lundi 29 février 2016

L'innovation est un cri qui vient de l'intérieur

L'innovation est un cri qui vient de l'intérieur

Au pays des GAFAs la théorie de Darwin est un sujet de controverse (car elle contredit le "design divin") , mais en Europe on reconnait le rôle que l'évolution a pu jouer pour que des espèces s'adaptent à un environnement en mutation.
 

Depuis plus de 5 ans GreenSI cherche à décoder la transformation numérique et son évolution. A chaque fois se pose la question des mutations nécessaires pour évoluer et répondre aux disrupteurs. Et comment l'entreprise peut les déclencher ? Par exemple pour faire face à l'augmentation du niveau de service rendu au client comme dans le cas d'Uber versus les taxis "pré-Uber".

 
Début 2016, GreenSI a rencontré une forme d'agents du changements d'un nouveau type, que l'on peut rencontrer dans les entreprises traditionnelles et qui pourrait les aider à évoluer plus vite : les hacktivateurs !



Les Hacktivateurs sont les faiseurs, des créateurs de liens et des innovateurs motivés par les opportunités transformationnelles qu’offre notre époque.

Ce sont des passionnés qui voient avant les autres le besoin d’adaptation de leur entreprise ou de la société et qui n'attendent par inactivement l'arrivée d'un dirigeant visionnaire, ou la prise de conscience "naturelle" du management pour essayer de changer les choses. 

Ils se sont regroupés fin 2015 en une association loi de 1901 (les hacktivateurs) qui organise, le second lundi de chaque mois, des "afterworks" pour se rencontrer et partager expériences et résultats. Et certainement aussi pour se sentir moins seuls, car bien sûr, dans chaque entreprise ils sont une infîme minorité à avoir cette sensibilité.

 

Quels sont leurs moyens d'actions et de transformation ?

Au départ celà peut-être une simple rencontre avec leurs collègues pour partager des idées, tenter une expérimentation en condtitions réelles, ou créer une communauté d'échanges sur les réseaux sociaux. Tout est bon pour développer et répandre de nouvelles idées ou de nouvelles questions qui dérangent.

Ils peuvent aussi par exemple détourner la pause déjeuner pour inviter leurs collègues à découvrir de nouveaux outils comme Twitter ou Slack, mobiliser le temps perdu des collaborateurs pour construire la maquette d'un nouvel outil collectif et convaincre de son financement, participer à des hackathons le week-end ou faire de la veille sur les activités des startups du secteur pour imaginer de nouveaux services.

Toutes ces activités auraient pu être organisées "officiellement" par l'entreprise, mais seuls eux ont l'intuition de l'importance qu'elles auront à l'avenir et donc y consacrent du temps, alors que l'entreprise n'y voit pas (encore) de l'intérêt... ou ne sait pas qu'elle à déjà des compétences pour les aborder en internes et non avec des consultants. 

 
Dans certaines entreprises on les nomme intrapreneurs, dans d'autres des Corporate Hackers ou Corporate Rebel quand ils "hackent" de façon bienveillante les systèmes qui empêchent l'entreprise d'avancer, en contrevenant à certaines règles. Car dans l'entreprise le frein n'est pas toujours d'imaginer de nouvelles choses, mais aussi de savoir quand stopper des choses anciennes comme abroger des règles plus adaptées.

Dans d'autres entreprises "moins ouvertes", ils sont ignorés, quand ils ne sont pas sacrifiés. Ils vivent alors cachés car c'est vrai qu'on tire parfois sur l'apporteur de mauvaises nouvelles, et leur attitude met trop en évidence, la frugalité, la souplesse ou l'agilité que l'entreprise devrait acquérir, au lieu de se retrancher systématiquement derrière ses procédures.

La DSI les connait bien ces hacktivateurs quand ils cherchent à avoir plus de souplesse pour travailler et amènent eux même leurs propres matériel informatique (BYOD), partagent leur wifi avec leur collègues pour contourner le blocage des sites ou développent même parfois leurs propres applications, qualifiées de grises. Et pour être franc ils ne sont pas toujours les bienvenus...

Pourtant la transformation digitale n'est pas qu'une révolution technologique ou des usages avec les clients, mais bien aussi une révolution des méthodes et de la façon de travailler en interne. Domaine dans lequel ils peuvent certainement jouer un rôle important.

