Dans les pays anglo-saxons, les certifications professionnelles sont très prisées. Qu’en est-il de ces formations certifiantes dans le domaine de la gestion de projet en France ?
Nous observons que ce marché s’est fortement développé ces dix dernières années. Dans les faits, les éditeurs profitent en France d’une demande soutenue pour ces formations subventionnées (avec les CPF et fonds des OPCA). Ainsi, les éditeurs des certifications et les centres de formation partenaires y ont trouvé une opportunité de croissance facile de leurs activités. Un récent inventaire auprès de 6 éditeurs majeurs (GPM, IPMA, PMI, APM, AACEI, APMG) révèle que près de 80 certifications sont possibles rien qu’en gestion de projet.
Force est de constater qu’un phénomène de dérive commerciale des formations professionnelles s’est installé et nous rapproche du modèle Anglo-Saxon. Que l’on soit consultant ou futur collaborateur en cours de recrutement, il devient indispensable d’afficher des certificats et autres badges pour que son profil soit remarqué ou du moins digne de confiance. Cette dérive en est presque à un stade viral. Plus les consultants et recrues veulent se démarquer, plus ils en demandent ; et plus les clients et employeurs en voient passer et en découvrent de nouveaux, plus ils s’y attachent.
A cet effet purement commercial, d’autres effets s’ajoutent. Le foisonnement des formations certifiantes, basées sur des modèles et cadres de pratiques, touche aussi aux dimensions marketing, cognitive, et reconnaissance des actions de formation professionnelle.
Dimension marketing : Les éditeurs essentiellement à l’international ne se sont pas arrêtés à la promotion d’une offre large de certificats, vecteur de différenciation et de visibilité sur les réseaux professionnels. C’est ainsi que des majors comme ISO, PMI, Axelos, IPMA, APM, Isaca, Open Group, ISC2, et autres éditeurs logiciels font œuvre de créativité, en proposant leur système de fidélisation le plus « addictif ». Comme la validité des certifications est limitée dans le temps, les nouvelles qualifications acquises doivent être maintenues. C’est pour cela que les éditeurs proposent des renouvellements par adhésion annuelle et l’acquisition de PDU* pour certains. Or ces actualisations ne démontrent que le maintien des connaissances. Elles ne proposent rien concernant leur mise en pratique effective.
Plus récemment, vous l’avez peut-être constaté, la nouvelle tendance est aux micro-certifications (micro-credentials). Les éditeurs, sous couvert d’apporter plus de flexibilité aux parcours de formation professionnelle continue, suggèrent de fractionner les programmes longs de formation en développement de compétences. Cela apporte des conséquences : détourner l’effort d’investir le temps nécessaire à l’acquisition d’un corpus complet ou au contraire de pousser à de la consommation compulsive de micro-certifications. C’est un autre travers observé à l’étranger, certains se laissant emporter à cumuler les certifications comme une liste à la Prévert. A se demander quand ces candidats trouvent le temps de les appliquer dans leur travail. C’est un point qui questionne l’intérêt pédagogique de cette forme d’actions de formation au regard des arguments marketing utilisés.
Dimension cognitive : Pour nous Français, le principe de certification des éditeurs anglo-saxon, nous amène toujours à devoir nous focaliser sur la compréhension de l’anglais avant celle des contenus. Même si les formations sont faites en français, l’évaluation par QCM se termine toujours en une séance de bachotage pour réussir l’examen qui accorde la certification. Cet autre point, questionne la réalité de l’acquisition des connaissances (Fondation) et dans une moindre mesure de la capacité à leur mise en pratique (Practionner).
Dimension reconnaissance : Bien souvent, la mise en scène des modalités d’examens est sécurisée par le recours à des organismes tiers de confiance comme CERTyou. Les éditeurs les plus en vue ne laissent aucune place à la fraude, même depuis chez soi. C’est l’argument de crédibilité qu’ils mettent en avant pour nourrir la relation de confiance entre un consultant et son client ou un candidat et son recruteur. Mais en France, contrairement à l’international, nous sélectionnons essentiellement les profils d’après les diplômes issus de la formation initiale. Dans le cadre de la formation continue, les certifications professionnelles restent peu voire non reconnues selon les secteurs d’activités. Est-ce par méconnaissance de ce qu’elles représentent et de ce qu’elles démontrent ou parceque le marché français est critique vis-à-vis des deux biais précédents ?
Aujourd’hui, de plus en plus de voix s’élèvent parmi les personnalités reconnues dans le monde de la Gestion de projet pour dire que le modèle actuel n’est pas adapté. Trop de temps de formation en classe axée sur l’acquisition de connaissances avec des examens qui se concentrent sur les informations apprises et pas assez de temps d’apprentissage en situation de travail. Cela questionne la nécessité de formations étalées dans le temps pour apprendre à résoudre les problèmes lorsqu’ils surviennent. C’est ce que l’on observe presque exclusivement en formation sur les approches Agile.
