lundi 30 octobre 2017

La sécurité est devenue " top prioritée"


2017 est une année charnière dans la sophistication des cyberattaques, mais aussi de la riposte puisque octobre 2017 est aussi le mois du programme de sensibilisation à la cybersécurité au niveau européen, organisé par l'ENISA l'agence européenne qui en est en charge. 

GreenSI est donc allé installer ses radars aux Assises de la Sécurité qui se sont tenues du 10 au 14 à Monaco. Un déplacement idéal pour tous ceux qui veulent, en toute discrétion, échanger avec leur pairs sur leurs expériences, rencontrer des fournisseurs et se préparer aux sujets à l'horizon comme le prochain règlement européen pour la protection des données (RGPD).

Le premier constat c'est l'impact réel des deux attaques de 'ransonware' très médiatisées ces 6 derniers mois, Wanacrypt (mai) et NotPetya (juillet), sur l'état d'esprit des entreprises.

Les équipes sécurité n'ont pas été surprises mais le reste de l'entreprise oui, notamment la Direction Générale vu l'ampleur de la couverture médiatique. Une DG qui a donc porté une attention toute particulière au sujet en demandant des bilans et des notes de recommandation, ce qui est relativement nouveau.

Bien sûr les RSSI se souviennent être déjà intervenus en avril 2014 dans les comités de direction pour expliquer le risque Heartbleed qui avait également été très médiatisé, mais cela n'a pas eu l'effet des attaques de 2017, malgré pourtant une portée médiatique à l'époque au mois 4 fois supérieure à celle de NotPetya (comparée avec Google Trends).

Face à ces cyberattaques récentes, une partie du problème bien connue est la fragilité de certains SI (voir Heureux comme un wannacrypt dans un jeu d'applications obsolètes). Une autre est le manque de moyens. Mais cela est peut-être en train de changer comme me le disait un DSI d'une grande entreprise: le poste de RSSI dédié qu'il demandait depuis plusieurs années, lui a été accordé en quelques semaines après ces cyberattaques.

L'été 2017 a donc marqué un tournant, celui où il est plus risqué de ne pas patcher un système que de le patcher. Jusque là c'était le risque métier qui avait prévalu et on évitait de toucher aux applications quand elles fonctionnaient. Maintenant c'est le risque sécurité qui est considéré en premier. Vous avez un portail dérobé qui ferme mal au fond du jardin et vous le savez. Si vous le réparez vous améliorez votre sécurité technique mais vous compliquez les livraisons du facteur qui le sait aussi et qui venait vous déposer les colis sur le perron, pratique pour le métier, jusqu'à ce qu'un cyber-hackeur ne le découvre également...

Le second constat c'est également la montée dans les priorités de l'importance de la confiance, reconnue par l'usager ou par le client.

On pourrait lire ici l'inconnue, voire la peur des amendes (jusqu'à 4% du CA mondial), avec la mise en œuvre du prochain nouveau règlement européen sur la protection des données personnelles (RGPD). Mais ce qui est plus intéressant dans les discours c'est que la confiance devient une valeur commerciale. Et GreenSI est convaincu que c'est le bon angle stratégique pour aborder le RGPD, et non simplement réglementaire. L'actualité de 2018 nous permettra certainement d'y revenir avec un prochain billet.

Et puis, pour les lecteurs de GreenSI, vous savez que le modèle de relation clients est aujourd'hui omni-canal, c'est à dire que l'ensemble des canaux de relations sont utilisés dans les deux sens et en même temps (voir API: Les dessous de l'omni-canal). 
 Une commande sur internet est confirmée sur un smartphone puis récupérée en magasin où, via un réseau, on interagit avec le client pour l'assister, voir totalement automatiser son expérience comme dans la cible sans caisse d'Amazon.

Autant de points de contacts qui sont autant de risques pour la sécurité des données des clients.

La relation client déplace donc la frontière du SI sur de nouveaux territoires, comme d'ailleurs l'internet des objets va déplacer celle des processus.
Une question stratégique pour les entreprises semble donc être d'arriver à utiliser tous les points de contacts avec les clients pour instaurer cette confiance sur les données personnelles, et qu'elle soit perçue par les clients eux-mêmes. Ainsi les clients choisiront certainement ces entreprises en priorité pour leurs achats.

