Le Mobile Money Pan-africain est un exemple en matière d’expérience client et une référence dans l’industrie du paiement. Mais… Écrire dessus demande tout de même une rapide introduction – que vous soyez aficionados du paiement ou pas !
Cette technologie et lesservices financiers qu’elle apporte mettent en exergue combien l’adaptabilité et la réactivité sont importantes.
Je souhaite donc profiter de ces mots pour préciser quelques points qui me semblent essentiels :
📚 Le continent Africain est source d’apprentissages car il demande à chacun, chaque jour, d’apprendre à désapprendre ;
🔍 « One size does not fit all » et cela n’arrivera jamais car le continent d’hier n’est pas le continent de demain !
Mobile Money, de quoi s’agit-il ?
Mais… qu’est ce que le Mobile Money ? Réponse compliquée car service aux multiples facettes. Essayons d’en faire une équation simple :
Concrètement : oubliez votrecarte bancaire ou les virements bancaires.
Maintenant, imaginez 2 secondes pouvoir utiliser votre numéro de téléphone, et votre téléphone portable (#Nokia3310 ou #iPhone14) comme un compte épargne non rémunéré (à date) et comme un moyen de paiement. Un rêve ? Non ! Une réalité.
C’est le quotidien d’au-moins 1.35 Milliards d’utilisateurs enregistrés (oui oui, vous avez bien lu) dont 605 Millions uniquement en Afrique Sub-saharienne (GSMA – SOTIR, 2022).
Le Mobile Money, service pour les populations avant tout
Grâce à leurs téléphones portables, les populations africaines peuvent
Déposer et Retirer de l’argent à toute heure du jour et de la nuit – 24/7 ;
Transférer instantanément de l’argent à leurs proches (de manière domestique, inter-régionale et internationale) ;
Acheter du crédit de communication et de la data internet (oubliez vos forfaits payés tous les mois chez Orange (France) ou AT&T (US)) ;
Régler un achat en supermarché ou en ligne ;
Payer une taxe administrative ou gouvernementale…
Savez-vous où réside la beauté de ces services selon moi ? Dans leur approche pragmatique et orientée client. Ils apportent, autant que possible et toujours dans une démarche orientée utilisateur, une véritable valeur ajoutée. Chaque type de service a son importance et sa définition propre :
Approvisionner son compte Mobile Money est un dépôt (#CashIn) ;
L’envoi d’argent sur un compte utilisateur tiers est un transfert d’argent (#P2P) ;
Un transfert se distingue d’un paiement marchand (#MerchantPayment) ;
Un paiement marchand est à ne pas confondre avec un paiement administratif (#G2C , #C2G ou #G2B).
Un petit dernier ? Le paiement en masse (#Bulkpayment). KESAKO ?!
Ensemble, nous allons découvrir un monde que beaucoup de personnes n’ont pas encore eu la chance de voir. Le Mobile Money est la conjugaison de questions ethnologiques, sociologiques, marketing, financières et réglementaires.
Que vous soyez simplement curieux(se) ou intéressé(e), j’espère qu’à la fin de cette série de 5 articles vous serez convaincu(e) du côté alternatif aux systèmes traditionnels de paiement que représente le Mobile Money pour les acteurs locaux: utilisateurs, marchands…
Un petit indice sur le prochain article ? Genèse.
A propos de l’expertise Retail Payment chez Rhapsodies Conseil : nous accompagnons nos partenaires marchands locaux et globaux à construire et à optimiser leur(s) infrastructure(s) de paiement. De la gestion de leurs opérations quotidiennes à la définition de leurs stratégies de paiement globales (omnicanal, multi-PSP, lutte contre la fraude, orchestration, etc.), les compétences de nos experts paiements sont là pour vous aider à optimiser vos processus de paiement et à améliorer l’expérience de vos clients finaux.
“Application Integration” est un ajout récent au catalogue de services de la plateforme Cloud Google (GCP). Il s’agit d’une solution d’iPaaS (Integration Platform as a Service), composée par Google sur la base de ses Services Managés pour offrir des fonctionnalités que nous retrouvons traditionnellement dans les solutions d’intégration pure players (#Boomi #MulesoftAnypoint #Snaplogic, …) (bibliothèque de connecteurs techniques/applicatifs, environnement de développement, mappings, …).
Quelles sont les caractéristiques du service “Application Integration” ?
Sous quelle forme se présente le service et comment s’intègre-t-il avec les autres technologies de la plateforme GCP ?
Interface de la plateforme et modèle de déploiement
La plateforme permet de concevoir graphiquement les flux d’intégration entre applications à l’aide :
des déclencheurs d’un traitement à effectuer (« triggers »),
des opérations de mapping et traitements techniques (« tasks »),
des conditions d’exécution de ces opérations et les contrôles d’embranchements conditionnels (« forks » et « joins »).