Les développeurs par exemple ont du réinventer leur métier depuis l'arrivée d'html et la fin des L4G, s'adapter à la révolution permanente des langages et environnements de développements de l'internet, et même développer leurs propres outils en open source. 

Ce sont eux, et non les directions méthodes ou organisation, qui ont identifié la rupture de "l'extrême programming" qui révolutionne la façon de coder, celle du DevOps qui révolutionne les relations entre les études et les opérations ou celle de l'agilité et du lean pour mettre fin à des démarches trop struturées qui en deviennent anachroniques dans un monde imprévisible et accéléré.

Des approches nouvelles qui sont aujourd'hui essentielles pour la transformation digitale.

 
Certaines entreprises confrontées un defi de transformation rapide, vont chercher à l'extérieur leurs idées dans la collaboration avec les startups. De nouvelles offres de services de consulting se développent d'ailleurs pour celà avec des cabinets traditionnels ou de nouveaux acteurs comme le NUMA.  Mais souvent ces entreprises oublient que les hacktivateurs sont certainement déjà présents dans l'entreprise et qu'il faut aussi engager une démarche interne !

L'innovation est aussi un cri qui vient de l'intérieur quand on sait l'écouter.

Ils ont peut-être déjà développé les compétences qui seront recherchées, mais dans des métiers "invisibles" des états majors ou des grilles de compétences RHs. Quels sont les hacktivateurs dans votre entreprise, dans votre service ? Une question qui va prendre de plus en plus d'importance.

Comment leur donner les moyens de tester et d'amplifier leur action ? Car si elle abouti, c'est peut être la séquence ADN manquante qui permettra à l'entreprise de passer à son stade suivant sur la courbe de l'évolution. Ce serait dommage de rater cette opportunité. Et pour en avoir discuté avec un chef de projet à la DSI d'une compagnie de taxi, la géolocalisation des clients n'a pas été inventée par Uber...

Alors si vous ne savez pas à quoi ils ressemblent, participez à leur prochain afterwork le 14 mars. Peut être vous y trouverez des collègues ;-)  

jeudi 25 février 2016

Villes Internet 2016: la participation citoyenne félicitée

Villes Internet 2016: la participation citoyenne félicitée

Lancé le 20 mars 2015 par Axelle Lemaire, le label national territoires, villages et villes internet, a tenu sa soirée de remise des prix le 18 février 2016 à Montrouge, en la présence de Jean-Vincent Placé, secrétaire d'Etat chargé de la réforme de l'Etat et de la simplification. Au menu, quelques conférences sur l'avancée du numérique dans les collectivités et le rôle prépondérant des élus et services locaux, mais surtout la remise des labels "ville internet 2016", assortis de 1@ à 5@, qui s'afficheront bientôt sur un panneau d'entrée de ville.
GreenSI observe depuis plusieurs années cette manifestation organisée par l'association des Villes Internet, créée en 1999, et dont le travail pour inciter à mettre en avant le numérique a été exemplaire pour stimuler le partage d'expériences numériques entres élus, au delà du label et du panneau.

Pour certains élus ce label est même devenu un outil de mobilisation pour engager localement des projets, et rassembler largement derrière ces projets, avec l'objectif d'obtenir un label, une reconnaissance de l'effort. Avouons que dans le monde des collectivités où on doit afficher en permanence sa conformité à une réglementation ou au bon respect des règles et de codes, c'est quand même un sacré bol d'air que de pouvoir lancer des projets numériques pour rechercher une innovation ou des nouveaux services ;-)

Mais pour GreenSI, comme chaque année, après avoir reconnu les avancées des collectivités nominées au label 5@, on peut quand même se demander pourquoi seulement 1.080 collectivités locales ont été récompensées depuis l'origine (sur beaucoup plus de 36.0000 avec les communautés d'agglomérations) ? Et pourquoi finalement il y a si peu de 5@ (10-20%) ?

N'est-ce pas finalement un effet secondaire de ce label que d'associer Internet, et plus largement le numérique, à un label: une récompense que les pionniers ou les meilleurs vont conquérir, mais qui ne serait pas pour tout le monde ?
Pourtant la réalité est bien que ces services numériques sont une évolution de notre société et de ses usages, et que leur absence sur certains territoires seront rapidement perçus comme des freins au développement de ces territoires.

