Développement & Web

Archives:Développement & Web

Gestion de biens en entreprise

Logique câblée : le bug est dans la puce

  

Les récentes failles de sécurité que sont Meltdown et Spectre pour  les processeurs Intel ont remis en lumière un problème récurrent des composantes matérielles de la technologie : la complexité de la gestion des mises à jour.

 

Ce n’est pas la première ni la dernière fois que le problème se produit.

 

C’est d’ailleurs d’un problème de ce type qu’est né le mot « bug » que l’on utilise en informatique.

 

Pour la petite histoire, dans les années 40, un insecte qui s’était introduit dans le relais électrique d’un ordinateur avait provoqué un court-circuit : un clair défaut de conception matérielle, l’insecte n’aurait pas du pouvoir atteindre cet endroit.

 

La vaste hésitation de Intel et des pourvoyeurs de systèmes d’exploitation qui sont mis en œuvre autour de ces processeurs a étonné nombre d’entre nous.

 

En effet, les deux problèmes connus par Intel depuis juin 2017 et révélés au grand public en janvier 2018, restent sans solution à cette date. Dans le meilleur des cas, Intel nous promet des solutions pour fin 2018.

 

 

Est ce une fatalité ?

 

 

Que dirait-on d’un éditeur de logiciel qui met dix huit mois à corriger un bug de sécurité majeur ?

 

Et pourtant aucune instance supérieure ne réagit, pas de déclaration fracassante de nos gouvernants législateurs, pourtant si prompt à dénoncer les dérives du monde commercial.

 

Même les utilisateurs et les entreprises semblent passifs, comme honteux d’hésiter entre laisser les failles ouvertes et appliquer d’obscurs correctifs dont les seuls effets clairement identifiés sont de réduire de façon significative les performances des systèmes.

 

Les seules réactions sont des class-actions d’actionnaires qui s’estiment lésés par l’absence de communication d’Intel. Autant dire que l’aspect sécurité qui a justifié les six mois de secret risque de mettre à mal leurs argumentations. Et de toute façon, l’action Intel a déjà très largement regagné le terrain perdu et atteint de nouvelles valeurs record.

 

 

Les tenants du problème

 

 

Un dispositif matériel est fait de composants plus ou moins complexes pilotés par une partie logicielle embarquée (le Firmware en général ou le BIOS pour les ordinateurs en particulier) et exploité par les logiciels classiques.

 

Les composants matériels sont inévitables et existeront toujours pour de nombreuses raisons :

 

–          Eux seuls peuvent interagir avec la matière

–          Ils sont souvent plus simples à mettre en œuvre

–          Le logiciel a de toute façon besoin du matériel pour s’exécuter

–          Le matériel dispose d’un avantage de performance évident.

 

Malheureusement, en cas de problème, de défaut de conception ou de faille de sécurité, la mise à jour s’avère souvent difficile.

 

 

Comment corriger un défaut matériel ?

 

 

Le matériel lui-même ne peut qu’être remplacé. Autant dire que dans le cas présent personne ne l’imagine. Outre les coûts prohibitifs, le changement d’un processeur est, au mieux réservé à des spécialistes, au pire juste impossible.

 

Le Firmware peut être mis à jour, encore faut-il que cela soit prévu et que cela comporte au moins un arrêt de production et un risque d’échec, voire de panne complète. Intel n’a pas prévu de dispositif autonome et se repose sur une éventuelle diffusion par les mises à jour des systèmes d’exploitation. Et c’est sans certitude que cette solution peut être ici possible.

 

Dernière piste, celle exploitée par les correctifs actuels : contourner le problème en bouchant la faille avec un dispositif de contrôle supplémentaire, qui explique la baisse de performance et l’aspect provisoire que tous lui confère.

 

 

Quelle leçon en tirer ?

 

 

Même si je doute que la transparence dans la communication des acteurs progresse beaucoup suite à cet épisode, on peut au moins s’attendre à un peu plus d’anticipation de leur part.

 

Quant à nous utilisateurs, gardons de prendre pour argent comptant une obsolescence des processeurs. Maintenant que la loi de Moore a atteint ses limites, la durée de vie des machines a fait un bond en avant. Alors on cherche à nous vendre « Socket Machin » ou  « DDR truc » et bientôt des processeurs garantis moins buggés ?

 

Désolé, je n’achète pas.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

Agenda

L’agenda universel (2/2) : un rendez-vous manqué

 

Tout semble en place pour permettre un partage global des agendas, simplifier les échanges, et partager disponibilités et événements, mais nous avons tous constaté la difficulté que cela représente au quotidien.