“Application Integration” est un service full managé de Google Cloud Platform. Pour l’heure un déploiement en mode hybride ou On-Prem n’est pas possible.
Modèle de facturation par typologies de connecteurs
Le service comprend une bibliothèque de connecteurs technologiques / applicatifs permettant de s’interfacer avec différentes applications, composants de l’écosystème Google ou tiers (progiciels du marché, bases de données open source, systèmes de messaging…).
Ces « Integration Connectors » fonctionnent sur un modèle de paiement à l’usage, selon différentes modalités. Ainsi la facturation s’effectue en fonction des éléments suivants :
Le nombre de nœuds de connexion utilisés
Un connecteur provisionne un nœud à la création d’une connexion, ce dernier va traiter les transactions. Un accroissement du nombre de transactions entraînera ainsi une augmentation du nombre de nœuds provisionnés. Ceci en fonction du nombre de transactions traitées par seconde et de la bande passante réseau utilisée par la connexion
Le nombre de nœuds actifs mesuré par minute sera facturé, et un nœud est facturé pour au moins une minute.
La facturation liée à la provision de nœuds diffère selon 2 catégories de connecteurs :
Les connecteurs pour des services Google (BigQuery, Pub/Sub et Spanner…)
Les deux premiers nœuds de connexion provisionnés sont gratuits.
Chaque nœud suivant est facturé 0,35 $ par heure.
Les connecteurs pour l’interfaçage avec des applications tierces (ServiceNow, Salesforce…)
Chaque nœud est facturé 0,70 $ par heure.
Les quantités de données traitées par les connexions
Les quantité de données mesurées incluent les requêtes et les réponses
L’utilisation gratuite inclut 20 Go de données traités par les connexions par mois
Chaque Go supplémentaire est facturé à 10 $ par Go
La version de connecteur actuellement proposée
Les connecteurs en « Preview », ne comportant pas toutes les fonctionnalités prévues, n’étant pas rattachées à un assistance et un contrat de service, ne sont pas facturés
Les connecteurs en « disponibilité générale », couverts par un contrat de service et incluant une assistance sont facturés à l’usage.
A titre d’exemple, on peut donc distinguer les connecteurs suivants :
AlloyDB, BigQuery ou encore Pub/Sub – pour des services Google et en disponibilité générale
Cloud Storage et Cloud Spanner – pour des services Google et actuellement en Preview
MongoDB, Snowflake, ServiceNow, etc. – pour des applications autres et en disponibilité générale
Zendesk, Splunk ou encore ElasticSearch, etc. – pour des applications autres et en Preview
Intégration avec des outils/environnements de développement tiers
Comme évoqué précédemment, la plateforme fournit une interface graphique pour construire des flux d’intégration en Drag & Drop, mais il est également possible d’intégrer des traitements spécifiques supplémentaires.
Google Cloud Functions est un service de la plateforme GCP permettant de créer des fonctions déclenchées sur évènement.
La « Cloud Function Task » permet d’interagir avec des Cloud Functions crées sur GCP (seul l’environnement d’exécution Python est supporté par le service Application Integration pour l’implémentation des fonctions).
L’exécution de la Cloud Function sera intégrée à la séquence d’exécution du flux d’intégration sur Application Integration.
Automatisation de parties de workflow de développement de flux
Duet AI est un service Google proposant un assistant virtuel, intégré à l’interface d’”Application Integration”. L’assistant est ainsi intégré dans le workflow de développement du flux d’intégration, suggérant un mapping à l’aide d’inputs en langage naturel, sur l’intégration à implémenter :
Inputs : traitements à réaliser, applications source et cible, event qui déclenche une opération, etc.
Outputs :
Production d’un mapping par défaut,
Production de document de spécifications et de cas de test fonctionnels.
En point notable, nous remarquons qu’”Application Integration” est avant toute chose une solution full GCP. Pas d’hybridation, cette modalité d’instanciation à date n’est dévolue qu’à APIGEE dans le catalogue de GCP sur les briques d’intégration.
La solution Apigee est-elle pour autant le point d’entrée unique d’une architecture hybride ? C’est en tout cas l’impression que cela nous donne à date.
Néanmoins, nous saluons l’effort de Google d’aller sur le marché de l’iPaaS, sans offre équivalente sur le marché des clouders Azure / AWS. Ces derniers proposent à ce stade, à couverture fonctionnelle comparable en matière d’intégration, des services / modules distincts plutôt qu’un applicatif packagé (logic apps, lambda, step functions…).
“Application Integration” parviendra-t-il à détourner la clientèle des solutions iPaaS pure players ? Nul doute que les actuels clients GCP s’interrogeront.
Dans les pays anglo-saxons, les certifications professionnelles sont très prisées. Qu’en est-il de ces formations certifiantes dans le domaine de la gestion de projet en France ?
