Comment une demande utilisateur déclenche une crise à la DSI ?
Lors de la pause café du CODIR, le DRH a présenté le nouvel outil qu’il souhaite déployer pour la gestion des notes de frais : depuis une application smartphone, le salarié prend en photo son ticket de caisse, la note de frais est ensuite automatiquement saisie et envoyée en validation. L’ensemble du CODIR a immédiatement adhéré (la réduction d’effectifs des assistantes de direction ne semble pas être étranger à la décision). Il a été demandé au responsable informatique de mettre en place l’outil dans les plus brefs délais : la solution pourra être paramétrée par un prestataire pour répondre aux besoins de l’entreprise en moins d’une semaine. Pour tenir les délais, le CODIR demande à la DSI de faire fi des processus habituels et de s’appuyer sur le Cloud. Les délais de mise en oeuvre de technologies type serverless sont jugés beaucoup plus acceptables que les mois historiquement nécessaires pour acheter et configurer des nouveaux serveurs. Idée géniale ! Tout content, le DSI repart avec ce projet voir ses équipes… Mais très rapidement la tâche paraît bien plus importante que prévue :
L’application sera déployée dans le Cloud, une première pour cette entreprise, et cela nécessitera la mise en oeuvre d’une zone pouvant échanger avec le SI legacy. Comment inclure ce nouveau “datacenter virtuel” de manière sécurisée au sein du SI ?
L’application doit s’interfacer avec la RH et la paie. Ces systèmes étaient traditionnellement hébergés sur un réseau dédié, isolé d’internet. Le serveur hébergeant ces applications n’a pas été mis à jour depuis plusieurs années. La mise à jour de ce serveur impliquerait la mise à jour du SIRH. Si ce dernier devait être réinstallé, cela induirait un projet long et coûteux. Comment exposer et récupérer les données indispensables au bon fonctionnement du service, sans mettre en péril les données personnelles des salariés ? Outre la question de l’obsolescence, se pose la question des échanges sécurisés.
Les accès internet de l’entreprise ne sont pas dimensionnés pour que les employés travaillent sur des serveurs hébergés en dehors de celle-ci. Les accès internet ne sont pas non plus dimensionnés pour permettre l’échange sécurisé d’informations avec des partenaires tiers hébergés sur internet. Au delà de la taille des tuyaux, les problématiques d’échanges de données avec les applications partenaires doivent être adressées.
Les impacts si majeurs conséquents à cette demande du métier
Derrière une réponse en apparence simple d’un point de vue de l’utilisateur, (i.e. installer une application de gestion des notes de frais), se cache une transformation profonde du SI. Pour devenir Cloud Ready, la DSI doit ainsi adresser 4 chantiers majeurs :
La mise en place d’un cloud public
Quels sont les services qui devront être instanciés dans le Cloud ?
Comment mettre à disposition les services de la DSI dans le Cloud ?
Comment résoudre l’équation du respect des bonnes pratiques de sécurité avec le respect du budget de la DSI ?
Comment garantir l’exploitabilité des applications qui seront déployées dans le Cloud ?
Comment mettre une politique FinOps qui permette d’aligner les coûts relatifs au Cloud avec les gains métiers attendus ?
Comment permettre l’accès des utilisateurs depuis n’importe où aux applications déployées dans le Cloud ?
Comment optimiser les coûts de possession des applications ?
Comment garantir leur compatibilité avec les technologies Cloud ?
La gestion des échanges de données
Quelle stratégie à mettre en oeuvre pour les échanges de données entre les applications du SI et celles dans le Cloud ?
Avec les applications des partenaires externes ?
Est-ce qu’une politique d’API doit être poussée ?
Comment gérer les échanges avec les applications historiques du SI ?
Est-ce que l’évolution de l’ESB ou de l’ETL est suffisante ou est-ce que la mise en place d’un iPaaS doit être envisagée ?
La sécurité “by design” du SI
Quels sont les services de sécurité à mettre en service pour permettre une sécurisation de bout en bout ?
Quels sont les composants à instancier afin de garantir l’accès sécurisé aux applications ?