Source : Pexels
En conclusion, il ne faut donc pas se laisser aveugler par le discours des éditeurs et des centres de formation. Il importe que chacun interroge son projet, challenge ce que l’on attend de l’obtention d’une certification et/ou d’une micro-certification avant de se lancer. Est-ce seulement acquérir un nouveau corpus de connaissance ou faire la démonstration d’une expérience déjà visible sur son CV ? Autrement, il existe d’autres formes plus économiques, modulables et appliquées comme les MOOC ou encore des conférences en ligne. Même si l’investissement temps est plus élevé. La question reste alors de savoir comment sont reconnues les attestations délivrées par les producteurs de ces formations.
*PDU : Professional Development Units. Un PDU est une unité de mesure utilisée pour quantifier les activités de formation et de service professionnel approuvées et correspondent à des blocs temporels d’une heure consacrés à l’apprentissage, à l’enseignement ou au volontariat.
La Digital Workplace ce n’est pas simplement un poste de travail connecté, c’est l’ensemble des moyens mis à disposition du collaborateur pour lui permettre d’effectuer sa mission simplement, de manière mobile et surtout collaborative.
Au fil des années, l’environnement de travail a fortement évolué : la nature, nos moyens ainsi que notre environnement de travail. Initialement orienté efficient, puis productif et enfin connecté, l’environnement de travail tend à devenir davantage digitalisé. Désormais, le collaboratif est au centre de l’attention des entreprises. La crise sanitaire a redistribué les cartes et les entreprises qui s’en sont sorties le mieux durant la crise du COVID, sont celles qui étaient les plus digitalisées.
Pour résumer ce que peut représenter la Digital Workplace et son évolution, imaginez que nous sommes passés d’un bureau surchargé avec :
une tour
un écran
un clavier
une souris
un agenda papier
des dossiers clients
une imprimante
des stylos
un téléphone fixe
un fax
un copieur
une broyeuse à document…
… à un smartphone et un PC portable dans une sacoche, et cela en moins d’une vingtaine d’années.
Une Digital Workplace moderne doit s’adapter pour répondre aux besoins spécifiques d’une organisation tout en se concentrant sur les besoins des employés. Avec une bonne intégration et une collaboration efficace, une Digital Workplace crée un point central où les employés peuvent accéder aux informations et faire leur travail, où qu’ils soient et quel que soit l’appareil qu’ils utilisent.
Source : Mart Production
Pourquoi optimiser La Digital Workplace de votre organisation ?
Parce que les modes de travail des collaborateurs ont changé, les organisations commencent à mettre en œuvre un nouvel environnement : la Digital Workplace. En unifiant les technologies utilisées (e-mail, messagerie instantanée, médias sociaux, applications RH, outils de réunions virtuelles…), la Digital Workplace met en cohérence l’ensemble de ces moyens de communication, transforme « l’expérience collaborateur », et favorise efficacité et innovation collaborative.
La Digital Workplace vient répondre à plusieurs préoccupations des organisations, comme :
les changements dans les modes de travail, qui sont de plus en plus transverses et collaboratifs ;
le renforcement de l’attractivité de la marque employeur, en offrant des environnements de travail dynamiques et innovants ;
ou encore l’augmentation de la productivité en fournissant aux collaborateurs les outils et les informations pertinentes au moment adéquat.
Parmi les gains potentiels, on observe un effet sur la rétention des collaborateurs, avec une meilleure fidélisation des talents, liée à la mise en place de stratégies Digital Workplace.
Pour permettre aux organisations de mesurer la maturité de leur Digital Workplace actuelle et identifier des axes d’amélioration, quatre niveaux d’analyse et de conception doivent être pris en compte : les usages, la technologie, le contrôle et les enjeux métiers.
Au-delà de la mise en place d’une stratégie et de la mise en œuvre des outils pour la digital Workplace, les organisations doivent répondre aux enjeux de la gouvernance, des risques et de la sécurité, impliquant la question de la gouvernance des données, les rôles et les responsabilités des parties prenantes, la formation des collaborateurs, etc…
« L’accélération des cycles technologiques, la collaboration entre millenials et générations plus expérimentées, l’augmentation des exigences business et du time to market sont une réalité que les équipes Digital Workplace doivent absolument prendre en compte. »
Rali HAKAM
Team Leader Digital Workplace chez Rhapsodies Conseil
Source : Pexels
Comment développer une Digital Workplace répondant à vos besoins ?