Un autre avantage de cette vision stratégique sera d'éviter de faire de la cybersécurité pour la cybersécurité, de la lier aux enjeux de l'entreprise et d'y répondre autrement que par une assurance, un domaine d'ailleurs en forte croissance en France.

L'internet commercial s'est développé sur la confiance depuis son origine, avec pour sa génération 1.0 des entités de certification comme eTrust, et pour sa version 2.0 collaborative une validation par les votes des internautes eux mêmes (1-5 étoiles). Aujourd'hui, sur un site web que l'on ne connait pas, acheter un produit sans commentaire ne met pas en confiance. Et s'il n'est pas https alors passez votre chemin...

Comme les entreprises ont également des fournisseurs pour assurer leurs services, pour pouvoir s'engager globalement sur leur sécurité, elles pourront maintenant bénéficier d'un nouveau visa délivré par l'ANSSI pour s'appuyer sur des produits et services de fournisseurs certifiés.

Ces deux constats, le réveil des Directions Générales et les enjeux de la confiance perçue par les clients, portent pour GreenSI en germe une revue profonde de l'organisation et de la gouvernance de la sécurité des systèmes d'information dans les entreprises en 2018 :
  • D'abord les moyens supplémentaires qui vont être affectés doivent être organisés. Et justement l'organisation de la sécurité des données par exemple n'est pas toujours très limpide entre les prérogatives du DSI, du RSSI, du DPO (qui remplace l'ex-CIL à partir de janvier 2018), du CDO - Chief Digital Officer ou du Chief Data Officer. Comme souvent, quand un sujet concerne toute l'entreprise, il y a un certain temps à trouver comment l'organiser efficacement...
  • Ensuite parce que l'omni-canal et le développement du digital, mais également l'internet des objets, va déporter le sujet sur tous les "avants postes commerciaux" et toutes les machines de l'entreprise qui devront être sécurisés. Une rupture par rapport une organisation traditionnelle plus inspiré de périmètres hyper sécurisés fermés. Toute ressemblance avec la prise en compte du risque attentat dans les villes, pouvant survenir partout et par tous, n'est que fortuite.
  • Et puis il y a la question que tout le monde a aux lèvres dans les allées des Assises avec la performance en baisse du modèle des antivirus: quel sera le rôle de l'Intelligence Artificielle dans les prochaines formes d'organisation de la sécurité? On peut l'imaginer comme des agents intelligents complétant le dispositif pour détecter de nouvelles situations à risque, mais également comme des agents qui chercheront en permanence à franchir les barrières de sécurité.
  • Enfin, l'arrivée de la RGPD le 25 mai 2018 ne semble pas encore bien anticipée et bien préparée par toutes les entreprises. C'est du moins ce qu'il ressors de l'enquête réalisée par le cabinet IDC au niveau européen et présentée aux Assises. Sachant que la CNIL a lancé une alerte en début d'année pour indiquer qu'il n'y aurait pas de décalage de l'échéance...

Pour supporter la transformation digitale des entreprises, la sécurité est devenu la priorité n°1, espérons que les moyens suivront. L'évolution de la gouvernance de la sécurité est prévue en 2018 dans 66% des entreprises et même d'ici la fin de l'année pour 37% d'entre elles. Mais paradoxalement, les entreprises les plus grandes, qui ont plus de moyens pour la sécurité, n'en sont pas encore convaincues et 26% voient même cette évolution bien après 2018 (au lieu de 11% pour les entreprises de 500 à 999 salariés).

N'oubliez donc pas la sécurité dans votre prochain budget, plus qu'une contrainte, vue sous l'axe de la confiance client, elle peut devenir une stratégie différenciante.

jeudi 12 octobre 2017

L'Empire des mille plateformes


Une des tendances qui s'affirme depuis au moins ces cinq dernières années, c'est bien celle de la "plateformisation de l'économie", pour signifier que les entreprises, les applications et même les États veulent devenir des plateformes.

