La maîtrise des données, élément clef de la société du numérique
Exploiter la valeur intrinsèque des données
Lundi 9 mai 2016 le Club MOA a reçu Jérôme CAPIROSSI, consultant, responsable du groupe de travail &ldaquo;Data et architecture&rdaquo; porté par l’association CESAMES.
Dans la société du numérique, avec la production de données qui croit selon une courbe exponentielle, de nouvelles disciplines comme les “data sciences” sont apparues. Mais les enjeux liés à la maîtrise des données ne peuvent tous être portés par ces disciplines.
En effet, de nombreuses questions se posent : comment identifier les opportunités liées à l’exploitation produite par l’entreprise ou en dehors ? Comment assurer un management efficace intégrant systématiquement une préoccupation à propos des données ? Etc.
Jérôme Capirossi après une brève présentation a proposé quelques points de repères afin de situer plus précisément le thème de la soirée et les questions qu’il sous-tend. Dans la seconde partie de son intervention il a commenté le résultat d’une enquête qui donne une vision plus précise de l’état des lieux.
Nous vivons dans un monde hyperconnecté qui se digitalise massivement. L’automatisation et la robotisation sont des phénomènes silencieux mais cependant très actifs. La part de l’immatériel dans l’économie est de plus en plus grande. A titre d’exemple J. Capirossi cite l’exemple du ballon officiel de la coupe du monde. Il couterait quatre euros alors qu’il est vendu cent quarante euros. La différence est la part de l’immatériel. Nous sommes dans un monde dans lequel tout se calcule ; statistiques publiques, économétrie, taux, Bâle III, etc.
La valeur des entreprises se déplace. En moyenne l’immatériel représente aujourd’hui 74% de cette valeur et un grand nombre d’entre elles sont davantage valorisées sur leur potentiel de développement que sur leurs résultats opérationnels et les bénéfices en fin d’exercice. Pour autant, cette perception de la valeur n’est pas juste de l’intuition car leur potentiel de richesse repose sur la masse des données collectées. Les entreprises, leurs partenaires, leurs clients produisent des masses de données de plus en plus importantes (Big data). Ces volumes requièrent des capacités de traitement importantes et des algorithmes adaptés (d’où l’émergence des métiers de data scientist). Le marketing est alors en capacité de segmenter la clientèle de plus en plus finement et les techniques &ldaquo;Big Data&rdaquo; permettent de mettre en œuvre des traitements de corrélation sur des données non structurées. Il en découle des offres sont de plus en plus ciblées et de plus en plus nombreuses qui cachent la complexité des systèmes qui les produisent.
Bien plus encore que les premiers extranets, l’évolution technologique permet désormais aux entreprises de construire des écosystèmes à l’extérieur de leur strict périmètre. L’émergence de l’informatique en nuage (cloud computing) y a largement contribué, permettant notamment de bénéficier de puissances de calcul inégalées, d’une élasticité et d’une scalabilité sans égale.
Parallèlement, le développement des objets connectés ajoute encore une nouvelle dimension. Ce ne sont plus seulement des humains qui alimentent ces bases de données mais aussi des objets allant du simple capteur au robot plus sophistiqué. Par effet domino, les architectures de captation des données des objets connectés sont en plein développement. Notons qu’actuellement ce type de production de données est très peu sécurisé (exemple de la carte bancaire sans contact).
Quelles conséquences pour l’entreprise ?
Offrir de nouveaux services avec pour facteurs clés un maillage important et une collaboration des services et des technologies. Par exemple les smartphones connectés au &ldaquo;Cloud&rdaquo;, les voitures communiquant avec les infrastructures routières ou en matière de génomique l’utilisation de l’analyse &ldaquo;Big data&rdaquo; prévient l’apparition d’épidémie ou de maladie par analyse des &ldaquo;signaux faibles&rdaquo;, etc.
Une meilleure gestion des risques par la mise en place, de données de référence de qualité, de traitements d’exception, d’erreurs et de détection de fraudes efficaces et performants. L’automatisation de ces traitements permet des contrôles et une prise de décision en un temps restreint.
Une modification substantielle des architectures applicatives. &ldaquo;Le Cloud&rdaquo; est bien résumé par cette formule &ldaquo;N’importe où, n’importe quand, sur n’importe quel terminal&rdaquo;.
Les nouveaux algorithmes de l’ère &ldaquo;Big data&rdaquo; permettent des traitements de données bien plus massifs, avec un moindre coût, représentant une alternative au décisionnel traditionnel.
Les &ldaquo;moteurs intelligents&rdaquo; ou machines apprenantes, évolution des techniques dites d’intelligence artificielle viennent de passer un palier de maturité. Dans les prochaines années elles vont fortement contribuer à modifier les architectures des systèmes d’information.
Enfin, les API (Application Programming Interface) permettent à chaque application d’interagir avec son écosystème informationnel.
Conclusion
Jérôme Capirossi explique de façon claire que devant cette masse de données qui grossit de façon exponentielle et l’émergence de technologies facilitant leur mise en perspective, les métiers doivent reconquérir la sémantique de leurs données pour en exploiter toute la richesse. La seule analyse numérique ou statistique est totalement impuissante et dépassée, en raison de la masse et de la diversité des données. Parmi les autres point clefs retenons également que dans cette économie immatérielle, la confiance aura une place prépondérante car réciproquement la défiance peut devenir un frein.
&ldaquo;Le principal défi que doivent affronter les Big data est de donner du sens à ce magma de données brutes.&rdaquo; (Dominique Cardon in A quoi rêvent les algorithmes – Edition du seuil)
État des Lieux
L’état des lieux est donné par une enquête (à objectif qualitatif) auprès d’entreprises de tailles et de secteurs très divers. Le questionnaire comportait 102 questions. Cette enquête a été réalisée au cours du quatrième trimestre 2015.
Hexagone Balard, exemple de gestion de projets complexes
photo Hexagone Balard
Lundi 4 avril 2016 le Club MOA a reçu le Général de corps aérien Grégoire BLAIRE, Directeur central de la DIRISI, au ministère de la Défense.
Dans un première partie il a présenté les SIC de la du ministère, leur organisation, leur évolution et les enjeux, notamment opérationnels. En seconde partie, son exposé sur l’opération « Balard » [consistant à regrouper l’ensemble des services du ministère de la Défense ainsi que le commandement des armées françaises] a permis de mesurer avec exactitude les difficultés et les réussites d’un projet d’une taille considérable et le rôle de la DIRISI.
En introduction Jean Yves LIGNIER, le président du Club MOA, évoque les différentes rencontres du Club au cours desquelles a été abordé ce sujet de la complexité, mettant en évidence qu’il s’agit d’une thématique d’intérêt de souvent citée par les grandes organisations adhérentes du Club.
1 La DIRISI : L’opérateur des SIC de la Défense
1.1 Généralités sur les SIC
Les SIC sont au cœur de la transformation de la société. Ils sont utilisés par tous les métiers et toutes les organisations. Ce sont des « artefacts » dont l’ensemble des caractéristiques montrent la difficulté de création, de gestion et d’évolution.
Le SIC doit répondre à de nombreux défis, parfois antagonistes deux à deux :
La mobilité que l’évolution de la technologie rend de plus en plus prégnante.
La pérennité car les SIC sont devenus indispensables à la vie des systèmes en général.
La souplesse pour se déformer suivant les évolutions de l’architecture du système associé.
La sécurité, garante de la pérennité et de la fiabilité.
La performance au sein d’un monde ultra concurrentiel.
La capillarité afin de diffuser facilement dans toutes les couches du système associé.
Enfin l’interopérabilité. Dans un contexte de mondialisation, le SIC doit pouvoir se connecter et recevoir des informations des autres SIC. Son évolution doit être permanente, c’est une question de survie.
La DIRISI est l’opérateur SIC du ministère de la Défense. Les forces armées et les formations attendent beaucoup des SIC et par conséquent de la DIRISI.