La Digital Workplace centralise toutes les informations d’une entreprise en un seul et même endroit. Elles sont ainsi accessibles à l’ensemble des collaborateurs, avec bien évidemment des droits d’édition et/ou de consultation prédéfinis par l’administrateur de la solution.
La plateforme va être enrichie au fur et à mesure grâce aux contenus déposés par les utilisateurs et les interactions qui en découlent. Les fonctionnalités présentes sur ce genre de plateformes sont assez similaires à celles disponibles sur les services cloud grand public : gestion documentaire, suivi de projets, annuaire de contacts, messagerie instantanée, agendas et calendriers partagés, etc…
Les étapes clés pour mettre en place une Digital Workplace au sein d’une entreprise peuvent être les suivantes :
Analyse des besoins et des objectifs : La première étape consiste à analyser les besoins et les objectifs de l’entreprise en termes de digital workplace. Cela peut inclure l’évaluation des problèmes actuels de communication et de collaboration, l’identification des attentes des employés, et la définition des objectifs stratégiques à atteindre avec la Digital Workplace.
Définition de l’architecture et des fonctionnalités : Une fois les besoins identifiés, il est essentiel de définir l’architecture de la Digital Workplace ainsi que les fonctionnalités spécifiques qu’elle devra offrir. Cela peut inclure des outils de collaboration, de partage de documents, de communication interne, d’accès aux informations et aux applications métiers, etc.
Sélection des outils et des technologies : Après avoir défini l’architecture et les fonctionnalités, il est nécessaire de sélectionner les outils et les technologies compatibles avec les besoins de l’entreprise. Cela peut inclure des plateformes de collaboration, des logiciels de gestion de projet, des outils de messagerie et de communication, des solutions de stockage et de partage de fichiers, etc.
Déploiement et intégration : Une fois les outils et les technologies sélectionnés, il est temps de les déployer dans l’entreprise et de les intégrer au sein des systèmes existants. Cela peut nécessiter des ajustements de l’infrastructure, des configurations techniques et des tests pour garantir leur compatibilité et leur bon fonctionnement avec le SI existant.
Formation et accompagnement : Enfin, pour favoriser l’adoption de la Digital Workplace au sein de l’entreprise, il est important de former les employés à son utilisation et de les accompagner dans la transition. Cela peut inclure des sessions de formation, des supports de documentation, des sessions de sensibilisation, des ressources d’aide en ligne, etc. Il est également important de mettre en place un suivi régulier et d’encourager les retours d’expérience pour optimiser l’utilisation de la Digital Workplace.
Gestion du changement : La réussite de la mise en place d’une Digital Workplace nécessite une gestion efficace du changement. Il est essentiel de communiquer de manière transparente avec les employés pour les informer sur les avantages de la Digital Workplace, les motivations derrière cette transformation et les impacts sur leur quotidien. Il peut également être utile de mettre en place des groupes pilotes pour tester et valider les fonctionnalités de la Digital Workplace avant un déploiement à grande échelle.
Évaluation et amélioration continue : Une fois la Digital Workplace mise en place, il est important d’évaluer régulièrement son efficacité et d’identifier les améliorations à apporter. Cela peut inclure des collectes de feedback auprès des utilisateurs, des analyses des indicateurs de performance, des ajustements des fonctionnalités et des processus, etc. La Digital Workplace doit être continuellement optimisée pour répondre aux besoins changeants de l’entreprise et des employés.
En travaillant avec Rhapsodies Conseil, vous bénéficierez de l’expertise et de l’accompagnement nécessaires pour mener à bien ces étapes et mettre en place une Digital Workplace performante. Nous vous aiderons à définir une stratégie adaptée, à sélectionner les bons outils, à les intégrer harmonieusement et à former vos équipes pour assurer une transition fluide et réussie.
« Il est fondamental pour nos clients de définir et mettre en œuvre ces transformations en proactivité et en maîtrise pour éviter de subir ces changements et s’inscrire comme partenaire métier à forte valeur ajoutée. »
Rali HAKAM
Team Leader Digital WorkPlace chez Rhapsodies Conseil
Dans un monde où l’innovation est un facteur clef de Création et de développement des entreprises, reviennent deux questions : « Comment innover ? », et « Quelle sera la prochaine innovation ? ». Les sujets tels que le machine learning ou les plateformes data sont des incontournables de la décennie, mais des entreprises se lançant sur ces sujets sont parfois confrontées à des freins fondamentaux, faute de s’être posées la question suivante : « Quels sont les prérequis à l’innovation ? ».