Cette tendance sent le marketing à plein nez mais cache un fond de pertinence que GreenSI se propose d'aller gratter avec ce billet.
Ce concept de plateforme sent bon le marketing car certaines sociétés de technologies voudraient fortement vous suggérer, en engageant des budgets marketing importants, qu'il n'y aura qu'UNE plateforme, la leur, et qu'il faudrait rejoindre sans plus tarder les rives de ce nouveau continent de rêve au ciel bleu azur peuplé de belles amazones ;-)

Désolé, mais le futur sera certainement moins uniforme, du moins GreenSI l'espère pour la poursuite de l'innovation qui est généralement  inversement proportionnelle au nombre de fournisseurs. 

L'État se rêve en plateforme

Commençons par l'État plateforme, un concept tiré d'un article célèbre du MIT (Government as a platform - Tim O'Reilly) et qui avait fait l'objet d'un billet GreenSI un peu plus tôt dans l'année au terme de l'action dans le numérique du gouvernement précédent.

Ce concept séduit visiblement toujours le gouvernement actuel puisque Mounir Mahjoubi, le nouveau secrétaire d'État au Numérique le reprend à son compte pour matérialiser le souhait d'avoir une Administration qui offre de meilleurs services numériques aux tiers (citoyens, entreprises, ...) et peut facilement collaborer avec un écosystème.

On retrouve ici en toile de fond le concept 
d'une plateforme facilitant la transformation numérique d'un État qui se voudrait plus agile, plus transparent et même plus efficace, si on fait le lien entre numérisation et efficacité. 

Les plateformes ont été exploitées avec succès par les GAFA et les BATX en Chine. On compare souvent leur puissance à celle des États (en tout cas GreenSI l'a fait il y a 4 ans) et leurs offres gratuites à des services qui pourraient bien être publics (Pourquoi Google et les GAFAs dérangent les politiques européens? ). De bons exemples sont Google/Waze qui a les données de transport les plus fraîches pour les villes, ou encore Facebook Safety Check utilisé maintenant à chaque attentat pour déclarer que l'on va bien. C'est donc certainement une bonne idée que les États s'inspirent de ces grandes entreprises du numérique pour réformer leurs services aux citoyens.

Après tout ils les connaissent déjà très bien, peut-être même mieux que les États ;-)
Mais c'est certainement une autre bonne idée pour l'État de ne pas vouloir tout faire lui même et de pouvoir impliquer, quand c'est plus rapide ou plus efficace, les citoyens et les services qui ont déjà atteint une maturité dans les populations plutôt que de repartir de zéro et malheureusement souvent de ne jamais les rejoindre.

L'efficacité de l'application SAIP par exemple, créée par l'Etat et finalement moins riche fonctionnellement que le "Safety Check" pour les alertes attentats, a même été récemment critiquée par les sénateurs eux-mêmes.

Le concept de plateforme est donc associé a la transformation agile des organisations et à la capacité de s'ouvrir à un écosystème de partenaires qui l'utilisent.

On peut l'imaginer comme un porte avions bien organisé auquel les État ont certainement une tendance naturelle à s'identifier, sur lequel de façon très organisée, une flotte d'avions peuvent en partir ou y atterrir et effectuer des missions.

Mais GreenSI préfère au contraire voir une construction plus "organique", comme la station Alfa de l'"Empire des milles planètes" pour ceux qui connaissent, dans la bande dessinée et maintenant le film Valérian & Laureline (pour la diversité !), la station spatiale où se retrouvent toutes les espèces de l'Univers.




La capacité à délivrer de nouveaux services à coût marginal

Si beaucoup de ressources sont mutualisées comme la gestion des autorisations, la sécurité, des moteurs de notifications voire des services génériques d'analyse de données, cela réduit les délais et les coûts de mise en œuvre des nouveaux services, pour atteindre un coût marginal. C'est également une solution pour financer des infrastructures mutualisées, de collecte de données par exemple, en les faisant financer par chaque bénéficiaire au volume de données traitées.
Demain, ces plateformes mutualiseront également des fonctions exploitant l'intelligence artificielle, grand consommatrices de ressources, que peu auraient pu financer seuls. Cet avantage aura donc plus de valeur pour les petits entreprises que les grandes. L'effet de taille recherché jusqu'à présent sera donc moindre, et c'est peut-être le début d'une ère d'entreprises en réseau plus agiles cherchant leur effet de taille par le marché adressé par leur plateforme, et non leurs bureaux à travers le monde.

