus de 6 000 km. 99% des Américains ne savent pas qu’il existe une réplique de la Statue de la Liberté sur l'île aux Cygnes à Paris, à moins d’un kilomètre de la Tour Eiffel.

J’ai un mépris total pour les personnes qui, sciemment, diffusent des informations aussi fausses vers des personnes fragiles qui peuvent y croire.

J’ai le même mépris pour les pseudo-experts en sécurité numérique qui diffusent des messages de trouille auprès des dirigeants, sachant très bien qu’ils sont exagérés, mais leur permettent de vendre ensuite fort cher leurs services inutiles.

Les exemples de cette irrationalité dans les décisions sont légion:

• Quelle est l’énergie qui a tué le moins de monde? Le nucléaire, ce qui n'empêche pas de trop nombreux politiques de dire le contraire.
• Quel est le moyen de transport le plus sûr? L’avion, mais des millions de personnes ont la trouille en avion et préfèrent voyager en voiture.

Je rencontre le même phénomène d’irrationalité quand je parle à des dirigeants et DSI de la confiance que l’on peut accorder aux solutions dans les Clouds Publics, français, chinois ou américains.

Quel est le pourcentage d’entreprises en France qui peuvent utiliser en toute confiance les différentes options de Clouds Publics que j’ai analysées dans ce texte, en tenant compte de leurs activités et du niveau plus ou moins élevé de protection dont ont vraiment besoin leurs données?

J’élimine bien évidemment les solutions “On Premise”, les plus catastrophiques en matière de confiance numérique!

Ce premier schéma correspond à une réponse “rationnelle” à la question.

• Pour 90% des entreprises, une solution Cloud Public de base répond très bien à leurs besoins de confiance numérique.
• Pour 9%, l’utilisation d’une solution Cloud Public +, avec chiffrement des données par les fournisseurs de Clouds publics est une excellente réponse.
• Moins de 1% ont vraiment besoin, pour une petite partie de leurs données, d’utiliser leur propre clé de chiffrement.
• 0,1% d’entreprises traitent quelques informations suffisamment confidentielles et stratégiques pour avoir besoin d’un Cloud de Confiance qui les met à l’abri d’une éventuelle tentative extraterritoriale d’accès à ces données.

Ce deuxième schéma correspond aux réactions “irrationnelles” que j’obtiens quand j'interroge des décideurs français. (Vous qui me lisez en ce moment, vous ne faites bien sûr pas partie de ces décideurs irrationnels.)

• 50% des entreprises peuvent se “contenter” d’une solution Cloud Public standard. Ce sont les TPE et PME, pas mon entreprise!
• 30% ont besoin de chiffrer les données, et la clé gérée par les acteurs du Cloud Public est une solution acceptable.
• Pour 15% des entreprises, il est impossible de faire confiance aux fournisseurs de Clouds Publics et la gestion de clés privées est indispensable.
• Enfin 5% de ces entreprises font face à un risque “majeur” de piratage de leurs données par les grands méchants Américains de la CIA ou de la NSA. Un Cloud de Confiance qui met à l’abri des lois extraterritoriales est une précaution obligatoire.

Cette vision “peu rationnelle” des risques liés à l’usage des Clouds Publics par un grand nombre d’entreprises a au moins un avantage: elle permet aux fournisseurs de solutions chères et complexes ayant comme objectif la création d’un niveau de confiance surdimensionné de se développer.

Ceinture et bretelles : les entreprises qui sont persuadées qu’elles ont besoin des deux pour “soutenir” la confiance dans leurs données seront les meilleures clientes des acteurs du marché qui tentent de créer une trouille maximale envers les solutions Clouds Publics.

Synthèse

L’annonce par Google et Thales de cette coentreprise S3ns est une excellente nouvelle pour le marché français du Cloud Public. Elle va permettre à toutes les entreprises, quel que soit leur niveau actuel de confiance dans les Clouds Publics, d’accélérer leur migration vers ces solutions.