Si l’innovation s’entend aujourd’hui quasi-exclusivement dans le cadre du numérique, il est important de se rappeler qu’elle existe depuis que l’humanité a commencé à développer des concepts technologiques, et ce, dans tous les domaines. Et dans ces 6000 ans d’Histoire, on peut trouver des exemples aux résonances contemporaines : des sociétés sont passées à côté d’innovations majeures pourtant à leur portée. Les freins innovatifs fondamentaux ne sont pas récents…
L’histoire de la brouette chinoise
Quoi de plus banal qu’une brouette : ce n’est qu’une plateforme avec des roues, permettant de transporter des charges d’un point A à un point B. C’est encore utilisé de nos jours, que ce soit dans le BTP, ou pour faire son potager. L’évidence de son usage, et sa simplicité de conception nous feraient croire que les brouettes ont toujours existé.
En Europe, les premières traces écrites relevant l’utilisation de brouettes datent d’il y a mille ans. Et, matériaux et détails de proportions mis à part, elles sont en tous points semblables à nos brouettes contemporaines.
En Chine, les choses sont différentes. Les brouettes apparaissent bien plus tôt, et elles ont rapidement évoluées (IIIème siècle après JC) vers une conception différente, bien plus efficace : la roue est placée de manière centrale sous la plateforme de charge. 1
Le poids est bien mieux réparti, et à charge égale, l’opérateur dépense bien moins d’énergie. Compte tenu de la fréquence d’utilisation de cet objet, sur une période aussi longue qu’un millénaire, le gain collectif en productivité est incalculable mais doit être phénoménal. Mais ils ne se sont pas arrêtés là ! Dès le XVIème siècle, des explorateurs et marchands européens rapportent, stupéfaits, la description de brouettes à voile2. L’énergie éolienne est utilisée pour faciliter le transport terrestre, les Chinois sont donc capables de transporter, sur de longues distances et à faible effort, des charges importantes.
Brouette chinoise vs Brouette européenne, pourquoi un tel écart d’innovation ?
Une question semble évidente : pourquoi les Européens, également en recherche d’efficacité, et par ailleurs capables théoriquement d’appréhender ce concept (comme les trébuchets, inventés au XIIème siècle, sont bien plus complexes que ces brouettes en termes de compréhension et d’application de la physique), ne sont pas arrivés aux mêmes conclusions technologiques que les Chinois ?
L’hypothèse seule de la force des habitudes semble trop générique et supporte mal l’effort du temps. Ce frein culturel est réel, mais des dizaines de générations successives auraient dû en venir à bout. On peut proposer, parmi d’autres (modèle agraire, rapport culturel aux déplacements…), une hypothèse portée par le concept de « Dette d’infrastructure« .
L’innovation requiert autant l’intelligence et la capacité de réalisation que le contexte lui permettant d’exister. Cet exemple de la brouette chinoise met en lumière un défaut fondamental d’infrastructure de l’Europe médiévale par rapport à la Chine. Le gain en masse déplaçable (grâce à l’emplacement central de la roue), puis en distance parcourable (grâce à la voile) nécessite d’avoir des routes suffisamment solides pour accepter ce surplus de charge, et suffisamment longues pour que la volonté de parcourir de longues distances ait du sens. Or, jusqu’à la révolution industrielle, le point culminant du réseau routier européen a été atteint lors de l’Empire Romain. Réseau caractérisé par deux aspects : peu de dessertes “locales” et une infrastructure très lourde, potentiellement plus durable mais nécessitant des travaux d’entretiens massifs. Or, la chute de l’empire a marqué la fin des programmes d’entretiens, et de constructions de nouvelles routes. Le réseau chinois se basait, lui, sur un maillage local plus dense, et sur des infrastructures plus légères, et les dynasties continentales successives ont permis la pérennité d’une administration capable de garantir un entretien au long cours. 3
On se rend alors compte, qu’avant même d’avoir l’idée nécessaire pour développer une brouette performante, il eut été nécessaire de maintenir l’infrastructure routière en bon état, et qu’une amélioration potentielle des brouettes seule ne peut être un motif raisonnable et suffisant pour remettre à niveau l’infrastructure.
Les conclusions modernes liées à la gouvernance des données
Cet exemple historique peut sûrement être extrapolé par chacun dans son appréhension du secteur du numérique. Qu’il s’agisse d’infrastructure technique, logicielle, ou également de capital humain (Formation, culture d’entreprise), maintenir un haut niveau sur ce « fond » permet de saisir les progrès ponctuels que constituent les ruptures technologiques et innovantes.
Une entreprise peut rencontrer des difficultés à créer des modèles de machine learning pertinents, de la BI qualitative, ou encore une plateforme data ne se transformant pas en capharnaüm désorganisé, sans que cela soit du à des manques de compétences sur le projet, mais à cause des défauts structurels du patrimoine de données et d’une gouvernance défaillante ou inexistante. La temporalité longue de cet exemple nous renvoie aussi à l’approche de l’acquisition des compétences et des bonnes pratiques : préférer des formations et des acquis durables, réguliers, plutôt que des actions « coup de poing » permettant de répondre à un besoin dans la précipitation. Ou encore, privilégier l’agilité et la durabilité dans les infrastructures.