Imagineriez-vous choisir un logement et déplacer votre famille, ou votre entreprise, dans un logement qui n'a qu'un accès Internet très bas débit, hors des zones de couverture de la 3G ou 4G ?

Un logement dans une collectivité qui n'offrirait aucun service administratif via internet pour faciliter la vie des habitants, ou favoriser les pratiques culturelles, artistiques ou de rencontres avec son patrimoine. Une collectivité qui ne ferait pas du numérique un moyen d'éducation de vos enfants, de formation professionnelle ou de création de liens intergénérationnels. Et pourtant nous venons simplement de balayer la moitié des premiers critères du questionnaire du label pour obtenir ses premiers @...

Toute innovation devient plus ou moins rapidement une commodité. C'est le cas de l'Internet 1.0 centré sur l'accès et la présence en ligne. 

Cette année, pour décrocher le prestigieux 5@, il fallait miser sur la démocratie locale, la participation citoyenne ou l'innovation. Ce sont les mentions dominantes des 30 collectivités qui les ont obtenus. Une liste qui démontre que l'accès internet ou la "mairie en ligne" sont maintenant devenus des commodités (de l'internet 1.0) et que certaines collectivités sont déjà bien engagées dans l'internet collaboratif 2.0.


Cliquez dessus pour voir en plus grand

GreenSI a particulièrement apprécié quelques projets qui montrent la tendance du numérique sur les territoires. En voici trois.


Un opendata moderne à Agen

Avec un temps d'avance sur la loi sur l'économie numérique, votée fin janvier de cette année, et qui va certainement instaurer un opendata par défaut, Agen a ouvert ses données en s'appuyant sur une plateforme SaaS du marché, Opendatasoft.

Et c'est une excellente idée ! Car ce que demandent les citoyens, ce n'est pas d'engouffrer le budget de la collectivité dans le développement d'une Nème plateforme opendata qui demandera chaque année des budgets pour sa maintenance, mais bien de transformer les processus de la collectivité pour produire et structurer des données de qualité. On retrouve ici ce le débat du développement spécifique versus progiciel, puis du progiciel en ligne, que les DSI connaissent bien. 

GreenSI a testé le portail d'Agen. En quelque minutes on peut créer une carte en croisant deux jeux de données ouvertes, par exemple la présence des restaurants dans la ville (carte de chaleur), avec la localisation des caméras de vidéo-protection (en vert) et voir si il y avait une corrélation. Et pourquoi pas !
C'est bien la liberté du citoyen que d'analyser et de suivre sa ville pour peut être poser une question pertinente au prochain conseil municipal. Et d'autres villes ont commencé à ouvrir les budgets municipaux. Avec ce type d'outils simples dans les mains des citoyens, on peut s'attendre à mieux comprendre les dépenses de la collectivité et les réorienter vers leurs priorités.



Olivet @ work

A Olivet, dans le Loiret, l'innovation est dans l'accompagnement des agents pour prendre en main leur nouvel outil collaboratif: la suite Google @ work.
La prise en main s'est faite directement sur le poste de travail de l’agent pour s'adapter aux besoins et aux niveaux de connaissance de chacun. Après une initiation générale en séance plénière le vendredi après-midi, et distribution d’un pense-bête récapitulant les principales fonctions, la migration s'est effectuée pendant le week-end, et le lundi matin le suivi individuel de la prise en main a pu démarrer. Une initiative qui rappelle qu'un territoire numérique aura nécessairement des agents qui en adoptent les outils (SaaS) et en maîtrisent les usages (Collaboratifs).

Les DSI des collectivités sont en première ligne pour répondre à ce besoin de transformation interne de la collectivité, terreau fertile de la transformation de sa relation avec ses habitants.

La formation au numérique des personnels des collectivités territoriales est, et restera, bien sûr essentielle. C'est bien d'une transformation numérique des collectivités locales dont on parle et pas d'un simple service de plus sur Internet. C'est ça le message des labels quand ils s'inscrivent dans la durée et non dans une campagne de communication.