Quelles sont les règles à imposer aux applications afin de garantir la sécurité du SI ?
Est-ce que l’entreprise doit envisager la mise en place d’un SIEM (Security Information and Event Management) afin de détecter les éventuelles attaques ?
Dans certains cas, ces quatre chantiers seront suffisants. Dans d’autres cas, il faudra compléter avec :
La refonte de l’environnement de travail et les problématiques du BYOD (Bring Your Own Device), les problématiques liées à la conformité du poste de travail, la sécurisation des accès à privilèges.
La mise à disposition des services de la DSI via un portail de service.
La mise en place d’une chaîne DevOps permettant d’industrialiser le déploiement des applicatifs dans le Cloud (ou On-Premise).
L’étude de mise en oeuvre de plateforme (Blockchain, BigData ou IOT) pouvant accueillir des applications métiers afin d’anticiper leurs impacts sur le SI historique.
(Re-)mise en perspective d’une transformation vers le cloud
Beaucoup d’entreprises initient ces transformations en ayant uniquement un objectif économique. Il est important de noter que dans la plupart des organisations, les économies espérées ne seront pas générées par la transformation technologique, mais par la transformation des processus qui les consomment. Un service technologique sera rentable dans le Cloud à condition qu’il soit dimensionné et disponible en fonction de la demande des métiers. Par exemple, les serveurs de développements peuvent être éteints la nuit, et certains services de Production re-dimensionnés la nuit lorsqu’il y a peu d’utilisateurs. La transformation vers le Cloud permettra à la DSI et aux métiers d’être plus réactifs dans la mise à disposition de nouveaux produits et services. Les investissements pourront être limités car proportionnels aux revenus ou économies générés par leur consommation. Pour approfondir le sujet, nous vous conseillons de consulter les 5 mythes associés à une stratégie cloud first :
La réduction systématique des coûts
Toutes les applications sont éligibles au cloud
Il ne faut conserver qu’un seul fournisseur
La migration vers le cloud rendra mon application résiliente
Une fois dans le cloud je n’aurais plus besoin d’architecte
En conclusion
L’utilisation du Cloud ne s’improvise pas, la transformation doit être planifiée afin de respecter les exigences métiers. Il faut aussi veiller à ce que les métiers s’approprient les nouveaux services au fil de l’eau. Les organisations qui sont parvenues à se transformer ont pris le contrôle de leur transformation en formant massivement leurs acteurs aux technologies Cloud, et en se faisant accompagner par des sociétés expertes sur les différentes problématiques. Il n’existe pas de recette préformatée permettant de répondre à ces problématiques. Même si de bonnes pratiques ont été éprouvées sur des projets majeurs, la feuille de route devra être adaptée au contexte de l’entreprise et à sa maturité. Le succès de la transformation du SI sera atteint à condition de replacer les enjeux métiers au centre de la transformation.
Troisième étape de notre voyage dans le monde merveilleux de l’Initiation de Paiement.
Après les cas d’usage dans l’épisode 1 : Les Promesses de l’Initiation Paiement, et la fluidité du parcours utilisateur dans l’épisode 2 : Initiation des paiements, quels parcours clients ?, Grégoire illustre pour nous les modes Redirect / Decoupled / Embedded et leur impact sur le parcours client dans la mise en œuvre de l’Authentification Forte (DSP2 / SCA)…
Avec 30 milliards en 2020 alors qu’ils n’étaient encore que 5 milliards hier, les objets connectés deviennent omniprésents dans les entreprises. Ils impactent la relation client, permettent de créer de nouveaux usages et introduisent de nouveaux modèles de business.
Cependant, de nombreuses organisations se trouvent mal préparées pour faire face à la profondeur et à l’ampleur d’un tel changement. Heureusement, ces mêmes entreprises disposent déjà en interne d’une expertise pouvant faciliter la transformation à plusieurs niveaux : l’architecture d’entreprise.
Quelles sont les grands familles d’architectures autour de l’IoT ?
