Club des maîtres d’ouvrage des systèmes d’information

La transformation du Groupe La Poste : Equilibrer l’économique et le social
Dîner/débat du lundi 16 janvier 2017

Conformément à la nouvelle formule proposée par le conseil d’administration du Club, avant d’aborder la partie centrale de notre soirée, une première intervention d’environ quinze minutes a permis à un membre du Club d’exposer brièvement un sujet d’actualité relatif à l’entreprise dans laquelle il travaille.

En première partie de soirée, le Club accueillait donc l’un de ses membres, Isabelle DOAL, Sous-directrice à l’innovation et CafLab au sein de la Direction de l’Evaluation de la Stratégie de la Caisse Nationale des Allocations Familiales (CNAF), a présenté aux participants « La démarche innovation des allocations familiales ».

Les Allocations Familiales sont une branche-famille de la sécurité sociale. La branche famille est un réseau de 102 CAF et de 35.000 salariés piloté par la CNAF. La branche couvre 11,8 millions d’allocataires directs et au total 31,1 millions de personnes pour un volume financier de 86,2 milliards d’euros.

Les Allocations Familiales ont amorcé une démarche d’innovation. L’objectif de cette démarche est d’élaborer des services plus adaptés aux besoins et aux usages. Outre la mobilisation du « Design Thinking » pour parvenir à cette adaptation, la démarche soutien et favorise les innovateurs et les innovations locales de son réseau. Elle porte une transformation des façons de travailler qui offrent déjà un premier niveau de gain de performance.

Les premiers projets se sont déroulés sur 2015 et 2016. Projets de services au public issus de « hackathons », conception de politiques publiques (nouvelle politique à l’égard de la jeunesse) par exemple.
La démarche a également pour ambition d’alimenter une communauté apprenante et de préparer l’avenir avec des formations, des échanges, des débats. Parmi ceux-ci, un cycle sur la transformation numérique :
• 1/6/2016 : Le Big Data pour quoi faire ?
• 29/9/2016 : Les MOOCS – pour quoi faire ?
• 9/11/2016 La BlockChain – Pour quoi faire ?
• 26/1/2017 : L’open innovation – pour quoi faire ?

En parallèle un système d’innovation se met en place :
1. Des personnes compétentes : formation et développement d’un réseau de référents sur le territoire
2. Un Lab : le CAFLAB : Organisation de sessions de créativité, espace de prototypage, showroom de réalisations.
3. Un outil collaboratif interne. Evolution de l’espace collaboratif existant, lancement progressif des usages associés.
4. Un outil collaboratif externe.

Les enjeux 2017 : Fabriquer et déployer en tenant compte des contraintes liées au SI et des contraintes juridiques.

En seconde partie de la soirée, le Club MOA a reçu Sonia SCHARFMAN, Secrétaire Générale de la Direction du Numérique et de MEDIAPOST communication.

Le thème de la soirée était : La transformation du Groupe La Poste : Equilibrer l’économique et le social

Introduction

Le Groupe La Poste vit une mutation très profonde, impactée par le digital, l’ubérisation de la relation client, la nouvelle économie des plateformes, les nouvelles formes de concurrence…

La Poste a engagé une profonde transformation de son modèle multi-métiers en 2009 en repensant l’organisation de ses bureaux de poste, en poursuivant en 2012 avec Facteo, la création de la Branche Numérique, le projet « Cap Client 3.0 », etc.

L’enjeu, pour un Groupe qui perd un demi-milliard d’euros de chiffre d’affaire par an, est de transformer son modèle au bon rythme tout en s’assurant que le corps social comprenne, accepte cette transformation et en soit acteur.

Le Groupe LA POSTE

Le Groupe « La Poste », c’est aujourd’hui plus de 250 sociétés rassemblant 260 000 collaborateurs dans 5 branches d’activités :

1. Services-Courrier-Colis
2. La Banque Postale
3. GEOPOST
4. Réseau La Poste
5. Numérique.

Zoom sur la branche numérique

Créée en 2014, la branche Numérique est composée de :

• la Direction du Numérique (expérience clients, services en ligne, confiance numérique, Direction de l’Innovation et du Développement de Services, transformation interne)
• et de trois filiales :
  • Docapost (spécialiste de la transformation numérique des organisations)
  • Mediapost Communication (maîtrise des médias digitaux et traitement des datas)
  • Start’inPost (accélérateur industriel de start-up).

Elle rassemble environ 5000 collaborateurs et a réalisé un chiffre d’affaires global de 560 millions d’euros en 2015.

Véritable acteur de l’accélération de la transformation numérique du Groupe et du développement de chiffre d’affaires, la branche numérique a trois missions clés :

1. Mettre ses expertises au service du Groupe et des branches : développement de nouvelles offres (telles que FACTEO, DIGIPOST ou encore le compte client unique), centre d’expertise de méthodes agiles et d’architecture ouverte, innovation, transformation numérique interne avec la « DRH-Groupe ».
   Dans ce cadre, elle est en charge de la politique « data » du Groupe avec le pilotage du projet prioritaire commun «Connaissance des clients particuliers, pros et entreprises» destiné à unifier les bases de données des différentes entités du Groupe.
2. Assurer un rôle de réseau de distribution numérique via La Poste en ligne avec une ambition forte de développement de chiffre d’affaires pour les branches.
3. Gérer une activité économique en propre avec ses deux filiales et son accélérateur de start-ups, DOCAPOST, MEDIAPOST COMMUNICATION et Start’inPost dont le challenge est de développer de nouveaux business numériques en concentrant sa stratégie autour de la data tout en maintenant une stabilité de résultat à horizon 2020.

Environnement

Comme toutes les entreprises, La Poste officie dans un environnement caractérisé par les aspects fondamentaux de la transformation numérique de notre civilisation :

• Accélération des processus
• Conversation. Ce qui est dit sur une entreprise prend le pas sur ce qui est dit par l’entreprise
• Intelligence artificielle et Big data
• Fin des rentes établies
• Une société en constante évolution, dont le projet reste à définir
• La désintermédiation est une réalité pour tous les secteurs d’activité.

Changements de modèles

Les nouveaux entrants attaquent en frontal le cœur de métier des entreprises historiques avec de nouveaux modèles économiques. Ils entrent sur des marchés historiques en bénéficiant d’avantages compétitifs solides : nouveaux usages, avantages technologiques, agilité, vitesse d’exécution.

Nouveaux intermédiaires

Ces « pure-players » jouent le rôle d’intermédiaire entre le client et l’activité principale. Ils se positionnent comme le point de contact dans la chaîne de valeur, captent la transaction, et accaparent la donnée client grâce à une qualité de service innovante et souvent multi-marques.

Les OTT

Les OTT sectoriels. Ce sont les nouveaux usages connectés créés au plus près des attentes nouvelles des publics insatiables. Ces acteurs ouvrent un nouveau segment de la chaîne de valeur du secteur et bénéficient d’une position de « 1er entrant »

Au départ La Poste n’avait pas perçu les profonds changements qui s’annonçaient. C’est lorsque les volumes ont commencé à baisser de façon significative que la réaction s’est amorcée.

Pour disposer de l’intégralité du compte-rendu vous devez être membre du Club…

Chers membres du Club, sympathisants et lecteurs,

A l’aube de la nouvelle année, il est de tradition d’échanger quelques voeux.

Aussi lors de notre soirée de rentrée, ce lundi 16 janvier 2017, je me suis d’autant plus volontiers livré à cet exercice que je suis très heureux de pouvoir partager ces moments d’amitié sincère.

Ainsi, avant de laisser la parole successivement à Isabelle DOAL (CNAF) pour un court exposé sur les points clefs des projets dans lesquels elle est impliquée au profit de la CNAF, puis à Sonia SCHARFMAN (groupe La Poste) pour l’exposé principal de notre dîner débat, j’ai pris le temps de présenter quelques voeux pour le Club.

Au nom du conseil d’administration (Michèle THONNET, Lionel PLOQUIN, Christophe PARACHINI, Philippe MONTAGNIER et moi-même), à tous nos membres actifs, à nos sympathisants, à ceux qui nous suivent sur Twitter et autres canaux sociaux, à tous et à toutes, nous vous souhaitons une très belle année 2017, remplie de moments bonheur.