Plutôt que d’être réactive aux tendances, l’entreprise profondément innovante saura maintenir un haut niveau d’infrastructure, afin de pouvoir accueillir le plus facilement possible la prochaine brique innovante. Tout comme les brouettes, les applicatifs finaux que sont les modèles de ML, la BI, ne sont que des appendices portés par une infrastructure dont la qualité est déterminante, qu’il s’agisse d’un réseau routier, ou d’un patrimoine de données. Et pour garantir la vision stratégique de cette infrastructure, une autorité transverse durable est nécessaire, qu’il s’agisse d’un empire ou d’un Data Office.
2 van Braam Houckgeest, A.E. (1797). Voyage de l’ambassade de la Compagnie des Indes Orientales hollandaises vers l’empereur de la Chine, dans les années 1794 et 1795.3 https://www.landesgeschichte.uni-goettingen.de/roads/viabundus/the-dark-ages-of-the-roman-roads/
La question peut paraître saugrenue, car nous sommes habitués à dire que ce sont les chinois qui nous copient, et qu’en termes de libertés individuelles la Chine n’est pas nécessairement un modèle souhaité en France. Néanmoins, la Chine pense sur le temps long, avec une accumulation de plans quinquennaux qui au final peuvent s’étaler sur plus de 10 ans. Et le sujet de leur souveraineté numérique au sens large en fait clairement partie.
Pour revenir au sujet du cloud souverain, il est clairement d’actualité, avec l’amendement du député Philippe Latombe qui a été accepté, obligeant les opérateurs d’importance vitale pour la France à utiliser du cloud souverain plutôt que non souverain.
Mais avant de se comparer à la Chine, revenons aux basiques en retournant à l’étymologie du mot « souveraineté ».
Source : Pexels – Kevin Paster
La souveraineté, une proposition de définition.
Étymologiquement, et dans son sens premier, est souverain celui qui est au-dessus, qui est d’une autorité suprême.
Cela s’applique ainsi logiquement à un État, qui lui-même est chargé de défendre les intérêts français, que l’on parle de citoyens mais aussi d’entreprises. Citoyens, qui expriment leur souveraineté populaire (au sens rousseauiste du terme) dans le cadre d’élections.
Mais appliquons cela à ce qu’on entend alors par “cloud souverain”.
Ainsi, en déclinant cette idée de souveraineté au cloud, dont les clients potentiels sont l’état, les entreprises, les individus, il s’agit de placer l’état en garant des intérêts des citoyens et des entreprises, qui se mettent sous la coupe des lois françaises, lois assumés par tous par le mécanisme de souveraineté populaire.
Source : Pixabay – The DigitalArtist
Le cloud souverain, une proposition de liste de principes.
Dis comme ça, cela reste flou. Alors soyons plus pratico-pratiques :
Ni l’état, ni les entreprises, ni les citoyens ne souhaitent se faire espionner par une force étrangère, ou par des intérêts privés. Bonjour Edward Snowden.
Tout le monde souhaite que ses données privées, le restent. Bonjour les GAFAM. Bonjour Edward Snowden.
L’état, les citoyens, les entreprises souhaitent que les comportements délictueux exercés en France soient jugés en France. Bonjour les GAFAM. Bonjour Edward Snowden. Bonjour l’état de droit.
L’état, les citoyens, les entreprises souhaitent pouvoir avoir un accès sans soucis à un cloud sécurisé. Bonjour la liberté.
Une réalité éloignée de ces principes
Or, un certain nombre de points ne correspondent pas avec les acteurs étrangers.
Espionnage : Le Patriot act et le FISA, sont très clairs à ce sujet. Si votre clouder est américain, le piratage est légal et assumé. J’omets le Cloud Act, qui à mes yeux relève du « blanchiment » juridique.
Confidentialité : De même, les données considérées comme “privées” peuvent ainsi être récupérées. Sans compter les cookies traceurs et https://www.lebigdata.fr/donnees-anonymes-cnil-data-brokers). Et si vous ajoutez le fait que les protocoles “Internet” qui n’ont pas été créés comme sécurisés. Des palliatifs existent comme par exemple pour le protocole DNS (Protocoles DOH et DOT, DnsCrypt). Néanmoins, l’utilisation de HTTPS ne vous cache pas. Si vous allez sur https://siteinavouable.com, l’information que vous vous y connecter passe en clair, lors du handshake SSL. Il faudrait pour éviter cela que l’extension TLS d’”Encrypted Client Hello” soit généralisée.