Nous observons que ce marché s’est fortement développé ces dix dernières années. Dans les faits, les éditeurs profitent en France d’une demande soutenue pour ces formations subventionnées (avec les CPF et fonds des OPCA). Ainsi, les éditeurs des certifications et les centres de formation partenaires y ont trouvé une opportunité de croissance facile de leurs activités. Un récent inventaire auprès de 6 éditeurs majeurs (GPM, IPMA, PMI, APM, AACEI, APMG) révèle que près de 80 certifications sont possibles rien qu’en gestion de projet.
Force est de constater qu’un phénomène de dérive commerciale des formations professionnelles s’est installé et nous rapproche du modèle Anglo-Saxon. Que l’on soit consultant ou futur collaborateur en cours de recrutement, il devient indispensable d’afficher des certificats et autres badges pour que son profil soit remarqué ou du moins digne de confiance. Cette dérive en est presque à un stade viral. Plus les consultants et recrues veulent se démarquer, plus ils en demandent ; et plus les clients et employeurs en voient passer et en découvrent de nouveaux, plus ils s’y attachent.
A cet effet purement commercial, d’autres effets s’ajoutent. Le foisonnement des formations certifiantes, basées sur des modèles et cadres de pratiques, touche aussi aux dimensions marketing, cognitive, et reconnaissance des actions de formation professionnelle.
Dimension marketing : Les éditeurs essentiellement à l’international ne se sont pas arrêtés à la promotion d’une offre large de certificats, vecteur de différenciation et de visibilité sur les réseaux professionnels. C’est ainsi que des majors comme ISO, PMI, Axelos, IPMA, APM, Isaca, Open Group, ISC2, et autres éditeurs logiciels font œuvre de créativité, en proposant leur système de fidélisation le plus « addictif ». Comme la validité des certifications est limitée dans le temps, les nouvelles qualifications acquises doivent être maintenues. C’est pour cela que les éditeurs proposent des renouvellements par adhésion annuelle et l’acquisition de PDU* pour certains. Or ces actualisations ne démontrent que le maintien des connaissances. Elles ne proposent rien concernant leur mise en pratique effective.
Plus récemment, vous l’avez peut-être constaté, la nouvelle tendance est aux micro-certifications (micro-credentials). Les éditeurs, sous couvert d’apporter plus de flexibilité aux parcours de formation professionnelle continue, suggèrent de fractionner les programmes longs de formation en développement de compétences. Cela apporte des conséquences : détourner l’effort d’investir le temps nécessaire à l’acquisition d’un corpus complet ou au contraire de pousser à de la consommation compulsive de micro-certifications. C’est un autre travers observé à l’étranger, certains se laissant emporter à cumuler les certifications comme une liste à la Prévert. A se demander quand ces candidats trouvent le temps de les appliquer dans leur travail. C’est un point qui questionne l’intérêt pédagogique de cette forme d’actions de formation au regard des arguments marketing utilisés.
Dimension cognitive : Pour nous Français, le principe de certification des éditeurs anglo-saxon, nous amène toujours à devoir nous focaliser sur la compréhension de l’anglais avant celle des contenus. Même si les formations sont faites en français, l’évaluation par QCM se termine toujours en une séance de bachotage pour réussir l’examen qui accorde la certification. Cet autre point, questionne la réalité de l’acquisition des connaissances (Fondation) et dans une moindre mesure de la capacité à leur mise en pratique (Practionner).
Dimension reconnaissance : Bien souvent, la mise en scène des modalités d’examens est sécurisée par le recours à des organismes tiers de confiance comme CERTyou. Les éditeurs les plus en vue ne laissent aucune place à la fraude, même depuis chez soi. C’est l’argument de crédibilité qu’ils mettent en avant pour nourrir la relation de confiance entre un consultant et son client ou un candidat et son recruteur. Mais en France, contrairement à l’international, nous sélectionnons essentiellement les profils d’après les diplômes issus de la formation initiale. Dans le cadre de la formation continue, les certifications professionnelles restent peu voire non reconnues selon les secteurs d’activités. Est-ce par méconnaissance de ce qu’elles représentent et de ce qu’elles démontrent ou parceque le marché français est critique vis-à-vis des deux biais précédents ?
Aujourd’hui, de plus en plus de voix s’élèvent parmi les personnalités reconnues dans le monde de la Gestion de projet pour dire que le modèle actuel n’est pas adapté. Trop de temps de formation en classe axée sur l’acquisition de connaissances avec des examens qui se concentrent sur les informations apprises et pas assez de temps d’apprentissage en situation de travail. Cela questionne la nécessité de formations étalées dans le temps pour apprendre à résoudre les problèmes lorsqu’ils surviennent. C’est ce que l’on observe presque exclusivement en formation sur les approches Agile.