1.2 Rôles des SIC et missions de la DIRISI
La mission principale de la DIRISI est de répondre au besoin opérationnel, c’est-à-dire :
Disposer des systèmes permettant de planifier, commander et conduire les opérations dans un cadre national ou en coalition.
Atteindre la supériorité informationnelle par la mise en réseau généralisée des acteurs opérationnels.
Concevoir de manière coordonnée nos systèmes afin d’en rationaliser leur réalisation, de faciliter leur interconnexion et assurer leur interopérabilité.
Sécuriser nos systèmes et nos réseaux pour garantir la confidentialité appropriée, l’intégrité des informations et contribuer à leur disponibilité.
Poursuivre la logique d’économie des moyens.
En matière de dissuasion, la DIRISI est responsable de l’acheminement de l’ordre de tir 7j/7. Pour cela elle assure la maîtrise de bout en bout et la permanence 24h/24, d’un réseau SIC à très haute disponibilité. Elle assure la direction des réseaux de transmission des forces nucléaires françaises.
Elle a en charge la cybersécurité du système de défense français. Elle assure la transmission des informations pour les actions de l’état en mer (AEM).
Elle participe à la Posture Permanente de Sûreté (PPS). La posture permanente de sûreté repose sur la dissuasion nucléaire, la prévention (pré-positionnement des forces, capacité d’appréciation autonome) et la protection du territoire. Elle constitue le socle des missions des armées.
La DIRISI a en charge le déploiement d’urgence de SIC de crise :
La mise à l’échelle de moyens SIC existants.
La planification à froid (par exemple le plan Neptune : la crue centennale de la Seine).
L’interconnexion de la Défense aux moyens interministériels.
La DIRISI est en charge de maintenir les SIC qui couvrent les opérations extérieures de la France. (Actuellement 14 sites de par le monde) via par exemple les liaisons satellitaires.
En résumé la DIRISI met en œuvre les liaisons du niveau stratégique jusqu’au niveau tactique afin de garantir, en temps réel, précision et qualité pour toutes les missions confiées à l’armée française.
2 Organisation
L’arrêté du 4 mai 2012 organise la DIRISI.
Elle est organisée en 7 Directions Locales sur le territoire de la métropole(DL) Bordeaux, Brest, Lyon, Metz, Île-de-France Rennes et Toulon et en 10 directions locales outre-mer Cayenne, Fort de France, St Denis de la Réunion, Nouméa, Papeete, Abu Dhabi, Dakar, Djibouti, Libreville.
A ces Directions Locales sont associées des relais locaux au nombre de 39 : les CIRISI (Centre Interarmées des Réseaux d’Infrastructure et des Systèmes d’Information) et 138 détachements.
L’échelon central comporte 11 centres nationaux. Les centres nationaux regroupent des compétences et des ressources rares et précieuses qui sont mises à la disposition de tous les clients de la DIRISI. Ils sont, pour la plupart, placés sous le commandement opérationnel du « Service conduite opérations exploitation » (SCOE). Le COD (centre d’opération de la DIRISI) est la « tour de contrôle » de ce commandement : il pilote l’ensemble des activités de « production » de la DIRISI et assure au quotidien le contrôle opérationnel de ces centres.
Quelques centres sont placés sous le commandement opérationnel de la sous-direction de la sécurité des systèmes d’information.
L’organisation est adaptée pour assurer le soutien à distance et le soutien à proximité.
3 Evolutions et enjeux
Les enjeux de la DIRISI peuvent se résumer ainsi : achever la transformation du domaine SIC, en assurant sans rupture les manœuvres humaines, territoriales et techniques au sein d’une activité en constante augmentation avec des ressources en constante réduction.
Le « planning » se déroule de 2003 à 2020. La continuité de l’effort n’est, en l’occurrence, pas un vain mot.
3.1 Le modèle de rupture
Avant :
Eparpillement des outils matériels et logiciels.
Eparpillement des infrastructures (locaux techniques sur la totalité des sites).
Eparpillement des Ressources Humains.
Après :
Regroupements RH par capacité au sein de centres nationaux (Ex : création du soutien à distance, complémentaire du soutien de proximité).
Rationalisation et centralisation des infrastructures SIC pour bâtir un Cloud privatif.
Actualisation annuelle de l’adéquation entre les besoins prévisibles des ADS et les capacités de la DIRISI (Plan de développement SIC bâtis avec chaque grand compte).
Le nouveau modèle permet :
De gagner en réactivité.
D’optimiser la structure de la DIRISI, dorénavant organisée autour d’une épine dorsale constituée de centres de services partagés (projet DIRISIX).
D’aider les armées, directions et services (ADS) à se moderniser par les SIC (projet QUARTZ).
De rendre la DIRISI plus robuste vis-à-vis de la transformation des ADS.
3.2 La méthodologie capacitaire
La transformation de la DIRISI est conduite selon une démarche capacitaire. Elle repose sur 12 schémas directeurs capacitaires annuels glissants à 4 ans, s’étalant de 2014 à 2018. Un comité directeur des capacités gère et dirige l’ensemble.
3.3 Les ressources humaines
D’une façon générale les personnes ont besoin de savoir « où elles vont ». Il y a nécessité d’éclairer leur avenir. Cela vaut pour les personnels militaires et civils. Quels postes sont-ils susceptibles d’occuper dans 3 ans ? dans 5 ans ?
Dans le cas de l’opération BALARD, l’accompagnement au changement a été important : conférences plénières, visites du site en construction, protocole d’accueil le jour du déménagement, correspondant local, etc.
Au moment où le projet a nécessité des renforts, des personnes de province sont venues à Paris. Elles ont ainsi pu prendre la mesure du programme et comprendre leur rôle et l’intérêt du projet. Il est indispensable que, dans la mesure du possible, les personnes s’approprient le projet et y trouvent leur intérêt. Enfin l’implication quotidienne et « visuelle » du « Chef » est très certainement un facteur déterminant de la conduite des équipes. L’aspect « confiance » est fondamental.
4 L’Opération BALARD : Déménagement du ministère de la Défense.
Huit ans après son lancement, le projet de regroupement du ministère de la Défense a pris forme en 2015. Ce regroupement s’est fait sur le site de BALARD (ancienne base aérienne 117) à l’ouest de Paris. Il s’est agi d’installer sur un même site la DGA, Le SGA et le CEMA .
OPALE a été créé pour la circonstance. C’est un consortium d’entreprises privées emmenées par les entreprises Bouygues et Thalès
Les prestations demandées à OPALE ont été les suivantes :
Conception architecturale et technique
Prestations de services SIC
Entretiens et maintenance des bâtiments
Nettoyage
Restauration
Gardiennage extérieurCinq chantiers ont été confiés directement à OPALE :
Vidéo conférence et murs d’images (82 salles équipées en visio)
Réseaux informatiques (19 000 prises réseau)
Environnements datacenters (350 m2 de salles blanches sur 2 parcelles)
Service téléphonique sur IP (10 000 téléphones)
Dans le cadre de cette externalisation maîtrisée :
OPALE respecte une répartition de responsabilités précise et claire.
Les tâches sensibles demeurent sous le contrôle ou l’exécution de la DIRISI.
La réversibilité est prévue en cas de crise majeure.
La manœuvre du déménagement s’est étendue de la mi-mars 2015 à fin novembre 2015. Le premier semestre fut difficile par rapport au scénario initial. La priorité fut donnée au Commandement Des Armées (CDA). Malgré les difficultés rencontrées les objectifs ont été remplis.
Le déménagement du pôle opérations, en bloc sur le premier semestre, s’est déroulé sans incidence sur la conduite des opérations.
Le déménagement était réalisé au 15 novembre pour les entités planifiées sur l’année 2015.
Le démantèlement des sites libérés par la Défense a été effectif.