 

Quels sont donc les éléments qui rendent si complexe le partage des agendas ?

 

 

Les blocages de sécurité

 

 

Le premier problème est la gestion de la sécurité des données d’agenda :  non seulement l’agenda peut révéler les activités, mais aussi les lieux de présence et les personnes rencontrées. Il est donc clair qu’un agenda partagé doit maîtriser la publication de ces éléments, mais alors comment donner accès à l’agenda sans révéler son contenu ? C’est un point que iCalendar ne formalise pas réellement, ni d’ailleurs les outils d’agenda autrement que par une simple case « Privé », alors que l’on peut tout à fait imaginer publier des zones d’indisponibilité « aveugles » sans préciser leur nature précise.

 

De façon générale, iCalendar prône un système d’invitation que l’on peut accepter ou refuser, ou de notification qui s’insère directement dans l’agenda sans confirmation, mais ni l’un ni l’autre ne permettent de coordonner les disponibilités d’un groupe de personnes.

 

Indépendamment de ce point, donner accès à un flux iCalendar impose d’ouvrir un accès Internet vers les données, avec tous les risques de sécurité quant aux attaques directes ou aux dénis de service vers le serveur qui partage les agendas.

 

 

Les blocages techniques

 

 

La publication d’un agenda sur Internet va de soit avec une messagerie comme Gmail ou Office 365 mais c’est souvent plus complexe pour des systèmes Intranet. Néanmoins avec la généralisation des WebMails et des services IMAP ou Exchange, poussés par le besoin d’accès aux mails depuis  les Smartphones, cela devient plus commun et permet d’ouvrir la porte à la publication d’agenda par le même biais.

 

 

Les blocages ergonomiques

 

 

Là, cela se corse un peu. Représenter de façon visuelle un agenda est relativement simple, dès lors que l’on considère qu’une personne ne gère qu’une tâche à la fois, il faut juste prévoir de pouvoir  jongler avec la granularité pour zoomer de l’heure à l’année. Par contre, combiner plusieurs événements est plus complexe dès lors qu’ils se recouvrent un tant soit peu, tout comme superposer les activités des plusieurs personnes.

 

On optera  soit pour des éléments juxtaposés, soit pour un effet de perspective. Mais on sort déjà de la présentation traditionnelle, avec un risque d’incompréhension et pour laquelle aucun formalisme ne s’est encore imposé.

 

Il est donc au final difficile de dépasser la vision d’un agenda simple pour montrer des combinaisons, notamment si l’on veut coordonner les activités de plusieurs personnes ou les plannings de salles de réunion par exemple.

 

 

Les blocages psychologiques

 

 

Publier son agenda au sein d’une entreprise est aussi souvent vu comme une ingérence dans la gestion du temps de travail, une sorte de pointeuse  numérique. Il est déjà difficile de mettre en place un reporting d’activités réalisées, alors que dire d’une planification des activités futures.

 

C’est d’ailleurs pour une fois un problème dans les deux directions de la hiérarchie, alors si même le management est réticent à publier son agenda …

 

 

Peut-on quand même rêver?

 

Peut-on rêver d’organiser un rendez-vous en un clic, une réunion de plus de 3 personnes sans passer 5 coups de téléphones ?

 

C’est techniquement possible, jouable en termes de sécurité avec quelques précautions, suffisamment confidentiel si l’on partage des contenus anonymes et sur une courte période.

 

Reste la  transparence des plannings à accepter… À vous de jouer, je tiens mon flux iCal à disposition des clients et partenaires qui le souhaitent !

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

 

Agenda

L’agenda universel (1/2) : à la recherche du temps partagé

 

 

La gestion du temps et des plannings au moyen d’ordinateurs a toujours été un sujet, depuis les débuts de la micro-informatique.

 

Déjà présents, que ce soit du coté de l’ordinateur de bureau, au sein du client de messagerie (à l’époque Network Courier ou cc:Mail, les ancêtres d’Outlook ou de Domino), ou sur les premiers mobiles, le Jaguar de HP ou le Palm Pilot, ces précurseurs  de nos Smartphones que l’on appelait des PDA (assistant personnel).

 

A l’époque simple calendrier des tâches, la gestion de planning s’est perfectionnée et normalisée, mais malheureusement sans atteindre une réelle universalité. Il y a plusieurs raisons à cela et certaines ne sont pas simples à résoudre.

 

 

La théorie

 

 

L’univers est fait de 2 catégories d’objets : ceux qui ont du temps et ceux qui en consomment  (et contrairement à ce que l’on pourrait penser les humains ne rentrent que dans la première) .