On peut d'ailleurs saluer en ce moment l'initiative de l'Inria qui a lancé un MOOC sur la ville intelligente, pour embarquer en masse tous ceux qui veulent se mettre à niveau sur la transformation numérique de la ville, avec à la clef la fameuse "Smart City". Beaucoup d'agents de collectivités locales suivent ce cours dans lequel GreenSI y a ses entrées.


Je(u) trie à Saint-Germain-en-Laye

Afin de sensibiliser ses jeunes et moins jeunes habitants, la ville a lancé en février 2015 un jeu sur le tri sélectif pour faire de la pédagogie en exploitant le ludique. Pour y jouer c'est par ici.
La collectivité éditeur de jeu (via une startup), au lieu de remplir les boîtes aux lettres de dépliants ou les journaux municipaux en papier qui partent à la poubelle (pour y être recyclés!), l'idée est intéressante. Elle réinvente la relation citoyens. D'ailleurs la ville planche déjà sur la version 2. 


Cet exemple est aussi un cas d'école des synergies "perdues" dans un modèle de collectivités trop décentralisées. Car sans aucun doute, ce jeu en ligne sur Internet peut aussi atteindre sa cible (les jeunes et le recyclage) ailleurs qu'à Saint Germain en Laye. Il faudrait juste changer le logo en première page! Et si il y a un modèle économique derrière, son développeur pourrait le mettre à disposition de plus de villes en France, voir en faire un "commun" accessible gratuitement comme l'a déjà démontré l'open source.

L'internet est maintenant une plateforme centralisée où se retrouvent ses milliards d'utilisateurs dans le monde. Un village mondial beaucoup plus grand que la ville, dont les utilisateurs créent du contenu à profusion, parfois des applications et les échangent encore plus vite dans des communautés très dynamiques, dans lesquelles la collectivité va vite devoir trouver sa place... ou changer de nom ! 

Car la "multitude", ces citoyens adeptes du numérique, peut aussi s'organiser seule en collectivité.

Y compris pour délivrer des services de proximité comme le transport, l'entraide ou l'insertion, comme l'économie collaborative nous le démontre quotidiennement. L'internet a toujours été une question d'économie d'échelle et d'hyper-personnalisation de la relation. L'économie collaborative ne fait que l'exploiter avec une finalité qui est nouvelle. Et ces économies d'échelles risquent d'être plus puissantes sur la durée que toutes les initiatives locales, même les plus éclairées.

Alors villes internet, laissez vite tomber votre panneau d'entrée de ville et unissez vous rapidement !

C'est certainement une opportunité, dans le cadre de la réforme territoriale, que d'offrir des services à d'autres collectivités, sans limite de territoire physique, pour créer des écosystèmes créateurs de valeur. Car le territoire n'a pas de sens dans un monde numérique. Ou plutôt il à le sens de la communauté que vous voulez créer. C'est certainement une opportunité de création de plateformes ouvertes à exploiter et y entraîner aussi la très grande majorité des collectivités qui n'a jamais reçu un label.
Alors, prêts pour les labels 2017 ?


dimanche 14 février 2016

Louvois: la fin du tunnel attendue en 2021 ?

Louvois: la fin du tunnel attendue en 2021 ?

En 2013, le Ministre de la Défense Jean-Yves Le Drian prenait la décision d'arrêter le projet Louvois de refonte du système de paie des armées, dont les premières études datent de 1996 et sur lequel GreenSI avait déjà fait un billet il y a deux ans (voir : Quand Louvois se fourvoie, le Marquis est en émoi). 

Pour GreenSI, cette décision n'était que le début d'une période difficile, sur laquelle le dernier rapport de la Cour des Comptes publié cette semaine vient de se pencher, et qui ne s'arrêtera au mieux qu'en 2021 avec la sortie du tunnel attendue par tous. Une sortie qui arrivera donc peut être après 25 ans d'efforts et après avoir dépensé des centaines de millions d'euros supplémentaires. Ne cherchez surtout pas le ROI nous sommes dans le règlementaire ;-)

Louvois est plein d'enseignements avec ses multiples échecs sur une si longue période. Et si il fallait rappeler que les grands projets informatiques sont risqués et qu'ils ont peu de chance de suivre les plans initiaux, et bien voilà c'est fait. Les plans n'engagent donc que ceux qui y croient.