Le Général BLAIRE indique l’importance d’avoir mis en place un point focal d’appel pour tous les problèmes d’exploitation rencontrés Le COMSIC. Ce dispositif centralise l’expression des besoins et vérifie leur cohérence et leur bien-fondé.
D’autre part le pilotage au jour le jour, avec établissement quotidien du Reste à Faire (RAF) et un point de contact unique avec le prestataire a été un facteur important de la bonne marche de l’organisation.
4.1 Constats et enseignements
La mise en place d’une double structure (PCDEM et CODEM ) a été déterminante pour permettre la tenue des objectifs de déploiement.
La préparation et la conduite du déménagement ont demandé de nombreuses ressources humaines en renfort sans lesquels la manœuvre n’aurait pas réussi.
Les outils de la chaine DIRISI ont correctement fonctionné mais ont nécessité en continu des adaptations et vérifications locales déterminantes pour la réussite des opérations techniques.
L’usage systématique de la métrologie SI et SC doit permettre de fonctionner en mode préventif, plutôt que curatif. C’est un axe lourd. Pour un problème d’une certaine épaisseur, si, par exemple trois causes sont possibles, quelle est la bonne ? Seule la métrologie pourra donner une réponse étayée.
Le test des outils en charge. Il faut se méfier des effets d’échelle. Un outil peut donner satisfaction pour, par exemple, 50 composants et être totalement défaillant pour 1000.
La gestion de la configuration, terme pris dans une acception très large, est une condition nécessaire de succès sur la durée. La DIRISI gère 584 000 licences de produits divers.
Il y a une nécessité vitale d’un réel partenariat entre le sous-traitant (OPALE/THALES) et le donneur d’ordre (DIRISI). Le suivi technico-financier a été beaucoup plus important qu’imaginé. Une opération de cette taille nécessite une capacité d’analyse permanente ainsi qu’un dialogue continu entre les structures techniques et de sécurité (NOC/SOC ) des deux organismes (Thales et CIRISI).
L’opération BALARD a été une source de rationalisation importante. Par exemple il y avait 35 applications pour gérer le courrier. Désormais il n’y en a plus qu’une seule. De même pour la configuration des postes de travail. Ce qui a été développé pour l’opération BALARD sert à toutes les structures du ministère de la Défense et des Armées.
Balard restera une structure particulière, à la fois CIRISI et proche d’un centre national.
L’efficacité opérationnelle dans un service numérique ou l’art de la guerre appliqué à la transformation numérique
Lundi 8 février 2016 le Club MOA a reçu Xavier GUIMARD. Son intervention a porté sur le thème :
«L’efficacité opérationnelle dans un service numérique ou l’art de la guerre appliqué à la transformation numérique».
Xavier GUIMARD est colonel dans la gendarmerie. Après avoir occupé des fonctions opérationnelles de terrain il a rejoint l’informatique en 2000 et a vécu la profonde mutation des SIC (Système d’Information et de Communication) engagée depuis 2002.
NOTE : Le présent compte-rendu est volontairement synthétique. Il ne reprend que les thèmes essentiels évoqués par l’intervenant. L’exposé a été d’une grande richesse, porteur de beaucoup d’informations et de réflexions qui ne peuvent, bien évidemment, pas être repris dans ce modeste document.
Illustration de l’art de la guerre, ouvrage de Sun Tzu, général chinois du VIe siècle av. J.-C.
Rappel rapide du contexte
En 2002 la situation du système d’information était « critique ». Le coût du MCO (Maintien en Condition Opérationnelle) dérapait, les demandes d’évolution étaient nombreuses et l’ouverture du système d’information inenvisageable vu le faible niveau de la SSI. Dans le domaine des RH, les équipes étaient « verticalisées » par projet.
À la suite de décisions stratégiques, une nouvelle doctrine a été érigée, permettant de reconstruire une dynamique « systèmes d’information » sur de nouvelles bases.
Cet engagement de longue haleine a mis plusieurs années à porter ses fruits. À partir de 2007 la situation est devenue satisfaisante tout en restant économiquement raisonnable.
L’intervenant propose deux perspectives d’analyse : l’aspect financier et la Sécurité des Systèmes d’informations (SSI).
I – Aspect financier
L’aspect financier est abordé sous l’angle macro-économique. En 2002 seul le financement des investissements était maîtrisé. Les dépenses récurrentes et les investissements ainsi que l’emploi des RH apparaissaient comme plus difficiles à maîtriser.
L’analyse met en évidence trois points importants :
• Prédominance du Chef de projet
• Partenariats vs « Client captif »
• Trop de dépendances techniques entre les projets.
Les lignes stratégiques retenues pour redresser la situation sont les suivantes :
Attaque du coût récurrent :
• Rétablissement des conditions de la concurrence lors du renouvellement des marchés
• Suppression des dépendances entre projets par la mise en place d’interfaces normalisées
• Rationalisation des technologies utilisées.
Création d’un socle technique solide :
• Mutualisation de nombreux services (SSO , hébergement, journalisation, bases de données, stockage…).
Indirectement, ces mesures bénéficient à l’investissement : le nouveau socle technique architecturé et la réglementation interne simplifient le dialogue avec les fournisseurs : le cahier des charges devient autosuffisant.
Au plan macro-économique, le résultat est atteint en cinq ans. Les finances, tant pour les dépenses récurrentes que pour les investissements, sont parfaitement maîtrisées. L’optimisation des ressources humaines nécessaires à la maîtrise et l’évolution du SI ont été significativement diminuées et les équipes se sont spécialisées par domaine de compétence en étant transverses aux projets métiers.
II – Aspect sécurité du système d’information
Xavier Guimard partage cette partie de son exposé en trois chapitres :
A- Estimation de la menace.
Le niveau de menace n’a probablement pas atteint son apogée. Le livre blanc sur la défense et la sécurité nationale développe la notion de menace, lors des « crises ».
En temps normal, les phénomènes de masse (virus, phishing,…) ne représentent qu’une partie de la problématique. Les pratiques illégales liées à l’intelligence économique sont monnaie courante.
En ce qui concerne les entreprises, Xavier GUIMARD fait une différence importante entre sureté (résistance à une attaque) et sécurité (résistance à un virus)
La Sécurité des Systèmes d’Information dans les entreprises est trop souvent réduite à la lutte contre les phénomènes de masse (non ciblés) tels que les attaques virales. Par opposition, la prévention contre des attaques ciblées, telles que la copie, l’attaque à l’intégrité ou la corruption de données, est moins souvent prise en compte
Aujourd’hui encore, le besoin SSI est, à tort, appréciée comme une charge budgétaire. Les entreprises considèrent que leur sécurité est bien assurée par la présence d’un plan de secours. A y regarder de plus près la « sureté » fait souvent l’objet d’un sous-investissement. En effet, l’impact des attaques ciblées est nettement supérieur aux autres problèmes liés à la SSI. Le financement de cette dernière devrait donc être considéré comme un élément indispensable à la pérennité de l’entreprise.
B- Analyse comparée de la guerre traditionnelle et de la Sécurité des Systèmes d’Information
En sa qualité de militaire et d’informaticien, Xavier Guimard a pu exposer cette partie avec clarté et intelligibilité. Dans une époque où l’on parle de « cybercriminalité », cette analyse a eu le mérite d’expliciter les différences importantes qui existent entre ces deux types de conflit.
– L’avantage naturel est inversé. En guerre classique l’avantage naturel est au défenseur (en particulier dans ce que l’on nomme guerre économique). En cybercriminalité, c’est l’inverse. Il existe de nombreuses technologies, très abordables, qui permettent de mettre en œuvre ces attaques. L’effet de surprise est garanti car il est difficile d’obtenir des renseignements sur les attaques à venir et les attaques ciblées sont noyées au sein d’attaques générales. Enfin, et ce n’est pas le moindre, il n’y a pas de problème de logistique pour l’attaquant.