Source : Pexels
En conclusion, il ne faut donc pas se laisser aveugler par le discours des éditeurs et des centres de formation. Il importe que chacun interroge son projet, challenge ce que l’on attend de l’obtention d’une certification et/ou d’une micro-certification avant de se lancer. Est-ce seulement acquérir un nouveau corpus de connaissance ou faire la démonstration d’une expérience déjà visible sur son CV ? Autrement, il existe d’autres formes plus économiques, modulables et appliquées comme les MOOC ou encore des conférences en ligne. Même si l’investissement temps est plus élevé. La question reste alors de savoir comment sont reconnues les attestations délivrées par les producteurs de ces formations.
*PDU : Professional Development Units. Un PDU est une unité de mesure utilisée pour quantifier les activités de formation et de service professionnel approuvées et correspondent à des blocs temporels d’une heure consacrés à l’apprentissage, à l’enseignement ou au volontariat.
La Digital Workplace ce n’est pas simplement un poste de travail connecté, c’est l’ensemble des moyens mis à disposition du collaborateur pour lui permettre d’effectuer sa mission simplement, de manière mobile et surtout collaborative.
Au fil des années, l’environnement de travail a fortement évolué : la nature, nos moyens ainsi que notre environnement de travail. Initialement orienté efficient, puis productif et enfin connecté, l’environnement de travail tend à devenir davantage digitalisé. Désormais, le collaboratif est au centre de l’attention des entreprises. La crise sanitaire a redistribué les cartes et les entreprises qui s’en sont sorties le mieux durant la crise du COVID, sont celles qui étaient les plus digitalisées.
Pour résumer ce que peut représenter la Digital Workplace et son évolution, imaginez que nous sommes passés d’un bureau surchargé avec :
une tour
un écran
un clavier
une souris
un agenda papier
des dossiers clients
une imprimante
des stylos
un téléphone fixe
un fax
un copieur
une broyeuse à document…
… à un smartphone et un PC portable dans une sacoche, et cela en moins d’une vingtaine d’années.
Une Digital Workplace moderne doit s’adapter pour répondre aux besoins spécifiques d’une organisation tout en se concentrant sur les besoins des employés. Avec une bonne intégration et une collaboration efficace, une Digital Workplace crée un point central où les employés peuvent accéder aux informations et faire leur travail, où qu’ils soient et quel que soit l’appareil qu’ils utilisent.
Source : Mart Production
Pourquoi optimiser La Digital Workplace de votre organisation ?
Parce que les modes de travail des collaborateurs ont changé, les organisations commencent à mettre en œuvre un nouvel environnement : la Digital Workplace. En unifiant les technologies utilisées (e-mail, messagerie instantanée, médias sociaux, applications RH, outils de réunions virtuelles…), la Digital Workplace met en cohérence l’ensemble de ces moyens de communication, transforme « l’expérience collaborateur », et favorise efficacité et innovation collaborative.
La Digital Workplace vient répondre à plusieurs préoccupations des organisations, comme :
les changements dans les modes de travail, qui sont de plus en plus transverses et collaboratifs ;
le renforcement de l’attractivité de la marque employeur, en offrant des environnements de travail dynamiques et innovants ;
ou encore l’augmentation de la productivité en fournissant aux collaborateurs les outils et les informations pertinentes au moment adéquat.
Parmi les gains potentiels, on observe un effet sur la rétention des collaborateurs, avec une meilleure fidélisation des talents, liée à la mise en place de stratégies Digital Workplace.
Pour permettre aux organisations de mesurer la maturité de leur Digital Workplace actuelle et identifier des axes d’amélioration, quatre niveaux d’analyse et de conception doivent être pris en compte : les usages, la technologie, le contrôle et les enjeux métiers.
Au-delà de la mise en place d’une stratégie et de la mise en œuvre des outils pour la digital Workplace, les organisations doivent répondre aux enjeux de la gouvernance, des risques et de la sécurité, impliquant la question de la gouvernance des données, les rôles et les responsabilités des parties prenantes, la formation des collaborateurs, etc…
« L’accélération des cycles technologiques, la collaboration entre millenials et générations plus expérimentées, l’augmentation des exigences business et du time to market sont une réalité que les équipes Digital Workplace doivent absolument prendre en compte. »
Rali HAKAM
Team Leader Digital Workplace chez Rhapsodies Conseil
Source : Pexels
Comment développer une Digital Workplace répondant à vos besoins ?
La Digital Workplace centralise toutes les informations d’une entreprise en un seul et même endroit. Elles sont ainsi accessibles à l’ensemble des collaborateurs, avec bien évidemment des droits d’édition et/ou de consultation prédéfinis par l’administrateur de la solution.
La plateforme va être enrichie au fur et à mesure grâce aux contenus déposés par les utilisateurs et les interactions qui en découlent. Les fonctionnalités présentes sur ce genre de plateformes sont assez similaires à celles disponibles sur les services cloud grand public : gestion documentaire, suivi de projets, annuaire de contacts, messagerie instantanée, agendas et calendriers partagés, etc…
Les étapes clés pour mettre en place une Digital Workplace au sein d’une entreprise peuvent être les suivantes :
Analyse des besoins et des objectifs : La première étape consiste à analyser les besoins et les objectifs de l’entreprise en termes de digital workplace. Cela peut inclure l’évaluation des problèmes actuels de communication et de collaboration, l’identification des attentes des employés, et la définition des objectifs stratégiques à atteindre avec la Digital Workplace.