Avant de formuler des voeux pour cette nouvelle année, un court regard dans le rétroviseur nous invite à reconnaître que la vie du Club a été particulièrement riche en 2016, avec en guise de conclusion (et d’ouverture pour 2017) une journée d’étude sur l’innovation que l’ensemble des participants a apprécié.

La densité de cette année 2016, nous la devons d’abord à nos membres actifs pour leur soutien et leur engagement au profit du Club: Ministère de la Défense (SGA), Ministère des finances (DGFiP), Ministère de la santé, Banque de France (DOSI), Groupe SMA (DOML).

Cette dynamique collective découle des suggestions thématiques et interventions de chacun qui permettent un enrichissement mutuel à l’occasion des échanges organisés lors de nos rencontres. Toute l’équipe du conseil d’administration espère que 2017 nous permettra de préserver voire d’amplifier les effets bénéfiques de nos rencontres et nous apportera, notamment grâce aux activités du Club, de nombreux succès dans les projets que nous menons.

Cette dynamique, nous la devons enfin à tous les intervenants que nous remercions chaleureusement car ils contribuent à rendre passionnantes nos soirées.

Je n’oublie pas ceux qui en assurent la préparation, c’est à dire le plus souvent des membres du conseil d’administration, remerciements auxquels nous sommes heureux d’associer Jean-Pierre HUIN, qui nous a apporté en 2016 une aide précieuse.

S’agissant du Club, je formulerai trois voeux :

• Tout d’abord, que notre Club conserve son dynamisme et si possible l’amplifie. Pour cela, nous savons qu’il y a une fonction “marketing” à créer car, même si les actions à conduire sont bien cernées, il manque aux membres du conseil d’administration le temps nécessaire qu’il serait souhaitable d’accorder à cette fonction. Dans ce domaine, le conseil d’administration a ouvert la possibilité d’initier cette démarche en proposant à un stagiaire marketing/communication d’apporter sa contribution. Avis aux candidats motivés par le digital marketing…
• Ensuite, ceux qui fréquentent le Club depuis plusieurs années savent sans doute que l’association qui porte le Club est née en 1997. Le Club fêtera donc ses 20 ans. Happy birthday !
  C’est sans doute l’occasion d’organiser un événement inhabituel pour marquer ce passage. Nous avons évoqué avec le conseil d’administration l’organisation d’une “conférence” à laquelle pourrait participer environ 100 personnes, à laquelle serait invité notre président d’honneur (Michel VOLLE, fondateur du Club), ainsi que des intervenants enclins à aborder les questions liées à la transformation numérique (sujet commun à la plupart de nos rencontres), avec l’idée que cette combinaison de personnalités, grâce aux échanges et exposés, permette de faire émerger, sinon des idées nouvelles, du moins une conscience mieux partagée de toutes les questions sous-jacentes à cette transformation majeure qui touche la société tout entière.
• Enfin, mon troisième voeux concerne le rôle que chacun d’entre nous peut jouer en dehors du Club, notamment s’agissant des enjeux sociaux liés à cette transformation du monde.

  

  Peut-on en effet rester insensible à la lecture d’articles comme celui paru ce lundi dans le journal (Les Echos du 16/01/2017 – article) : 8 personnes pèsent financièrement autant que la moitié la plus pauvre de la population mondiale (3,6 Mds de personnes) ?
  Que penser de la posture de l’autruche comme réponse aux questions posées par des sujets comme la robotisation ou la montée en puissance de l’intelligence artificielle dont l’impact sur le marché de l’emploi s’annonce considérable ?
  Plus que jamais, par notre capacité à analyser les impacts potentiels des projets dans lesquels nous sommes partie prenante, par notre capacité à donner les bonnes informations aux décideurs, nous avons le pouvoir de contribuer au meilleur usage des technologies qui émergent presque chaque jour, en prenant en compte cette dimension sociale.

Je (re)lisais il y a quelques jours un livre qui s’intitule « Le petit traité des grandes vertus », écrit par le philosophe André COMTE-SPONVILLE, où il explique assez bien qu’il y a une contradiction entre la solidarité intrinsèque qui lie tous les habitants de la planète et la concurrence qui s’exerce sur le plan économique. Notre conscience doit nous amener à fixer des limites dans les actions que nous menons. Nous devons savoir jusqu’à quel point nous sommes au service des gains de performance, au service de la compétition et jusqu’où aller pour ne pas empiéter sur la nécessaire solidarité vis-à-vis de l’autre car que nous le voulions ou non, nos destins sont liés…

En vous souhaitant une excellente année 2017,

Amicalement,

Jean-Yves LIGNIER

Président du Club des maîtres d’ouvrage des systèmes d’information

Sujet majeur de la transformation des entreprises publiques ou privées à l’ère de la digitalisation du monde, il était naturel de consacrer une place toute particulière à l’innovation en organisant une journée d’étude.

Cette journée d’étude s’est déroulée le 2 décembre 2016 au sein de la Caserne de la garde républicaine (Quartier des Célestins). Elle a été précédée d’une soirée de préparation le 14 novembre 2016 à l’Aéroclub de France.

Le Club remercie le général de division Damien SRIEBIG, commandant de la garde républicaine, sans qui l’organisation de cette journée n’aurait pu être possible, ainsi que Séverine HERLIN (fondatrice de la société VIANEO) dont la maîtrise des questions liées aux processus d’innovation était indispensable à l’animation de la soirée de préparation et à la journée d’étude.

Dans le contexte de globalisation où tout s’accélère, une entreprise qui se contenterait d’une position acquise n’a pas d’avenir. Dans ce contexte, par nature complexe et incertain, comment assurer la pérennité de l’entreprise ?
L’innovation constitue l’un des axes pour répondre à ce défi.

Ceci explique pourquoi l’innovation est aujourd’hui dans tous les esprits, dans tous les discours. Inclus dans les valeurs des entreprises, proclamées haut et fort par les dirigeants des grands groupes, le terme d’innovation apparait finalement comme «facile à prononcer, à annoncer» mais «pas facile à mettre en œuvre».

Ce paradoxe tient à la complexité intrinsèque de l’innovation. Il réside dans sa racine même: du latin in (dans) et novare (rendre nouveau, renouveler, refaire, restaurer, transformer, changer, innover), l’innovation est l’action d’innover, c’est-à-dire d’introduire quelque chose de nouveau en terme d’usage, de coutume, de croyance, de système scientifique…

Aujourd’hui, nombreuses sont les entreprises qui disent avoir un « service innovation ». En réalité, pour la majorité d’entre elles, ce service est appelé Recherche et Développement et est par conséquent uniquement orienté sur les produits commercialisés par l’entreprise.

Selon une étude de la CCI Paris Ile De France, parue en 2015, la France est au :

• 6ème rang mondial en matière de R&D (45 Md€ soit 2,26% du PIB)
• 17ème place en matière d’Innovation.

On comprend ici l’amalgame qui est fait et finalement la position toute relative que prend l’innovation en France.

Pour rappel, selon le manuel d’Oslo, la définition de l’innovation est la mise en œuvre d’un Produit (Bien ou Service), d’un Procédé (nouveau ou sensiblement amélioré), d’une nouvelle méthode de commercialisation, ou d’une nouvelle méthode organisationnelle dans les pratiques de l’entreprise, de l’organisation du travail ou les relations extérieures.

L’innovation est donc bien en réalité à tous les étages et dans tous les silos de l’entreprise.

Ce ne sont pas les gros qui mangent les petits mais les rapides qui mangent les lents » (Eberhard von Kuenheim – Président du Conseil d’Administration BMW).

Ainsi une entreprise, pour exister doit toujours aller de plus en plus rapidement. Les démarches d’innovation sont une des meilleures solutions. Reste à appréhender comment l’organisation exploite les idées de ses équipes, de ses collaborateurs pour faire avancer l’entreprise.

S’il s’agissait simplement d’inventer, de créer, le problème serait simple à résoudre. Mais pour l’entreprise, dont l’objet est de réaliser des bénéfices, plusieurs difficultés se rattachent à cette problématique de l’innovation. Il s’agit de créer un écosystème favorable (organisation, processus, moyens humains et financiers…) qui fasse émerger des innovations qui permettent à l’entreprise de gagner de la valeur (reconnaissance, marque…) de façon à renforcer sa position ou à gagner de nouveaux marchés.

Pour être totalement complet dans cette analyse, il faut également prendre en compte la possible destruction de valeur: l’innovation est susceptible de mettre en danger l’existant.

