dimanche 21 mai 2017

WanaCrypt or WanaUpgrade your IT ?

Ce lundi 15 mai, de nombreuses DSI vont se réveiller avec la gueule de bois après le passage ce week-end d'une tornade non prévue: WanaCrypt.
Certains furent déjà sur le pont tout le week-end pour prévenir leurs utilisateurs. La mauvaise nouvelle c'est que cette tornade pourrait encore durer quelques temps vu la boîte de Pandore qu'elle vient d'ouvrir. C'est l'objet de ce billet que d'aider les managers et les équipes métiers en charge des applications à en prendre conscience.
WanaCrypt est un "rançonware", c'est à dire un logiciel qui une fois installé sur un poste de travail (via la pièce jointe d'un email reçue et ouverte ou la propagation sur le réseau local de l'entreprise en mode "worm") en crypte tous les fichiers puis demande entre $300 et $600 en bitcoin pour récupérer ses données. Le bitcoin permet aux hackeurs de garder l'anonymat pour réutiliser la somme.
Même si l'argent est généralement la principale motivation des hackeurs, dans le cas présent rien ne garantit que les données soient restituées. Les consignes sont d'ailleurs généralement de ne pas payer pour ne pas encourager de prochaines opérations. Traduisez, votre poste crypté vient d'être sacrifié...


Vendredi 12 mai c'est le Royaume Uni qui a fait les frais d'une vague massive d'emails de phishing et d'une propagation fulgurante au sein de ses entreprises. Elle a notamment touché une entreprise publique très médiatisée, National Health Service, le gestionnaire des hôpitaux anglais, des hôpitaux qui ont été rapidement désorganisés quand les employés ne pouvaient plus utiliser leur ordinateur pour récupérer les données des patients.

Des entreprises de toute l'Europe ont également été touchées, comme Renault qui a immédiatement stoppé la production sur son site de Sandouville, Nissan UK, la Deutsche Bank, la Banque de Bilbao ou Telefonica l'opérateur historique espagnol.

Depuis on parle de cyber-attaque massive et mondiale, et fait rare, le journal de 20h de la Une a ouvert pendant 5 minutes sur ce titre samedi soir, la veille d'une actualité politique pourtant chargée en France avec la prise de fonction du nouveau Président de la République française.

  Image: Malwaretech.com.

C'est vrai que l'envoi de 5 millions d'emails par heure (comme cité par certains rapports de sécurité) peut être considérée comme une attaque massive (en 2016 les 215 milliards d'emails envoyés dans le monde - hors spam - correspondent à 24 millions d'emails par heure en moyenne).
Cependant GreenSI trouve que c'est un peu simpliste de ne regarder que le côté "cyber-attaque" même si visiblement cette attaque paraît organisée (préparer des millions d'emails à l'avance) et pensée (lancement un vendredi avant le week-end en ciblant les entreprises ?).

Dans cette crise le vrai problème pour les SI est surtout du côté de la défense! 

En effet, plusieurs "faits" découlant de politiques passées ont considérablement affaibli les défenses des entreprises, ce qui a favorisé la vitesse de propagation du virus en leur sein. Ces faits doivent nous faire réfléchir sur la gouvernance des systèmes d'information au moment où ils deviennent de plus en plus critiques pour toutes les activités.
  • Une faille connueCette faille de sécurité dans Windows était connue et bien identifiée, notamment par la NSA qui l'exploitait comme porte dérobée pour espionner les PCs. Elle a fait l'objet du bulletin de sécurité de Microsoft du 14 mars (MS17-010), donc il y a déjà un mois, avec la liste des systèmes concernés et le correctif à appliquer.