Définition de l’architecture et des fonctionnalités : Une fois les besoins identifiés, il est essentiel de définir l’architecture de la Digital Workplace ainsi que les fonctionnalités spécifiques qu’elle devra offrir. Cela peut inclure des outils de collaboration, de partage de documents, de communication interne, d’accès aux informations et aux applications métiers, etc.
Sélection des outils et des technologies : Après avoir défini l’architecture et les fonctionnalités, il est nécessaire de sélectionner les outils et les technologies compatibles avec les besoins de l’entreprise. Cela peut inclure des plateformes de collaboration, des logiciels de gestion de projet, des outils de messagerie et de communication, des solutions de stockage et de partage de fichiers, etc.
Déploiement et intégration : Une fois les outils et les technologies sélectionnés, il est temps de les déployer dans l’entreprise et de les intégrer au sein des systèmes existants. Cela peut nécessiter des ajustements de l’infrastructure, des configurations techniques et des tests pour garantir leur compatibilité et leur bon fonctionnement avec le SI existant.
Formation et accompagnement : Enfin, pour favoriser l’adoption de la Digital Workplace au sein de l’entreprise, il est important de former les employés à son utilisation et de les accompagner dans la transition. Cela peut inclure des sessions de formation, des supports de documentation, des sessions de sensibilisation, des ressources d’aide en ligne, etc. Il est également important de mettre en place un suivi régulier et d’encourager les retours d’expérience pour optimiser l’utilisation de la Digital Workplace.
Gestion du changement : La réussite de la mise en place d’une Digital Workplace nécessite une gestion efficace du changement. Il est essentiel de communiquer de manière transparente avec les employés pour les informer sur les avantages de la Digital Workplace, les motivations derrière cette transformation et les impacts sur leur quotidien. Il peut également être utile de mettre en place des groupes pilotes pour tester et valider les fonctionnalités de la Digital Workplace avant un déploiement à grande échelle.
Évaluation et amélioration continue : Une fois la Digital Workplace mise en place, il est important d’évaluer régulièrement son efficacité et d’identifier les améliorations à apporter. Cela peut inclure des collectes de feedback auprès des utilisateurs, des analyses des indicateurs de performance, des ajustements des fonctionnalités et des processus, etc. La Digital Workplace doit être continuellement optimisée pour répondre aux besoins changeants de l’entreprise et des employés.
En travaillant avec Rhapsodies Conseil, vous bénéficierez de l’expertise et de l’accompagnement nécessaires pour mener à bien ces étapes et mettre en place une Digital Workplace performante. Nous vous aiderons à définir une stratégie adaptée, à sélectionner les bons outils, à les intégrer harmonieusement et à former vos équipes pour assurer une transition fluide et réussie.
« Il est fondamental pour nos clients de définir et mettre en œuvre ces transformations en proactivité et en maîtrise pour éviter de subir ces changements et s’inscrire comme partenaire métier à forte valeur ajoutée. »
Rali HAKAM
Team Leader Digital WorkPlace chez Rhapsodies Conseil
Dans un monde où l’innovation est un facteur clef de Création et de développement des entreprises, reviennent deux questions : « Comment innover ? », et « Quelle sera la prochaine innovation ? ». Les sujets tels que le machine learning ou les plateformes data sont des incontournables de la décennie, mais des entreprises se lançant sur ces sujets sont parfois confrontées à des freins fondamentaux, faute de s’être posées la question suivante : « Quels sont les prérequis à l’innovation ? ».
Si l’innovation s’entend aujourd’hui quasi-exclusivement dans le cadre du numérique, il est important de se rappeler qu’elle existe depuis que l’humanité a commencé à développer des concepts technologiques, et ce, dans tous les domaines. Et dans ces 6000 ans d’Histoire, on peut trouver des exemples aux résonances contemporaines : des sociétés sont passées à côté d’innovations majeures pourtant à leur portée. Les freins innovatifs fondamentaux ne sont pas récents…
L’histoire de la brouette chinoise
Quoi de plus banal qu’une brouette : ce n’est qu’une plateforme avec des roues, permettant de transporter des charges d’un point A à un point B. C’est encore utilisé de nos jours, que ce soit dans le BTP, ou pour faire son potager. L’évidence de son usage, et sa simplicité de conception nous feraient croire que les brouettes ont toujours existé.
En Europe, les premières traces écrites relevant l’utilisation de brouettes datent d’il y a mille ans. Et, matériaux et détails de proportions mis à part, elles sont en tous points semblables à nos brouettes contemporaines.