Souveraineté aux yeux de la loi : L’extra territorialité des lois américaines n’est plus à prouver. Demandez à Frédéric Pierucci son avis.
Sécurisation : Et si nous passons tous par des routeurs fabriqués par des entreprises américaines, avec des ordinateurs utilisant des processeurs américains, avec un bios contenant des binaires américains pour les craintes, et pour un premier aperçu des possibilités, et le tout sur un système d’exploitation américain, la probabilité que des failles et autres backdoors “connues” seulement des américains existent n’est pas nulle. Et passons sur le simple fait que le trafic internet de votre tante vivant à Nice, se connectant à un site web hébergé à Strasbourg, ne va pas nécessairement longer les frontières françaises tel le nuage de Tchernobyl, laissant ainsi des « portes » d’écoute.
Alors quelle est la réponse de la Chine face à ces enjeux?
Espionnage : Mise en place d’un Great Firewall, perfectible par rapport à ses objectifs mais qui ne facilite pas le travail d’un espion étranger. Ecosystème “Chinese Only”, où aucune société américaine n’opère directement en chine (Voir Salesforce, Azure, Aws), mais par des intermédiaires 100% chinois.
Confidentialité : Pas le soucis majeur des chinois. Vous n’avez rien à cacher à l’état chinois, pas même vos secrets intimes.
Souveraineté aux yeux de la loi : Le fait de devoir passer par un intermédiaire chinois bloque les lois extra-territoriales américaines. Par exemple la société chinoise 21Vianet achète les “logiciels Azure” de Microsoft, pour après revendre de l’Azure en chine. Et comme dans la pratique l’état chinois a accès à tous les serveurs, c’est tout de suite plus pratique pour faire appliquerdes lois, et un “REX” extra-territorial sur TikTok : REX que votre serviteur avait précédemment pressenti.
Sécurisation : Le great firewall aide, transforme l’Internet Chinois en un quasi Intranet, mais n’est pas le seul vecteur de sécurisation. Comme énuméré précédemment, les vecteurs d’attaques sont :
Système d’exploitation : Diverses distributions linux chinoises, existence d’un linux fait par alibaba cloud
Serveur : Lenovo qu’on ne présente plus. De toute manière les fabricants étrangers ne sont pas les bienvenus.
Une utopie réaliste
Par rapport à cette liste à la Prévert, je n’invite pas à restreindre les libertés publiques mais à avoir une politique numérique très ambitieuse. Impossible n’est pas français comme je l’entendais dire dans ma jeunesse, et oui, un autre modèle est imaginable :
Espionnage : Renforcement très fort de l’ANSSI, pour aider encore plus les entreprises à se sécuriser, mais aussi pour sensibiliser. Promotion voir obligation d’utilisation de protocoles et de systèmes sécurisés, Travaux de recherche pour une sécurisation pour tous. Sécurisation des réseaux, y compris télécom afin d’éviter d’être géo-localisable par n’importe quelle agence étatique
Confidentialité : Interdiction des cookies traceurs. Généralisation des protocoles sécurisés. Amendes plus fortes et prisons en cas de négligence de confidentialité, voir de sécurité
Souveraineté aux yeux de la loi : Promotion du SecNumCloud et challenge perpétuelle de sa définition (ce qui est déjà le cas au vu des versions). Aides aux entreprises souhaitant passer la certification. Obligation pour l’état et les organismes d’importance vitales de passer par des clouders de droit et d’actionnariat français (bonjour les OIV)
Sécurisation :
Réseau : Promotion des acteurs français comme Stormshield, certifications de sécurité pour les acteurs qui communiquent leurs codes sources qui seront audités
Processeurs :
Fabrication dans un premier temps de processeurs sous license ARM (contenant quand même des brevets américains https://www.phonandroid.com/huawei-annonce-son-independance-aux-technologies-americaines-pour-2021.html) par une entreprise de droit français ou européen (ST MicroElectronics)
Travaux de recherche sur les plateformes Open Source RISC-V et Open Power et fonds d’investissement pour des startups
Système d’exploitation : Promotion et investissement sur la distribution linux française CLIP-OS, développé par l’ANSSI
Serveur : En soit un serveur consiste en une simple intégration de composants, qu’OVH fait lui même. Concernant le bios, avec un processeur français le problème sera directement résolu. Enfin concevoir des cartes mères n’est pas la chose la plus complexe (Si un ingénieur est capable d’en concevoir en solo…
Plus qu’un cloud souverain, un Internet de la confiance
Comme on peut le voir, je prends le contre pied de la Chine sur la vie privée et la confidentialité, et je cherche à démontrer que l’effort technologique n’est pas un mur infranchissable.