Après cette annonce les entreprises françaises peuvent trouver toutes les réponses dont elles pensent avoir besoin:

• Cloud Public: usage direct de GCP standard de Google.
• Cloud Public +: demander à Google de chiffrer leurs données dans GCP.
• Cloud Public ++: c’est ce que propose, immédiatement, S3ns en permettant, avec les solutions de Thales, d’utiliser des clés de chiffrement dédiées.
• Cloud de Confiance: permettra, avant la fin de l’année 2024, aux entreprises qui en ont vraiment besoin de se mettre à l’abri des accès extraterritoriaux par le gouvernement américain.

Conséquence très positive: pour une entreprise qui a une démarche numérique rationnelle, il n’y a plus aucun frein qui l'empêche de basculer rapidement et massivement vers les Clouds Publics.

Pour les entreprises qui continuent à avoir une vision irrationnelle des dangers des Clouds Publics, qu’elles restent sur leurs solutions “On Premise”. 

En 2030, elles se seront elles-mêmes exclues de toutes les innovations numériques qui se concentrent sur les Clouds Publics et désertent les solutions “On Premise”.

Je n’aimerais pas être à la place de leurs dirigeants en 2030…

La longue traîne, Long Tail en anglais, est une distribution statistique dans laquelle une petite partie des contenus, regroupée dans la “tête” représente une grande partie de la distribution, le reste étant réparti dans la longue traîne.

Ces deux articles Wikipedia, en anglais et en français, sont de bonnes introductions sur ce thème. Le texte en anglais est le plus complet des deux.

Il m’est venu l’idée d’analyser la distribution des processus et applications numériques utilisées dans les entreprises en m’appuyant sur cette approche longue traîne.

Important: je ne traite pas ici des applications grand public.

Ce billet de blog est le résultat de mes premières réflexions sur ce sujet.

Vos commentaires et analyses sont les bienvenus.

Les principes de la longue traîne

(Les lecteurs qui sont familiers avec le concept de longue traîne peuvent passer directement au paragraphe suivant.)

En 2004, Chris Andersen a publié un long article sur long tail, considéré comme la fondation de l’application de cette analyse aux activités des entreprises.

Devant le succès de cet article, Chris Andersen a publié en 2006 un livre qui présente plus en détail la longue traîne.

C’est dans le domaine du e-commerce que la démarche longue traîne a montré de manière la plus évidente sa pertinence.

L’exemple d’Amazon et de la vente de livres est un cas emblématique:

• Les plus grandes librairies physiques peuvent présenter à leurs visiteurs un maximum de 15000 livres en rayon. Les coûts de stockage des ouvrages à faible demande seraient prohibitifs.
• À l’inverse, référencer sur une place de marché comme Amazon des millions de livres représente un coût marginal très bas. Ce sont souvent des petits éditeurs spécialisés qui vendent sur Amazon, qui permettent à Amazon:
• De ne pas avoir de coûts de stockage des ouvrages.
• De prendre une commission sur la vente et le transport de chaque livre.

Comme le montre ce schéma, la longue traîne des livres représente pour Amazon plus de 50% de ses ventes.

Analyse des processus d’entreprise avec la longue traîne.

Je vous propose de répondre dans ce billet à la question: est-ce que les processus et applications numériques utilisées dans les entreprises suivent une distribution du type longue traîne?

Remarque: toutes les applications informatiques sont des réponses apportées à l'automatisation de processus d’entreprises. J’emploierai les deux mots applications et processus de manière interchangeable.

Pour que cette hypothèse soit vérifiée, il faut que sur la distribution longue traîne des processus d’entreprises:

• Un petit nombre de processus et d'applications soient dominants, les “best-sellers”.
• Un très grand nombre d’applications correspondent à des processus plus spécialisés, moins fréquents.