D'ailleurs en 1994, deux ans avant les études de Louvois, le Standish Group publiait une étude maintenant célèbre (et devenue payante!), "The Chaos Report", montrant que seuls 16% des projets respectaient leurs délais, budgets et leur périmètre annoncé.

Pire, ce chiffre tombait à 0% pour les projets au dessus de $10 millions. Avec le déploiement de méthodologies et l'expérience accumulée, dix ans plus tard en 2004 le taux de succès montait à 29% mais restait nul pour les grands projets.
En 2015, une petite lueur d'espoir est à l'horizon puisque 2% des grands projets peuvent réussir, 7% êtres "challengés" (ne respecter qu'un paramètre) mais 17% sont encore stoppés avant la fin et passés par pertes et profits.


Au delà du risque, le projet Louvois interpelle aussi par son échelle du temps.

Quand les études de Louvois sont lancées en 1996, on est au début de l'internet. En 1993, Marc Andreesen a présenté Mosaic, qui allait devenir Netscape Navigator en 1994 et offrir le premier moyen pratique de surfer sur le Web.

Quand le projet Louvois est lancé, on en est à l'éclatement de la bulle Internet 1.0 après avoir un peu trop surfé sur la valorisation des modèles économiques. C'est aussi le début de l'internet 2.0 avec la première version de Wikipedia.
Ce premier projet Louvois 1 est arrêté après l'échec de la tentative d'adaptation d'un progiciel du marché, un grand classique de l'informatique!

cliquez pour la version PDF du planning

 
En 2004 après cet échec, on ne doit plus croire aux progiciels, alors on lance un développement spécifique d'envergure, qui est réorienté en 2007 dans un nouveau projet. C'est ce projet qui sera déployé en 2011 et subira plus d'un an de difficultés. 

Louvois devait aussi communiquer avec l'ONP - l'opérateur national de paye - regroupant les paiements de tous les agents de l'Etat, qui n'a jamais vu le jour, tant la réorganisation - et la perte de pouvoir - qu'il demandait était hors de portée.

A l'extérieur, quand Louvois est stoppé en 2013, l'internet est devenu une informatique mondiale qui connecte plus de 2 milliards de personnes et commence à transformer la société. On mesure ici la vitesse du digital par rapport à la lenteur d'une informatique traditionnelle, surtout quand elle avance par à-coups. 

Louvois nous pose aussi la question de la complexité des projets que l'on souhaite mener.

Car le risque est fonction de la taille du projet mais aussi de sa complexité. L'intérêt des démarches agiles tient aussi dans la réduction de la complexité par une meilleure gestion des dépendances et par un apprentissage en continu. Mais en 2007 ce n'était pas encore sur le radar des DSI ou des intégrateurs français.

L'erreur c'est peut être quand en 2007 la réorientation de Louvois, pour le simplifier, a conduit à la notion de moteur capable de traiter des données issues de multiples systèmes, et non plus saisies dans Louvois par des écrans déportés dans les services RH des armées. A ce moment là, l'assistant à maitrise d'ouvrage n'a certainement pas perçu que la complexité augmentait considérablement et donc aussi sa capacité à le piloter. Pour GreenSI Louvois ne s'en est jamais remis ensuite.

L'agilité aurait au contraire préconisé de découper le projet de la saisie de la donnée, à l'utilisateur final qui reçois et contrôle sa feuille de paye, sur un nombre restreint de règles en segmentant les utilisateurs. Certainement pas simple à faire dans une gouvernance éclatée en corps d'armées.
Ce moteur de calcul est alors devenu un "noyau instable" dans lequel la Cour des Comptes a comptabilisé en Avril 2015, 1418 "erreurs systèmes" identifiées et non résolues, dont certaines datant de plusieurs années. Les données qui l'alimente n'étant pas non plus toujours maîtrisées ni toujours exactes. 

C'est ce coeur, alimentant la paie des armées ayant déployé Louvois, qu'une équipe d'administratifs essaye de garder "stable" par des corrections manuelles, alors que le système produit en masse des "moins versés" et des "trop versés", qu'il faudra d'ailleurs un jour que les militaires remboursent. Une bombe à retardement en perspective...

Le coût de Louvois, des centaines de millions d'euros, explose pour maintenir ce système au coeur instable qui a été déployé sans possible retour arrière et en attendant son successeur. 