Enjeu clef de l’ère numérique, ce thème de l’innovation a été abordé en compagnie de Séverine HERLIN (fondatrice de la société VIANEO) lors de deux rencontres au sein du Club MOA.

• Le 14 novembre 2016. Un diner-débat a permis de présenter les concepts fondamentaux, d’échanger afin de préparer la journée d’étude.
• Le Vendredi 2 décembre 2016. L’ensemble de la journée a permis aux participants de réaliser des « travaux pratiques » à partir des projets qui avaient été retenus lors de la soirée de préparation.

Ces projets sont au nombre de trois :

1. Rester innovant dans le passage à l’échelle (entre POC et industrialisation)
2. Comment réconcilier la retraite avec les jeunes qui n’y croient plus mais qui doivent cotiser.
3. Quelle place de la DSI dans les projets innovants.

Le compte-rendu complet est transmis aux membres du Club.

Comme chaque année, le conseil d’administration dresse un calendrier prévisionnel des rencontres prévues.

Pour l’année 2017 vous pouvez le télécharger au format PDF ou simplement consulter les dates ci-dessous.

Pour obtenir des invitations et participer à nos rencontres, adressez une demande par courriel à notre secrétariat : secretariat [at] clubmoa.asso.fr

Les entreprises sont confrontées à leur nécessaire transformation. Elles doivent s’adapter à la vague numérique qui déferle sur la société. Les usages et attentes des consommateurs changent et au sein de l’entreprise les employés attendent une évolution de management allant vers davantage de responsabilisation et de collaboration.

Ce nouveau rapport, à l’intérieur de l’entreprise et entre l’entreprise et ses parties prenantes, impose d’être innovant dans ses pratiques et son offre de services et produits.

Dans un contexte où la mondialisation se traduit par une pression concurrentielle croissante, comment trouver de l’oxygène financier pour engager ces expérimentations qui représentent une dépense nouvelle ?

En 2016 plusieurs articles ont été rédigés pour mettre en évidence les sommes colossales que peuvent représenter la dépense en logiciels :

• Le logiciel, premier levier d’économies en dépenses IT pour les entreprises (Les Echos)
  • Le logiciel, un poste de dépense central en entreprise
  • Les investissements liés au data center représentent 54% des dépenses logicielles
  • Se prémunir contre le coût caché des appareils mobiles
• L’inflation des dépenses logicielles et cloud (ELEE)
• Le coût invisible des logiciels d’entreprise (Les Echos)

Les trois articles évoqués supra étant rédigés par des éditeurs de solutions dans le domaine de la gestion des actifs logiciels, il est permis d’émettre des réserves sur la pleine objectivité des analyses présentées… Toutefois, au-delà du trait potentiellement épaissi, chacun au sein de son organisation pourra se faire une première idée sur les pistes d’économie qu’il est possible de réaliser dans ce domaine.

En complément, il convient de s’intéresser à la question du logiciel libre ainsi qu’aux formats ouverts car ils apportent davantage d’interopérabilité, contribuant ainsi à l’émergence d’acteurs nouveaux et garantissant dans la durée la réutilisation de la donnée.

Sur cette question, l’Etat est régulièrement amené à s’interroger, non seulement parce qu’il s’agit de dépense publique, mais également parce que, notamment dans sa démarche opendata, il doit s’efforcer de partager le capital immatériel que représentent les millions de données traitées dans ses applications et stockées dans ses datacenters.

Il n’est donc pas étonnant que l’April se soit intéressée à cette question. Mais ces informations compilées se retrouvent également sur d’autres sites comme celui de numerama qui avait pointé en 2013 que l’Etat avait dépensé 1,5 milliard d’euros en 5 ans pour des logiciels propriétaires (article).

La gestion des actifs logiciels, équivalent français du terme anglais software asset management (SAM), est une pratique de management qui consiste à gérer et à optimiser l’achat, le déploiement, la maintenance, l’utilisation et l’élimination des actifs logiciels au sein d’une organisation. D’après Information Technology Infrastructure Library (ITIL), elle est définie comme « …all of the infrastructure and processes necessary for the effective management, control and protection of the software assets…throughout all stages of their lifecycle ». Ses objectifs sont de réduire à la fois les risques commerciaux et juridiques d’une part, et les coûts d’autre part tout en maximisant le service rendu.

La gestion des actifs logiciels est un sous-ensemble de la gestion des actifs informatiques (IT Asset Management) qui fait maintenant l’objet de la norme ISO/IEC 19770.

Source: wikipédia

 

La montée en puissance de systèmes d’exploitation libres Unix-like (Linux, FreeBSD…) à partir de la fin des année 1990 a débouché sur une présence industrielle. Ils sont devenus les systèmes de référence des grands acteurs de l’hébergement et des offres en cloud computing.
Cette percée significative côté serveurs est en revanche marginale sur le marché du poste de travail, caractérisé par l’écrasante domination de Microsoft, avec une part non négligeable pour Apple (doté de MAC-OS basés sur FreeBSD) et une fraction négligeable de parts de marchés pour les autres, parmi lesquels on retrouve différentes variantes basées sur Linux (Ubuntu, Suse…) ou sur une souche BSD (PC-BSD).

Comment expliquer cette différence de succès ?

Une partie de la réponse a été apportée lors d’une série de rencontres organisées en 2008 par le club MOA.

Les dîners du 16 juin, du 8 septembre et du 13 octobre avaient en en effet permis d’aborder le thème du logiciel libre sous différents angles.
Au cours de chacun de ces dîners, les intervenants se sont succédé pour présenter une approche ou un aspect du logiciel libre.
Nous avions ainsi reçu successivement :
– l’AFUL, Association Francophone des Utilisateurs de Logiciels Libres (Thierry STOEHR, son président et Laurent SEGUIN, membre de son conseil d’administration) ;
– la Gendarmerie Nationale (Xavier GUIMARD) ;
– la communauté OpenOffice-France (Sophie GAUTHIER) ;
– le Ministère de la défense (Jean-Paul DEGORCE-DUMAS) ;
– et la DGME (Hervé LE BARS).

De ces débats, il était ressorti que la démarche visant à accroître la place du logiciel libre constitue un changement de paradigme.

L’acte d’achat/location implique intrinsèquement une contrepartie (qualité, sécurité, support…), en plus du service rendu par la solution logicielle. D’une certaine manière, l’entreprise se « décharge » de la fabrication d’un « outil » pour concentrer ses efforts sur l’usage et la valeur qu’elle peut développer grâce à cet outil.

Pour une grande organisation, publique ou privée, ce changement ne peut s’opérer sans tenir compte tenu du poids des grands acteurs en terme de lobbying (pression directe sur les décideurs) et impose une démarche projet solide ainsi qu’une étape de transition et un accompagnement des équipes techniques et des utilisateurs.

Demander à un DSI de porter seul un tel projet, c’est l’exposer à un pic d’impopularité car l’utilisateur final n’est pas spontanément prêt à fournir un effort pour s’habituer à un nouveau logiciel qui n’apporte pas de fonctionnalité directement utiles à son niveau.
Cela rejoint d’une certaine manière les questions de responsabilité sociétales. La plupart des citoyens se sentent concernés par les questions de pollution, mais combien sont prêts à modifier de façon significative leur propres comportement ?

Les logiciels libres, les formats et standards ouverts constituent le socle de l’écologie numérique. Ils apportent un gage de pérennité et d’interopérabilité pour les générations futures. Il s’agit d’un choix stratégique et vertueux à plusieurs égards, et pourtant…

Lundi 6 juin 2016 le Club MOA a reçu Sylvie BILLARD de la DINSIC. Avec elle, nous avons abordé le sujet des “plateformes” qui accompagnent le développement de l’économie collaborative.
En premier lieu, l’État lui-même est concerné car, d’une part, il n’est pas en mesure d’assurer seul et selon une vision centralisée la mise à disposition de tous les services attendus par les administrés (citoyens, entreprises…) et, d’autre part, l’Etat n’est plus nécessairement légitime dans les initiatives qui doivent être portées par la manifestation d’un besoin.

Le projet dit de « l’État plateforme » est ainsi apparu comme un élément essentiel de la stratégie numérique de l’État. Le projet Etalab (data.gouv.fr), initialement impulsé par Henri Verdier (actuel directeur de la DINSIC) est ainsi devenu (non sans combats) une des premières implémentations de l’État plateforme, en permettant notamment de décloisonner les données de l’administration pour offrir de meilleurs services publics numériques aux citoyens.