Avant de parler du rôle des facilitateurs, intéressons-nous aux types d’architectures autour des objets connectés que nous pouvons regrouper synthétiquement en 4 grandes familles :
Device to Device (appelée aussi machine to machine M2M) : Les objets connectés, au sein d’un même réseau local, se connectent généralement à l’aide de protocoles sans fil (Bluetooth, WIFI, …) ou via des connexions physiques.
Device to cloud : les objets connectés se connectent directement au cloud, généralement à travers le réseau longue portée (réseau mobile classique, réseau dédiée aux objets connectés, …). Les données sont ensuite analysées et mises en valeur.
Device to Plateform : les objets connectés transfèrent les données vers le cloud via une plateforme. Cette dernière recueille, centralise et communique les données au cloud par le biais d’une connectivité réseau supplémentaire (réseau mobile, WIFI, réseau filaire, …)
Cloud to cloud : cette architecture est axée sur un processus de cloud décentralisé. Chaque structure possède son cloud privé de gestion des données mais aussi partage ses données dans un cloud central accessible par des tiers. Prenons l’exemple d’un bâtiment intelligent qui reçoit des données provenant de thermostats intelligents et d’ampoules électriques intelligentes. Les données sont stockées dans un cloud privé à ce bâtiment. Ensuite, Les données peuvent être transférées dans un cloud public plus important (à l’échelle de la ville) pour permettre des analyses plus globales.
L’architecture d’entreprise comme vecteur de la transformation…
Aujourd’hui et plus que jamais, il devient impératif pour les entreprises de briser les cloisonnements organisationnels afin de maximiser la valeur produite de bout en bout dans l’ensemble de l’entreprise et le service rendu aux clients.
Dans cette optique, l’architecture d’entreprise a pour rôle d’aider les entreprises à tirer bénéfice de la transformation induite par le déploiement des objets connectés. Réussir cet accompagnement passera, pour l’architecture d’entreprise et les parties prenantes, par des réflexions autour de (liste non exhaustive) :
La gestion des données massives : les premiers déploiements autour des objets connectés à grande échelle au sein des organisations, produisent des données qui sont souvent cloisonnées et fragmentées (souvent au reflet de l’organisation), ne permettant pas de fournir le niveau d’information nécessaire pour justifier de lourds investissements. Sans structure appropriée, la quantité de données s’avère écrasante et les informations les plus utiles seront noyées. Pour maximiser la valeur produite par ces données, l’architecture d’entreprise contribuera à la stratégie et l’opérationnalisation des données provenant des dispositifs connectés au sein de l’organisation. L’architecture d’entreprise peut également aider à identifier les données les plus pertinentes, les responsables de ces données et les responsables de la sécurité pour structurer ces données de manière à atténuer les risques liés à leur exploitation.
L’interconnexion et l’interopérabilité des composants : Pour tirer le meilleur parti des objets connectés, les interconnexions entre les appareils doivent être identifiées et les murs qui les séparent démontés. C’est là que l’architecture d’entreprise entre en jeu. Cette dernière peut tirer parti de l’interconnectivité des dispositifs intelligents, en les regroupant pour mesurer l’impact potentiel ou pour former de nouveaux cas d’usage. Plus globalement, l’architecture d’entreprise peut utiliser le vecteur des objets connectés pour insuffler une nouvelle dynamique organisationnelle dans l’entreprise.
Les nouveaux cas d’usage et la création de valeur : L’architecture d’entreprise aura pour rôle de comprendre les caractéristiques d’une technologie IoT spécifique et d’accompagner les parties prenantes de l’entreprise à identifier les opportunités commerciales que les IOT offrent. L’architecture d’entreprise sera alors en mesure de fournir une vision et des cas d’usage bien plus qu’une simple liste d’idées technologiques « dans l’ère du temps ». Par exemple, elle pourrait fournir une compréhension générale de l’impact des technologies sur les entreprises, des informations qu’elles exposent et la valeur ajoutée de ces informations.