    Et pourtant tous les systèmes n'ont pas été mis à jour en un mois alors que la mise à jour était critique

  • Des SI qui utilisent des produits non maintenus
    La faille est aussi présente sur Windows XP, Windows 7 et Server 2003 qui représentent encore un bon pourcentage respectivement des postes de travail et serveurs, et notamment ceux du NHS, alors que ces produits ne sont plus maintenus par l'éditeur. Heureusement, dans l'urgence, Microsoft a diffusé gratuitement un correctif ce week-end.
    Les grands comptes qui ont payé très chère la "software assurance" de Microsoft pour XP, pour avoir de façon privilégiée quelques correctifs, doivent l'avoir mauvaise puisque le correctif du week-end a été livré gratuitement a tout le monde ;-)

    Quoi qu'il en soit, l'obsolescence est une réalité dont le management devrait se préoccuper, une partie du SI tourne sur des produits non maintenus donc vulnérables et ce souvent des applications anciennes au cœur des processus et de l'organisation. Est-ce que les métiers en charge des applications en sont conscients ?


  • Des postes de travail pas toujours sauvegardésAvoir un backup de l'ensemble des postes de travail de son entreprise peut sembler une évidence, mais est en fait très compliqué à mettre en oeuvre opérationnellement (avec la mobilité et les portables par exemple). La réalité est donc que si un poste est verrouillé et crypté, le retour arrière se fera en perdant certainement des données du poste.

    Il faut donc accepter cette réalité, tout poste de travail doit pouvoir être détruit sans prévenir et sans impacter l'entreprise (au-delà des heures perdues par son malchanceux utilisateur... ) et surtout se préparer à l'affronter.


    Ceux qui ont engagé des politiques d'outils collaboratifs auront plus de chance avec les données des projets stockées dans ces outils au lieu d'être sur les postes des utilisateurs. Mais j'ai malheureusement vu trop de projets repasser d'outils collaboratifs à des outils personnels sous Excel, au gré des consultants de passage, pour encore y croire...


  • Une NSA qui joue à l'apprenti sorcier
    La faille a été identifiée par la NSA il y a longtemps et les outils pour l'exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (Shadow Brokers). Un peu comme si l'Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd'hui disparu, et qu'il conserve à des fins scientifiques.

    On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n'y a malheureusement pas de comité d'éthique pour ce qui concerne l'informatique. Avec l'arrivée de l'intelligence artificielle, peut-on tout laisser faire parce que c'est du logiciel et non de la manipulation d'embryons humains?

    Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ?
Les systèmes d'information des entreprises reliés dans un SI global par Internet étaient donc bien malades avant d'aborder cette nouvelle attaque virale !
Là où les défenses étaient faibles, là où les investissements pour le maintenir n'étaient plus en phase avec la criticité métier, c'est là que le SI est tombé rapidement. 

Dans un hôpital, dans une chaîne de production, dans une chaîne logistique, certainement tous des systèmes anciens qui ont toujours donné satisfaction, qui évoluent peu ou plus, et qui sont passés sous la ligne de visibilité des investissements d'obsolescence technique.

La Première Ministre Théresa May, est intervenue rapidement pour rassurer sur le fait que le Royaume Uni n'était pas la seule cible de l'attaque mais a surtout déploré le fait que l'ampleur au Royaume Uni avait été exacerbée par une "politique conservative du NHS découlant des mesures d'austérité du gouvernement". 

GreenSI vous rappelle le graphe de décision de la maintenance: si la probabilité est forte et que le coût de mise à jour est élevé alors il n'y a qu'une alternative, patcher !

A l'ère du digital et de la transformation numérique le rôle de la DSI reste prioritairement de gérer cette obsolescence, car la durée de vie des applications est entre 7 et 10 ans, donc bien après la fin des projets de développement. Pour cela elle a besoin des métiers et du management, elle doit mettre en place une gestion des compétences pour conserver celles dont on peut avoir besoin sur des systèmes obsolètes. Mais pour ne pas faire crouler les investissements sous le poids de sa dette (technique) la meilleure stratégie reste encore de supprimer les applications qui apportent une valeur marginale mais sont surtout un handicap ou un danger pour la globalité du SI.
Plus on a d'applications, plus on a un SI hétérogène technologiquement, et plus on est exposé à l'ensemble des failles qui ne manqueront pas de survenir dans un des composants techniques. WanaCrypt aura au moins eu le mérite de nous le rappeler et GreenSI pense pour longtemps.