– La notion de concentration de l’effort n’existe pas en matière de cybercriminalité. En cause : La multiplicité des identités que peuvent prendre les auteurs et, l’anonymat permis par le réseau Internet. Il n’y a pas de limites sur le nombre d’attaques simultanées et ces attaques peuvent être le fait de plusieurs agresseurs non coordonnés. L’ensemble de ces considérations introduit, dans la lutte perpétuelle de l’épée et du bouclier, une problématique radicalement nouvelle. Le Colonel Guimard met en exergue la motivation défavorable au défenseur : Au mieux un temps de retard pour répondre à l’attaque, au pire une absence de prise de conscience des dégâts perpétrés par ces agressions.
– Il y a de fait, une vraie difficulté à justifier les moyens que l’on peut mettre en œuvre contre des attaques ciblées. D’une part la faible probabilité apparente d’attaques ciblées, car peu de cas sont révélés, et d’autre part des systèmes de défense basés essentiellement sur des robots. Ils sont efficaces contre des attaques connues ou génériques mais désarmés devant un agresseur d’un nouveau type. Il n’y a pas de vue humaine globale. Ces dispositifs sont comparables à des forteresses sans gardiens.
– La finalité de l’attaque d’un concurrent diffère de celle d’une guerre classique. Dans cette dernière on « Recherche une meilleure paix ». Dans le domaine de la SSI soit l’attaque est directe et on recherche la destruction du concurrent, soit l’attaque est indirecte. C’est le cas des crises ou des liens supposés avec la cible réelle. L’information est souvent la cible. En guerre classique le renseignement donne un avantage pour la suite des opérations. En matière d’espionnage économique l’information constitue le patrimoine. Son obtention est décisive, la suite de la guerre se déroule sur le terrain commercial sans réel moyen d’action. Dans tous les cas il n’y a guère de négociations possibles.
La matérialisation de l’attaque est difficile. L’attaquant ne peut être identifié, le vol du patrimoine se présente sous la forme d’une duplication de données qui n’est pas forcément perçue par l’agressé. En cas de corruption des données la détection peut d’avérer difficile mais surtout les modifications ne sont pas nécessairement détectée.
La situation de l’agresseur présente aussi quelques « difficultés », notamment parce qu’il n’a pas de vue globale de la situation. Il agit sur le réseau et doit extraire des informations. Il peut être facilement trompé si l’agressé a mis en place un dispositif efficace. Observons que les phénomènes de masse divulguent beaucoup de techniques inutilisables ensuite. La complexité de l’informatique amène l’agresseur à commettre des erreurs. Enfin le niveau technique requis est croissant.
Illustration de l’architecture des forteresses créées par Vauban
L’intervenant fait une rapide comparaison entre les places fortes construites par Vauban et les Systèmes Informatiques. Le système en couche présente des faiblesses intrinsèques : firewall + reverse + proxy + antivirus + détecteur d’intrusion ne représentent qu’une simple barrière. Dans la logique des forteresses construites par Vauban, le défenseur voit manœuvrer l’attaquant en permanence, ce qui n’est pas le cas en matière de système d’information. En matière de SSI le Système actuel se rapproche plus des dispositifs de guerre du « Haut Moyen Âge ». Mise en place d’une protection autour d’une enceinte dont le contour est difficile à évaluer : PC Nomade, PDA , Réseau avec des portes nécessairement ouvertes (mails) et dans laquelle tous les habitants ont la clef (USB).
Xavier Guimard nous fait remarquer que le Responsable de la Sécurité des Systèmes d’Information (RSSI) est une notion qui n’a pas d’équivalence en guerre classique. C’est aussi un poste que les entreprises ont quelques difficultés à situer. Trop haut dans la structure, le RSSI ne sait pas ce qui se passe ; trop bas, personne ne l’écoute. La position du RSSI (et de son équipe) ne lui permet pas toujours d’influer suffisamment tôt sur les choix et est potentiellement génératrice de conflits. Idéalement il doit occuper une position haute pour la gestion des risques et la politique de sécurité à mettre en œuvre, être proche du DSI pour la surveillance des nouveaux projets et proche de la production pour la détection des failles et des problèmes. Pas simple !
Dans la pratique, au quotidien, les choix s’imposent souvent à la SSI qui doit se débrouiller avec notamment des messageries externalisées, des PDA, des PC nomades… des applications mal conçues, des interconnexions d’applications non maîtrisables.
C- Vers une stratégie de sécurité de l’information.
« On ne doit pas compter que l’ennemi ne viendra pas, on doit se rendre inattaquable » Sun Tsu
Xavier Guimard rappelle rapidement la différence entre stratégie et tactique et par analogie avec le domaine militaire évoque les dispositions en entreprise.
La stratégie définit les objectifs politiques. C’est le domaine de la réflexion, de l’utilisation des méthodes d’aide à la prise de décision. La stratégie opérative définit la stratégie de protection de l’information. La tactique s’intéresse à la conception des objets, aux évaluations, à la détection, à la partie opérationnelle.
La planification opérationnelle
« La planification opérationnelle est l’art de planifier un projet pour le rendre pilotable ».
Toujours par analogie avec le domaine militaire, cette planification requiert deux équipes : la première planifie et conduit les opérations (conception de la manœuvre amie), la seconde s’occupe du renseignement (imaginer la manœuvre ennemie). L’exercice est renouvelé de façon cyclique. Chaque échelon intègre dans son raisonnement les questions essentielles (pourquoi, comment, mission, avec qui, contre qui, contraintes…).
D’autres principes militaires sont applicables en entreprise :
Un chef, une mission, des moyens
On ne confie une mission qu’à une personne en mesure de la comprendre et de l’assumer
Entraînement régulier du personnel
Mettre en œuvre un système très abouti des « conduites à tenir ».
Eléments d’organisation
L’objectif peut se définir complètement de la manière suivante : « Construire un système défendable et le défendre ». Il faut pour cela, à minima, mettre en œuvre un pôle architecture SIC qui contrôle tous les projets, anticipe les besoins et travaille en lien avec les experts de la sécurité physique. Un pôle SSI tactique qui met en œuvre la surveillance des systèmes, les dispositifs de détection et mène les actions prévues selon les circonstances. Les autres pôles sont plus « classiques » : gestion du risque, audit, etc.
Dans le raisonnement qui mène au SIC il faut impérativement prendre en compte les questions suivantes : contre qui ? pour défendre quoi ? avec quels moyens ?
Exemples de principes de sécurité obtenus :
Défense en bulles (modularité) et insertion de barrières entre bulles.
Tout élément pouvant être corrompu, il ne doit pouvoir communiquer avec son environnement que par des protocoles contrôlables (i.e. protocoles ouverts)
Défense en profondeur
Gestion des identités
Fédération plutôt qu’unicité de référentiel pour mieux gérer les partenariats, fusions, acquisitions…
Remise en cause cyclique des choix.
Enfin, on veillera à entretenir la motivation par des exercices réguliers, entretenir une veille (pour les attaques ciblées et les attaques automatiques) sur le niveau des attaquants, sur les vulnérabilités du système de l’entreprise, sur la connaissance extérieure du système (départs, fuites, incidents, …), voire utiliser le « Jeu de guerre »
« Entraînement difficile, guerre facile »
III – Conclusion
En conclusion de cet exposé, Xavier Guimard présente à grands traits la stratégie SSI de la gendarmerie nationale au sein de la stratégie générale des SIC de la Gendarmerie, et comment cette stratégie est intégrée dans les projets.
A titre d’exemple il détaille plus finement le système de messagerie qui a remplacé les centres de transmission. Le risque majeur était l’usurpation d’identité, non couvert par l’état de l’art.
Mesures d’architecture :
Modularité et cloisonnement
Développement d’un composant spécifique anti-usurpation
Politique ciblant les vecteurs d’attaques en complément des anti-malwares
Organisation des boîtes fonctionnelles en sous-dossiers IMAP agglomérés par le serveur dans la boîte individuelle (traçabilité nominative)
Effacement automatique des droits à chaque mutation (couplage avec la base RH).