 

Les premiers donc, disposent d’un agenda. Il s’agit juste, en fait, de leur offrir la vision du déroulement du temps et de le pondérer avec les indisponibilités et bien sûr les taches existantes.

 

Ce sont donc évidement les personnes, mais aussi les locaux (salles de réunions), les objets (matériels de prêt, véhicules), ou encore des éléments de regroupement, comme des projets ou des missions (permanence).

 

Quant aux seconds, leur caractéristique principale est d’avoir un début et une fin (ou éventuellement une durée), et d’affecter une ou plusieurs victimes qui sont les agendas des premiers. Nous verrons plus loin que la norme précise un peu plus leur nature et leurs caractéristiques.

 

Voila, c’est tout. Simple non ?  Il ne reste plus qu’à faire communiquer tout ce petit monde et nous voilà dans le monde magique de l’agenda universel.

 

 

La norme

 

 

Quand on parle de communiquer, on met forcément en jeu au moins 2 acteurs, donc un langage commun, il faut donc  une norme.

 

Si vous branchez le moteur Google sur « norme d’agenda »  ou « norme de calendrier », vous ne trouverez rien. Il faudra l’aider par un « iCalendar » ou un « RFC 2445 », à savoir le nom de la norme en question, pour provoquer une réaction. Cela commence mal, mais partons donc sur cette norme.

 

 

La norme iCalendar

 

 

La norme iCalendar, aussi connue sous le nom d’iCal, a maintenant une vingtaine d’années, et est issue des travaux d’un groupe de l’IETF mené par deux collaborateurs, respectivement de Microsoft et de Lotus.

 

Ce qui, de mon point de vue, est assez paradoxal, car ce sont les deux acteurs les plus en retard et les plus réfractaires à l’utilisation de cette norme, c’est qu’Apple et Google se sont montrés bien plus efficaces dans sa mise en place, mais passons…

 

Pour vous épargner la lecture des 150 pages de la norme RFC 2245, disons qu’elle définit le format d’échanges des entrées de calendrier : sur la forme, le contenu  (qui, où, quand, etc.) et sur la nature : invitation, alarme ou notification. Elle définit aussi les règles de publication d’un flux d’agenda .

 

 

Tout est en place

 

 

Voilà, tout est prêt pour s’échanger invitations, notifications, disponibilités et remplir les agendas de ces instants magiques que sont les réunions, rendez-vous  et autres congés.

 

Mais nous verrons par la suite que tout n’est pas aussi simple…

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

ecommerce achat en ligne

Achats sur Internet, il est temps de trembler

Il y a quelques semaines, j’ai été amené à change de téléphone mobile. Séduit par les modèles du constructeur chinois OnePlus, j’ai tenté d’acheter un téléphone sur leur site, c’est là que tout s’est gâté…

Leur site avait été piraté et j’ai laissé deux cartes bancaires dans la bataille.

J’achète depuis de nombreuses années sur Internet et de par mon métier, je suis relativement prudent, mais là j’ai commis plusieurs erreurs qui auraient pu me coûter cher.

 

Première erreur

 

OnePlus vend en direct, donc par conséquent, offre un système d’achat et de paiement directement sur son site.

Aujourd’hui, le paiement d’un achat sur Internet peut se faire de 2 façons :

le site vous permet de constituer un panier et de générer une transaction de paiement auprès d’un site bancaire de confiance sur lequel vous indiquez vos coordonnées bancaires. Le vendeur ne connait jamais votre numéro de carte.

Plus rarement le site gère ses propres transactions ( les GAFA , Paypal, Steam , Microsoft).

OnePlus était dans le second cas, et  j’ai commis l’erreur de penser que ce privilège octroyé à certains acteurs garantissait la sécurité des transactions.

J’ai donc rentré mes coordonnées de carte bancaire sur le site …

 

Deuxième erreur

 

La transaction n’a pas abouti, un échange avec le support OnePlus m’a invité à utiliser une autre carte, ce que j’ai fait sans plus de succès.

Au final, j’ai utilisé mon compte Paypal ( oui je sais, je suis patient et têtu) et obtenu mon téléphone.

 

Troisième erreur

 

Le piratage du site OnePlus est devenu public début janvier. Confiant en l’Homme, je n’ai pas réagi, pensant que OnePlus m’informerait si mes cartes étaient dans le lot des cartes volées.

Sans nouvelle de OnePlus, je suis passé à autre chose .

 

Et là, surprise !