Longue traîne: applications universelles

Quelles sont, aujourd’hui, les applications universelles les plus répandues dans les entreprises, quels que soient leur taille ou leur secteur d’activité? Ce sont les applications bureautiques dominées par le duopole Google Workspace et Microsoft Office 365. Il existe encore quelques entreprises rétrogrades qui continuent à utiliser des outils bureautiques “on premise”, mais la majorité des entreprises a aujourd’hui basculé sur les solutions Clouds Publics.

Workspace et Office 365 sont les deux best-sellers applicatifs professionnels, et de très loin.

Demain? Un nouveau “best-seller” pointe le bout de son nez en 2022. Ce sont les applications universelles au service des équipes terrain, ce que je propose de nommer la Frontique, les applications au service des équipes “au front”, des FLW, Front Line Workers en anglais.

C’est un sujet que j’ai souvent abordé dans ce blog:

• Ce billet présente les caractéristiques d’une application Frontique.
• Ce deuxième billet aborde les dimensions management et les mesures à prendre pour réduire la fracture numérique entre cols blancs et équipes terrain.

Dans le monde entier, il y a 80% de personnes dans les équipes terrain, soit autour de 2 700 millions de personnes, et “seulement” 800 millions de cols blancs.

Avec WizyVision, première application frontique disponible sur le marché mondial et développée par la société Wizy.io dont je suis l’un des cofondateurs, nous avons l’ambition d’équiper toutes les équipes terrain avec une solution universelle. Toute personne qui sait prendre une photo avec un smartphone peut utiliser WizyVision, “out of the box”.

En 2030, le nombre d’utilisateurs de solutions Frontique pourrait être supérieur à celui des outils bureautiques!

Frontique + Bureautique = un tout petit nombre d’applications, qui resteront les best-sellers pérennes du numérique, pour encore de nombreuses années.

Longue traîne: applications SaaS support et PaaS

La deuxième famille dominante est celle des applications pour les processus structurées au service des cols blancs, en finances, ressources humaines, marketing ou commercial.

Pour ces processus S, “support”, au sens du modèle B I S D que j’ai proposé en 2019, les réponses dominantes sont aujourd’hui des solutions SaaS, Software as a Service.

Comme le montre ce graphique, des leaders se sont rapidement imposés; entre 20 et 50 solutions SaaS se partagent l’essentiel du marché des applications structurées générales, telles que:

• Salesforce pour les usages commerciaux.
• Workday pour les ressources humaines et la finance.
• Coupa pour les achats.

Sur ce même graphique, j’ai mis les outils PaaS, Platform as a Service. Ils permettent à des équipes internes de développeurs professionnels de construire, sur mesure, des applications pour les processus spécifiques des entreprises, pour plus de compétitivité. Ce sont les usages "B", cœur métier, du modèle B I S D. Dans ce domaine aussi, le nombre de solutions est très limité: les solutions PaaS dominantes sont proposées par les trois géants industriels IaaS, Infrastructures as a Service, AWS, GCP de Google et Azure de Microsoft.

On reste dans une logique "tête" de la longue traîne: un tout petit nombre de solutions dominent ce marché.

Longue traîne: applications SaaS spécialisées

Le reste de la partie “tête” de la distribution longue traîne est occupée par les applications SaaS qui apportent des réponses pour des processus plus spécialisés. 

Dans ce graphique, j’ai illustré cette offre très large par quelques noms:

• Survey Monkey pour les sondages.
• Eventbrite pour l’organisation d’événements.
• Mailchimp pour des opérations de mailing.
• Kyriba pour la gestion de trésorerie. 
• Diligent pour la gestion des conseils d'administration.

Il est devenu impossible de compter le nombre d’applications SaaS pour ces processus spécialisés disponibles sur le marché. Ce chiffre dépasse les 50000 et augmente de plusieurs milliers tous les ans. 

On retrouve cette croissance dans le nombre de solutions SaaS déployées dans les entreprises. BetterCloud publie tous les ans un rapport sur l’état du marché SaaS. Comme le montre ce graphique, tiré de leur étude, en 2021 les entreprises de plus de 10000 salariés utilisaient plus de 400 solutions SaaS différentes.