1 Introduction : Un monde des API

Nous sommes entrés dans une “économie des API”, basée sur la distribution de services web interconnectés. Les GAFA (Google, Amazon, Facebook, Apple…) ont construit des infrastructures basées sur des API qui leur ont procuré un avantage compétitif jusqu’alors inconnu. Les NATU (Netflix, Airbnb, Tesla, Uber…) affichent une croissance plus vertigineusement encore, parce qu’ils bâtissent leurs services sur les infrastructures de leurs ainés (magasins d’applications qui leur épargnent d’inventer leurs solutions de distribution, services de gestion d’infrastructures nuagiques d’Amazon, de paiements…) sans se préoccuper de leur évolution et de leur exploitation.

Dans certains secteurs d’activité ces entreprises bouleversent l’ordre établi. C’est par exemple le cas dans le secteur du transport où les compagnies de taxis n’avaient pas anticipé l’émergence de nouveaux modèles comme ceux portés par la société Uber.

Et l’Etat dans tout ça ? Peut-il être “ubérisé” ? Où en est sa transformation numérique ?

L’Etat s’inspire de ces bonnes pratiques. Cependant, l’association anarchique de micro-services ne produira, pas davantage que par le passé, de cohérence surtout dans un contexte aussi complexe que celui des services publics. La transformation numérique de l’Etat implique plus que jamais une stratégie claire et une démarche d’architecture globale et d’accompagnement.

L’Etat s’inspire des bonnes pratiques du privé…

• en définissant sa stratégie Etat Plateforme ;
• en mettant en place le Réseau Internet, l’infrastructure nuagique, l’écosystème de confiance “FranceConnect” d’identification/authentification des personnes et de sécurisation des échanges de données personnelles, le Magasin d’API et de Services de l’Etat “api.gouv.fr” ;
• en étudiant la mise en place d’un Réseau social, de messagerie et d’outils collaboratifs de l’Etat tout en fixant le cadre d’usage…
• en publiant les référentiels généraux de sécurité, d’interopérabilité et d’accessibilité, ainsi que les cadres communs d’architecture et d’urbanisation ;
• en organisant un écosystème favorable à l’innovation conjuguant, au-delà de l’apport budgétaire notamment du Programme d’Investissement d’Avenir, les facteurs de succès des modèles étrangers, à savoir :
  • une culture entrepreneuriale pour faciliter la prise de risque, appréhender l’échec comme vecteur d’apprentissage et rechercher des résultats concrets à partir d’un produit opérationnel ;
  • le goût de l’excellence qui implique l’alignement sur l’état de l’art tant méthodologique que technologique, car les agents du secteur public ont une obligation morale d’excellence vis-à-vis de leurs concitoyens et contribuables ;
  • un maillage entre les acteurs, dans le cadre duquel les hiérarchies qui doivent se focaliser sur la stratégie et non la gestion, sur l’accompagnement du changement et non l’application de la réglementation, sur la confiance et responsabilisation de leurs agents et non brider leur créativité ;
  • un environnement ouvert où les administrations collaborent entre elles et avec leur environnement (centres de recherche et de formation, entreprises et startups, think tanks et associations ou simples usagers…), ce qui implique de nouvelles méthodes de travail et de nouveaux outils collaboratifs ;
  • des initiatives favorisant les défis, l’innovation et l’émulation dans un état d’esprit bienveillant, ce qui implique de nouvelles méthodes d’accompagnement des équipes.

Pour ce faire, les services du Premier Ministre ont mis en place -entre autres- le dispositif d’Accompagnement à la Transformation Numérique de l’Administration, ATéNA.

2 Focus sur la stratégie de l’Etat plateforme

Les enjeux auxquels répond la stratégie Etat Plateforme

• Focaliser la conception des services publics autour des besoins et des situations des usagers.
• Faciliter la circulation de la donnée et permettre à l’usager la maîtrise des données échangées quand il s’agit d’informations personnelles.
• Favoriser l’émergence de véritables écosystèmes de services publics numériques, auto-organisés, ouverts à tous les acteurs publics, associatifs ou privés.
• Cadrer la diversité des choix technologiques et des architectures.
• Susciter le changement de paradigme dans la conduite des projets.
• S’inscrire dans plusieurs démarches lancées au niveau international.

Les acteurs de l’Etat plateforme

• Les utilisateurs : Les personnes cliquant sur le bouton FranceConnect (particuliers, professionnels…).
• Les fournisseurs de services : Ils proposent des services en ligne aux utilisateurs (CAF, Mairie, Autres sites de services…). Le fournisseur de services ne connaît pas l’origine du fournisseur d’identité utilisé.
• Les fournisseurs d’identité : Ils garantissent l’identification et l’authentification d’un utilisateur (DGFIP, La Poste, Ameli, AIFE…). Le fournisseur d’identité ne sait pas pour quel service il est sollicité. Les fournisseurs d’identité doivent répondre à des exigences de sécurité et de qualité de leurs données.
• Les fournisseurs de données : Ils fournissent les données personnelles de l’utilisateur à un fournisseur de services (impôt…).

Un univers fédéré d’API avec des espaces de co-construction accessibles à tous

• Une démarche d’APIsation
• Le catalogue d’API et de Services https://api.gouv.fr/
• La base documentaire : http://references.modernisation.gouv.fr
• Le site d’information : et http://etatplateforme.modernisation.gouv.fr/
• Une forge (à définir).

3 Focus sur FranceConnect

L’accès aux démarches administratives est souvent contraignant. Il y a parfois autant de comptes usagers que de services publics en ligne. De très nombreux usagers oublient leurs identifiants, la plupart abandonnent la démarche dès qu’ils doivent créer un compte. Les personnes sont souvent irritées de fournir sans cesse les mêmes justificatifs.
FranceConnect est le dispositif d’identification et d’authentification des usagers proposé par l’Etat. Il est totalement gratuit. Il s’appuie sur des informations vérifiées par des services reconnus : DGFiP (Impôts), La Poste, Ameli… appelés “Fournisseurs d’Identité”.
Situation actuelle : déploiement généralisé de la solution avec la volonté d’atteindre 1 000 000 d’utilisateurs uniques en 2016

Les bénéfices de FranceConnect

• Une connexion facilitée : L’usager choisit son fournisseur d’identité. La vérification de l’identité en ligne de l’usager et son enrôlement sont désormais délégués à un système tiers.
• Une ouverture instantanée à l’ensemble des services publics “FranceConnectés”, France Connect levant les freins liés à la création de comptes et à l’authentification.
• France Connect ne stocke aucune donnée usager.
• Les agents sont moins mobilisés par la gestion des pièces justifiant l’identité des usagers.
• L’utilisateur contrôle la diffusion de ses données personnelles en donnant son consentement à chaque transfert.
• eIDAS permet à FranceConnect de dépasser les frontières de la France et de rejoindre l’Europe. La norme définit 3 niveaux d’identification entre les états européens. Les informations circulent entre les différents Etats membres.

4 Focus sur ATéNA

ATéNA est une réponse opérationnelle au rapport de la Cour des comptes sur la transformation numérique qui précise que “La conduite du changement est donc un enjeu majeur. Si l’accompagnement des usagers est nécessaire, celui des agents concernés l’est tout autant” et qui estime que cette dimension est, pour l’instant, “insuffisamment prise en compte dans la démarche générale de modernisation numérique du SGMAP.”
ATéNA s’adresse aux projets mettant en œuvre la stratégie Etat Plateforme, notamment les 21 lauréats des appels à projets gérés par la DINSIC.