 

Quelle ne fut pas ma surprise, quelques jours plus tard, de recevoir un mail, non pas de ma banque mais d’Amazon, m’indiquant que ma première carte était compromise, puis quelques heures plus tard, de voir une transaction Uber rejetée pour la même raison sur ma seconde carte, toujours sans réaction de la banque concernée (une autre).

Leçon apprise, je me suis empressé de faire annuler les cartes auprès desdites banques, en mentionnant d’ailleurs l’incident OnePlus, et avec la désagréable impression de faire découvrir le problème à leur service fraude, problème qui pour autant que l’on sache touche au bas mot 40 000 personnes.

 

Des questions sans réponse

 

Même si je me suis tiré de l’incident sans trop de casse financière, je reste perplexe à comprendre comment Amazon et Uber peuvent avoir détecté le problème alors que les deux premières banques françaises sont passées au travers.

La seule explication plausible est que les numéros de cartes compromis ont été échangés entre Oneplus et le réseau AWS (Amazon Web Services) utilisé à ma connaissance par Uber et Amazon, mais si c’est le cas, outre le procédé cavalier, OnePLus n’a pas jugé utile de prévenir les banques.

 À moins, mais je n’ose l’imaginer que les numéros aient été rachetés directement aux voleurs …

 

Moralité

 

La morale est dure : saisir son numéro de carte bancaire sur internet n’est pas anodin, quel que soit le niveau de sécurité que vous gérez (mot de passe , connexion SSL), si le ver est dans la pomme , vous êtes vulnérable.

Nos banques épongent la casse mais semblent démunies face à la menace. Nous sommes toujours plus demandeurs de paiements électroniques, sans contact, depuis un Smartphone, mais le prix à payer est probablement ce genre de bavure.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

cybersécurité

L’humain, maillon faible de la cybersécurité

 

Phishing, Malware, Ransomware…. Le pirate informatique a plus d’une corde à son arc ! D’ailleurs, l’année 2017 a connu son lot d’attaques, dont certaines de grande ampleur : on se rappelle par exemple WannaCry, qui a infecté plus de 300 000 ordinateurs en quelques heures à travers 150 pays, touchant au passage de grandes firmes comme Fedex, Renault et même le Ministère de l’Intérieur Russe ! Petites et grandes entreprises, organisations d’État… nul n’est épargné, et le principal fautif n’est pas toujours celui qu’on croit.

 

 

Le facteur humain

 

 

Infiltrer les failles de logiciels vulnérables fait partie du passé, la cible préférée des pirates aujourd’hui n’est autre que l’Homme.

 

Profitant de mauvais comportements tels que la crédulité, les mots de passe pas assez complexes, la dissimulation d’incidents de sécurité, les hackers conduisent leurs victimes à devenir elles-mêmes responsables des attaques par un simple clic.

 

Ainsi, 46% des incidents de sécurité sont provoqués par l’action humaine.

 

Dans le lot, le phishing a la côte : par le biais des messageries, principales vecteurs d’infections, les pirates abusent de la confiance des destinataires en usurpant l’identité d’entreprises pour leur soutirer des informations personnelles, des coordonnées bancaires ou encore leur faire effectuer des virements d’argent. Au bilan, 99% des attaques de fraude financière résultent de clics humains dans le cadre du phishing.

 

 

Comment se protéger ?

 

 

Autrefois l’apanage des Services Informatiques, la cybersécurité est aujourd’hui devenue l’affaire de tous. C’est à la Direction, épaulée par la DSI, d’impulser une politique de sécurité et d’influencer les utilisateurs finaux. Cette politique ne doit pas se limiter aux seuls logiciels de protection, mais il doit s’agir d’une communication auprès de tous, pour prévenir et sensibiliser l’ensemble des collaborateurs, qui doit alors être formé aux risques que représentent les attaques et aux gestes à adopter pour s’en prémunir.

 

Parallèlement, l’idéal est de pouvoir anticiper des contenus malveillants avant qu’ils n’atteignent les boîtes mails des utilisateurs finaux.

 

Et il ne faut pas oublier que l’État aussi nous aide ! En effet, depuis Octobre 2017, Acyma, le dispositif d’assistance aux victimes d’actes de cybermalveillance, a été déployé sur l’ensemble du territoire français. Avant cette date, Acyma était en expérimentation depuis le mois de mai 2017 dans les Hauts-de-France et avait déjà permis de mettre en relation plus de 700 victimes avec des prestataires en cybersécurité.

 

Grâce à Acyma, 1 123 prestataires sont référencés sur la plateforme pour couvrir l’ensemble des demandes en cybersécurité au niveau national.