Sans oublier de renforcer la gestion des risques technologiques…
Face à la diversité des objets connectés et à l’interconnexion avec le legacy, la gestion des risques est devenue un sujet majeur pour l’architecture d’entreprise. En partenariat avec des spécialistes de l’intégration, des experts fonctionnels et des fournisseurs, l’architecture d’entreprise aura à planifier et à participer à la mise en œuvre d’une gestion des risques des plus rigoureuses. Une liste des risques à gérer couvrant notamment :
La cybersécurité : De plus en plus d’attaques se concentrent sur les objets connectés (Kaspersky a recensé 105 millions d’attaques contre des objets connectés au premier semestre 2019) à travers des attaques DDOS ou par botnet. Par conséquent, la vision traditionnelle de la sécurité axée sur une approche de la sécurité de l’information devra évoluer vers une approche de gestion des risques de sécurité. La cybersécurité et les plans de reprise des activités devront devenir des piliers de la stratégie IT de l’entreprise pour, d’une part, sécuriser la valeur produite et, d’autre part, pour maintenir et/ou rehausser l’image de l’entreprise auprès de ses clients.
La gestion de l’information : la masse des données produite est susceptible de mettre à mal l’infrastructure existante. Un vrai plan de gouvernance et un cycle de vie des données sera impérativement à définir. Par exemple, l’architecture d’entreprise aura à travailler avec toutes les parties prenantes afin de définir, entre autres, la plage de temps pour laquelle une donnée est encore utilisable ou encore les données à archiver.
La gestion des fournisseurs et des sources d’approvisionnement : Il s’agit de coordonner les anciens et les nouveaux fournisseurs et partenaires technologiques afin de créer un système d’information le plus homogène possible dans le but d’améliorer l’efficacité financière du SI mais aussi afin de faciliter son évolution.
La gestion de l’interconnexion avec le système legacy : En place depuis des années, les systèmes legacy jouent un rôle opérationnel central dans les entreprises. La cohabitation des deux types de systèmes (le legacy ayant un cycle de vie plus long et les objets connectés avec des cycles de vie plus courts) sera un défi de taille pour l’entreprise. Pour faciliter cette interconnexion, l’architecture d’entreprise sera notamment en charge de la gestion de la coordination des différents acteurs et de la gestion de l’intégration afin que cette cohabitation soit en mesure d’apporter les bénéfices attendus mais aussi de continuer à garantir la continuité du business.
Avec pour seul but de réussir sa transformation…
Pour conclure, en combinant des technologies innovantes (notamment les objets connectés), des modèles de business innovants et une volonté forte de toutes les parties prenantes, Il est possible de créer un effet « disruptif » dans le modèle organisationnel et dans le business de l’entreprise. Dans cette dynamique, l’architecture d’entreprise doit être au centre de la stratégie de l’entreprise et être un des principaux accélérateurs (et moteurs !) de la transformation.
L’ESB, très à la mode ces 15 dernières années, est-il une espèce en voie de disparition ?
Les récents changements de l’environnement SI, responsable de la disparition des démarches SOA, ont-ils détruit le milieu de prédilection de ces outils ?
L’avènement des ESB…
Pour commencer, rappelons nous le pourquoi de la prolifération de cette population ESB.
1. L’évolution des EAI
La théorie de l’évolution n’ayant pas épargné cette espèce, en plein milieu des années 2000, les EAI mutèrent, se transformant en ESB.
Ces outils avaient au préalable doucement déviés de leur premier objectif, la rupture protocolaire et la propagation, pour devenir des systèmes d’intégration complexes.
Le poisson était désormais sur terre et il profita des nouvelles tendances du marché pour finaliser sa métamorphose et passer au statut amphibien.
2. La popularité des démarches SOA
L’ESB devint l’espèce-mère dans l’écosystème de l’intégration applicative / SI, et trouva son bonheur dans le très riche environnement des pratiques SOA.
Tout pouvait se cacher derrière les ESB (ex. l’appel à n systèmes pour composer une information, etc.). Ce spécimen, fort de son avantage compétitif, lutta contre les espèces existantes comme les MFT et les MOM et proliféra. Il fit croire que la solution pour proposer des services transverses et performants était de lui déléguer la complexité, se rêvant en chef d’orchestre suffisamment puissant pour régler des problèmes profondément ancrés dans le SI.