ATéNA :

• propose une vision stratégique (Etat plateforme et FranceConnect), un cadre d’action et un rythme aux porteurs de projet ;
• accompagne -dans le respect du principe de subsidiarité- les porteurs au plus près de leur projet pour leur permettre de maîtriser les meilleures pratiques relatives aux différentes facettes de la transformation numérique (juridique, technologique, méthodologique…) et ce à chaque étape de maturation (de l’idée au projet, du projet au produit, du produit jusqu’à son déploiement et sa mise à l’échelle) ;
• facilite les synergies entre les différents porteurs, la mise en cohérence de leurs projets, voire la mutualisation de composants ;
• agit sur l’environnement des porteurs des projets pour essayer de lever les contraintes et maîtriser les risques (budgétaires, réglementaires, organisationnelles…) à chaque étape des projets.
  Parce que l’échange entre les savoirs et les pratiques est indispensable à l’opérabilité des innovations, au sein d’ATÉNA, les porteurs de projets sont acteurs de leur apprentissage en :
• participant à la définition, la priorisation et l’organisation du contenu de leur formation ;
• s’appropriant les apports théoriques des différentes facettes de la transformation numérique par l’expérimentation dans le cadre de leur projet et par l’échange entre eux et avec leurs mentors qu’ils proviennent du SGMAP, d’entreprises privées, de centres de recherche ou de formation.

Lundi 9 mai 2016 le Club MOA a reçu Jérôme CAPIROSSI, consultant, responsable du groupe de travail &ldaquo;Data et architecture&rdaquo; porté par l’association CESAMES.

Dans la société du numérique, avec la production de données qui croit selon une courbe exponentielle, de nouvelles disciplines comme les “data sciences” sont apparues. Mais les enjeux liés à la maîtrise des données ne peuvent tous être portés par ces disciplines.

En effet, de nombreuses questions se posent : comment identifier les opportunités liées à l’exploitation produite par l’entreprise ou en dehors ? Comment assurer un management efficace intégrant systématiquement une préoccupation à propos des données ? Etc.

Jérôme Capirossi après une brève présentation a proposé quelques points de repères afin de situer plus précisément le thème de la soirée et les questions qu’il sous-tend. Dans la seconde partie de son intervention il a commenté le résultat d’une enquête qui donne une vision plus précise de l’état des lieux.

Nous vivons dans un monde hyperconnecté qui se digitalise massivement. L’automatisation et la robotisation sont des phénomènes silencieux mais cependant très actifs. La part de l’immatériel dans l’économie est de plus en plus grande. A titre d’exemple J. Capirossi cite l’exemple du ballon officiel de la coupe du monde. Il couterait quatre euros alors qu’il est vendu cent quarante euros. La différence est la part de l’immatériel. Nous sommes dans un monde dans lequel tout se calcule ; statistiques publiques, économétrie, taux, Bâle III, etc.

La valeur des entreprises se déplace. En moyenne l’immatériel représente aujourd’hui 74% de cette valeur et un grand nombre d’entre elles sont davantage valorisées sur leur potentiel de développement que sur leurs résultats opérationnels et les bénéfices en fin d’exercice. Pour autant, cette perception de la valeur n’est pas juste de l’intuition car leur potentiel de richesse repose sur la masse des données collectées. Les entreprises, leurs partenaires, leurs clients produisent des masses de données de plus en plus importantes (Big data). Ces volumes requièrent des capacités de traitement importantes et des algorithmes adaptés (d’où l’émergence des métiers de data scientist). Le marketing est alors en capacité de segmenter la clientèle de plus en plus finement et les techniques &ldaquo;Big Data&rdaquo; permettent de mettre en œuvre des traitements de corrélation sur des données non structurées. Il en découle des offres sont de plus en plus ciblées et de plus en plus nombreuses qui cachent la complexité des systèmes qui les produisent.

Bien plus encore que les premiers extranets, l’évolution technologique permet désormais aux entreprises de construire des écosystèmes à l’extérieur de leur strict périmètre. L’émergence de l’informatique en nuage (cloud computing) y a largement contribué, permettant notamment de bénéficier de puissances de calcul inégalées, d’une élasticité et d’une scalabilité sans égale.
Parallèlement, le développement des objets connectés ajoute encore une nouvelle dimension. Ce ne sont plus seulement des humains qui alimentent ces bases de données mais aussi des objets allant du simple capteur au robot plus sophistiqué. Par effet domino, les architectures de captation des données des objets connectés sont en plein développement. Notons qu’actuellement ce type de production de données est très peu sécurisé (exemple de la carte bancaire sans contact).

Quelles conséquences pour l’entreprise ?
Offrir de nouveaux services avec pour facteurs clés un maillage important et une collaboration des services et des technologies. Par exemple les smartphones connectés au &ldaquo;Cloud&rdaquo;, les voitures communiquant avec les infrastructures routières ou en matière de génomique l’utilisation de l’analyse &ldaquo;Big data&rdaquo; prévient l’apparition d’épidémie ou de maladie par analyse des &ldaquo;signaux faibles&rdaquo;, etc.

Une meilleure gestion des risques par la mise en place, de données de référence de qualité, de traitements d’exception, d’erreurs et de détection de fraudes efficaces et performants. L’automatisation de ces traitements permet des contrôles et une prise de décision en un temps restreint.

Une modification substantielle des architectures applicatives. &ldaquo;Le Cloud&rdaquo; est bien résumé par cette formule &ldaquo;N’importe où, n’importe quand, sur n’importe quel terminal&rdaquo;.
Les nouveaux algorithmes de l’ère &ldaquo;Big data&rdaquo; permettent des traitements de données bien plus massifs, avec un moindre coût, représentant une alternative au décisionnel traditionnel.
Les &ldaquo;moteurs intelligents&rdaquo; ou machines apprenantes, évolution des techniques dites d’intelligence artificielle viennent de passer un palier de maturité. Dans les prochaines années elles vont fortement contribuer à modifier les architectures des systèmes d’information.
Enfin, les API (Application Programming Interface) permettent à chaque application d’interagir avec son écosystème informationnel.

Conclusion

Jérôme Capirossi explique de façon claire que devant cette masse de données qui grossit de façon exponentielle et l’émergence de technologies facilitant leur mise en perspective, les métiers doivent reconquérir la sémantique de leurs données pour en exploiter toute la richesse. La seule analyse numérique ou statistique est totalement impuissante et dépassée, en raison de la masse et de la diversité des données. Parmi les autres point clefs retenons également que dans cette économie immatérielle, la confiance aura une place prépondérante car réciproquement la défiance peut devenir un frein.

&ldaquo;Le principal défi que doivent affronter les Big data est de donner du sens à ce magma de données brutes.&rdaquo; (Dominique Cardon in A quoi rêvent les algorithmes – Edition du seuil)

État des Lieux

L’état des lieux est donné par une enquête (à objectif qualitatif) auprès d’entreprises de tailles et de secteurs très divers. Le questionnaire comportait 102 questions. Cette enquête a été réalisée au cours du quatrième trimestre 2015.

Lundi 4 avril 2016 le Club MOA a reçu le Général de corps aérien Grégoire BLAIRE, Directeur central de la DIRISI, au ministère de la Défense.

Dans un première partie il a présenté les SIC de la du ministère, leur organisation, leur évolution et les enjeux, notamment opérationnels. En seconde partie, son exposé sur l’opération « Balard » [consistant à regrouper l’ensemble des services du ministère de la Défense ainsi que le commandement des armées françaises] a permis de mesurer avec exactitude les difficultés et les réussites d’un projet d’une taille considérable et le rôle de la DIRISI.

En introduction Jean Yves LIGNIER, le président du Club MOA, évoque les différentes rencontres du Club au cours desquelles a été abordé ce sujet de la complexité, mettant en évidence qu’il s’agit d’une thématique d’intérêt de souvent citée par les grandes organisations adhérentes du Club.

1 La DIRISI : L’opérateur des SIC de la Défense

1.1 Généralités sur les SIC

Les SIC sont au cœur de la transformation de la société. Ils sont utilisés par tous les métiers et toutes les organisations. Ce sont des « artefacts » dont l’ensemble des caractéristiques montrent la difficulté de création, de gestion et d’évolution.

Le SIC doit répondre à de nombreux défis, parfois antagonistes deux à deux :

• La mobilité que l’évolution de la technologie rend de plus en plus prégnante.
• La pérennité car les SIC sont devenus indispensables à la vie des systèmes en général.
• La souplesse pour se déformer suivant les évolutions de l’architecture du système associé.
• La sécurité, garante de la pérennité et de la fiabilité.
• La performance au sein d’un monde ultra concurrentiel.
• La capillarité afin de diffuser facilement dans toutes les couches du système associé.
• Enfin l’interopérabilité. Dans un contexte de mondialisation, le SIC doit pouvoir se connecter et recevoir des informations des autres SIC. Son évolution doit être permanente, c’est une question de survie.