Mesures SSI « tactique » :
● Politique de remontée d’alertes
● Procédure d’audit automatisée.
Le raisonnement militaire, un apport intéressant pour tout type d’organisme:
Au niveau de l’organisation
Réflexion sur le positionnement de la sécurité
Au niveau de la stratégie
Intégration dans la logique économique
Au niveau du quotidien
Notion de « SSI tactique »
Adaptation réaliste à la menace
-=-=-=-=-=-=-=-=-=-=-=-=-
La Gendarmerie Nationale en chiffres:
70 000 stations de travail Gendbuntu
10 000 stations sous Windows
99% d’utilisateurs exclusivement sur LibreOffice
98% sur Thunderbird
100% sur Firefox
4300 informaticiens sur 200 sites
Le remplacement des centres de transmission par la messagerie a conduit à reconvertir 500 personnes (sans recrutement ni suppression de personnel)
Tacking et mesure d’audience pour Sécuriser la stratégie digitale
Lundi 11 janvier 2016 le Club MOA a reçu Gilles DUCHAMP. Son intervention a porté sur le thème: « Sécuriser la stratégie digitale et son déploiement grâce au tracking et à la mesure d’audience ».
Dans un monde de plus en plus numérique dans lequel chacun est appelé à être de plus en contributeur, même à son insu, les entreprises ont besoin de nouveaux outils pour sécuriser leur stratégie digitale.
C’est dans cette perspective que sont nés plusieurs outils de mesure d’audience et de suivi des utilisateurs lorsqu’ils viennent consommer des services sur un site Web, comme par exemple Clicky, Heap ou Piwik.
Cependant les statistiques sont têtues et un acteur domine le secteur, utilisé par plus de 10 millions de sites, soit plus de 80% du marché mondial. Il s’agit de Google avec son service de « Google Analytics ».
Gilles DUCHAMP connaît bien ce sujet de la mesure, il est expert et formateur depuis de nombreuses années. Il met ainsi son expérience au profit du Club pour nous sensibiliser de façon pragmatique et pertinente sur l’utilisation du service Google Analytics.
Avant tout il ne s’agit pas de donner des chiffres pour des chiffres, mais il faut savoir les corréler, les interpréter. Il y a donc un travail important à prendre en compte du côté de l’utilisateur du service.
L’objectif de Gilles DUCHAMP pour cette rencontre avec le Club est de donner une feuille de route dans l’utilisation de Google Analytics pour bien « analyser le trafic pour optimiser la performance digitale en acquisition et conversion ».
La conversion : le point de départ
Se dégage alors au fil de la discussion un point majeur autour de la conversion.
La conversion consiste à transformer le parcours client en résultats qui sont en rapport avec des objectifs de l’entreprise. Cela peut-être de la fidélisation ou toute autre chose (achat, etc.). Sans objectif il n’est pas possible de mesurer la conversion. C’est bien évidemment à l’entreprise de définir ce genre d’objectif.
L’analyse et uniquement l’analyse : le domaine de Google Analytics
Si Google Analytics sait répondre sur du factuel, à savoir :
Qui sont mes visiteurs ? c’est-à-dire quelle est l’audience ?
Quand sont les meilleurs périodes de conversion ?
Comment les visiteurs interagissent-ils avec mon site ?
Combien de visiteur se convertissent ?
Etc.
Pour autant ce qu’on appelle le « digital analytic », ne sait pas répondre au « Pourquoi ? ». Du reste, Gilles DUCHAMP précise bien que ce n’est pas un outil exact, pas davantage un outil de back office et surtout pas un coffre aux trésors : on n’y trouve que ce que l’on cherche, ce qui implique de savoir précisément ce que l’on cherche.
Pour comprendre le « Pourquoi »
Si l’on veut répondre au « Pourquoi », alors il faut nécessairement recourir à d’autres outils. Heureusement, il n’est pas indispensable de déployer des moyens très couteux. En effet, avec seulement 6 utilisateurs (en test utilisateurs présentiels), 80% des anomalies du parcours client peuvent être couvertes. D’autres moyens existent pour couvrir les 20% restants (test en ligne, analyse comportementale, « voice of the customer »).
L’interprétation des données est donc capitale, il ne suffit pas de les récolter mais de savoir les interpréter. C’est tout un métier, qui passe par la connaissance d’outils de la statistique, et beaucoup de temps à consacrer.
Plan de marquage : un impératif
Si la collecte des données peut s’assimiler à une représentation technique, il demeure impératif de transposer ces données dans une représentation métier. C’est l’objectif du plan de marquage des pages d’un site. A chaque page, une ou plusieurs questions peuvent être associées. Sans plan de marquage, il n’y a pas d’analyse possible.
C’est le premier pas vers le métier.
KPI : l’instrument de pilotage
La représentation métier étant assurée, il s’agit maintenant de « mesurer » la performance digitale de l’entreprise. Pour cela il faut disposer d’indicateurs clefs qui découlent d’objectifs définis : ce sont les Key Performance Indicators (KPI).
La recherche des bons KPI et leur appropriation par les différents acteurs digitaux est la clé de la performance digitale. Gilles DUCHAMP rappelle l’importance de remettre en cause les KPI en place. Il propose une méthodologie adaptative de redéfinition des KPI.
Connaître son audience
Pour être pertinente, une donnée doit si possible être analysée dans son contexte. Il s’agit donc de connaître son audience et de la segmenter. Pour cela il faut mieux connaître les profils, mieux comprendre les parcours clients, détecter les points durs pour chaque segment et adapter le contenu à chaque topologie d’internaute.
Bonnes pratiques
Pour finir, Gilles DUCHAMP nous livre quelques bonnes pratiques sur le Digital Analytics:
Challenger les KPI, ils traduisent les objectifs de l’entreprise.
Prendre du recul et de la hauteur pour mieux analyser.
Bien interpréter les rapports, se poser les bonnes questions.
Comparer les données avec une période de référence, sinon elles sont justes une indication mais pas une mesure de tendance.
Croiser les données avant de tirer des conclusions.
Anticiper l’évolution des principales métriques.
Faire des hypothèses, toujours des hypothèses et pas de supposition.
S’il faut résumer une feuille de route en cinq points, Gilles DUCHAMP nous la livre:
S’assurer de l’hygiène de vos données.
Mettre de la valeur dans vos données.
Installer et pérenniser la mesure d’audience.
Partager et communiquer largement.
Optimiser votre temps.
Un beau programme en perspective pour qui veut connaître ses clients…
Merci à Gilles DUCHAMP pour ce captivant témoignage d’un passionné de la donnée.
Calendrier des rencontres du Club MOA en 2016
Le calendrier prévisionnel des dîners 2016 est présenté dans le tableau ci-après.
Il tient comptes des périodes scolaires de la zone C :
4 janvier au 20 février
7 mars au 16 avril
2 mai au 5 juillet
1er septembre au 19 octobre
3 novembre au 17 décembre
1er semestre
2nd semestre
Lundi 11 janvier
Lundi 8 février
Lundi 7 mars
Lundi 4 avril
Lundi 9 mai (6 et 7 mai fériés)
Lundi 6 juin
Lundi 4 juillet
Lundi 5 septembre
Lundi 3 octobre
Lundi 14 novembre
Lundi 5 décembre
Les rencontres se déroulent dans un lieu parisien de 19h30 à 22h30.
Les thèmes prévus en 2017 sont : le web analytic, l’open source, les catalogues de services et industrialisation des processus, l’entreprise innovante, la réingénierie de processus, les grands projets de transformation, le big data et tout autre thème souhaité par les membres dont celles déjà mentionnées sur notre page dédiée.
Le Club vous souhaite ses meilleurs vœux pour 2016
À ses adhérents, mais aussi à ses amis et lecteurs, toute l’équipe du conseil d’administration du Club adresse ses meilleurs vœux pour 2016 et vous remercie pour votre intérêt, vos contributions et votre soutien.