Alors maintenant qu'est-ce qu'on fait: I want to crypt (wanacrypt) or I want to upgrade ?

mardi 9 mai 2017

L'ERP à l'ère de l'IA et des robots

Chaque année, GreenSI se pose la même question en actualisant un cours de management des SI sur la mise en place des ERP : comment cet animal, né depuis 45 ans sur un mainframe, a traversé toutes les architectures informatiques, et continue de se frayer un chemin dans l'évolution rapide des technologies (client serveur, mobilité, cloud, big data) ?

En 2017, l'ERP essaye même de se faufiler au travers des arcanes de l'intelligence artificielle et des robots connectés que nous promet l'industrie 4.0 : c'est le thème de ce billet.

Le fondateur de ce segment de l'industrie logicielle, l'européen SAP, n'a d'ailleurs jamais perdu sa place de leader depuis 45 ans. Une place pourtant très challengée par une myriade d'éditeurs américains dont la nouvelle génération apparue il y 7-10 ans surfe sur la vague des ERP dans le cloud. 

C'est le cas par exemple de Netsuite un ERP 100% SaaS qui s'est fait croquer par Oracle en novembre dernier (pour $8,9 milliards) et qui permet ainsi à Oracle, à défaut d'accélerer sa mutation vers le Cloud, d'afficher de la croissance (externe) dans le Cloud tant attendue par les analystes et ses actionnaires.

En 2016, SAP réalise 3 milliards de revenus dans le Cloud, un chiffre en croissance de 30%. Il  annonce même 2018 comme année charnière où les ventes de licenses (qui baissent) passeront en dessous des ventes SaaS (qui augmentent). Le Cloud est donc bien la dernière architecture à laquelle les ERP commencent à s'adapter pour ne pas disparaître.

La stratégie de SAP s'est concentrée sur S/4 HANA, sa nouvelle version après R/3, une stratégie qui met en avant les capacités d'une nouvelle base de données (HANA) à l'heure du bigdata et de l'ouverture des données - plus que la poursuite d'un ERP 100% cloud. Quand on sait que la majorité des implémentations de SAP le sont sur une base Oracle, maison mère de son 1er concurrent, on comprend pourquoi SAP s'attaque en priorité à la base de données. 

De toutes les façons, le passage au Cloud va redistribuer les cartes de cet avantage pour Oracle, car non seulement en SaaS le choix de la base de données n'est plus critique, mais en plus Oracle est très peu utilisé pour les développements dans le Cloud à cause de sa politique tarifaire de license.
La stratégie HANA de SAP est aussi la réponse à des bases de données devenues trop volumineuses (sans réelles stratégies d'archivage des données moins utilisées avec le temps), aux promesses du big data qui a besoin de capturer encore plus de données et surtout de les traiter en temps réel ("in memory"). Les systèmes décisionnels à l'ère des objets connectés ne peuvent pas reposer sur les entrepôts de données traditionnels mis à jour en batch, avec des données disponibles au mieux le lendemain.

Pour GreenSI, Mark Hurd (CEO d'Oracle) sait qu'Oracle Applications a pour l'instant raté le virage technologique des ventes Cloud et que le rachat de Netsuite lui permet de reprendre la main. Ceci à condition qu'il laisse Netsuite continuer d'innover, ce qu'il a promis à ses clients en avril dernier à Las Vegas lors du SuiteWorld 2017, la conférence mondiale des utilisateurs de Netsuite.  
Oracle, dirigée par l'ex-CEO d'HP, peut aussi amener à Netsuite son expertise sur les infrastructures et ses compétences en machines performantes depuis le rachat de Sun Microsystems. En revanche, pour les utilisateurs historiques de la suite Oracle Applications, beaucoup de questions et de nuages masquent la visibilité à moyen terme de leurs investissements, mais ils sont habitués...