La DIRISI est l’opérateur SIC du ministère de la Défense. Les forces armées et les formations attendent beaucoup des SIC et par conséquent de la DIRISI.

1.2 Rôles des SIC et missions de la DIRISI

La mission principale de la DIRISI est de répondre au besoin opérationnel, c’est-à-dire :

• Disposer des systèmes permettant de planifier, commander et conduire les opérations dans un cadre national ou en coalition.
• Atteindre la supériorité informationnelle par la mise en réseau généralisée des acteurs opérationnels.
• Concevoir de manière coordonnée nos systèmes afin d’en rationaliser leur réalisation, de faciliter leur interconnexion et assurer leur interopérabilité.
• Sécuriser nos systèmes et nos réseaux pour garantir la confidentialité appropriée, l’intégrité des informations et contribuer à leur disponibilité.
• Poursuivre la logique d’économie des moyens.

En matière de dissuasion, la DIRISI est responsable de l’acheminement de l’ordre de tir 7j/7. Pour cela elle assure la maîtrise de bout en bout et la permanence 24h/24, d’un réseau SIC à très haute disponibilité. Elle assure la direction des réseaux de transmission des forces nucléaires françaises.

Elle a en charge la cybersécurité du système de défense français. Elle assure la transmission des informations pour les actions de l’état en mer (AEM).

Elle participe à la Posture Permanente de Sûreté (PPS). La posture permanente de sûreté repose sur la dissuasion nucléaire, la prévention (pré-positionnement des forces, capacité d’appréciation autonome) et la protection du territoire. Elle constitue le socle des missions des armées.

La DIRISI a en charge le déploiement d’urgence de SIC de crise :

• La mise à l’échelle de moyens SIC existants.
• La planification à froid (par exemple le plan Neptune : la crue centennale de la Seine).
• L’interconnexion de la Défense aux moyens interministériels.

La DIRISI est en charge de maintenir les SIC qui couvrent les opérations extérieures de la France. (Actuellement 14 sites de par le monde) via par exemple les liaisons satellitaires.

En résumé la DIRISI met en œuvre les liaisons du niveau stratégique jusqu’au niveau tactique afin de garantir, en temps réel, précision et qualité pour toutes les missions confiées à l’armée française.

2 Organisation

L’arrêté du 4 mai 2012 organise la DIRISI.

Elle est organisée en 7 Directions Locales sur le territoire de la métropole(DL) Bordeaux, Brest, Lyon, Metz, Île-de-France Rennes et Toulon et en 10 directions locales outre-mer Cayenne, Fort de France, St Denis de la Réunion, Nouméa, Papeete, Abu Dhabi, Dakar, Djibouti, Libreville.

A ces Directions Locales sont associées des relais locaux au nombre de 39 : les CIRISI (Centre Interarmées des Réseaux d’Infrastructure et des Systèmes d’Information) et 138 détachements.

L’échelon central comporte 11 centres nationaux. Les centres nationaux regroupent des compétences et des ressources rares et précieuses qui sont mises à la disposition de tous les clients de la DIRISI. Ils sont, pour la plupart, placés sous le commandement opérationnel du « Service conduite opérations exploitation » (SCOE). Le COD (centre d’opération de la DIRISI) est la « tour de contrôle » de ce commandement : il pilote l’ensemble des activités de « production » de la DIRISI et assure au quotidien le contrôle opérationnel de ces centres.

Quelques centres sont placés sous le commandement opérationnel de la sous-direction de la sécurité des systèmes d’information.

L’organisation est adaptée pour assurer le soutien à distance et le soutien à proximité.

3 Evolutions et enjeux

Les enjeux de la DIRISI peuvent se résumer ainsi : achever la transformation du domaine SIC, en assurant sans rupture les manœuvres humaines, territoriales et techniques au sein d’une activité en constante augmentation avec des ressources en constante réduction.

Le « planning » se déroule de 2003 à 2020. La continuité de l’effort n’est, en l’occurrence, pas un vain mot.

3.1 Le modèle de rupture

Avant :

• Eparpillement des outils matériels et logiciels.
• Eparpillement des infrastructures (locaux techniques sur la totalité des sites).
• Eparpillement des Ressources Humains.

Après :

• Regroupements RH par capacité au sein de centres nationaux (Ex : création du soutien à distance, complémentaire du soutien de proximité).
• Rationalisation et centralisation des infrastructures SIC pour bâtir un Cloud privatif.
• Actualisation annuelle de l’adéquation entre les besoins prévisibles des ADS et les capacités de la DIRISI (Plan de développement SIC bâtis avec chaque grand compte).

Le nouveau modèle permet :

• De gagner en réactivité.
• D’optimiser la structure de la DIRISI, dorénavant organisée autour d’une épine dorsale constituée de centres de services partagés (projet DIRISIX).
• D’aider les armées, directions et services (ADS) à se moderniser par les SIC (projet QUARTZ).
• De rendre la DIRISI plus robuste vis-à-vis de la transformation des ADS.

3.2 La méthodologie capacitaire

La transformation de la DIRISI est conduite selon une démarche capacitaire. Elle repose sur 12 schémas directeurs capacitaires annuels glissants à 4 ans, s’étalant de 2014 à 2018. Un comité directeur des capacités gère et dirige l’ensemble.

3.3 Les ressources humaines
D’une façon générale les personnes ont besoin de savoir « où elles vont ». Il y a nécessité d’éclairer leur avenir. Cela vaut pour les personnels militaires et civils. Quels postes sont-ils susceptibles d’occuper dans 3 ans ? dans 5 ans ?

Dans le cas de l’opération BALARD, l’accompagnement au changement a été important : conférences plénières, visites du site en construction, protocole d’accueil le jour du déménagement, correspondant local, etc.

Au moment où le projet a nécessité des renforts, des personnes de province sont venues à Paris. Elles ont ainsi pu prendre la mesure du programme et comprendre leur rôle et l’intérêt du projet. Il est indispensable que, dans la mesure du possible, les personnes s’approprient le projet et y trouvent leur intérêt. Enfin l’implication quotidienne et « visuelle » du « Chef » est très certainement un facteur déterminant de la conduite des équipes. L’aspect « confiance » est fondamental.

4 L’Opération BALARD : Déménagement du ministère de la Défense.

Huit ans après son lancement, le projet de regroupement du ministère de la Défense a pris forme en 2015. Ce regroupement s’est fait sur le site de BALARD (ancienne base aérienne 117) à l’ouest de Paris. Il s’est agi d’installer sur un même site la DGA, Le SGA et le CEMA .

OPALE a été créé pour la circonstance. C’est un consortium d’entreprises privées emmenées par les entreprises Bouygues et Thalès

Les prestations demandées à OPALE ont été les suivantes :

• Conception architecturale et technique
• Prestations de services SIC
• Entretiens et maintenance des bâtiments
• Nettoyage
• Restauration
• Gardiennage extérieurCinq chantiers ont été confiés directement à OPALE :
  • Equipements bureautiques (9064 portables, 6045 postes fixes)
  • Vidéo conférence et murs d’images (82 salles équipées en visio)
  • Réseaux informatiques (19 000 prises réseau)
  • Environnements datacenters (350 m2 de salles blanches sur 2 parcelles)
  • Service téléphonique sur IP (10 000 téléphones)

  Dans le cadre de cette externalisation maîtrisée :

  • OPALE respecte une répartition de responsabilités précise et claire.
  • Les tâches sensibles demeurent sous le contrôle ou l’exécution de la DIRISI.
  • La réversibilité est prévue en cas de crise majeure.
  • La manœuvre du déménagement s’est étendue de la mi-mars 2015 à fin novembre 2015. Le premier semestre fut difficile par rapport au scénario initial. La priorité fut donnée au Commandement Des Armées (CDA). Malgré les difficultés rencontrées les objectifs ont été remplis.
  • Le déménagement du pôle opérations, en bloc sur le premier semestre, s’est déroulé sans incidence sur la conduite des opérations.
  • Le déménagement était réalisé au 15 novembre pour les entités planifiées sur l’année 2015.
  • Le démantèlement des sites libérés par la Défense a été effectif.
  • Le Général BLAIRE indique l’importance d’avoir mis en place un point focal d’appel pour tous les problèmes d’exploitation rencontrés Le COMSIC. Ce dispositif centralise l’expression des besoins et vérifie leur cohérence et leur bien-fondé.
  • D’autre part le pilotage au jour le jour, avec établissement quotidien du Reste à Faire (RAF) et un point de contact unique avec le prestataire a été un facteur important de la bonne marche de l’organisation.