L’effort pour les DSI, RSSI, architectes, consiste à sensibiliser, mais aussi à promouvoir l’usage de solutions et de clouders certifiés secNumCloud, qui soient bien de droit français. La liste est régulièrement mise à jour.
Et oui, il faut « franciser » son SI. Et/où l' »open-sourcer ».
Sur le sujet de la sécurisation pour tous, être contre c’est être pour que n’importe qui dans la vie réelle puisse écouter ce que vous dites. On me rétorquera que la collecte d’adresse IP est nécessaire pour la lutte contre le harcèlement en ligne par exemple… Alors renforçons les pouvoirs et les moyens de la CNIL. Exigeons de nouvelles certifications plus sévères et plus contraignantes. Ce sujet de collecte d’ip pour des crimes graves (https://twitter.com/laquadrature/status/1658012087447085056) peut être la limite acceptable et contrôlable de notre vie privée et de notre sécurité. Car être contre notre sécurité et notre vie privée c’est être contre la protection de nos intérêts vitaux et économiques (https://twitter.com/amnestyfrance/status/1658449051296186369). La liberté individuelle et la liberté d’entreprendre sont ici parfaitement compatibles, elles vont même de pair. Croire l’inverse, c’est laisser la porte ouverte à tous vents, aux inconnus, aux belligérants. Et nous devons tous comprendre qu’il en va de l’intérêt général.
Qu’en est-il aujourd’hui, le GraphQL est-il réellement une alternative concrète aux APIs standard ?
Mais déjà, qu’est-ce que le GraphQL ?
Le GraphQL se définit par la mise à disposition d’une interface de “requêtage” qui s’appuie sur les mêmes technologies d’intégration / les mêmes protocoles utilisée par les API REST.
Ici, nous restons sur le protocole HTTP et par un payload de retour (préférablement au format JSON) mais la différence principale du GraphQL, pour le client, repose sur le contrat d’interface.
Le contrat d’interface façon GraphQL devient variable, tout comme la réponse. En effet, dans la requête nous pouvons spécifier ce que nous souhaitons recevoir exactement dans la réponse.
Nous mettons ainsi le doigt sur un gros avantage de cette interface GraphQL qui, par essence, va grandement diminuer le “overfetching et le “underfetching” (comprendre ici le fait de récupérer trop peu ou au contraire trop d’informations jugées inutiles dans le contexte) d’API
Autre avantage, ce besoin en données spécifiques pourra être différent à chaque appel et donc permettre une grande flexibilité d’usages à moindre effort.
Le GraphQL s’est fait sa place !
A l’époque de l’écriture de notre premier article, le GraphQL commençait à s’introduire dans certains cas d’usage, très souvent en mode POC et découverte, avec un concept attrayant mais sans preuve réelle de plus value.
Aujourd’hui nous observons une vraie adhésion à ce nouveau mode d’interfaçage, bien que nous en constatons encore des points d’amélioration.
Ce qui est intéressant à remarquer est qu’il se développe sur des métiers très variés. Non seulement au niveau des éditeurs de logiciels mais également dans le cadre de développements spécifiques, de plateformes dédiées.
Les usages à date : quelques exemples
Netflix, qui utilise le GraphQL pour unifier les accès aux différentes APIs.
Dans le retail, Zalando, pour récupérer les informations sur les différents produits et pour gérer les consentements.
MonEspaceSanté, le service lancé par l’ANS en début d’année, et qui effectue de requêtes GraphQL à partir du navigateur.
Le GraphQL comme réponse à un besoin d’uniformisation ?
Avant la naissance du GraphQL, le besoin d’uniformisation de ce type d’interaction était dans la ligne de mire de certains acteurs. Aujourd’hui le GraphQL peut apporter une réponse concrète et standardisée à ces problématiques.
Deux exemples d’envergure :
Microsoft : Microsoft a par le passé essayé de fournir des APIs “flexibles” pour adresser certains cas d’usage. Cette tentative s’est matérialisée par la création de l’OData et de l’API Microsoft Graph.
Ne vous trompez pas, l’objectif reste similaire mais l’approche est, à ce stade, différente. Dans une logique d’uniformisation et standardisation, nous voyons difficilement Microsoft s’affranchir d’une réflexion autour du GraphQL pour atteindre ces objectifs.
Salesforce : Salesforce propose également depuis plusieurs années, une API bas niveau qui pourrait, par ses caractéristiques et son besoin de flexibilité, être adaptée à la technologie GraphQL.
Constat actuel sur les usages du GraphQL
Quand nous regardons les cas d’utilisation de GraphQL, nous pouvons constater qu’il est majoritairement utilisé côté Front-end.
En lien avec ce cas d’utilisation, nous observons également que le GraphQL est souvent vu comme un agrégateur d’API, et pas comme un moyen de requêtage directement lié à une vision pure données.