L'heure du remplacement de Louvois a donc sonné en 2014.
Après une procédure de plus d'un an, la revue des maquettes des candidats a été faite par le Ministre de la Défense en personne, pour choisir et mettre le nouveau projet "Source Solde" sur les rails. Un choix de HR-Access qui en a perturbé plus d'un quand tous les autres systèmes interfacés sont du SAP. Mais parfois diviser c'est régner ;-)
 

En terme de gouvernance, le choix a été fait de considérer Source Solde comme un programme d'armement, avec une équipe intégrée et un directeur de programme issu de la DGA. Dans le privé, on aurait dit que les métiers ont repris le projet en main. C'est d'ailleurs une autre tendance de fond de l'informatique, plus ou moins heureuse.

Car cette tendance oblige que ces métiers se professionnalisent pour gérer des projets informatiques et leur urbanisation, et résistent au chant des sirènes de ceux qui leur font soigneusement éviter la case DSI pour leur vendre en direct de la technologie.

Par une étrange coïncidence, le même assistant à maîtrise d'ouvrage que Louvois, aurait d'ailleurs fait "exploser en vol" une autre DSI en recommandant la reprise en main des roadmaps applicatives par les métiers. Deux ans plus tard, le manque d'expérience et de coordination entre métiers, aurait eu raison de la gouvernance de son système d'information et de sa capacité à imaginer son futur. Ce sera certainement l'objet d'un prochain billet.

Car la complexité du projet Louvois, reprise par Source Solde, n'est pas réduite pour autant, comme en atteste le schéma d'intégration du projet. 

L'urbanisation globale du SI des armées restera dominante pour lancer le nouveau service et le maintenir avec l'évolution de ses interfaces dans le temps.


Et donc selon les abaques du Standish Group, Source Solde n'a que 2% d'arriver à l'heure début 2017 et 17% de ne pas arriver du tout. Le premier paramètre explicatif du succès d'un projet est l'engagement du sponsor. La fin de son déploiement est estimée en 2021.
 

Et puis 2017 est aussi la date à laquelle le sponsor du projet, l'actuel Ministre de la Défense, qui a montré son leadership en stoppant le projet précédent et en validant les choix et le lancement de Source Solde, sera certainement lui aussi... remplacé ! Elections présidentielles obligent.

Louvois est donc une trajectoire de projet qui restera un cas d'école pour la mise en place d'un progiciel et sa conduite des changements, dont de nombreux documents sont publics, et que GreenSI conseille de méditer dans toutes les DSI.

Sans transition, connaissez-vous Fix, un dessinateur qui illustre très bien le monde de l'entreprise et qui va sortir prochainement un ouvrage, au titre alléchant de "A la recherche du projet perdu", que GreenSI attend avec impatience...

Pour aller plus loin:

lundi 1 février 2016

La confiance numérique au bout du tunnel ?

La confiance numérique au bout du tunnel ?


Lundi 25 janvier la communauté des DSI s'est réunie pour nommer le "DSI de l'année" mais au menu de cette manifestation les organisateurs avaient aussi glissé une table ronde sur le rôle du DSI dans la chaîne de confiance numérique.

L'objectif était de se donner une perspective avec la déferlante des objets connectés et l’utilisation de plus en plus massive des données collectées.


Le matin même, lors de la FIC2016 à Lille, la table ronde "crise de confiance ou prise de conscience" avait tourné à la joute autour de l'espionnage des Etats. Le sujet n'est donc pas simple et la DSI se retrouve dans une coquille de noix flottant sur un océan déchaîné !


Le rôle du DSI dans une économie numérique est aussi flou que ce qu'est aujourd'hui un/une Directeur des SI, dans une entreprise numérique.

Car le système d'information déborde largement de la DSI:

  • avec les utilisateurs adeptes du BYOD et de tous ses outils en ligne,
  • avec les maîtrises d'ouvrage qui développent le "Shadow IT",
  • avec la Direction Marketing qui s'empare de certains des budgets du big data,
  • ou encore le Chief Digital Officer qui coordonne les offres digitales ou l'animation de l'innovation.
  • sans compter la DRH qui devrait investir plus dans les compétences numériques (DSI-DRH vers un mariage de raison) et l'extension à venir du SI avec les multiples d'objets connectés qui relieront directement ou indirectement les clients et les salariés avec l'entreprise.
Alors dans ce contexte de gouvernances multiples, se rassurer en récitant CoBIT par coeur ou les règles de sécurité édictées par le RSSI, est peut-être le début de la déraison, pour ne pas dire de la folie.