Le graphique qui suit montre que l’offre de solutions SaaS couvre maintenant largement toute la “tête” de la distribution longue traîne des processus numériques dans les entreprises. Elle empiète aussi un peu sur la partie “longue traîne”.

Ce nuage de logos de solutions “Marketing technology”, totalement illisible, regroupe 8 000 éditeurs différents!

ChiefMartec, qui publie ce document, ne listait “que” 1 000 offres en 2014!

Longue traîne: solutions Low Code et No Code (LCNC)

On vient de le voir, toutes les offres pour les processus numériques dans la “tête” sont couvertes par les solutions Bureautique, Frontique, SaaS et PaaS.

Pour les milliers de processus légers très spécialisés, qui correspondent à la partie “longue traîne”, les réponses modernes ont pour noms Low Code et No Code (LCNC).

Sur ce schéma, j’ai pris l’image des moyens de transport pour illustrer les différences entre les trois modes de développement, No Code, Low Code et Full Code:

• No Code: la majorité des personnes est capable de passer son permis de conduire une voiture. De la même manière, la majorité des collaborateurs d’une entreprise est capable d’apprendre à utiliser les outils No Code.
• Low Code: Il faut déjà plus de compétences pour maîtriser un camion ou un autobus. Dans les entreprises, toute personne qui savait construire des “Macros Excel” peut acquérir les compétences nécessaires pour maîtriser les outils Low Code.
• Full Code: il faut des années d'entraînement pour apprendre à piloter un avion. Les développeurs professionnels ont besoin de plusieurs années d’apprentissage pour utiliser efficacement des outils PaaS.

Les offres de solutions LCNC ont fait des progrès spectaculaires au cours des 5 dernières années. Tous les outils modernes LCNC sont construits dans les clouds publics.

Les solutions Low Code sont en priorité utilisées pour les processus de la partie gauche de la longue traîne, qui demandent des développements d’une complexité moyenne.

Les solutions No Code sont utilisées pour la partie droite de la longue traîne, pour des processus les plus simples à modéliser.

La frontière entre les solutions Low Code et No Code est très poreuse: les éditeurs logiciels préfèrent souvent positionner leurs solutions dans la famille Low Code, car cela leur ouvre un plus grand marché.

Prenons comme exemple d'excellents outils, très répandus:

• Power BI de Microsoft et Data Studio de Google.
• AppSheet de Google et Power Apps de Microsoft.
• Airtable, qui est pour moi l’une des solutions les plus performantes du marché.

Lesquels de ces outils sont Low Code, lesquels sont No Code? Si vous posez la question autour de vous, vous obtiendrez les deux types de réponses.

Les outils LCNC permettent à des “citoyens développeurs” de construire eux-mêmes des applications légères pour améliorer rapidement des processus simples, mais “irritants” aujourd’hui, ceux qui ne peuvent pas être automatisés dans des coûts et des délais raisonnables par les développeurs Full Code.

En 2022, les outils LCNC sont encore réservés aux cols blancs: pour les utiliser efficacement, il vaut mieux disposer d’un ordinateur portable et les interfaces sont orientées textes.

Quels outils LCNC peut-on proposer pour les processsus simples, spécifiques aux équipes terrain?

Longue traîne: solutions No Code pour les équipes terrain

Chez WizyVision, nous avons été confrontés aux attentes des collaborateurs des équipes terrain. Le numérique n’est jamais leur métier principal, mais ils ont tous besoin de solutions numériques très simples pour accélérer et améliorer leurs activités terrain.

Je ne crois pas à la pertinence des solutions Low Code pour les équipes terrain.