 

Pour conclure ce billet, le rappel du très célèbre adage « l’union fait la force » est de rigueur, car ce n’est que par une prise de conscience et une action collective que les conséquences liées aux attaques informatiques pourront être contrées.

 

 

Anne, Responsable Marketing chez Apsynet

 

Je laisse mon avis ici :

Hacker Hacking Hack

A man in the middle

 

« A man in the middle attack », ou « l’attaque de l’homme du milieu » en bon français.

 

Vous avez probablement souvent déjà entendu cette expression, on y fait généralement référence comme à une attaque informatique visant à intercepter et corrompre le dialogue entre deux machines.

 

Mais en fait, elle couvre bien d’autres aspects…

 

 

Le principe de  base

 

 

Comme son nom l’indique, le MITM consiste pour l’attaquant à s’intégrer dans la chaîne de communication entre deux machines pour capturer voire altérer les échanges.

 

Il va pouvoir accéder à tous les échanges non chiffrés, voire chiffrés dans certaines conditions, tout cela en restant parfaitement indétectable.

 

De plus, les données transitant par son intermédiaire, il peut les modifier en supprimant certaines informations ou en ajoutant.

 

 

La chaîne complète

 

 

La chaîne de communication est construite de la manière suivante :

 

L’ordinateur se connecte à un point d’accès filaire ou Wifi pour obtenir un accès réseau, puis pour établir un dialogue entre une autre machine avec un serveur de nom DNS, afin de trouver l’adresse IP de son correspondant. Il est alors en mesure de demander et d’obtenir le chemin Internet (la route) qui le mènera vers ledit correspondant.

 

Une fois le dialogue établi, chaque échange (un paquet) va transiter entre le point d’accès initial, l’infrastructure Internet et le point d’accès terminal pour arriver à son destinataire.

 

Si le dialogue n’est pas chiffré, n’importe lequel de ces composants a accès au contenu de l’échange.

 

Si le dialogue est chiffré, et comme le plus souvent le chiffrement est validé par une autorité tierce de confiance, les composants n’ont accès qu’à l’identité des deux machines mais demeurent aveugles au contenu échangé.

 

 

Les points faibles

 

 

Dans le dialogue entre deux machines et éventuellement leurs utilisateurs, on trouve de nombreux éléments susceptibles d’être plus ou moins facilement compromis.

 

Pour faire simple on va trouver 3 méthodes sur les composants (si on exclu les malwares présents sur les machines elles-mêmes) :

 

– la compromission du point d’accès

– le DNS spoofing

– la compromission des infrastructures.

 

Sans s’étendre sur les méthodes, regardons plutôt les moyens de prévenir le problème ou au moins d’évaluer les risques encourus.

 

 

Maîtriser le risque

 

 

Tout d’abord sécurisez votre accès :

 

Pas de point d’accès Wifi non chiffré, c’est la technique la plus classique : un Hot-spot  « WIFI gratuit » (mais votre ordinateur est supposé vous prévenir).

 

Attention aussi au coupleur CPL non protégé. Si vous mettez en place un réseau CPL pensez à protéger chaque équipement avec un même mot de passe.

 

Prenez-garde également aux portails captifs ou même à certains proxy d’entreprise qui interceptent tout le trafic. Pour les identifier, un site habituellement avec un icone SSL vert passera en rouge ou ne marchera pas.

 

 

Et puis le reste

 

 

La mauvaise nouvelle est que vos possibilités de contrôle s’arrêtent là !

 

Sauf à apprendre par cœur les adresses IP des sites auxquels vous voulez accéder, le DNS spoofing n’est pas identifiable, par contre il fera basculer les sites habituellement SSL vert en rouge.

 

Et pour les compromissions de votre box, ou des équipements du réseau Internet, vous devez vous en remettre à votre confiance dans votre fournisseur d’accès Internet comme au peu d’intérêt pour votre personne qu’ont les opérateurs du réseau Échelon, de la NSA et autres organismes gouvernementaux bienveillants…

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

service

La valeur du service

 

Pour terminer autour de la valeur ajoutée, il reste un dernier aspect, celui de la valorisation des prestations de service apportées au client. Même le plus abouti des progiciels nécessite à minima une assistance, plus généralement une formation et pour offrir le meilleur usage, une personnalisation.

 

 

Question de point de vue

 

 

Il y a souvent un fossé entre la valeur ajoutée perçue par celui qui la produit et la vision qu’en a réellement celui qui en bénéficie.