Ce que GreenSI voit derrière cette désorganisation grandissante, c'est que dans une économie de la confiance, c'est bien toute l'entreprise qui est concernée et qui doit être mobilisée. Le SI n'est qu'un élément pour maîtriser la confiance, parmi d'autres, et ce via de multiples acteurs, du marketing aux RH en passant bien sûr encore par la DSI.

Cependant il est clair qu'un DSI informé et ayant des relations établies avec ces acteurs aura plus de capacité à suivre les complexes évolutions de la sécurité des données, et à accompagner son entreprise pour affronter cette révolution. Car la sécurité des données n’est pas une mission nouvelle pour les DSI. Ce qui est nouveau, c'est le changement d'amplitude, au regard des risques numériques qui ne font que croître et s'étendre.
Le centre de gravité du rôle de la DSI sur la protection des données doit donc se déplacer.

Et si vous n'êtes pas encore convaincus ou conscient des dangers encourus, GreenSI vous conseille de regarder quelques épisodes de la nouvelle série des "Experts cyber" sur TF1 le mercredi. Vous allez vite faire plus attention à votre smartphone et à vos mots de passe ;-)


Comment transformer une contrainte en une opportunité ?


Ne plus voir uniquement la sécurité comme une contrainte n'est pas gagné pour un DSI, car par expérience, les premiers livres blancs de la profession sur tous les nouveaux sujets sont souvent sur les risques (du cloud, du numérique, des objets connectés,... ) et plus rarement sur les opportunités. C'est dans l'ADN de la profession !

Pourtant, pour traiter la "privacy", une approche peut être de construire une proposition de valeur pour les clients autour de la sécurité.





C'est par exemple quand Microsoft en fait une arme marketing contreGmail, avec sa politique d'accès aux emails privés, alors que Gmail est fondé sur leur analyse permanente et temps réel par des "robots".


Ou quand DuckDuckGo met en avant son indépendance et l'absence de traces sur son moteur de recherche, dans sa bataille contre Google Search

Un DuckDuckGo qui rencontre de plus en plus de succès a chaque révélation d'espionnage d'une société ou d'un Etat.


En revanche Microsoft avec Windows10 et Edge est mis sur la sellette d'être un peu trop indiscretLa politique si elle est fixée doit être cohérente sur tous les produits, et donc associée à la marque.

Alors pourquoi AccorHotels ne s'engagerait-il pas à détruire les données des accès des cartes magnétiques utilisées pour circuler dans les hôtels, quand un client quitte l'hôtel ?

Et pourquoi Orange ne proposerait pas pour se différencier le téléchargement à tout moment de toutes ses données personnelles, y compris de trafic sur sa box ou de géolocalisation du mobile ?

Google le propose déjà avec Takeout : Chez Google, c'est d'ailleurs un groupement de salariés qui a fait le lobbying interne nécessaire pour amener l'entreprise à proposer cette fonctionnalité. 

Il y a donc une attente des clients. C'est ce que révèle l'étude menée par Accenture et présentée lors de la table ronde: pour près de la moitié des consommateurs interrogés (47 %), les inquiétudes liées à la sécurité et au respect de la vie privée font partie des trois principaux obstacles à l’achat d’un appareil ou service connectés. Parmi ces appareils, citons les montres connectées, les bracelets santés ou les thermostats intelligents (notamment Nest acheté par... Google !).

L'avenir de l'internet des objets dépendra donc des politiques de "privacy" de ses opérateurs d'infrastructures ou de services. 


La politique de données, c'est autant ouvrir que fermer 


Le secret le mieux gardé est peut-être celui qui est connu de tous.

C'est une rupture car le SI passe d'une approche centrée sur la fermeture des données à une logique d'ouverture. C'est à dire qu'il sera à la fois interdit de diffuser telle donnée privée, et interdit de ne pas diffuser telles autres jeux de données ouverts par la loi.