Par contre, ils sont très à l’aise avec les outils No Code. C’est pour répondre à cette demande que WizyVision a développé deux outils No Code pour les équipes terrain:

• Frontspace: un générateur No Code de processus simples, qui prend comme point de départ les photos, comme toutes les solutions proposées par WizyVision.
• ML Studio: un outil de Machine Learning en No Code. Il permet aux équipes terrain de piloter elles-mêmes l’apprentissage des modèles ML dont elles ont besoin pour reconnaître les objets métiers spécifiques sur lesquels elles travaillent.

Une analyse longue traîne me permet d’expliquer quelle est la position de la plateforme WizyVision au service des équipes terrain.

WizyVision propose des solutions numériques pour les deux extrémités de la longue traîne:

• Un outil Frontique, une application mobile "photo d'entreprise" pour Android et iOS, utilisable par 100% des équipes terrain, “out of the box”, pour des usages simples et universels.
• Deux outils No Code, Frontspace et ML Studio, qui permettent aux équipes terrain, dans une démarche “bottom up”, de construire elles-mêmes des dizaines d’applications numériques simples correspondants à des processus quotidiens simples.

WizyVision complète son offre avec des API ouvertes pour 100% des fonctionnalités de la plateforme. Ces API permettent de communiquer avec toutes les autres applications bureautiques, SaaS, PaaS, No Code et Low Code utilisées par les cols blancs pour éviter de créer un silo numérique de plus.

Synthèse

Au début de ce billet, je posais la question:

"Est-ce que les processus numériques utilisées dans les entreprises suivent une distribution du type longue traîne?”

La réponse est claire: oui!

J’espère, par cette analyse innovante des processus d’entreprise, aider les DSIN, Dirigeants des Systèmes d’Information et du Numérique, à mieux comprendre comment les nombreuses offres de solutions disponibles en 2022 peuvent être combinées pour répondre efficacement, rapidement et à moindre coût à la grande variété des attentes de leurs différents clients, attentes qui se répartissent sur une courbe longue traîne.

Dans un billet récent, j’ai abordé la dimension financière de l’équipement numérique des équipes terrain.

J’en reprends uniquement le tableau final, qui donne le coût complet d’une solution frontique, à savoir un smartphone et des applications numériques universelles.

Le coût mensuel par personne est compris entre 8 € et 25 €.

Je terminais en disant que la dimension financière était la plus simple à régler et que les dimensions management sont les plus complexes à régler.

C’est le thème de ce billet.

Les défis posés par l’équipement numérique des équipes terrain

Remarque préliminaire: ce que j'écris dans ce billet ne concerne pas votre entreprise !

Chez vous, tout est parfait, impeccable et les équipes terrain disposent des meilleurs outils numériques du monde.

C’est chez les autres que l’on rencontre les problèmes que j’expose ici:

● Dans la majorité des entreprises, les équipes terrain n’ont pas leur mot à dire sur le choix des outils numériques que l’on met à leur disposition.

● Dans la majorité des entreprises, les dirigeants n’ont pas la moindre idée de la réalité des activités des équipes terrain.

● Dans la majorité des entreprises, les équipes informatiques et numériques achètent ou développent des solutions numériques pour les équipes terrain sans faire le moindre effort pour aller sur le terrain et essayer de comprendre quelles sont leurs véritables attentes.

● Dans la majorité des entreprises, équiper tous les cols blancs d’un PC haut de gamme et d’un smartphone est une évidence quand on refuse trop souvent de fournir aux équipes terrain un smartphone professionnel, les obligeant à utiliser des formulaires papier, en 2022!

Dans toutes ces entreprises, cette fracture numérique entre les cols blancs et les équipes terrain doit cesser, et vite.

Comment ? En demandant aux dirigeants de prendre le problème en main et… de le résoudre.

La bonne nouvelle: c’est possible, rapidement.

Démarche Top Down - Bottom Up

La démarche proposée a déjà été suivie avec succès par un petit nombre d’entreprises innovantes.

Elle répond aux quatre défis que j’ai identifiés dans le paragraphe précédent et s’appuie sur un double mouvement, “Top-Down” et “Bottom-up”.