En Chine, les choses sont différentes. Les brouettes apparaissent bien plus tôt, et elles ont rapidement évoluées (IIIème siècle après JC) vers une conception différente, bien plus efficace : la roue est placée de manière centrale sous la plateforme de charge. 1
Le poids est bien mieux réparti, et à charge égale, l’opérateur dépense bien moins d’énergie. Compte tenu de la fréquence d’utilisation de cet objet, sur une période aussi longue qu’un millénaire, le gain collectif en productivité est incalculable mais doit être phénoménal. Mais ils ne se sont pas arrêtés là ! Dès le XVIème siècle, des explorateurs et marchands européens rapportent, stupéfaits, la description de brouettes à voile2. L’énergie éolienne est utilisée pour faciliter le transport terrestre, les Chinois sont donc capables de transporter, sur de longues distances et à faible effort, des charges importantes.
Brouette chinoise vs Brouette européenne, pourquoi un tel écart d’innovation ?
Une question semble évidente : pourquoi les Européens, également en recherche d’efficacité, et par ailleurs capables théoriquement d’appréhender ce concept (comme les trébuchets, inventés au XIIème siècle, sont bien plus complexes que ces brouettes en termes de compréhension et d’application de la physique), ne sont pas arrivés aux mêmes conclusions technologiques que les Chinois ?
L’hypothèse seule de la force des habitudes semble trop générique et supporte mal l’effort du temps. Ce frein culturel est réel, mais des dizaines de générations successives auraient dû en venir à bout. On peut proposer, parmi d’autres (modèle agraire, rapport culturel aux déplacements…), une hypothèse portée par le concept de « Dette d’infrastructure« .
L’innovation requiert autant l’intelligence et la capacité de réalisation que le contexte lui permettant d’exister. Cet exemple de la brouette chinoise met en lumière un défaut fondamental d’infrastructure de l’Europe médiévale par rapport à la Chine. Le gain en masse déplaçable (grâce à l’emplacement central de la roue), puis en distance parcourable (grâce à la voile) nécessite d’avoir des routes suffisamment solides pour accepter ce surplus de charge, et suffisamment longues pour que la volonté de parcourir de longues distances ait du sens. Or, jusqu’à la révolution industrielle, le point culminant du réseau routier européen a été atteint lors de l’Empire Romain. Réseau caractérisé par deux aspects : peu de dessertes “locales” et une infrastructure très lourde, potentiellement plus durable mais nécessitant des travaux d’entretiens massifs. Or, la chute de l’empire a marqué la fin des programmes d’entretiens, et de constructions de nouvelles routes. Le réseau chinois se basait, lui, sur un maillage local plus dense, et sur des infrastructures plus légères, et les dynasties continentales successives ont permis la pérennité d’une administration capable de garantir un entretien au long cours. 3
On se rend alors compte, qu’avant même d’avoir l’idée nécessaire pour développer une brouette performante, il eut été nécessaire de maintenir l’infrastructure routière en bon état, et qu’une amélioration potentielle des brouettes seule ne peut être un motif raisonnable et suffisant pour remettre à niveau l’infrastructure.
Les conclusions modernes liées à la gouvernance des données
Cet exemple historique peut sûrement être extrapolé par chacun dans son appréhension du secteur du numérique. Qu’il s’agisse d’infrastructure technique, logicielle, ou également de capital humain (Formation, culture d’entreprise), maintenir un haut niveau sur ce « fond » permet de saisir les progrès ponctuels que constituent les ruptures technologiques et innovantes.
Une entreprise peut rencontrer des difficultés à créer des modèles de machine learning pertinents, de la BI qualitative, ou encore une plateforme data ne se transformant pas en capharnaüm désorganisé, sans que cela soit du à des manques de compétences sur le projet, mais à cause des défauts structurels du patrimoine de données et d’une gouvernance défaillante ou inexistante. La temporalité longue de cet exemple nous renvoie aussi à l’approche de l’acquisition des compétences et des bonnes pratiques : préférer des formations et des acquis durables, réguliers, plutôt que des actions « coup de poing » permettant de répondre à un besoin dans la précipitation. Ou encore, privilégier l’agilité et la durabilité dans les infrastructures.
Plutôt que d’être réactive aux tendances, l’entreprise profondément innovante saura maintenir un haut niveau d’infrastructure, afin de pouvoir accueillir le plus facilement possible la prochaine brique innovante. Tout comme les brouettes, les applicatifs finaux que sont les modèles de ML, la BI, ne sont que des appendices portés par une infrastructure dont la qualité est déterminante, qu’il s’agisse d’un réseau routier, ou d’un patrimoine de données. Et pour garantir la vision stratégique de cette infrastructure, une autorité transverse durable est nécessaire, qu’il s’agisse d’un empire ou d’un Data Office.