…mais surgirent les premiers pièges
1. Transposer l’ESB en dehors de son environnement de prédilection
Nous arrivâmes aux premiers pièges, qui leurrèrent les ESB en les attirant vers des terrains inconnus, dans lesquels leur survie fut mise à l’épreuve.
Nous parlons là du détournement des ESB, outils de médiation avec une âme d’échanges techniques, vers des orchestrations métier complexes.
La composition de services, permettant de démontrer le précepte “c’est simple, si on fait appel à X, Y et Z alors nous avons toutes les données qu’il nous faut”, fût détournée et poussée à l’extrême, sans se rendre compte qu’à la manière du puissant dinosaure, il ne pouvaient rien contre le météorite qui avait déjà ravagé les applications sous-jacentes.
2. L’avènement de nouveau prédateurs
Si nous revenons à nos jours, ce qui pourrait définitivement achever cette espèce est la venue d’une nouvelle race, les iPaaS. Ils viennent occuper le terrain et épuiser les ressources nécessaires à la survie des ESB en plus de conquérir des terrains jusqu’alors inexplorés comme les échanges dans le Cloud.
Mais rassurez vous, Darwin a toujours raison et la mutation de certains ESB en iPaaS a d’ores et déjà commencé.
Finalement, y-a-il un futur pour l’ESB dans cet écosystème si en perpétuelle évolution ?
Notre avis est que l’ESB doit à ce jour se focaliser sur ses cas d’usages de base :
La rupture protocolaire (“principe EAI”), encore très utiles au sein des SI, qui gardent un parc applicatif historique
L’exposition de webservice/API au dessus d’applications non orientées web (via connecteur ou conversion protocolaire)
La propagation des informations (“principe EAI”) en essayant d’éviter les liens “point-à-point”
Les orchestrations de niveau technique, simples, qui ne portent pas des concepts métier
C’est ainsi que certains de ces dinosaures vont se voir apparaître des plumes, des ailes, une capacité amphibie, des instruments de survie, du moins temporairement, dans un milieu de plus en plus hostile.
Le concept technologique d’intégration applicative via l’ESB ne sera pas en danger d’extinction dans le court terme s’il se focalise sur des cas d’usages spécifiques. Pour l’avenir, dans un écosystème SI en perpétuelle évolution, les nouveaux outils dominants seront ceux qui sauront tirer profit des expériences passées et se transformer pour répondre aux nouveaux enjeux de ce monde, afin de poser les bases de futures espèces.
Poursuivons notre voyage dans le monde merveilleux de l’Initiation de Paiement.
Après les cas d’usages dans l’épisode 1 : Les Promesses de l’Initiation Paiement, Grégoire aborde la question critique de la fluidité du parcours utilisateur :
Illustration au travers de différents parcours utilisateurs…
La question n’est pas anodine et la réponse n’est pas aisée. Il existe une multitude de « prestataires data » sur le marché. Mais déjà qu’entend-on par prestataire data ? On peut retrouver dans cette catégorie les éditeurs de solutions technologiques, les fournisseurs de données (ou data providers), les cabinets de conseil qui accompagnent les clients pour tirer profit de leurs données, etc. La liste est longue… Dans un projet data, la sélection de son prestataire est un élément clef, mais peut souvent s’avérer être un véritable casse-tête. C’est un choix parfois cornélien, tant le nombre d’acteurs sur le marché est important. Comment réussir à choisir son prestataire data ? Je vous propose ci-dessous des critères principaux pour guider votre choix et quelques conseils pour y arriver.
1/ Commencez par définir précisément vos objectifs et vos besoins
La data est une ressource de grande valeur qu’il faut savoir exploiter. Chaque entreprise doit inscrire la data dans sa stratégie métier. Cette étape est un préalable essentiel pour bien cadrer votre projet et ainsi bien choisir votre prestataire data. Cela doit permettre de définir les sujets que vous voulez voir traiter, les problèmes à résoudre, les objectifs à atteindre et l’amélioration espérée. Cela passe par la création d’un plan d’action qui doit répondre à quelques questions clefs : quels sont mes enjeux métiers ? Quelle cible client je veux adresser ? Cet outil est-il utile pour mon business ? Est-ce le bon timing pour me lancer ? Cette stratégie est-elle compatible avec mon écosystème outil actuel ? Liste non exhaustive. Ce cadrage du projet doit permettre de préciser le contexte de la prestation, de définir un périmètre précis et ainsi d’aiguiller vos recherches pour choisir en toute connaissance de cause un prestataire de qualité.