Pour la partie Top-down, les équipes dirigeantes ont la responsabilité d’impulser une stratégie claire, avec plusieurs objectifs:

● Faire de la réduction de la fracture numérique entre cols blancs et équipes terrain une priorité.

● Proposer des outils numériques qui encouragent une collaboration entre ces deux populations et rendent plus facile le partage d’information.

● Choisir des outils qui garantissent la pérennité des solutions proposées et évitent la prolifération d’un “Numérique Fantôme” comme on l’a connue pour les cols blancs.

● Mettre la sécurité et la protection des données au cœur des préoccupations.

Pour les équipes terrain, la démarche bottom-up répond à d’autres objectifs:

● Accepter le fait que les solutions numériques n’ont pas pour premier objectif de contrôler l’activité des équipes terrain, mais de les rendre plus efficaces dans leurs métiers.

● Ceux qui font, savent. Ce sont les équipes terrain qui sont les mieux placées pour déterminer quels sont les outils numériques qui peuvent les aider dans leurs activités.

● Comprendre que la variété des activités demandées aux équipes terrain est beaucoup plus grande que ne le pensent les dirigeants.

● Instaurer une confiance réciproque entre les équipes terrain et les cols blancs.

● C’est en mettant entre les mains des équipes terrain des outils numériques universels, “frontiques”, qu’elles seront capables d’imaginer les dizaines de cas d’usage simples, à forte valeur ajoutée, qui les aideront dans leurs activités quotidiennes.

Les dirigeants acteurs

J’ai identifié quatre familles de dirigeants dont les rôles sont prioritaires pour assurer le succès d’une transformation numérique au service des équipes terrain.

L’ordre dans lequel je les présente n’ai pas dû au hasard; il va du plus important au moins important:

1. DRH, Direction des Ressources Humaines.

2. Directions métiers opérationnels, où travaillent les équipes terrain.

3. DSIN, Direction des Systèmes d’Information et du numérique.

4. DG, Direction Générale.

Par contre, la chronologie de l’ordre des interventions n’est pas la même: DRH, DSI, DG et Directions métiers opérationnels. C’est celui que je vais suivre dans mon analyse.

Rôle de la Direction des Ressources Humaines

Quand on parle d’équipes terrain, on fait référence à des personnes. Il est logique que la DRH d’une entreprise soit en première ligne pour orchestrer la disparition de la fracture numérique interne entre les cols blancs et les équipes terrain.

En France, les collaborateurs des équipes terrain, les personnes qui ne peuvent pas télétravailler, représentent environ 60% des salariés. C’est très variable selon les secteurs d’activités.

Faire rentrer les équipes terrain dans le monde numérique, toutes les personnes de ces équipes, quelle que soit leur formation initiale, ou souvent leur absence de formation, c’est investir sur la capacité de ces hommes et de ces femmes à progresser dans leurs compétences et leurs apports à l’entreprise.

C’est l’une des plus belles missions que puisse prendre en charge une DRH innovante.

J’ai participé il y a quelques semaines à un débat organisé par l’UODC, Université ouverte des compétences, qui avait invité Sandra Hazelart, DRH du Groupe Monoprix.

Avec l’accord total du DG du Groupe, la démarche qu’elle pousse pour prendre en compte les attentes des équipes terrain est exceptionnelle par sa portée et les innovations qu’elle porte.

Gérer les évolutions de carrière, en particulier pour les caissières dont on sait que le nombre va baisser, mettre plus de collaborateurs au contact des clients, équiper 22000 collaborateurs de smartphones sont quelques-unes des actions les plus spectaculaires poussées par Sandra Hazelart.

Les entreprises françaises ont besoin de beaucoup plus de DRH aussi exceptionnelles!

Rôle de la Direction des Systèmes d’Information et du Numérique

Quand on parle d’informatique et de numérique au service des équipes terrain, il est essentiel que les équipes de la DSIN soient impliquées dès le début du projet.