  4.1 Constats et enseignements

  • La mise en place d’une double structure (PCDEM et CODEM ) a été déterminante pour permettre la tenue des objectifs de déploiement.
  • La préparation et la conduite du déménagement ont demandé de nombreuses ressources humaines en renfort sans lesquels la manœuvre n’aurait pas réussi.
  • Les outils de la chaine DIRISI ont correctement fonctionné mais ont nécessité en continu des adaptations et vérifications locales déterminantes pour la réussite des opérations techniques.
  • L’usage systématique de la métrologie SI et SC doit permettre de fonctionner en mode préventif, plutôt que curatif. C’est un axe lourd. Pour un problème d’une certaine épaisseur, si, par exemple trois causes sont possibles, quelle est la bonne ? Seule la métrologie pourra donner une réponse étayée.
  • Le test des outils en charge. Il faut se méfier des effets d’échelle. Un outil peut donner satisfaction pour, par exemple, 50 composants et être totalement défaillant pour 1000.
  • La gestion de la configuration, terme pris dans une acception très large, est une condition nécessaire de succès sur la durée. La DIRISI gère 584 000 licences de produits divers.
  • Il y a une nécessité vitale d’un réel partenariat entre le sous-traitant (OPALE/THALES) et le donneur d’ordre (DIRISI). Le suivi technico-financier a été beaucoup plus important qu’imaginé. Une opération de cette taille nécessite une capacité d’analyse permanente ainsi qu’un dialogue continu entre les structures techniques et de sécurité (NOC/SOC ) des deux organismes (Thales et CIRISI).
  • L’opération BALARD a été une source de rationalisation importante. Par exemple il y avait 35 applications pour gérer le courrier. Désormais il n’y en a plus qu’une seule. De même pour la configuration des postes de travail. Ce qui a été développé pour l’opération BALARD sert à toutes les structures du ministère de la Défense et des Armées.

  Balard restera une structure particulière, à la fois CIRISI et proche d’un centre national.

Lundi 8 février 2016 le Club MOA a reçu Xavier GUIMARD. Son intervention a porté sur le thème :
«L’efficacité opérationnelle dans un service numérique ou l’art de la guerre appliqué à la transformation numérique».

Xavier GUIMARD est colonel dans la gendarmerie. Après avoir occupé des fonctions opérationnelles de terrain il a rejoint l’informatique en 2000 et a vécu la profonde mutation des SIC (Système d’Information et de Communication) engagée depuis 2002.

NOTE : Le présent compte-rendu est volontairement synthétique. Il ne reprend que les thèmes essentiels évoqués par l’intervenant. L’exposé a été d’une grande richesse, porteur de beaucoup d’informations et de réflexions qui ne peuvent, bien évidemment, pas être repris dans ce modeste document.

Rappel rapide du contexte

En 2002 la situation du système d’information était « critique ». Le coût du MCO (Maintien en Condition Opérationnelle) dérapait, les demandes d’évolution étaient nombreuses et l’ouverture du système d’information inenvisageable vu le faible niveau de la SSI. Dans le domaine des RH, les équipes étaient « verticalisées » par projet.

À la suite de décisions stratégiques, une nouvelle doctrine a été érigée, permettant de reconstruire une dynamique « systèmes d’information » sur de nouvelles bases.
Cet engagement de longue haleine a mis plusieurs années à porter ses fruits. À partir de 2007 la situation est devenue satisfaisante tout en restant économiquement raisonnable.

L’intervenant propose deux perspectives d’analyse : l’aspect financier et la Sécurité des Systèmes d’informations (SSI).

I – Aspect financier

L’aspect financier est abordé sous l’angle macro-économique. En 2002 seul le financement des investissements était maîtrisé. Les dépenses récurrentes et les investissements ainsi que l’emploi des RH apparaissaient comme plus difficiles à maîtriser.

L’analyse met en évidence trois points importants :
• Prédominance du Chef de projet
• Partenariats vs « Client captif »
• Trop de dépendances techniques entre les projets.

Les lignes stratégiques retenues pour redresser la situation sont les suivantes :
Attaque du coût récurrent :
• Rétablissement des conditions de la concurrence lors du renouvellement des marchés
• Suppression des dépendances entre projets par la mise en place d’interfaces normalisées
• Rationalisation des technologies utilisées.

Création d’un socle technique solide :
• Mutualisation de nombreux services (SSO , hébergement, journalisation, bases de données, stockage…).
Indirectement, ces mesures bénéficient à l’investissement : le nouveau socle technique architecturé et la réglementation interne simplifient le dialogue avec les fournisseurs : le cahier des charges devient autosuffisant.

Au plan macro-économique, le résultat est atteint en cinq ans. Les finances, tant pour les dépenses récurrentes que pour les investissements, sont parfaitement maîtrisées. L’optimisation des ressources humaines nécessaires à la maîtrise et l’évolution du SI ont été significativement diminuées et les équipes se sont spécialisées par domaine de compétence en étant transverses aux projets métiers.

II – Aspect sécurité du système d’information

Xavier Guimard partage cette partie de son exposé en trois chapitres :

A- Estimation de la menace.

Le niveau de menace n’a probablement pas atteint son apogée. Le livre blanc sur la défense et la sécurité nationale développe la notion de menace, lors des « crises ».

En temps normal, les phénomènes de masse (virus, phishing,…) ne représentent qu’une partie de la problématique. Les pratiques illégales liées à l’intelligence économique sont monnaie courante.

En ce qui concerne les entreprises, Xavier GUIMARD fait une différence importante entre sureté (résistance à une attaque) et sécurité (résistance à un virus)

La Sécurité des Systèmes d’Information dans les entreprises est trop souvent réduite à la lutte contre les phénomènes de masse (non ciblés) tels que les attaques virales. Par opposition, la prévention contre des attaques ciblées, telles que la copie, l’attaque à l’intégrité ou la corruption de données, est moins souvent prise en compte
Aujourd’hui encore, le besoin SSI est, à tort, appréciée comme une charge budgétaire. Les entreprises considèrent que leur sécurité est bien assurée par la présence d’un plan de secours. A y regarder de plus près la « sureté » fait souvent l’objet d’un sous-investissement. En effet, l’impact des attaques ciblées est nettement supérieur aux autres problèmes liés à la SSI. Le financement de cette dernière devrait donc être considéré comme un élément indispensable à la pérennité de l’entreprise.

B- Analyse comparée de la guerre traditionnelle et de la Sécurité des Systèmes d’Information

En sa qualité de militaire et d’informaticien, Xavier Guimard a pu exposer cette partie avec clarté et intelligibilité. Dans une époque où l’on parle de « cybercriminalité », cette analyse a eu le mérite d’expliciter les différences importantes qui existent entre ces deux types de conflit.

– L’avantage naturel est inversé. En guerre classique l’avantage naturel est au défenseur (en particulier dans ce que l’on nomme guerre économique). En cybercriminalité, c’est l’inverse. Il existe de nombreuses technologies, très abordables, qui permettent de mettre en œuvre ces attaques. L’effet de surprise est garanti car il est difficile d’obtenir des renseignements sur les attaques à venir et les attaques ciblées sont noyées au sein d’attaques générales. Enfin, et ce n’est pas le moindre, il n’y a pas de problème de logistique pour l’attaquant.

– La notion de concentration de l’effort n’existe pas en matière de cybercriminalité. En cause : La multiplicité des identités que peuvent prendre les auteurs et, l’anonymat permis par le réseau Internet. Il n’y a pas de limites sur le nombre d’attaques simultanées et ces attaques peuvent être le fait de plusieurs agresseurs non coordonnés. L’ensemble de ces considérations introduit, dans la lutte perpétuelle de l’épée et du bouclier, une problématique radicalement nouvelle. Le Colonel Guimard met en exergue la motivation défavorable au défenseur : Au mieux un temps de retard pour répondre à l’attaque, au pire une absence de prise de conscience des dégâts perpétrés par ces agressions.