Tous les DSI le savent bien, avec les ERP la question est moins l'innovation, qui est devant, que la gestion de la dette technique, qui est derrière.
 
De façon symétrique, les positions des éditeurs sont difficiles à prendre quand ils ont beaucoup de clients qui payent chaque année entre 18 et 22% de leur investissement initial en coûts maintenance. Ce focus sur les choix passés explique certainement une grande partie de la relative stabilité du marché des ERP qui change surtout par acquisitions.

Mais le corolaire de cette situation est qu'il faut donc piloter ses investissements ERP de façon beaucoup plus stratégique et à beaucoup plus long terme, que par exemple les choix d'une application mobile qui sera obsolète en 3 ans et re-écrite en 3 mois. 

Attention au réveil brutal dans les DSI aux yeux rivés sur le budget de l'année.

Pour GreenSI, maintenant que le Cloud s'est imposé comme le modèle de réduction des coûts, des risques et des délais de mise en oeuvre des ERP, c'est donc dans la direction de l'internet des objets et des prochaines architectures, pourquoi pas aussi la blockchain, qu'il faut regarder. À la clef, l'adaptation des ERP à l'ère des robots quand l'industrie et le commerce seront encore plus automatisés qu'aujourd'hui, et de l'intelligence artificielle qui va bouleverser les interfaces hommes-machines et la répartition des tâches entre les hommes et les machines devenues plus intelligentes.


L'Allemagne, berceau de SAP, de l'Industrie 4.0 et d'une chancellière visionnaire pour le maintien de la compétitivité de son industrie, est certainement un endroit privilégié dans le monde pour orienter les radars de sa veille (Chine et Corée du Sud sont aussi à surveiller mais n'ont pas d'éditeurs d'ERP reconnus mondialement).

Et c'est certainement sous cet angle là qu'il faut décoder l'implantation du centre européen Watson IOT d'IBM en Allemagne à Munich, pour co-innover avec clients industriels.

Justement, fin 2016, SAP annonçait un plan d'investissement de 2,2 milliards de dollars pour connecter son ERP aux solutions reconnues dans l'Internet des objets (IoT).

SAP IoT est donc la direction fixée par SAP pour combiner en temps réel, avec des capacités d'apprentissage (machine learning), les données de sa base de données HANA et les nombreuses données du monde externe issues des machines. A la clef un pilotage intelligent des processus de production.
C'est une direction qui ouvre des partenariats avec les éditeurs de solution de PLM - Product Lifecycle Management - très présente dans l'industrie pour gérer des machines complexes, les modéliser en 3D et les enrichir avec des données de mesures. Dans ces partenaires on retrouve l'américain PTC (et sa solution Thingworx) et les allemands Siemens et Bosch.

Dommage pour l'Europe que le français 3DS (Dassault Systems) fasse pour l'instant cavalier seul avec sa plateforme 3DExperience car une stratégie commune entre les deux premiers éditeurs mondiaux non américains (SAP et 3DS) renforcerait certainement le poids de l'Europe dans le logiciel mondial dominé très largement par les américains.


Ainsi, Siemens annonce Mindsphere, un écosystème ouvert basé sur SAP HANA que les clients et les développeurs peuvent utiliser pour développer, étendre et exploiter des applications dans le cloud. Les applications imaginées sont la surveillance en ligne de machines-outils distribuées à l'échelle mondiale, des robots industriels ou des équipements industriels tels que des compresseurs et des pompes.
Bosch a aussi signé un accord stratégique avec SAP HANA, montrant, si on en doutait, la puissance de frappe de l'économie allemande quand elle avance en "pack".

Attention cependant au fait que cette stratégie très pertinente dans l'industrie l'est beaucoup moins dans les services où l'ERP n'a toujours pas tenu sa promesse de mieux s'intégrer dans les processus collaboratifs qui se développent dans l'entreprise 2.0.