Dans le cas des usages frontiques à destination des équipes terrain, leurs rôles sont orientés en priorité vers les infrastructures.

Pourquoi? Les usages seront imaginés dans une démarche bottom-up par les équipes terrain, sans que les équipes de la DSIN n’aient à s’en occuper.

La DSIN doit proposer une plateforme numérique pérenne qui servira de support à tous les usages déployés par et pour les équipes terrain.

Une fois de plus, le modèle B I S D (Business, Infrastructures, Support, Données) que je propose depuis des années s’applique très bien pour les usages au service des équipes terrain:

● I = Infrastructures Cloud pour la puissance et la pérennité.

● S = Usages support, ce que sont les applications frontiques.

● D = Base de données indépendante des usages.

● B = Usages métiers, pour des applications métiers spécifiques des équipes terrain.

La DSIN doit garantir:

● La cohérence de tous les usages qui seront imaginés par les équipes terrain.

● Que ces usages ne vont pas générer une nouvelle vague d’informatique fantôme comme cela c’est passé avec les cols blancs.

● Que la solution proposée ne va pas créer un nouveau “silo de données”.

● Que les échanges entre les solutions existantes au service des cols blancs et celles construites pour les équipes terrain seront possibles, chaque fois que nécessaire.

C’est avec tous ces objectifs en tête dès le premier jour et en travaillant en étroite collaboration avec les équipes informatiques et numériques d’entreprises innovantes comme Teréga que Wizy.io a construit la solution frontique WizyVision.

WizyVision a tout pour répondre aux attentes d’une DSIN:

● Basé sur GCP, le Cloud Public de Google: garantit une puissance sans limites et la possibilité de déployer les solutions sur tous les continents.

● DAC, Digital Asset Center: la seule base de données professionnelle au monde construite pour gérer et sécuriser tous les contenus photos créés par les équipes terrain.

● Frontspace: application mobile au service des équipes terrain.

● ML Studio: permet de construire des applications de Machine Learning en mode No-Code, permettant de reconnaître des objets métiers spécifiques.

● API: toutes les fonctionnalités de WizyVision sont ouvertes par API pour échanger, dans les deux sens, avec les applications existantes.

Oui, il est possible en 2022 à une DSIN de proposer rapidement une plateforme technologique moderne et pérenne qui permet de construire des dizaines de cas d’usages pour les équipes terrain.

Rôle de la Direction Générale

Il est classique de dire que toute action dans une entreprise doit être initiée par la Direction Générale. Dans la pratique, il est illusoire de demander à une Direction Générale d’être le chef d’orchestre de toute transformation; ils n’en ont matériellement pas le temps.

Sur ce grand chantier de la suppression de la fracture numérique des équipes terrain, comme sur beaucoup d’autres, la DG doit être une facilitatrice et une coordinatrice des actions menées par les dirigeants plus directement impliqués.

Rôle directions métiers opérationnelles

Les équipes terrain travaillent dans ces directions opérationnelles, que ce soit dans l’industrie, le transport, la logistique, la distribution, l’hospitalité, la santé, la construction ou l’agriculture.

J’inclus aussi dans les directions métiers les managers de premier niveau, en contact direct avec les équipes terrain. Ce sont eux qui ont le plus de capacité à piloter la transformation numérique opérationnelle des équipes terrain.

Les objectifs de ces directions métiers sont clairs:

● Augmenter les compétences de leurs équipes terrain.

● Accroître leur efficience.

● Accepter que la démarche “bottom-up” soit la plus efficace.

Pour y parvenir, le plus efficace est de mener une première opération d’expérimentation, par échantillonnage:

● Mettre entre les mains d’un groupe le plus représentatif possible de collaborateurs des outils numériques universels frontiques.

● Leur demander de trouver les premiers cas d’usages.

● Faire la synthèse des meilleures pratiques nées sur le terrain.

L’entreprise peut ensuite industrialiser la diffusion des solutions numériques et généraliser les cas d’usage identifiés comme les plus pertinents à l’ensemble des collaborateurs.