Voeux 2016
Les défis à relever pour les entreprises publiques ou privées ne manqueront vraisemblablement pas en 2016, notamment dans le domaine du numérique qui nous intéresse tout particulièrement… Aussi, nous espérons pouvoir compter à nouveau sur vous !
La Transformation agile et digitale, vue des tranchées
Lundi 7 décembre 2015 le Club MOA a reçu Philippe PASSELAIGUE. Son intervention a eu pour titre : « La Transformation agile et digitale, vue des tranchées »
Son « credo » résume assez bien son approche des problématiques nées de la transformation digitale que nous vivons dans les entreprises depuis déjà quelques temps :
« Ouvrir vers l’extérieur pour… éclairer l’intérieur »
Comment aller du virtuel au réel ? Comment conserver l’humain au milieu des expériences digitales ?
Philippe PASSELAIGUE a introduit « l’agilité » dans l’entreprise il y a une dizaine d’années. La démarche était atypique. Il a eu la chance que ses patrons de l’époque lui fassent confiance.
A la lumière de son expérience et de ses convictions, il a développé, au cours de la soirée, plusieurs thèmes liés aux évolutions entraînées par la transformation numérique des entreprises et la mise en place des démarches agiles.
1 – Apprendre à désapprendre
Trois mots simples mais difficiles à comprendre (agile, digital, complexité) caractérisent les changements survenus dans nos environnements.
Quelle est la difficulté ?
Philippe PASSELAIGUE la caractérise ainsi : « Il faut désapprendre ». Il illustre l’idée en faisant une comparaison avec la conduite automobile. Conduire entraîne la mise en œuvre d’un certain nombre d’automatismes auxquels le conducteur ne prête plus attention. Si on modifie la place du volant, si on inverse l’ordre des pédales par exemple, il faut « désapprendre » à conduire » pour mettre en œuvre de nouveaux automatismes. Les méthodes agile, la transformation numérique nécessitent de désapprendre pour acquérir de nouvelles approches des problèmes, pour changer la façon de travailler.
Et de conclure : « Pour changer il faut une motivation forte, que les personnes aient envie : il faut apporter quelque chose qui va dans l’intérêt de la personne »
2 – Libérer la parole en interne
L’expression externe libère la parole et les intelligences, et par ricochet l’expression interne. Les personnes parlent quand elles sont à l’extérieur et se taisent quand elles sont à l’intérieur. Philippe PASSELAIGUE indique qu’il a utilisé le réseau TWITTER, comme clef de changement à l’intérieur de l’entreprise. Lorsque les personnes s’expriment sur Twitter elles libèrent leur parole et peu à peu, sous l’influence (inconsciente) de cet artefact elles libèrent la parole en interne. L’objectif peut être résumé ainsi : « Rendre le sourire au salarié ».
3 – Plazza : Le Réseau Social d’Entreprise (RSE) d’Orange
L’outil condition nécessaire mais pas suffisante pour les usages.
L’approche traditionnelle « en silo », les périmètres limités, les organisations complexes et éclatées ne répondaient pas à un besoin de transversalité, d’échanges, de création de communautés.
Les principes en sont les suivants :
Application au périmètre du Groupe (4 langues de navigation)
Lien avec l’annuaire du Groupe
Basé sur le volontariat
Une charte du bon usage
Pas de cellule de modération
Pas d’anonymat
Des animateurs de communautés responsables
Des communautés spontanées, publiques ou privées
Ce RSE est aujourd’hui « ouvert ». La Direction recommande fortement de l’utiliser. Il favorise les projets transversaux, casse les modèles en silos et fait émerger une intelligence collective.
Au passage Philippe PASSELAIGUE indique que l’outil essentiel pour accéder au RSE est le Smartphone.
Le RSE regroupe tous les moyens de communications, il est autonome, personnel et quasi-permanent, accessible en mobilité. Il reste que l’outil ne fait pas les usages. Comment amener les collaborateurs à échanger ? Comment faire ? Un exemple est donné par « Fan de MOOC ».
4 – Fan de MOOCS (massive open online course)
[MOOCS : Formation en ligne ouverte à tous, cours en ligne ouvert et massif]
En introduction de cette partie, Philippe PASSELAIGUE indique qu’il ne faut pas confondre cette « technique » avec le « e-Learning ». Les MOOCs permettent d’apprendre sous le regard de ses pairs. C’est un apprentissage dans un cadre collaboratif.
Fan de MOOC est une communauté du RSE, un moyen de répondre à la question qu’y a t’ il pour moi là-dedans et de faire vivre une expérience de transformation digitale.*
Les MOOC sont un bon détecteur de talent à coût zéro. Plusieurs MOCC sont sur les créneaux ou l’on recherche des compétences : Big data, développement logiciel (python, java, architecture etc…) Design Thinking, gestion de projets, IP, télécommunication, langues, … Organiser la participation individuelle et collective à des MOOC perme de détecter des talent (ceux qui auront réussi ce premier passage). Les MOOC accompagnent en pratique la transformation digitale (MOOC connexionistes). Réussir un MOOC redonne confiance dans sa capacité d’apprentissage et modifie le regard sur soi-même et celui des autres sur la transformation digitale.
« J’apprends quand je veux, si je veux » Les personnes s’auto-organisent et l’expérience montre qu’elles retrouvent le goût et la capacité d’apprendre. On assiste à la création de communautés dans lesquelles les personnes apprennent ensemble. Les MOOCs deviennent certifiants, ce qui correspond bien à une évolution. C’est un des aspects « de fond » de la transformation digitale.
Les sujets sont professionnels ou non et variés. Philippe PASSELAIGUE cite l’exemple suivant : « Comment réaliser une vidéo avec son smartphone » – Technique de prise de vue, montage, diffusion, etc…
Le virtuel permet d’apprendre à se connaitre et avoir envie de se rencontrer pour échanger. Là un lieu comme le Cool’lab est nécessaire.
5 – Le Cool’LAB
Le Cool’lab est un espace inspiré des lieux de coworking. C’est un endroit d’ouverture sur les nouvelles modes de travail où les personnes se retrouvent pour mieux travailler.
Le cool Lab est un endroit de rencontre pour des moments de partage. Ce n’est pas seulement un espace de créativité. Dans ce local les personnes bougent, organisent la structure de la salle, se l’approprient. Les participants doivent se sentir « Chez eux ». Ces rencontres permettent à chacun de comprendre que les autres sont différents et d’accepter ces différences, d’en faire une force et de contribuer à l’émergence de cette intelligence collective déjà citée. Le digital met en évidence le besoin humain d’échanges et de rencontres. Les communications au moyen de techniques réseau, voire virtuelle permettent de redonner encore plus de sens aux réunions en « présentiel » (modèle en classe inversée).
6 – Le forum ouvert en mode projet
Le « forum ouvert » est un concept développé par Harrison Owen aux USA dans les années 80. Ayant constaté que, lors des congrès ou séminaires, les discussions menées pendant les pauses café étaient toujours passionnantes, il a commencé à organiser des conférences qui ne se déroulent qu’en pauses café…
Le Forum Ouvert est une démarche qui a pour objet de structurer des conversations, des développements de thèmes. Grâce à cette démarche, des groupes importants de participants peuvent s’assembler et travailler ensemble.
La caractéristique de la démarche est l’ouverture mise à la fois sur le contenu mais aussi sur la forme. Les participants sont invités à travailler ensemble sur une thématique importante et complexe.