2/ Valorisez la spécialisation et la compétence
Au moment de la recherche du prestataire, il est nécessaire de s’assurer que ses compétences s’alignent sur les technologies ou les problématiques clefs de votre entreprise. Il peut être utile de chercher des solutions qui répondent à des verticaux métiers pour être sûrs d’avoir une adaptation de la solution proposée au marché de votre entreprise. L’offre n’en sera que plus pertinente. Le facteur humain n’est pas à négliger non plus dans un projet data. A l’heure des grands projets de transformation digitale, il faut miser sur l’humain. Rencontrez les équipes qui vont intervenir sur votre projet, prenez le temps de vous assurer que vous aurez des facilités à travailler avec votre prestataire. De plus, les technologies évoluent sans cesse. Il est important que vos collaborateurs ou les équipes qui vous accompagnent soient formés aux outils et/ou certifiés. Cela vous apportera de la sérénité sur le bon déroulé du projet.
3/ Appuyez-vous sur des références
Une société qui possède une longue expérience s’est confrontée à de nombreuses problématiques clients dans différents secteurs d’activité. Problématiques auxquelles elle a forcément apporté des réponses satisfaisantes pour perdurer. Elle aura aussi connaissance de vos obligations métiers ; ses interventions et conseils n’en seront que plus adaptés. On peut donc estimer qu’elle soit plus à même de proposer les solutions les plus adaptées et de les faire évoluer au fil du temps.
4/ Respectez la conformité au règlement européen général sur la protection des données (RGPD)
Vous l’avez remarqué depuis deux ans il est impossible de passer à côté du Règlement européen Général sur la Protection des Données dans la presse. Des thématiques clefs du RGPD bouscule le monde de l’entreprise : la liberté fondamentale des citoyens de choisir à qui confier leurs données personnelles, un consentement utilisateur renforcé, une gouvernance des données obligatoire, un travail d’inventaire lourd sur les partenaires et les sous-traitants ou encore une nécessaire capacité des entreprises à prouver leur conformité. Le RGPD est un véritable challenge car il demande aux entreprises de revoir l’organisation et les processus internes afin de garantir la protection des données personnelles. Ce Règlement aide les utilisateurs à reprendre du pouvoir sur leurs données et les entreprises à travailler sur les sujets de confiance utilisateur et de protection des données. En choisissant un prestataire data vous devez vous assurer qu’il s’implique dans cette démarche de conformité RGPD.
5/ Faites-vous accompagner si nécessaire
Définir une stratégie d’après ses données est un sujet majeur pour les entreprises. La stratégie doit embarquer toutes les parties prenantes de l’entreprise, répondre aux besoins des métiers et ne pas être guidée uniquement par la technologie. Mais comment démarrer ce type de projet data en interne ? Quels sont les départements concernés ? Qui est le meilleur porteur de ce type de projet dans votre entreprise : le département CRM ? Le Marketing ? La DSI ? Le Chief Data Officer s’il y en a un ? Qui en a la responsabilité ? Dois-je sélectionner dès à présent des outils data digitaux et les tester ? (Data Hub, Data Management Platform, Tag Management System, Consent Management Platform,…). Toutes ces questions peuvent être sources d’inquiétudes pour votre projet. C’est pour cela qu’il peut être nécessaire de se faire accompagner par une agence, un cabinet de conseil, l’entité professional service d’un éditeur technologique…. L’important est d’aller chercher un accompagnement et un conseil de qualité pour répondre à vos enjeux métiers. En résumé le choix d’un prestataire data est une analyse pour définir précisément vos besoins et vos enjeux. Bien sûr que tous les éléments listés ci-dessus ne garantissent pas le succès à 100%. Mais cela augmente vos chances de faire le bon choix en vous posant des questions pertinentes et de démarrer votre projet sur de bons rails.