En fait, les deux approches sont opposées :

Le producteur de valeur a comme critère de jugement principal la valorisation du temps et de l’énergie consacrée à sa tâche, alors que le bénéficiaire n’y voit que l’intérêt ou l’usage qu’il va en tirer.

 

 

Adapter ses engagements

 

 

Que ce soit dans le cadre d’une collaboration lors de la conception d’un projet complexe ou même d’une simple tâche, il est indispensable de prendre en compte la perception de cette valeur pour son bénéficiaire.

 

La définition du livrable et même son contenu détaillé doivent être clairement décrits. On parle d’objectif de résultat par opposition aux objectifs de moyens.

 

Même si le bon sens reste de privilégier la satisfaction de son client, s’entendre sur le résultat final est la seule façon de ne frustrer personne.

 

 

Et appliqué au monde des logiciels ?

 

 

L’univers des logiciels d’entreprise fonctionne par grands cycles. J’aurai sûrement l’occasion d’y revenir une prochaine fois, mais pour faire simple, il passe du tout « progiciel », au tout « spécifique » au rythme de l’évolution des technologies et pour être honnête, aussi un peu des modes.

La partie service va donc être, selon le cas, tirée vers une solution standardisée et une exhaustivité des fonctionnels, ou à contrario sur une ergonomie simple et précisément adaptée au besoin client.

 

 

La réponse à apporter

 

 

C’est sans équivoque la rédaction d’une description fonctionnelle en réponse à un cahier des charges. C’est déjà une valeur ajoutée non négligeable, on ne parle pas de comment obtenir le résultat mais bien du résultat lui-même.

 

Mise en face de l’expression de besoin, vous apportez alors une réponse concrète sur laquelle vous  pouvez vous engager. Cela doit être bien entendu un document rédigé, ce qui n’empêchera toutefois pas un client de vous ramener à son cahier des charges, mais cela a le mérite de fixer une seconde référence .
Le choix final

 

 

Pour obtenir ce résultat, le client d’un logiciel professionnel pourra toujours choisir entre réaliser les adaptations lui-même et vous les confier. À charge pour vous de ne pas vous tromper d’objectifs. Dans le premier cas vous viserez un transfert de compétences alors que dans le second, il faudra axer votre travail sur la production du résultat.

 

Au final, votre client reste décideur mais vous savez où mettre l’accent pour en faire un client heureux.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

Le prix du logiciel

 

Dans la suite du billet précédent, essayons d’appliquer le concept de valeur ajoutée aux logiciels.

 

Les logiciels sont une pure production de l’esprit, sans matière première : en termes de fabrication de valeur, il s’agit donc d’une prestation de service.

 

Leur originalité est que la  création survit à son utilisation. Elle va pouvoir être réutilisée autant que voulu et donc pouvoir être commercialisée à l’infini sans coût de production récurrent.

 

Ce paradoxe a permis la fortune de quelques grands acteurs du logiciels, mais au prix de la frustration de leurs clients.

 

 

Le cycle de vie du logiciel

 

 

Pour simplifier, on peut découper le cycle de vie d’un logiciel en 2 parties : la phase de conception et la phase de suivi et d’évolution.

 

Pour le rendre viable, l’objectif est de trouver les moyens d’assurer tant le financement initial que l’évolution du logiciel, tout en maximisant sa durée de vie.

 

Heureusement, tout problème a sa solution, ou plutôt ses multiples solutions.

 

 

Les solutions proposées

 

 

Évidemment, dans le cas présent les solutions sont liées à la perception de chacun des acteurs de l’écosystème logiciel.

 

Le logiciel libre

 

Donc à tout seigneur, tout honneur, les utilisateurs ont imaginé le concept de logiciel libre : une fois développé et financé, le logiciel et son code source sont mis à disposition de tous, gratuitement, et son évolution assurée par ses utilisateurs qui deviennent contributeurs.

 

En pratique, seul un petit nombre dispose des compétences, de la rigueur et de la volonté pour contribuer efficacement au projet. Seuls quelques projets tirent leur épingle du jeu quand ils sont portés par un noyau stable et motivé.

 

Quant aux autres, s’ils ne sont pas portés et financés par une société d’édition, ils ont souvent beaucoup de difficultés à durer.

 

L’administration

 

Nos amis les organismes publics ont quant à eux inventé le Crédit d’Impôt Recherche qui permet aux professionnels du développement de faire prendre en charge la partie initiale de la conception d’une technologie.

 

Même s’il n’était par forcement imaginé pour le logiciel, le CIR est parfaitement adapté à leur phase de conception. Il permet aussi de financer une partie des travaux d’évolutions. Par contre, la maintenance et la maintenance adaptative sont clairement exclues de son périmètre.