Une expérience utilisateur simplifiée

La plateforme permet une expérience utilisateur simplifiée. Cette expérience commence par une seule authentification (si elle a bien été mutualisée) et un ensemble de services qui peuvent échanger des données entre eux.

Comme il est difficile de construire une expérience utilisateur pour plusieurs cibles différentes, par exemple B2B et B2C à la fois, une entreprise aura certainement une plateforme par segment de clients et une autre pour l'interne. Un autre bénéfice sera la compréhension fine des usages de chaque utilisateur et de chaque segment de clientèle avec une vision globale sur tous les autres services.

Cette stratégie de plateforme unifiant l'expérience utilisateur implique que tout nouveau service pour un segment bénéficiant déjà d'une plateforme doit rejoindre la plateforme et non être développé comme une nouvelle application distincte. Ça ne fait pas toujours plaisir aux égos des chefs de projets, mais il faut en finir avec les applications indépendantes et basculer dans une évaluation des projets par rapport à ce qu'ils amènent à la plateforme entreprise.

Construite pour développer des écosystèmes

La plateforme technique sous-jacente du concept de plateforme est nécessairement ouverte conçue pour inter-opérer avec des systèmes externes. On retrouvera ici demain la capacité pour l'entreprise a se connecter aux millions d'objets connectés dont les données lui permettront de repenser ses processus et qui ne seront pas tous directement connectés à son SI. Ce sera également l'accès aux millions de micro-services en ligne qui vont émerger et dont elle pourra bénéficier.
Les DSI qui pensent pouvoir appliquer les règles traditionnelles de gouvernance du SI à ces plateformes se trompent. Elles vont juste s'en exclure et entraîner leur entreprise dans leur erreur.
La gouvernance d'un écosystème se crée collaborativement, y compris la sécurité.

La plateforme Alfa est une image intéressante de la construction de cet écosystème. À la suite de la rencontre historique Apollo-Soyouz en 1975, d'autres nations envoient des cosmonautes rejoindre la station spatiale, puis les siècles suivants ce sont de nombreux extraterrestres, de toutes formes, qui la rejoignent. Les liens avec les planètes mères sont conservés pour développer ou accélérer le commerce et les échanges.

Les règles de gouvernance de chaque planète mère (dont la Terre) ne sont plus pertinentes sur la plateforme spatiale où la pesanteur est artificielle, et l'énergie, l'eau et l'air sont en quantités limitées. 

D'ailleurs quand celle-ci devient trop vaste et risque de s'écraser sur la Terre, sous l'emprise de la gravité, ses occupants décident de l'éloigner de la Terre et s'émancipent de son créateur, tout en continuant de lui délivrer de la valeur au travers des échanges qu'elle rend possible.

Vouloir développer une stratégie de plateforme sans aborder la rupture avec la gouvernance de l'entreprise risquerait de vouer le projet à l'échec.

La plateforme modèle d'évolution des entreprises?

Les plateformes d'entreprises constituent donc le socle technologique, le système d'information, de la réussite commerciale à l'ère du numérique.
Elles sont ouvertes pour permettre à une communauté de salariés, de partenaires, de fournisseurs ou de clients de partager et d'améliorer les processus et de développer le business. Sous cet angle, toute entreprise a besoin d'une stratégie de plateforme numérique. À défaut de se transformer elle-même en plateforme, elle peut en rejoindre, comme le montre le développement des Marketplaces que les marques rejoignent pour vendre en ligne. Il est estimé qu'en 2020 40% du commerce en ligne passera par un de ces Marketplaces.

Mais la plateforme est plus qu'un socle technologique. C'est également un business modèle, parfois une marque.
La plateforme joue donc un rôle majeur dans l'intégration des compétences, la collaboration et la communication entre les salariés, les clients et même les objets.

C'est un cadre fondateur pour gérer les écosystèmes de l'entreprise. En fonction du métier et des enjeux, l'entreprise va donc privilégier une plateforme interne pour ses salariés (la plateforme collaborative bien connue mais aussi celle de ses API internes), une plateforme privée pour ses clients et partenaires (les extranets) ou une plateforme publique qui interagira avec les autres plateformes du cyber-espace.