Mais pourquoi ce type d’usage ?
Nous listons trois arguments principaux pour expliquer la prédominance de ce type de cas d’usage.
La restitution de format est très adaptée au monde du web : une réponse simple, toujours vraie et personnalisable ; le protocole HTTP et des concepts proches des APIs REST, le GraphQL s’adapte très bien aux couches front.
Chaque API derrière GraphQL gère son propre périmètre, si nous faisons la correspondance avec les architectures DDD (Domain-Driven Design), nous pouvons affirmer que l’API bas niveau adresse un domaine particulier, alors que le GraphQL est là pour pouvoir “mixer” ces différents concepts et donner une vision un peu plus flexible et adaptée à chaque cas d’usage. Dans ce cas nous allons faire de l’overfetching sur les couches bas niveaux, et faire un focus utilisation au niveau de la partie frontale.
Le cache, éternelle question autour du GraphQL. Dans ce cas d’usage le cache reste possible au niveau des APIs de bas niveau, qui iront donc moins solliciter les bases de données, alors que sur la couche GraphQL, de par sa variabilité de réponse, nous en avons peut-être moins besoin. Pour rappel, le cache sur une requête GraphQL, bien que possible, devient naturellement plus complexe à gérer et donc perd un peu de son intérêt.
Pourquoi ne faut-il pas limiter le GraphQL à ces usages ?
Pour nous, c’est notre conviction, le GraphQL a de nombreux atouts et doit se développer sur ces usages de prédilection, mais pas que !
UN ARGUMENTAIRE FORT : L’ACCÉLÉRATION DE LA CONCEPTION !
Un des grands atouts de la mise en place d’une API GraphQL reste le côté, si vous m’autorisez le terme, “parfois pénible” de la définition des API Rest : des discussions infinies entre le métier et l’informatique pour définir ce dont nous avons besoin, le découpage, etc.
Une API GraphQL par définition n’a pas une structure ou un périmètre de données définis, mais s’adapte à son utilisateur.
Le GraphQL comme moyen d’accélérer les développements ?
Une évolution de l’API bas niveau n’est plus nécessaire pour satisfaire le front
Un accès unifié aux données par un seul endpoint, sans forcément aller chercher dans les différentes APIs / applications
Tout en exploitant la logique de cache car le front end ne change pas
Et en plus des évolutions dans la gestion des caches permettent aujourd’hui de mettre en cache les données GraphQL
UNE DISTINCTION CLAIRE : ATTENTION AUX CAS D’USAGE !
Nous ne visons certainement pas tous les cas d’usages, mais l’objectif ici est de casser un peu certains mythes.
Si utiliser des mutations (en gros l’équivalent de l’écriture) intriquées, nous l’avouons, peut être très complexe, dans les cas de requêtage de bases de données ayant comme objectif principal l’exposition en consultation, nous disons “pourquoi pas !”.
Vous auriez probablement reconnu le pattern CQRS, avec, par exemple, une Vision 360 Client qui expose les informations avec une API GraphQL.
CÔTÉ TECHNIQUE
Les améliorations dans la gestion des caches, ces dernières années, permettent de gérer ce sujet, tout en restant plus complexe qu’avec une API REST standard.
Attention aux autorisations
Nous n’allons pas nous attarder sur ce sujet, que nous avons déjà traité dans notre précédent article (que nous vous invitons à parcourir ici), mais nous souhaitons le rappeler car il est crucial et extrêmement critique.
Si nous souhaitons traiter les sujets d’accès à la donnée avec une API GraphQL, une logique RBAC avec rôles et droits définis au niveau de la donnée (matrice d’habilitations rôles / droits proche de la donnée elle même) nous semble à ce stade la meilleure solution : N’AUTORISONS PAS L’ACCÈS UNIQUEMENT AU NIVEAU DE L’API, MAIS ALLONS AU NIVEAU DATA !
Conclusion
La technologie continue de s’affirmer, un standard semble se définir et s’étoffe de plus en plus. Dans un monde API qui se complexifie de jour en jour, les enjeux autour de la rationalisation et de l’optimisation des usages API restent au cœur des débats sans pour autant trouver de solution directe et efficace via la technologie REST. Et c’est encore plus vrai quand le besoin de base n’est pas clairement défini…
Le dynamisme apporté par le GraphQL, dans certains cas de figure, permet de simplifier ces discussions en apportant des réponses cohérentes avec le besoin.
Ce n’est pas une solution magique faite pour tous les usages, mais une réelle alternative à considérer dans les conceptions API.
Et vous ? Avez-vous pris en considération cette alternative pour vos réflexions API ?
Ne vous en faites pas, il n’est pas trop tard, parlons-en, ce qui ressortira de nos discussions pourrait vous surprendre.