L’ordre du jour est réalisé très rapidement par les participants au démarrage du Forum Ouvert. Les utilisateurs donnent ainsi leurs propres sujets en séance plénière et forment des groupes de travail pour chaque thème abordé dans lesquels les projets vont être élaborés. Chaque groupe de travail rédige un compte-rendu qui est affiché immédiatement. L’ensemble des comptes rendus apparait ainsi au fur et à mesure de l’avancement du Forum Ouvert. Le Forum Ouvert permet de traiter de sujets complexes et de produire une diversité de mesures concrètes en peu de temps. (D’après Wikipédia)
C’est une façon de travailler autrement. Les personnes sont libres : si elles considèrent qu’elles n’ont rien à faire dans ce forum, elles peuvent le quitter sans autre forme de procès. Le Forum ouvert nécessite un sponsor qui garantit qu’il y aura un suivi et des actions qui vont avoir lieu après la rencontre. Le sponsor expose le thème mais ce sont les participants qui font l’ordre du jour. Les personnes s’auto-organisent, chacun propose ses idées : c’est bien un moyen de libérer la parole.
7 – Codéveloppement professionnel, apprendre des pairs
Le Cool’lab « privatisé est un des lieux de rencontre privilégié de groupes de codéveloppement.
Le Codéveloppement professionnel et managérial a été conçu par Adrien PAYETTE, canadien, Professeur de management à Montréal.
Le Codéveloppement professionnel consiste à constituer des groupes de 8 managers (en moyenne) qui vont vivre une série de 8 rencontres d’une demi-journée, (ou 4 fois une journée) avec un animateur, consultant externe, maîtrisant bien la méthode, sur une durée de 4 à 6 mois.
L’animateur n’est pas là pour animer une formation ni pour faire des apports, mais pour faire découvrir la méthode et pour lancer le groupe dans une dynamique de progrès continu.
Le Codéveloppement professionnel est structuré en séquences d’une demi-journée.
Au cours d’une séquence, un participant a convenu d’être le « client » et de présenter au groupe un problème, une préoccupation, un projet (les 3P), c’est à dire un sujet pour lequel il veut voir clair et mieux agir.
Les participants sont alors « consultants ». Ils ont le challenge de réussir à apporter une aide utile au client.
Chaque séquence se déroule selon une méthodologie précise en 6 étapes.
Partant de cette base simple de type « recette », l’animation va gagner en finesse et faire découvrir ce que peut être l’intelligence collective et la facilitation du changement.
La simplicité du déroulement peut évidemment faire illusion. Les chausses trappes existent à chaque étape
Le Codéveloppement correspond donc à une méthodologie définie et doit être distingué d’autres approches qui sont peut être « parentes » mais nettement différentes
La soirée s’est conclue sur les questions / réponses avec les participants.
L’analyse de la valeur, une approche intégratrice du changement
Lundi 9 novembre 2015 le Club MOA a reçu Olaf de HEMMER.
Son intervention a porté sur le thème « Contribution de l’analyse de la valeur pour donner ou redonner toujours plus de sens au métier de « Maîtrise d’Ouvrage » »
Historique
L’analyse de la valeur a débuté chez la compagnie General Electric pendant la deuxième guerre mondiale. À cause de la guerre, il y avait un manque de matières premières, de main d’œuvre et de composants.
Lawrence Miles et Harry Erlicher de G.E. ont cherché des substituts acceptables. Ils ont remarqué que ces substitutions réduisaient souvent les coûts tout en améliorant le produit.
Ce qui a débuté accidentellement, à cause de la nécessité, est devenu un processus systématique. Ils ont appelé leur technique « Analyse de la valeur », devenue une méthode de conception de produits.
Définition
L’Analyse de la Valeur est une méthode rigoureuse qui, à partir d’une expression formalisée du besoin réel (en utilisant l’Analyse Fonctionnelle par exemple), conduit une équipe pluridisciplinaire (ensemble des experts des domaines concernés) à concevoir des solutions qui répondront de façon optimale (le meilleur compromis) à l’ensemble des besoins recensés (« Le nécessaire et suffisant »).
(source : AFAV)
L’analyse de la valeur est applicable à toutes sortes de problématiques.
La démarche est à la fois fonctionnelle et économique et s’intéresse au rapport fonction (utilité) / coût. Elle conduit donc à s’intéresser à la notion de « valeur perçue ».
Cette problématique de la valeur perçue, qui diffère selon le point de vue, Olaf de Hemmer l’amène à travers une digression sur le « Mouton à cinq pattes »: quelle serait la valeur d’une telle chimère ?
La conclusion, largement commentée par l’intervenant, est la suivante :
La valeur est :
relative « ça dépend ! »
subjective, relative à une personne et différente selon leurs points de vue
fonction de l’utilité perçue par l’utilisateur, de la réponse à ses besoins.
Des échanges avec Olaf de Hemmer et les membres du Club, il ressort que l’on peut résumer le raisonnement sur la valeur en 3 points : 2 questions + 1 principe
La question clé : « A quoi ça sert ? ». La valeur d’une chose dépend du besoin à satisfaire (pour les utilisateurs finaux).
Pour chaque besoin, « que suffit-il ? » de réaliser ou de mettre en place pour le satisfaire ? A noter qu’il est assez rare que les personnes s’expriment en termes de besoins : le dialogue est trop souvent axé sur des solutions.
Répondre à ces questions avec les partie prenantes : les personnes concernées.
A titre d’exemple, les participants au dîner ont procédé à l’analyse de la valeur d’un « Marqueur pour paperboard ». Cet exemple aboutit à une modélisation de la fonction de l’objet examiné.
Consultant expérimenté, Olaf de Hemmer dispose de quelques astuces. Par exemple, une autre approche pour déterminer « à quoi ça sert ? » est de se poser la question suivante : « Quand on retire l’objet, quel besoin n’est pas satisfait, que manque-t-il au cadre plus large du système dans lequel évolue l’objet ? ».
Si les deux questions clés de l’analyse de la valeur ont été largement abordées dans la première partie de l’exposé, l’intervenant insiste fortement sur la participation des « parties prenantes » : les personnes qui sont concernées par l’objet examiné ont-elles-mêmes un système de valeurs qu’il faut intégrer à l’analyse. Il est indispensable de rechercher les éléments qui pourraient être des facteurs de veto.
De même, il met en relief le fait de faire comprendre aux gens que l’analyse qui se déroule est destinée à améliorer leur travail et les conditions dans lesquelles ils l’exercent. La dimension relationnelle est consubstantielle à la démarche.
Pour conclure cette partie de l’exposé Olaf de Hemmer nous invite à une posture de management collaboratif : « Au lieu de laisser les gens faire des choses inutiles ou inutilisées, ne vaut-il pas mieux utiliser leurs compétences pour faire des choses utiles qui ne sont pas faites ? ».
La dernière partie de l’exposé est centrée sur l’entreprise, son fonctionnement et son environnement.
L’entreprise a un but : créer de la valeur (des valeurs). Elle met en œuvre un ensemble de moyens pour créer de la valeur pour ses parties prenantes : employés, actionnaires, clients, administrations, fournisseurs, environnement, etc… L’objectif est de satisfaire les besoins de chacun avec un minimum de ressources, qui proviennent des autres parties prenantes.
L’intervenant montre que la chaîne ne peut pas être scindée et que l’entreprise et ses parties prenantes sont interdépendantes. Par exemple on ne peut pas créer de valeur pour un actionnaire si on ne répond pas aux besoins des clients, si les employés ne sont pas respectés dans leurs attentes et que l’on ne tiens pas compte de leurs valeurs.
Ce raisonnement met en cause nos habitudes et en particulier le raisonnement cartésien qui a prévalu depuis 3 siècles. Il a certes permis les progrès et les évolutions que l’on sait, en proposant d’analyser le tout par les parties et les causalités. Mais il ne suffit plus : le raisonnement systémique doit être utilisé. Il suppose au contraire d’étudier les relations entre les constituants d’un organisme et les finalités. On sait, en effet, que le comportement d’un système est différent quand on l’étudie dans son environnement ou de façon isolée. Les approches cartésiennes et systèmes se complètent pour résoudre des problèmes complexes. Ce paradigme systémique est à la base de l’analyse de la valeur, mais pas seulement puisqu’une centaine d’autres méthodes s’en inspire.