Le passage d'une gouvernance centrée sur l'interne de l'entreprise à une gouvernance tournée vers le développement d'un écosystème est certainement aujourd'hui le défi et le principal frein du modèle des plateformes.

dimanche 8 octobre 2017

#FlipYourMind : les ruptures vont plus vite les organisations

 #FlipYourMind est une série de billets de GreenSI sur le thème de la transformation digitale. Ne cherchons pas à agir à l'ère du digital tout en pensant encore comme à l'ère précédente. Si vous lisez ceci c'est certainement que vous avez choisi de prendre la pilule rouge ;-)

L'actualité nous donne l'occasion de mesurer la vitesse à laquelle de nouveaux standards peuvent chambouler l'économie avec le numérique.

Il y a presque 10 ans, le 12 novembre 2007, Forbes la revue incontournable dans les affaires aux États-Unis faisait sa couverture sur Nokia, cette société finlandaise qui venait d'atteindre 1 milliard de clients, et de s'interroger sur qui pourrait bien la détrôner. 

La suite de l'histoire on la connaît. La société a depuis été "démantelée", le hardware des smartphone a été repris par Microsoft (gamme Lumnia) pour essayer de développer les ventes de son Windows Phone, ce qui pour l'instant n'a pas encore réussi. Dans le B2C la marque Nokia s'est tournée vers la santé et les objets connectés haut de gamme et a racheté la société française leader, Withings. L'activité historique de la société Nokia s'est alors concentrée sur les opérateurs avec notamment en France le rachat des activités d'Alcatel-Lucent.

La barre symbolique du milliard de clients a depuis été dépassée par Facebook, Yahoo ou Google démontrant que les sociétés du numérique pouvaient, en dix fois moins de temps acquérir dix fois plus de clients que des sociétés traditionnelles, comme le détaille très bien dans la Banque, l'analyse du blog "Disruptive Finance" (Pourquoi la finance est devenue hyper-scalable ?). La célérité peut donc être cent fois supérieure à ce que l'on sait.


 Ainsi, en moins de 10 ans, ce qui semblait une barre infranchissable a été franchie.

L'autre société très en vogue en 2007 dans la téléphonie était Blackberry, elle même un disrupteur avec une machine très adaptée pour les messages courts devenue la coqueluche chez les traders de Wall  Street. Cet ancien roi Canadien de la téléphonie professionnelle avec qui les Présidents des États-Unis s'affichaient en public, a aussi subit 10 ans de descente aux enfers, perdu ses parts de marchés, même après avoir abandonné son OS propriétaire et rejoint le standard Android.

Le parcours de Blackberry nous donne des repères sur les durées des périodes où la société perdait de la valeur (mesurée par son cours de Bourse) et montre que les 10 ans de chamboulement de la téléphonie se sont écrits finalement en moins de 3 ans.

L'émergence d'un nouveau modèle porté par Blackberry à durée 2 ans, elle s'est ensuite battue 3 ans entre 2009 et 2011 contre des acteurs qui remettaient en cause son modèle, notamment, l'iPhone et des téléphones sous Android dont Samsung ("simple géant" de l'électronique). A l'issue de cette période de 10 ans la valeur de Blackberry était de 10% de son maximum atteint pendant sa phase de dominance du marché entreprise.
Après 6 années de restructuration, la société Blackberry vient pourtant d'annoncer cette semaine des bénéfices.

Les terminaux resteront marginaux, même dans le domaine de la sécurité, en revanche la plateforme Blackberry a de la valeur et c'est bien son activité logicielle qui annoncé de bons résultats. Depuis l'abandon ou la sous-traitance du hardware, sa stratégie s'articule autour de la plate-forme BlackBerry Secure, qui aide les entreprises à maîtriser leur flotte de mobiles et qui veut conquérir le prochain mobile: la voiture connectée.

En toile de fond du parcours de Nokia et de Blackberry, en B2C et B2B, on a la rupture liée au développement d'un nouveau standard pour le smartphone. Ces deux sociétés avaient elles même porté la rupture précédente des téléphones portables, mais ce modèle a radicalement changé en 10 ans.