– Il y a de fait, une vraie difficulté à justifier les moyens que l’on peut mettre en œuvre contre des attaques ciblées. D’une part la faible probabilité apparente d’attaques ciblées, car peu de cas sont révélés, et d’autre part des systèmes de défense basés essentiellement sur des robots. Ils sont efficaces contre des attaques connues ou génériques mais désarmés devant un agresseur d’un nouveau type. Il n’y a pas de vue humaine globale. Ces dispositifs sont comparables à des forteresses sans gardiens.

– La finalité de l’attaque d’un concurrent diffère de celle d’une guerre classique. Dans cette dernière on « Recherche une meilleure paix ». Dans le domaine de la SSI soit l’attaque est directe et on recherche la destruction du concurrent, soit l’attaque est indirecte. C’est le cas des crises ou des liens supposés avec la cible réelle. L’information est souvent la cible. En guerre classique le renseignement donne un avantage pour la suite des opérations. En matière d’espionnage économique l’information constitue le patrimoine. Son obtention est décisive, la suite de la guerre se déroule sur le terrain commercial sans réel moyen d’action. Dans tous les cas il n’y a guère de négociations possibles.
La matérialisation de l’attaque est difficile. L’attaquant ne peut être identifié, le vol du patrimoine se présente sous la forme d’une duplication de données qui n’est pas forcément perçue par l’agressé. En cas de corruption des données la détection peut d’avérer difficile mais surtout les modifications ne sont pas nécessairement détectée.

La situation de l’agresseur présente aussi quelques « difficultés », notamment parce qu’il n’a pas de vue globale de la situation. Il agit sur le réseau et doit extraire des informations. Il peut être facilement trompé si l’agressé a mis en place un dispositif efficace. Observons que les phénomènes de masse divulguent beaucoup de techniques inutilisables ensuite. La complexité de l’informatique amène l’agresseur à commettre des erreurs. Enfin le niveau technique requis est croissant.

L’intervenant fait une rapide comparaison entre les places fortes construites par Vauban et les Systèmes Informatiques. Le système en couche présente des faiblesses intrinsèques : firewall + reverse + proxy + antivirus + détecteur d’intrusion ne représentent qu’une simple barrière. Dans la logique des forteresses construites par Vauban, le défenseur voit manœuvrer l’attaquant en permanence, ce qui n’est pas le cas en matière de système d’information. En matière de SSI le Système actuel se rapproche plus des dispositifs de guerre du « Haut Moyen Âge ». Mise en place d’une protection autour d’une enceinte dont le contour est difficile à évaluer : PC Nomade, PDA , Réseau avec des portes nécessairement ouvertes (mails) et dans laquelle tous les habitants ont la clef (USB).

Xavier Guimard nous fait remarquer que le Responsable de la Sécurité des Systèmes d’Information (RSSI) est une notion qui n’a pas d’équivalence en guerre classique. C’est aussi un poste que les entreprises ont quelques difficultés à situer. Trop haut dans la structure, le RSSI ne sait pas ce qui se passe ; trop bas, personne ne l’écoute. La position du RSSI (et de son équipe) ne lui permet pas toujours d’influer suffisamment tôt sur les choix et est potentiellement génératrice de conflits. Idéalement il doit occuper une position haute pour la gestion des risques et la politique de sécurité à mettre en œuvre, être proche du DSI pour la surveillance des nouveaux projets et proche de la production pour la détection des failles et des problèmes. Pas simple !
Dans la pratique, au quotidien, les choix s’imposent souvent à la SSI qui doit se débrouiller avec notamment des messageries externalisées, des PDA, des PC nomades… des applications mal conçues, des interconnexions d’applications non maîtrisables.

C- Vers une stratégie de sécurité de l’information.

« On ne doit pas compter que l’ennemi ne viendra pas, on doit se rendre inattaquable » Sun Tsu

Xavier Guimard rappelle rapidement la différence entre stratégie et tactique et par analogie avec le domaine militaire évoque les dispositions en entreprise.

La stratégie définit les objectifs politiques. C’est le domaine de la réflexion, de l’utilisation des méthodes d’aide à la prise de décision. La stratégie opérative définit la stratégie de protection de l’information. La tactique s’intéresse à la conception des objets, aux évaluations, à la détection, à la partie opérationnelle.

La planification opérationnelle

« La planification opérationnelle est l’art de planifier un projet pour le rendre pilotable ».

Toujours par analogie avec le domaine militaire, cette planification requiert deux équipes : la première planifie et conduit les opérations (conception de la manœuvre amie), la seconde s’occupe du renseignement (imaginer la manœuvre ennemie). L’exercice est renouvelé de façon cyclique. Chaque échelon intègre dans son raisonnement les questions essentielles (pourquoi, comment, mission, avec qui, contre qui, contraintes…).

D’autres principes militaires sont applicables en entreprise :

• Un chef, une mission, des moyens
• On ne confie une mission qu’à une personne en mesure de la comprendre et de l’assumer
• Entraînement régulier du personnel
• Mettre en œuvre un système très abouti des « conduites à tenir ».

Eléments d’organisation

L’objectif peut se définir complètement de la manière suivante : « Construire un système défendable et le défendre ». Il faut pour cela, à minima, mettre en œuvre un pôle architecture SIC qui contrôle tous les projets, anticipe les besoins et travaille en lien avec les experts de la sécurité physique. Un pôle SSI tactique qui met en œuvre la surveillance des systèmes, les dispositifs de détection et mène les actions prévues selon les circonstances. Les autres pôles sont plus « classiques » : gestion du risque, audit, etc.

Dans le raisonnement qui mène au SIC il faut impérativement prendre en compte les questions suivantes : contre qui ? pour défendre quoi ? avec quels moyens ?

Exemples de principes de sécurité obtenus :

• Défense en bulles (modularité) et insertion de barrières entre bulles.
  Tout élément pouvant être corrompu, il ne doit pouvoir communiquer avec son environnement que par des protocoles contrôlables (i.e. protocoles ouverts)
• Défense en profondeur
• Gestion des identités
• Fédération plutôt qu’unicité de référentiel pour mieux gérer les partenariats, fusions, acquisitions…
• Remise en cause cyclique des choix.

Enfin, on veillera à entretenir la motivation par des exercices réguliers, entretenir une veille (pour les attaques ciblées et les attaques automatiques) sur le niveau des attaquants, sur les vulnérabilités du système de l’entreprise, sur la connaissance extérieure du système (départs, fuites, incidents, …), voire utiliser le « Jeu de guerre »

« Entraînement difficile, guerre facile »

III – Conclusion

En conclusion de cet exposé, Xavier Guimard présente à grands traits la stratégie SSI de la gendarmerie nationale au sein de la stratégie générale des SIC de la Gendarmerie, et comment cette stratégie est intégrée dans les projets.

A titre d’exemple il détaille plus finement le système de messagerie qui a remplacé les centres de transmission. Le risque majeur était l’usurpation d’identité, non couvert par l’état de l’art.

Mesures d’architecture :

• Modularité et cloisonnement
• Développement d’un composant spécifique anti-usurpation
• Politique ciblant les vecteurs d’attaques en complément des anti-malwares
• Organisation des boîtes fonctionnelles en sous-dossiers IMAP agglomérés par le serveur dans la boîte individuelle (traçabilité nominative)
• Effacement automatique des droits à chaque mutation (couplage avec la base RH).

Mesures SSI « tactique » :

• ● Politique de remontée d’alertes
• ● Procédure d’audit automatisée.

Le raisonnement militaire, un apport intéressant pour tout type d’organisme:

• Au niveau de l’organisation
  • Réflexion sur le positionnement de la sécurité
• Au niveau de la stratégie
  • Intégration dans la logique économique
• Au niveau du quotidien
  • Notion de « SSI tactique »
  • Adaptation réaliste à la menace

-=-=-=-=-=-=-=-=-=-=-=-=-

La Gendarmerie Nationale en chiffres:

• 70 000 stations de travail Gendbuntu
• 10 000 stations sous Windows
• 99% d’utilisateurs exclusivement sur LibreOffice
• 98% sur Thunderbird
• 100% sur Firefox
• 4300 informaticiens sur 200 sites
• Le remplacement des centres de transmission par la messagerie a conduit à reconvertir 500 personnes (sans recrutement ni suppression de personnel)

Pour aller plus loin:

• Le livre blanc sur la défense et la sécurité nationale
• Le site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)
• Présentation du Colonel Guimard à l’association Aristote
• La revue « Expertises » qui traite mensuellement exclusivement du droit des technologies et systèmes d’information