Comme le montre ce schéma, de nouveaux cas d’usages naîtront en permanence, au fur et à mesure que les collaborateurs s’approprient ces outils frontiques.

Illustration de la démarche sur un cas concret

Pour illustrer cette démarche, je vous propose un exemple concret: une entreprise du secteur de la distribution qui emploie 4000 collaborateurs dans les équipes terrain, répartis entre 150 points de vente, 100 supermarchés et 50 supérettes de centre-ville.

Quelles sont les étapes de la phase d’expérimentation de l’équipement numérique des équipes terrain de cette entreprise?

● Sélectionner 20 supermarchés et 10 supérettes, les plus différents possibles en matière de localisation, de taille et de marché.

● Choisir 200 collaborateurs volontaires et motivés, 5% des effectifs, dans ces 30 points de vente, aux profils et activités les plus variés possibles.

● Équiper ces 200 personnes d’outils frontiques de base: un smartphone et une application telle que WizyVision.

● Leur donner carte blanche, pendant 15 jours, pour trouver et documenter des cas d’usages pertinents qui les aideraient dans leurs activités quotidiennes.

● Faire ensuite l’inventaire de toutes les propositions de cas d’usages.

Les chiffres qui suivent sont une estimation, mais ils sont basés sur des réalisations de ce type déjà menées à bien:

● Nombre moyen de cas d’usages proposés par chacun des 200 collaborateurs: 4.

● Nombre total de cas d’usages proposés: 200 x 4 = 800.

● Des cas d’usages similaires seront proposés par ces 200 collaborateurs. En faisant l’hypothèse que le taux de redondance des cas d’usages proposés est de 70%, on aura quand même identifié 240 cas d’usages différents!

Il est alors possible de passer à la phase industrialisation avec la certitude que ce sera un succès pour l’entreprise:

● Equiper les 4 000 collaborateurs avec un smartphone et les cas d’usages pertinents. Selon les métiers, on peut décider:

    ○ D’équiper la personne d’un smartphone individuel.

    ○ De la mise à disposition d’un smartphone partagé, en particulier pour les personnes qui travaillent à tour de rôle sur les mêmes métiers.

● Présenter, par petits groupes, métier par métier, à tous les collaborateurs les cas d’usages proposés. Ce sont les salariés qui ont identifié les cas d’usages qui seront chargés d’en faire la promotion et la démonstration.

● Demander à tous les salariés maintenant équipés de proposer eux aussi des cas d’usages qui n’avaient pas encore été identifiés. Ceci devrait rapidement générer un minimum une centaine de nouveaux cas d’usages.

● À la fin de ce processus en deux étapes, qui peut se réaliser en moins d’une année, 350 applications simples, à forte valeur ajoutée auront été déployées pour les 4 000 collaborateurs, dans les 150 points de vente.

Synthèse: réduire la fracture numérique pour les équipes terrain, un beau défi management des 5 prochaines années

Ils sont 2 700 millions dans le monde, ils sont dramatiquement sous-équipés en outils numériques, les collaborateurs des équipes terrain vous demandent à vous, les dirigeants, d’enfin penser à eux.
DG, DRH, DSIN, Dirigeants métiers, vous avez une responsabilité forte, une obligation morale devant vous: faire que, d’ici à 2025, il n’y ait plus de fractures numériques entre les cols blancs et les équipes terrain dans vos entreprises.

Ce billet est le cinquième que je publie sur ce sujet essentiel, et voici, en rappel, les quatre premiers:

● Problème : après les cols blancs, priorité aux FLW, Front Line Workers.

● Comment : après un ordinateur pour chaque col blanc, un smartphone pour chaque FLW.

● Pourquoi : fractures numériques.

● Finances : coûts des solutions numériques: cols blancs et équipes terrain.

● Management : ce billet.

Il ne vous reste plus... qu’à passer à l’action.