Dans la bataille de l'infrastructure cloud fiable qui sera le fondement de l'industrie 4.0, finalement l'ERP est en train (une fois de plus) de tirer son épingle du jeu en s'ouvrant au monde des objets connectés et de l'intelligence artificielle. Quarante cinq ans plus tard, SAP mène toujours le jeu mais le terrain de jeu s'est considérablement étendu.

vendredi 5 mai 2017

#FlipYourMind : Sortez du carcan de la non-régression

 #FlipYourMind est une série de billets de GreenSI sur le thème de la transformation digitale. Ne cherchons pas à agir à l'ère du digital tout en pensant encore comme à l'ère précédente. Si vous lisez ceci c'est certainement que vous avez choisi de prendre la pilule rouge ;-)


Pour faire sa place dans l'arène des entreprises numériques, tous les retours d'expériences sont formels, il ne suffit malheureusement pas de simplement de nommer un Chief Digital Officer et d'ouvrir une page sur Facebook.

Une fois passée la phase de sensibilisation du management au digital, puis de génération de projets, avec par exemple l'ouverture de Labs ou d'organisation de Hackathons, c'est bien une transformation en profondeur de l'entreprise qui est en jeu maintenant.

Cette transformation va demander de revisiter ce que l'on fait par habitude et de savoir s'il ne faut pas tout simplement arrêter de le faire pour financer, par ces économies, une nouvelle façon de faire exploitant mieux le numérique et son écosystème.

Mais quand il s'agit de systèmes d'information c'est plus facile à dire qu'à faire...

Or, tous les nouveaux produits et services ont maintenant une composante digitale reposant sur de nouveaux systèmes d'information interfacé avec les anciens systèmes. Il va donc être difficile de faire l'impasse sur cette question : comment arrêter de faire comme avant si ça n'a plus de sens?

Dans l'entreprise "non transformée" les donneurs d'ordres (maître d'ouvrage) sont à ce poste parce qu'ils se sont montrés de bons gestionnaires. Ils adorent donc ce qui est prévisible, planifié, et fuient donc l'idée de devoir tout ré-inventer. De plus, leur façon de faire a été codée dans les applications (parfois "en dur"), les tableurs et les méthodes utilisées par leurs équipes, quand ce n'est pas gravé dans la culture du service. Alors ne vous étonnez pas que quand la division X accepte de lancer un nouveau projet, qu'elle demande aussi qu'il n'y ait aucune régression fonctionnelle pour les utilisateurs. Changer la façon de faire n'est pas dans les habitudes !

La non-régression fonctionnelle est devenue un principe directeur de l'évolution des SI !

Alors avouez que dit comme cela on frise la caricature. Cette roue crantée qui doit empécher le retour en arrière est devenue un objectif affiché de stabilité dans un monde pourtant en forte mutation.

Mais au fait, pourquoi ne pourrait-il y avoir de régression? Pourquoi s'interdire de ne plus proposer une fonctionnalité aux utilisateurs?
Parce que c'est écrit dans les contrats? Ils doivent être bien détaillés ces contrats pour confondre la finalité et la fonctionnalité pour l'atteindre!

GreenSI est convaincu que la plupart des barrières qui érigent la non-régression en principe fondateur sont mentales et que le digital nous demande de renverser notre façon de penser. Flip your mind!

Car dans le digital cette notion n'est pas si forte, bien au contraire.
Google est le spécialiste du lancement de services en ligne qui après 12 à 18 mois sont tout simplement supprimés (ex. Wave, Health, recherche dans Twitter en temps réel...) quand ils ne sont pas modifiés (ex. Photos réintégré dans Drive). Idem pour les API de ces plateformes qui évoluent et demandent à tout un écosystème de s'adapter.

La modification des services des GAFAs se fait en fonction des retours de leurs utilisateurs et parfois aussi pour des questions stratégiques. On est très loin de la non-régression.