 

Les éditeurs

 

À l’origine, le financement du développement initial était assuré par la vente de licences, celui du suivi et de l’évolution par la vente de maintenance.

 

Mais la prise de risque était double, tant pour l’éditeur qui n’avait rien à vendre tant que le logiciel n’était pas fini, que pour le client qui achetait un droit d’usage perpétuel sans garantie d’une utilisation durable du produit acheté, que cela soit de son fait ou de celui de l’éditeur.

 

Une des difficultés que rencontraient les éditeurs était de devoir fournir un produit définitif, complet et fonctionnel pour convaincre leurs clients.

 

Le SaaS, tant par la gestion du logiciel laissée aux soins de l’éditeur, que par le système d’abonnement permet de résoudre une partie de ces questions.

 

 

Reste la prise de risque initiale

 

 

Au final, même si les éléments de coûts et d’évolution se sont clarifiés, développer un logiciel reste un pari et une prise de risque importante.

 

La tendance actuelle est de faire des solutions simples et de laisser aux clients la possibilité de personnaliser et de compléter, soit par ses propres moyens, soit en l’assistant.

 

Cette assistance sera l’occasion d’un troisième billet sur le sujet, pour clarifier la notion de valeur ajoutée dans le cadre de prestations autour d’un logiciel.

 

 

Olivier Piochaud, Président Directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

Logiciels et valeur ajoutée

Les logiciels et la valeur ajoutée

La production de valeur ajoutée est le fondement de l’activité commerciale, industrielle ou de services de notre monde moderne. Personne ne le discute car cela représente en théorie la juste valorisation du travail effectué.

 

Pour rappel, le concept de valeur ajoutée sert à décrire le travail effectué par l’opérateur dans la transformation d’une matière brute en produit fini exploitable par son client. En gros, elle définit ce que l’opérateur a apporté par son travail et donc, de ce fait,  justifie que le client rémunère ce travail.

 

 

La valorisation de la valeur ajoutée

 

 

On peut la valoriser en utilisant la plus simple des unités : « le temps passé par l’opérateur », quelle que soit la nature de ce travail. C’était l’approche choisie par certaines philosophies politiques.

 

On peut aussi y intégrer une dimension « offre et demande » ou encore « valeur d’usage » telle que vue par une société libérale et capitaliste.

 

Suivant l’approche,  la rémunération pour cette valeur ajoutée sera différente selon sa nature ou bien sera constante.

 

Mais dans les deux cas,  la valeur ajoutée est bien celle réalisée pour la production DU bien ou DU service offert au client : un acte de production de valeur pour un acte de commercialisation.

 

 

En pratique

 

 

En clair, si je fais pousser un kilo de tomates, ma valeur ajoutée sera donc mon temps passé, éventuellement auquel est ajouté le besoin de mon client de manger des tomates et sa difficulté à s’en procurer. Cela va s’appliquer à tout métier, de l’agriculture au Consulting de haut niveau.

 

Pendant des milliers d’année ce UN pour UN a régulé le commerce car il permettait de donner une valeur objective à la rémunération de l’opérateur, mais les règles ont changé.

 

 

Le numérique a bouleversé la donne

 

 

La civilisation du numérique a ceci de particulier qu’elle permet pour UN acte de production de réaliser une INFINITÉ d’actes de commercialisation à moindre coût.

 

Plus fort encore, Internet a quant à lui  réduit à néant le coût même de commercialisation : un clic et mon produit est acheté.

 

Au final aujourd’hui,  je produis une fois et je peux espérer une infinité de rémunérations pour mon travail. Autant dire que d’un coté cela fait rêver et que de l’autre cela peut s’avérer totalement choquant.

 

 

Mais l’univers cherche toujours un équilibre

 

 

Donc, après quelques  années, l’absurdité de la situation a provoqué un bouleversement de notre vision des choses, en commençant  par  le monde de la musique et du cinéma.

 

Tout d’abord, le numérique a vu la facilité de la copie se retourner contre lui par le biais des copies pirates, puis les prix se sont régulés et les systèmes d’abonnement sont apparus  avec pour objectif  d’atteindre un équilibre de juste rémunération.

 

 

Et les logiciels

 

 

Le problème s’avère plus complexe. En effet, la valeur ajouté nécessaire à la production et à la vie d’un logiciel est difficile à quantifier.

 

Bien sûr, certains éditeurs ont abusé du principe de valeur ajoutée, arguant que les coûts de production étaient bien supérieurs à ce que l’on pouvait imaginer pour facturer encore et encore le même produit.