L'open-source a démontré qu'en renonçant à la propriété intellectuelle on pouvait mieux se protéger par l'ouverture du code qui démultipliait les ressources impliquées pour le sécuriser. Aujourd'hui c'est l'open-data qui montre son nez avec la loi sur l'économie numérique qui vient d'être votée en première lecture à l'Assemblée, et demain ce sera le "paquet" sur la protection des données individuelles en discussion à Bruxelles.


La gestion des droits autour de la donnée et ses mécanismes de diffusion vont devenir aussi important que la gestion de la sécurité de l'entrepôt de données. On va certainement assister a un regain d'intérêt pour les démarches d'architecture de type "Master Data Management", API sécuriséesplateformes d'échanges sécurisées mais aussi pour les démarches degouvernance des données (voir: GouvInfo) et bien sûr d'analyse et de gestion des risques.

La DSI est donc passée du simple règlementaire à appliquer à l'accompagnement des métiers dans la création de nouveaux services ou usages reposant totalement sur le SI, dans ce qui va devenir une jungle de lois et de jurisprudences en fonction des pays et de la nature des données.

Ouverture par opportunité ou ouverture et fermeture des données par défaut, via la loi, la fonction de  RSSi doit se transformer pour qu'il devienne un partenaire des métiers. Pas simple, quand le travail des premiers RSSI a souvent été laborieux tant les esprits étaient marqués, voire traumatisés, par des années d'interdiction de la DSI au nom de la sécurité et un manque flagrant de communication. 


Une gouvernance qui doit devenir opérationnelle


Dans un SI à deux vitesses, dans la partie "historique" pour ne pas dire "legacy", on a déjà pas mal de recul sur la gestion des données et sur la sécurité. En revanche, dans la partie "Fast IT" ou "DSI digitale" des nouvelles plateformes numériques, tout est à imaginer, en collaboration avec les autres acteurs (Marketing, CDO,...). Mais surtout cette gouvernance doit devenir opérationnelle, et être supportée par des outils, et pas rester dans le domaine régalien sous la forme de normes et standards.

La DSI va bien sûr s'appuyer sur les offres de ses fournisseurs. Encore faut-il que ces fournisseurs aient des offres !

L'échec cuisant du "cloud souverain", dont le lancement a pourtant été largement financé par les contribuables, et qui promettait la sécurisation et l'hébergement des données sur le territoire français pour les collectivités locales et les entreprises soumises à des obligations, montre que l'intention ne suffit pas. 


Les SOC security operating center - sont des moyens mutualisés qui peuvent aider les entreprises à passer d'une sécurité statique à une sécurité dynamique, mais cela demande encore d'y raccorder les processus de l'entreprise. Mais les SOC ne gèrent que les accès, et encore depuis l'extérieur. 



Les CIL - correspondant informatique et libertés - doivent se déployer dans l'entreprise ; avouons qu'ils le font discrètement.

Et les RSSI n'ont pas toujours les équipes en phase avec leur attributions. C'est d'ailleurs aussi le cas de la CNIL.

SOC, CIL, RSSI, les moyens opérationnels de définition des politiques et de supervision de leur mise en oeuvre, sont loins d'être opérationnels à l'échelle de ce système d'information qui occupe de plus en plus d'espace en dehors de la DSI.

Pourtant, comme pour le développement durable, c'est bien une politique raisonnée d'utilisation des données personnelles et de leur sécurisation qu'attendent les clients ou les citoyens pour ce qui est des collectivités locales ou de l'Etat. Si l'exploitation des données est "sauvage" et sans contrôle, les client réagiront comme le montre l'enquête d'Accenture, et l'exploitation ne se fera pas du tout ; c'est de nouveaux services personnalisés (attendus par les client) qui ne se feront pas et qui ne permettront pas de financer le big data ou les plateformes cognitives.

Cette politique va demander a minima dans l'entreprise:
  • qu'une politique de protection ou d'ouverture soit fixée par l'entreprise,
  • que les données soient répertoriées et que le niveau de sensibilité ou d'ouverture soit apprécié,
  • que des tests d'intrusion, de vol, d'attaques et les plans de crises soient réalisés pour contrôler l'application des politiques, ce qui est rarement fait.
Instaurer un climat de confiance numérique pour développer les usages et démontrer de façon transparente que la protection est assurée, devient donc un point majeur pour l'avenir de l'entreprise numérique.