Au delà de l'évolution du "form factor" (ci-contre) plus facilement prédictible, ce que Nokia et Blackberry ont vu certainement un peu tard, c'est la valeur du logiciel et la transformation du hardware en une commodité qui pouvait être produite par des géants de l'électronique ne connaissant pas la téléphonie.
En 10 ans le smartphone est devenu un "galet tactile" sur lequel le logiciel peut s'exécuter. 

Le smartphone, relié à une plateforme logicielle amenant les applications, est devenu numérique. Il a été virtualisé, comme le PC ou le serveur avant lui.
Cette virtualisation est une tendance de fond dans le hardware avec la convergence IP et dépasse le secteur de la téléphonie. Les PC, serveurs, réseaux et bientôt le datacenter sont autant de hardware que l'on sait virtualiser avec du logiciel. L'internet des objets va même certainement l'amplifier avec le concept de double numérique (voir ce billet) et d'autres objets plus industriels le seront également.

Le hardware c'est devenu design, exploité par un OS (iOS ou Androïd), sur lequel on amène les services et les applications. La valeur est du pur logiciel, pour ceux qui ne savent pas faire comme Apple et attacher une valeur de marque et d'expérience client à leur design.

Quand une rupture émerge il ne va donc lui falloir que quelques années pour disparaître ou s'affirmer comme une véritable rupture dans les usages.
A partir de là elle entame sa période de croissance pour capturer le plus de clients possibles, dans plusieurs pays et continents à la fois, sans nécessairement être rentable. 

Pendant la phase d'émergence de la rupture, l'entreprise historique risque de rater, voire de la nier. C'est ce qu'à fait Blackberry, née dans les "pagers", en continuant de sortir des téléphones à claviers, organe considéré essentiel pour les SMS. 


Quand la rupture s'est installée elle dépasse rapidement l'entreprise historique qui continue de s'améliorer mais n'introduit aucune rupture dans ses pratiques ou son organisation. C'est donc la seconde peine pour l'entreprise qui se laisse dépasser par une rupture, son organisation ne sait que délivrer la pente historique à laquelle elle s'est habituée... jusqu'à que son marché s'effondre. L'expérience montre que les entreprises réagissent trop tard car n'anticipent pas leur temps d'adaptation. 

L'entreprise traditionnelle a donc tout intérêt à tester l'émergence des ruptures, même celles auxquelles elle ne croit pas, le plus en amont possible. Cela lui permettra de gagner du temps pour la prise en compte de la rupture si elle se confirme.

C'est ce type de finalité que l'on retrouve dans les "Labs" des entreprises (voir ce billet). Leurs projets ne sortiront pas les produits industriels qui assureront l'avenir financier de l'entreprise, mais pour un investissement limité, les Labs permettront de gagner un temps précieux dans la bataille qui va suivre et pour accoutumer l'organisation a autre chose que ce qu'elle connaît.

Dans une conférence récente le Cigref, réunissant les DSI des grandes entreprises françaises, admettait que l'innovation ouverte et la collaboration (interne comme externe) étaient devenues une question de survie.
Cette hypothèse a pour corollaire qu'une entreprise qui n'a aucun dispositif pour explorer, voire anticiper les ruptures de son industrie ou de son modèle économique, a intérêt à avoir une organisation et des processus lui permettant de réagir très vite. 

Récemment j'ai du me demander si je souscrivais au capital d'un groupe bien établi, avec une possibilité de sortie au bout de 5 ans, pas avant. En reprenant le cas de Blackberry ont voit que 2 ou 3 ans en Bourse sont déjà des durées longues qui peuvent être remises en cause par une rupture sur le marché de l'entreprise. Investir sur une durée de 5 ans demande donc de se poser la question des ruptures sur l'horizon de l'entreprise et de sa capacité à les aborder, soit par anticipation, soit par une organisation agile. Si elle n'a aucune des deux, il y a certainement aujourd'hui, plus que par le passé, un risque plus fort dans un investissement sur 5 ans.

Pour GreenSI, si vous pensez à l'ère du digital, acceptez que les ruptures vont plus vite que les organisations et n'attendez pas la rupture pour anticiper la rupture ou repenser l'organisation.