 

Face à cela,  ils ont été sanctionnés par la même analyse : une fois réalisés, ils ne coûtent plus rien à reproduire, donc pourquoi les payer encore et encore ?

 

Il faut donc proposer de nouvelles solutions pour atteindre un nouvel équilibre. Je vous proposerai dans un prochain article de regarder les différentes approches.

 

 

Olivier Piochaud, Président directeur Général d’Apsynet

 

 

Je laisse mon avis ici :

mail email

Mon mail, ma vie   

 

 

 

 

L'adresse e-mail est devenue un élément indispensable de notre identité, non seulement comme outil de communication mais aussi comme une véritable pièce d'identité numérique.

 

Inventée il y a plus de cinquante ans, elle rassure par son universalité, l'exhaustivité des contenus gérés et la pérennité de ses données.

 

A contrario, ses points faibles les plus flagrants sont la sécurité, les limitations persistantes de taille des e-mails et bien-sûr la plaie perpétuelle qu'est le SPAM.

 

Accessible à tout instant depuis un ordinateur ou un Smartphone, tout autant au travers d'applications dédiées que de sites Web, à la fois outil de communication et de partage d'informations, le mail a survécu aux SMS et aux messagerie instantanées.

 

Malheureusement nombreux sont encore les utilisateurs d'e-mails qui ne prêtent pas une attention suffisante à la sécurité de leur adresse.

 

 

Pourquoi l'adresse mail est-elle vitale pour votre identité ?

 

 

 

L'adresse e-mail est utilisée par nombre de sites comme adresse de secours vous permettre de recouvrer aveuglement un mot de passe perdu. Sa compromission va entrainer la perte de nombreux accès, parfois même sans que l'utilisateur soit informé.

 

De plus en plus d'administrations ou de prestataires considèrent qu'un mail envoyé est réputé reçu, lu et traité par son destinataire.

 

C'est encore assez largement abusif mais c'est un fait, et il faut en tenir compte. Perdre le contrôle de sa boite mail peut être lourd de conséquences.

 

Une fois enregistrée dans un site tiers ou auprès d'un service public, l'adresse e-mail s'avère complexe à changer .

 

Alors, prenez garde à ce qu'elle reste sous votre contrôle !

 

 

 

Quelle adresse choisir ?

 

 

 

Quand on y réfléchi les possibilités d'adresses mails ne sont pas si nombreuses et les choix possibles limités :

 

– Le mail professionnel : il se limite bien-sûr à la durée de votre présence dans l'entreprise, il révèle le nom de votre employeur et rien se garantit sa sécurité au regard de votre DSI. Oubliez-le donc comme e-mail personnel.

 

– Le mail de votre fournisseur d'accès Internet : là encore il n'est pas garanti de le conserver si vous changez de fournisseur mais en règle générale sa sécurité est suffisante.

 

– Les mails génériques : Google, Microsoft, Apple : correctement sécurisés dès lors que vous êtes prêt à partager vos échanges avec ces entreprises ou la NSA.

 

– À bannir : les mails temporaires ou ceux qui ont fait la preuve de leur incapacité à sécuriser leur domaine (suivez mon regard).

 

 

 

Faut-il une ou plusieurs adresses ?

 

 

 

Bonne question, même si les dispositifs techniques permettent de rediriger des mails ou de consolider plusieurs boites sur un même client, cela s'avère souvent complexe, source de confusion pour les correspondants voire d'erreur pour l'utilisateur.

 

D'un autre coté, une adresse "poubelle" pour les services non vitaux peut protéger votre mail principal de la pollution électronique de certains sites.

 

Donc au final je penche pour 2 mails : un officiel pour les services publics et les correspondants humains et l'autre pour les sites de e-commerce et autres souscriptions.

 

 

 

Comment faire pour sécuriser une adresse ?

 

 

 

La première règle est d'utiliser un mot de passe dédié à cette adresse. Ne l'utilisez nulle part ailleurs !

 

Il va de soit qu'il doit être suffisamment complexe (mais pas au point de devoir le noter sur un post it).

 

Vous pouvez aussi coupler votre mail à un mail de secours, mais à condition que celui-ci soit aussi sécurisé.

 

Et surtout, de plus en plus, il vous sera proposé de l'associer à votre numéro de portable, même  si cela n'est pas idéal d'un point de vue vie privée, cela reste le moyen le plus efficace de s'assurer de garder le contrôle de son adresse mail .

 

 

Olivier Piochaud, Président Directeur Général d'Apsynet

 

 

Je laisse mon avis ici :