Cette semaine on a eu l'annonce par le français BlablaCar de sa version de covoiturage pour les trajets du quotidien vers son lieu de travail ("back to the future" pour covoiturage.fr !). Et bien l'application Blabla Lines, lançée pour l'occasion, ne permet pas de payer via la plateforme mais demande de règler... en liquide ! Quelle belle régression fonctionnelle à l'heure de l'internet et d'une des plus belles valorisation française. Cela pourrait faire sourire. Et pourtant Blablacar à raison. Le but est de tester le nouveau service rapidement et de collecter des données sur les usages, pas sur les paiements... CQFD

Ce qui ne surprend pas GreenSI car Blablacar Tech, le bras armé technologique interne de Blablacar est souvent présent pour partager son expérience dans les conférences sur l'agilité et devops, deux démarches qui sont au cœur du développement de sa plateforme.

Donc, pour GreenSI, une entreprise qui conserve la non-régression fonctionnelle comme un principe fondateur est une entreprise qui n'écoute pas ses utilisateurs, ou pire, qui parle pour eux sans les écouter.

Le digital a inversé la notion de donneur d'ordre. Elle transforme donc le rôle de la maîtrise d'ouvrage (voir MOA, lâchez prise sur la maîtrise des usages).
Certains comme ING Direct l'ont bien compris et depuis longtemps. Cette banque s'est engagée dans l'agilité en 2015 avec comme résultat visible pour ses clients que même pour une opération aussi simple qu'un virement de compte à compte, celui-ci peut décider si cela lui convient. Aujourd'hui le client est satisfait mais un jour peut être ce ne sera plus le cas, car les usages auront changés ou que la fonction ne sera plus adaptée, par exemple à un nouveau terminal qu'il a décidé d'utiliser.


Agir à l'ère du digital c'est aborder la construction de nouveaux services avec le design thinking et l'agilité sous toutes ses formes.
Penser à l'ère du digital, c'est abandonner la non-régression fonctionnelle comme un A PRIORI incontournable.

Oui, on peut repartir de "presque zéro" dans une relation clients avec un "minimum viable product" (MVP) qui reposera les bases et un socle de concepts fondamentaux pour la reconstruire, puis l'ouvrira à des clients recrutés pour construire cette nouvelle relation ou de nouveaux clients. Ensuite, c'est la démarche agile et "lean" qui permet d'itérer sur ce socle, service après service, en fonction de la priorisation des clients, mesurée en conditions réelles.
Pour cela, il faudra oublier le développement de produit tel qu'on le connaît, où la régression fonctionnelle est un clapet anti-retour et anti-innovation, pour passer au développement des clients et de la relation clients.

Le rôle du MVP - Minimum Viable Product - est d'ailleurs de recueillir les retours des clients pour tester ce socle et les nouveaux services. C'est ce que nous rappelle Blablacar Lines. Et peut-être qu'à l'issue de ce test un "pivot" permettra de repositionner le modèle sur la véritable attente des clients une fois mesurée et connue.


Dans "MVP" il y a le mot "minimum". Mais la culture du management de l'entreprise n'est pas habituée à ce mot qui y est peu valorisé. Il est plus facile de s'annoncer comme porteur du projet "Méga truc" ou "Super bidule", que du "produit minimum". Là, on voit que la culture de l'entreprise peut aussi nous freiner  ;-)

Pourtant, "minimum" n'indique pas un manque mais au contraire une formidable opportunité de construction. Ceux qui l'ont compris ont développé des services ré-inventés. Les autres ont reproduit dans le monde digital ce qu'ils avaient déjà et surtout sans cette rupture créatrice de valeur pour l'entreprise.

Pour GreenSI seul le développement de cette culture, en trouvant les bons leviers pour changer les comportements, permettra aux managers de faire des choix audacieux sur les sujets du numérique, et de réellement engager une transformation digitale entrée dans sa phase de changements en profondeur.

Ne ratez pas le prochain billet #FlipYouMind

L'humour de ceux qui aiment le numérique