Ne ratez pas les prochains billets #FlipYouMind  

L'importance de développer la culture de la donnée

Véritable atome (au sens "insécable"), la donnée prend le pas sur la fonctionnalité (voir ce billet), est au cœur de la réflexion sur les nouvelles architectures orientées API, et souvent le fantasme de tous les business modèles pour sa valeur.

C'était donc une très bonne idée pour la FING d'organiser la semaine dernière la 2ème Data Literacy Conférence à Aix-en-Provence. Car finalement se poser la question du potentiel des données partagées et de la donnée pour organiser le monde sont des questions qui méritent que l'on s'y attarde, au moins le temps d'un billet de GreenSI.

La donnée concerne tous les citoyens dans nos sociétés

Ainsi après une première édition de cette conférence en 2016, l'édition #DL2017 a réuni à nouveau les experts internationaux qui lisent et comprennent les données comme Emmanuel Didier, sociologue à l'ENSAE Paris Tech. L'ENSAE est une école d'ingénieur en haut du classement des salaires pour les premières embauches (46.550€ selon Capital) qui nous confirme que la tension est déjà réelle sur la compétence data...

Car pour comprendre cette importance grandissante de la donnée, l'apprentissage de la culture de la donnée - sujet encore très émergent réservé à quelques disciplines comme la Statistique et quelques spécialistes très recherchés - s'avère pourtant essentiel. Au-delà de l'analyse des données, on parle de maîtrise ou de gouvernance de la donnée sur l'ensemble de son cycle de vie, mais où l'apprend t-on réellement ?

Un enseignement de cette conférence est que cette culture de la donnée reste à développer dans les organisations, aussi bien dans les profils techniques que métiers, mais surtout auprès du plus grand nombre (le grand public) pour Emmanuel Didier dans sa keynote d'introduction de la conférence.
Il nous rappelle que la notion "d'avalanche de données" (data deluge) n'est pas nouvelle mais récurrente dans l'Histoire.

Elle nous indique la croissance de ce phénomène. Chaque époque a l'impression de traiter plus de données qu'à l'époque précédente, au fur et à mesure que l'on découvre leur importance et qu'ont les produits. La conséquence de cette croissance est qu'on ne peut pas limiter le travail sur ces données à quelques experts (qui seront vite débordés) et que structurellement on doit également faire participer le plus grand nombre.

D'ailleurs, l'Histoire nous indique les périodes de cette prise de conscience comme l'exemple américain en 1929, au moment du New Deal qui avait la volonté de relancer l'économie - et de le montrer par les chiffres, avec la création de plus de 2.500.000 emplois pour "comptabiliser" l'économie (enquêteurs, statisticiens dans l'administration, ...)


Le pouvoir de la donnée n'est bien sûr pas uniquement contrôlé par les gouvernements.
L'activisme statistique (data activist) est utilisé par des individus (militants) qui, pour défendre leur cause, produisent et utilisent des données. Elle permettent généralement de s'opposer à d'autres données produites par des institutionnels.

C'est également la finalité des journalistes (data journalist) qui exploitent les données pour produire leur contenu et ne se la laissent pas raconter par les communiqués de presse "officiels". Outre une presse dont les objectifs rejoindraient ceux des data activists, on aura reconnu le modèle des nouvelles rédactions, comme celle de BFM, avec leur appétit pour les modèles économiques et les chiffres pour aborder l'actualité.

La culture de la donnée est donc un sujet de société, voire de démocratie, d'où l'importance que l'ensemble de la population en maîtrise l'analyse et y ait accès.

La tendance générale à l'ouverture des données

L'open data est née en France il y 7 ans sur ce constat de transparence du service public et de rendre des comptes aux citoyens dans un pays où ce secteur représente 26% de la population active du pays. Des progrès ont été faits mais ce premier élan a surtout été le révélateur d'une piètre qualité de données partagée dans des formats difficilement réutilisables, rendant une implication citoyenne plus difficile.

Ces dernières années certaines collectivités ont alors pris la mesure du problème et engagé des démarches de structuration et d'organisation des données comme des schémas directeurs pour faire émerger l'intelligence des données (smart data) et faire évoluer leurs systèmes vers une cible partagée. Sur le plan organisationnel, la donnée est rentrée sur l'organigramme de ces mêmes organisations avec des administrateurs généraux des données aux compétences d'animation transverses.