Par exemple, la méthode Océan Bleu (Blue Ocean), qui permet des innovations de rupture dans la stratégie d’une entreprise, repose sur ce raisonnement. Cette méthode d’élaboration de stratégie d’entreprise, développée par W. Chan Kim et Renée Mauborgne, chercheurs au Blue Ocean Strategy Institute à l’INSEAD est présentée dans « Stratégie Océan Bleu : Comment créer de nouveaux espaces stratégiques » 1.
Dans cet ouvrage publié pour la première fois en 2005, les auteurs expliquent que la forte croissance et les profits élevés que peuvent générer une entreprise se font en créant une nouvelle demande dans un espace stratégique non contesté, ou Océan Bleu, plutôt qu’au cours d’affrontements avec des fournisseurs existants pour des clients existants dans une activité existante. (From Wikipédia)
Pour aller plus loin
Vous pouvez rejoindre le groupe LinkedIn Valeur(s) & Management, où vous retrouverez des centaines d’autres personnes intéressées :
Olaf de Hemmer Gudme, conseil en management et formateur depuis 25 ans, il travaille depuis 15 ans à la création de valeur(s) dans différents domaines de l’innovation, des achats, des SI… Président de l’AFAV (association française pour l’analyse de la valeur), réseau des professionnels de la Valeur depuis plus de 30 ans, et fondateur du réseau Valeur(s) & Management, il a mis en oeuvre cette approche dans des dizaines de projets dans tous les secteurs et à travers le monde.
À quoi ça sert ? : Une approche système pour la création de valeurS
Présentation de l’éditeur
Couverture du livre
Comment faire pour que l’économie génère à la fois plus de création de valeur et de respect des valeurs ? La question-clé est « à quoi ça sert ? » d’une puissance tellement étonnante pour la remise en cause qu’on se demande pourquoi nous recourons si peu à ce bon sens ?
Cette question mène en effet au sens : la direction, la signification, l’utilité… Et au bon sens: un raisonnement logique et pragmatique.
Dépassons le raisonnement cartésien, qui rend les dirigeants myopes (vision à court terme) et autistes (inconscient de leur dépendance à leur écosystème), mais gardons ce qu’il a de bon : la rigueur et l’analyse qui sous-tendent le raisonnement scientifique qui a donné au monde le progrès.
Ajoutons-y le raisonnement système, où chaque acteur est interdépendant des autres, où chacun est tourné vers le sens, les buts, les souhaits, qui seuls mobilisent les individus, où la collaboration et le dialogue permettent de construire des processus mobilisant l’intelligence collective pour créer la valeur attendue par chacun, dans le respect de ses valeurs.
Cet ouvrage est construit en 4 parties, que le lecteur pourra choisir de parcourir dans l’ordre ou non :
1ère partie : Une présentation du raisonnement Valeur(s) et de ses principes simples
2ème partie : Les concepts théoriques sur lesquels ils se fondent
3ème partie : Des applications pour la création de Valeur(s) dans différents domaines
Dans l’entreprise :
L’entreprise
Une entité ou un service
Un métier : les Achats
Un processus tertiaire ou administratif
Un process industriel
Un produit
La formation professionnelle
Ou en dehors :
Le projet éducatif d’une école
La gestion du temps
Le sens de la vie
4ème partie : Les méthodes Valeur(s) existant dans ces différents domaines, leurs synergies et leurs liens avec le raisonnement Valeur(s)
Le raisonnement Valeur(s) permettra à chaque décideur de faire mieux avec moins, à son niveau en cohérence avec les autres acteurs internes et externes de l’entreprise, en retrouvant le sens commun et en respectant les valeurs des autres.
Le raisonnemet Valeur(s) permettra aux promoteurs des méthodes d’optimisation les plus efficaces dans son domaine de comprendre comment travailler en synergie avec les spécialistes des autres domaines de performance de l’entreprise, afin d’être encore plus efficace.
Gestion des projets en péril : retour d’expérience
Lundi 5 octobre 2015 le Club MOA a reçu Éric Masson.
Son intervention a porté sur le thème : Retour d’expérience sur la gestion d’un projet en péril
PTC est un éditeur de logiciel dont les solutions transforment la manière dont les entreprises exploitent et assurent la maintenance de leurs produits. PTC associe une expertise sur les processus aux fonctionnalités d’une plate-forme flexible.
Les solutions portent sur la gestion du cycle de vie des produits (PLM 1), la Conception Assistée par Ordinateur (CAO), la gestion du cycle de vie des applications (ALM 2), la gestion de la chaîne logistique (SCM 3) et la gestion du cycle de vie des services (SLM 4).
En préliminaire à son exposé, Éric Masson a indiqué qu’il ne détenait aucune vérité et que son expérience et son savoir-faire ne s’appliquaient pas nécessairement à tous les projets.
Le projet en péril présenté se déroule chez un grand constructeur et a trait au système qui produit la documentation. Actuellement cette production est assurée par 90 systèmes différents, l’objectif du projet est de mettre en place un seul système avec un portail d’accès unique.
Éric Masson « raconte » le projet, son historique, les dérives et les actions qui ont permis un redressement qui conduit à la mise en production.
Pour des raisons de sensibilité de l’information, le détail du compte-rendu est réservé aux membres (accord de confidentialité avec le club) qui étaient présents lors du dîners.
Éric Masson achève son exposé en résumant ainsi une des conditions de réussite d’un projet « Il faut à l’équipe un objectif commun et une personne qui l’incarne. La difficulté est précisément de générer cet intérêt commun ».
Éric Masson propose cette synthèse sous forme de recommandations: “Un projet qui démarre mal a une forte probabilité de mal se terminer”.
Quelques recommandations
Démarrage des projets :
• Kick off avec le maximum d’incertitudes levées
• Ne pas hésiter à refaire des revues complètes régulières
• Ne pas hésiter à refaire un kick off si la « baseline » change : nouveau périmètre,nouveau délais, etc….
• Ne pas hésiter, quand cela est possible, à stopper le projet s’il est dans une impasse
Déléguer à chaque fois que cela est possible
• Celui qui a la compétence peut aussi décider
• Responsabiliser au maximum les individus
Simplifier les organisations :
• Dans une équipe, chacun a un rôle d’égale importance, le rôle du responsable de projet est essentiellement d’arbitrer
• Eviter les “porteurs d’eau”, les “coupeurs de citrons”,
Simplifier les communications :
• Tout doit pouvoir se dire et se comprendre et au maximum en “live”
• Le mail est un outil de diffusion d’information, pas un “tchat” où l’on discute d’architecture, de solution etc.
S’intéresser à d’autres disciplines…
Au cours de l’exposé Éric Masson a proposé une courte digression pour faire découvrir à l’assistance cette démarche, encore peu répandue.
La Psychosocionomie est une démarche d’intervention dans les organisations élaborée à partir de plusieurs disciplines : la sociologie, la systémique, les neurosciences, l’économie et la psychologie.
Elle a comme point de départ une observation et une analyse des symptômes pour formuler des hypothèses et mettre en place des plans d’actions que l’on réévaluera régulièrement en fonction des réactions.
L’objectif est de résoudre une équation à 3 membres indissociables : L’individu, l’organisation, l’économie.
En effet, tout individu, tout groupe est PsychoSocioécoNomique : à la fois des producteurs et des consommateurs.
Un individu ne s’envisage pas en dehors de son réseau social. Il en est de même pour ce qu’il produit.
Pour aller plus loin
Une vidéo(en espagnol et traduite) de Georges Escribano
Après une carrière militaire dans le domaine opérationnel, Eric Masson entame un parcours de manager de projets. Il participe à de nombreux projets dans des entreprises telles que Neurones, Lucent, Bouygues Telecom. Actuellement il mène (et redresse) des grands projets chez PTC (Paramétric Technologic Corporation). Au total près de 30 ans de management d’équipe.