2 van Braam Houckgeest, A.E. (1797). Voyage de l’ambassade de la Compagnie des Indes Orientales hollandaises vers l’empereur de la Chine, dans les années 1794 et 1795.3 https://www.landesgeschichte.uni-goettingen.de/roads/viabundus/the-dark-ages-of-the-roman-roads/
La question peut paraître saugrenue, car nous sommes habitués à dire que ce sont les chinois qui nous copient, et qu’en termes de libertés individuelles la Chine n’est pas nécessairement un modèle souhaité en France. Néanmoins, la Chine pense sur le temps long, avec une accumulation de plans quinquennaux qui au final peuvent s’étaler sur plus de 10 ans. Et le sujet de leur souveraineté numérique au sens large en fait clairement partie.
Pour revenir au sujet du cloud souverain, il est clairement d’actualité, avec l’amendement du député Philippe Latombe qui a été accepté, obligeant les opérateurs d’importance vitale pour la France à utiliser du cloud souverain plutôt que non souverain.
Mais avant de se comparer à la Chine, revenons aux basiques en retournant à l’étymologie du mot « souveraineté ».
Source : Pexels – Kevin Paster
La souveraineté, une proposition de définition.
Étymologiquement, et dans son sens premier, est souverain celui qui est au-dessus, qui est d’une autorité suprême.
Cela s’applique ainsi logiquement à un État, qui lui-même est chargé de défendre les intérêts français, que l’on parle de citoyens mais aussi d’entreprises. Citoyens, qui expriment leur souveraineté populaire (au sens rousseauiste du terme) dans le cadre d’élections.
Mais appliquons cela à ce qu’on entend alors par “cloud souverain”.
Ainsi, en déclinant cette idée de souveraineté au cloud, dont les clients potentiels sont l’état, les entreprises, les individus, il s’agit de placer l’état en garant des intérêts des citoyens et des entreprises, qui se mettent sous la coupe des lois françaises, lois assumés par tous par le mécanisme de souveraineté populaire.
Source : Pixabay – The DigitalArtist
Le cloud souverain, une proposition de liste de principes.
Dis comme ça, cela reste flou. Alors soyons plus pratico-pratiques :
Ni l’état, ni les entreprises, ni les citoyens ne souhaitent se faire espionner par une force étrangère, ou par des intérêts privés. Bonjour Edward Snowden.
Tout le monde souhaite que ses données privées, le restent. Bonjour les GAFAM. Bonjour Edward Snowden.
L’état, les citoyens, les entreprises souhaitent que les comportements délictueux exercés en France soient jugés en France. Bonjour les GAFAM. Bonjour Edward Snowden. Bonjour l’état de droit.
L’état, les citoyens, les entreprises souhaitent pouvoir avoir un accès sans soucis à un cloud sécurisé. Bonjour la liberté.
Une réalité éloignée de ces principes
Or, un certain nombre de points ne correspondent pas avec les acteurs étrangers.
Espionnage : Le Patriot act et le FISA, sont très clairs à ce sujet. Si votre clouder est américain, le piratage est légal et assumé. J’omets le Cloud Act, qui à mes yeux relève du « blanchiment » juridique.
Confidentialité : De même, les données considérées comme “privées” peuvent ainsi être récupérées. Sans compter les cookies traceurs et https://www.lebigdata.fr/donnees-anonymes-cnil-data-brokers). Et si vous ajoutez le fait que les protocoles “Internet” qui n’ont pas été créés comme sécurisés. Des palliatifs existent comme par exemple pour le protocole DNS (Protocoles DOH et DOT, DnsCrypt). Néanmoins, l’utilisation de HTTPS ne vous cache pas. Si vous allez sur https://siteinavouable.com, l’information que vous vous y connecter passe en clair, lors du handshake SSL. Il faudrait pour éviter cela que l’extension TLS d’”Encrypted Client Hello” soit généralisée.
Souveraineté aux yeux de la loi : L’extra territorialité des lois américaines n’est plus à prouver. Demandez à Frédéric Pierucci son avis.
Sécurisation : Et si nous passons tous par des routeurs fabriqués par des entreprises américaines, avec des ordinateurs utilisant des processeurs américains, avec un bios contenant des binaires américains pour les craintes, et pour un premier aperçu des possibilités, et le tout sur un système d’exploitation américain, la probabilité que des failles et autres backdoors “connues” seulement des américains existent n’est pas nulle. Et passons sur le simple fait que le trafic internet de votre tante vivant à Nice, se connectant à un site web hébergé à Strasbourg, ne va pas nécessairement longer les frontières françaises tel le nuage de Tchernobyl, laissant ainsi des « portes » d’écoute.
Alors quelle est la réponse de la Chine face à ces enjeux?
Espionnage : Mise en place d’un Great Firewall, perfectible par rapport à ses objectifs mais qui ne facilite pas le travail d’un espion étranger. Ecosystème “Chinese Only”, où aucune société américaine n’opère directement en chine (Voir Salesforce, Azure, Aws), mais par des intermédiaires 100% chinois.