Un second modèle de l'open data est donc en train de se mettre en place et la donnée va émerger comme un fil rouge de la transformation numérique des collectivités locales.
L'open data devient un moyen de décloisonner les services en interne aux organisations et de réutiliser ces données pour créer de nouveaux services en externes. C'est un modèle qui, comme dans le projet du Grand Dijon annoncé début septembre, s'inscrira dans la tendance de développement de la "smart city" qui a justement besoin de données croisées pour être plus "intelligente".


Dans le secteur privé, on parle plutôt d'API pour mettre en avant le moyen d'accéder à la donnée. Mais c'est bien la même tendance de fond de l'open data qui est derrière les nouvelles architectures de système d'information généralisant l'accès aux données des applications par des APIs, accessibles en interne, voire en externe.

D'ailleurs, la même semaine se tenait à Paris la Matinale API World, où les professionnels des SI sont venus partager leur expérience d'utilisation des API pour "casser les silos internes, s’ouvrir sur le monde, travailler en écosystème, s’entourer d’un réseau de start-ups,...".

On retrouve bien là les objectifs du modèle open data précédent appliqués aux SI. La convergence des fonctionnalités entre la l'open data et les plateformes API se retrouve également dans les outils.

L'ouverture et l'échange de données est donc une tendance générale, renforçant le besoin de les comprendre. La force de cette tendance est à son paroxysme quand elle se fait à l'encontre des lois qui régissent la diffusion des données. La publication en masse de documents sur WikiLeaks pour laisser les journalistes faire leur travail d'investigation est certainement l'exemple le plus connu.

La littératie des algorithmes

La production en croissance de données de plus en plus ouvertes devrait dont développer la "data literacy" de tout un chacun.
Mais c'était sans compter sur les développements récents de l'analyse des données par des algorithmes. Le danger serait que ces algorithmes deviennent des "boîtes noires" qui réduiraient à néant les efforts de développement de la compréhension des données. 

Par exemple, le logiciel APB (et ses algorithmes) qui décide de l'orientation post-BAC des étudiants en France, malgré la publication de son code, reste toujours aussi obscur. Il induit des effets secondaires qui défavorisent certaines filières dans leur choix (préemptés très tôt par les second choix d'autres filières qui seront renoncés ensuite) et conduit de plus en plus à des tirages au sort pour l'entrée en Faculté dans certaines filières quand ce n'est pas parfois à aucune affectation du tout.

Une "boîte noire" qui commence à être rejetée par le public, challengé en justice comme par ces 3 étudiants bordelais qui ont obtenu gain de cause et qui a conduit Frédérique Vidal, la nouvelle ministre de l'enseignement supérieur, à promettre sa restructuration en profondeur pour 2018.
L'algorithme pose la question de l'impact sans intention.

Qui est responsable de tous les impacts d'un algorithme ? Comment atteindre la transparence des décisions de l'algorithme, au moins au niveau nécessaire pour une utilisation responsable?
Enfin se pose la question de l'influence inconsciente des auteurs (ou des concepteurs) qui induit peut-être un biais dans le fonctionnement de l'algorithme. Une recherche de l’Université d’Harvard de 2013 a montré que la recherche de noms à consonance africaine dans un moteur de recherche affiche plus fréquemment des dossiers d’arrestation...

Le biais de la Silicon Valley jugée très machiste, en tout cas pas assez diverse (du jeune mâle blanc), et qui produit nombre d'algorithmes utilisés tous les jours, est donc bien réel et doit nous faire réfléchir.

Ce qui fait dire à David Oppenheimer, professeur de droit à l’Université de Californie à Berkeley, que si les algorithmes « ne sont pas conçus avec une intention de discrimination, et même s’ils reproduisent les préférences sociales de manière tout à fait rationnelle, ils tendent aussi à reproduire certaines formes de discrimination ».

La compréhension des données et des algorithmes est donc un sujet majeur qui attend notre société qui se numérise un peu plus chaque jour.
-->

L'humour de ceux qui aiment le numérique