Confidentialité : Pas le soucis majeur des chinois. Vous n’avez rien à cacher à l’état chinois, pas même vos secrets intimes.
Souveraineté aux yeux de la loi : Le fait de devoir passer par un intermédiaire chinois bloque les lois extra-territoriales américaines. Par exemple la société chinoise 21Vianet achète les “logiciels Azure” de Microsoft, pour après revendre de l’Azure en chine. Et comme dans la pratique l’état chinois a accès à tous les serveurs, c’est tout de suite plus pratique pour faire appliquerdes lois, et un “REX” extra-territorial sur TikTok : REX que votre serviteur avait précédemment pressenti.
Sécurisation : Le great firewall aide, transforme l’Internet Chinois en un quasi Intranet, mais n’est pas le seul vecteur de sécurisation. Comme énuméré précédemment, les vecteurs d’attaques sont :
Système d’exploitation : Diverses distributions linux chinoises, existence d’un linux fait par alibaba cloud
Serveur : Lenovo qu’on ne présente plus. De toute manière les fabricants étrangers ne sont pas les bienvenus.
Une utopie réaliste
Par rapport à cette liste à la Prévert, je n’invite pas à restreindre les libertés publiques mais à avoir une politique numérique très ambitieuse. Impossible n’est pas français comme je l’entendais dire dans ma jeunesse, et oui, un autre modèle est imaginable :
Espionnage : Renforcement très fort de l’ANSSI, pour aider encore plus les entreprises à se sécuriser, mais aussi pour sensibiliser. Promotion voir obligation d’utilisation de protocoles et de systèmes sécurisés, Travaux de recherche pour une sécurisation pour tous. Sécurisation des réseaux, y compris télécom afin d’éviter d’être géo-localisable par n’importe quelle agence étatique
Confidentialité : Interdiction des cookies traceurs. Généralisation des protocoles sécurisés. Amendes plus fortes et prisons en cas de négligence de confidentialité, voir de sécurité
Souveraineté aux yeux de la loi : Promotion du SecNumCloud et challenge perpétuelle de sa définition (ce qui est déjà le cas au vu des versions). Aides aux entreprises souhaitant passer la certification. Obligation pour l’état et les organismes d’importance vitales de passer par des clouders de droit et d’actionnariat français (bonjour les OIV)
Sécurisation :
Réseau : Promotion des acteurs français comme Stormshield, certifications de sécurité pour les acteurs qui communiquent leurs codes sources qui seront audités
Processeurs :
Fabrication dans un premier temps de processeurs sous license ARM (contenant quand même des brevets américains https://www.phonandroid.com/huawei-annonce-son-independance-aux-technologies-americaines-pour-2021.html) par une entreprise de droit français ou européen (ST MicroElectronics)
Travaux de recherche sur les plateformes Open Source RISC-V et Open Power et fonds d’investissement pour des startups
Système d’exploitation : Promotion et investissement sur la distribution linux française CLIP-OS, développé par l’ANSSI
Serveur : En soit un serveur consiste en une simple intégration de composants, qu’OVH fait lui même. Concernant le bios, avec un processeur français le problème sera directement résolu. Enfin concevoir des cartes mères n’est pas la chose la plus complexe (Si un ingénieur est capable d’en concevoir en solo…
Plus qu’un cloud souverain, un Internet de la confiance
Comme on peut le voir, je prends le contre pied de la Chine sur la vie privée et la confidentialité, et je cherche à démontrer que l’effort technologique n’est pas un mur infranchissable.
L’effort pour les DSI, RSSI, architectes, consiste à sensibiliser, mais aussi à promouvoir l’usage de solutions et de clouders certifiés secNumCloud, qui soient bien de droit français. La liste est régulièrement mise à jour.
Et oui, il faut « franciser » son SI. Et/où l' »open-sourcer ».
Sur le sujet de la sécurisation pour tous, être contre c’est être pour que n’importe qui dans la vie réelle puisse écouter ce que vous dites. On me rétorquera que la collecte d’adresse IP est nécessaire pour la lutte contre le harcèlement en ligne par exemple… Alors renforçons les pouvoirs et les moyens de la CNIL. Exigeons de nouvelles certifications plus sévères et plus contraignantes. Ce sujet de collecte d’ip pour des crimes graves (https://twitter.com/laquadrature/status/1658012087447085056) peut être la limite acceptable et contrôlable de notre vie privée et de notre sécurité. Car être contre notre sécurité et notre vie privée c’est être contre la protection de nos intérêts vitaux et économiques (https://twitter.com/amnestyfrance/status/1658449051296186369). La liberté individuelle et la liberté d’entreprendre sont ici parfaitement compatibles, elles vont même de pair. Croire l’inverse, c’est laisser la porte ouverte à tous vents, aux inconnus, aux belligérants. Et nous devons tous comprendre qu’il en va de l’intérêt général.
