Aller au contenu principal

Actualités, Outils, Stratégies, Réflexions

Stratégies – La protection des données dans le nuage informatique. Une réalité ou une illusion

21 avril 2014

Arnaud Alcabez

Le 17 septembre 2013, j’ai été invité à participer à un colloque pour présenter ce sujet en une vingtaine de minutes à la Maison du Barreau de Paris, sur l’invitation d’Anne-Katel Martineau, présidente de la Confédération Nationale des Avocats (http://www.cna-avocats.fr).

Pourquoi ce corps de métier est-il plus particulièrement sensible aux données qu’il pourrait exposer sur des services hébergés dans le Cloud Computing ? Simplement parce que ses membres doit impérativement garantir le respect du secret professionnel. En effet, le secret professionnel, qu’on peut interpréter comme une communication entre un avocat et un client, interdit à l’avocat de dévoiler aux tiers les confidences ou secrets qu’il a reçus de ses clients : c’est la garantie d’une réelle défense au mieux des intérêts du citoyen ou de l’entreprise. Quant à la confidentialité, qu’on peut considérer comme une relation collaborative entre avocats, elle couvre les communications verbales ou écrites entre pairs.

Là où pour certains métiers cela relève uniquement du bon sens, pour les avocats, les personnels de santé, et certaines autres catégories professionnelles, la rupture du secret professionnel et/ou de la confidentialité peut prendre une tournure plus que déplaisante, et pas uniquement pour des raisons d’atteinte à l’image ou de règlements financiers à l’amiable. En effet, le respect du secret professionnel est inscrit comme un principe fondamental du code déontologique de l’avocat, comme un droit et un devoir. Voici deux extraits du Code Pénal se rapportant aux devoirs de la corporation :

  • En premiers, l’article 66-5 : – En toutes matières, que ce soit dans le domaine du conseil ou dans celui de la défense, les consultations adressées par un avocat à son client ou destinées à celui-ci, les correspondances échangées entre le client et son avocat, entre l’avocat et ses confrères, les notes d’entretien et, plus généralement, toutes les pièces du dossier sont couvertes par le secret professionnel.
  • En outre, l’article 226-13 indique que « la révélation d’une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d’une mission ou d’une fonction temporaire (…) » peut être punie d’emprisonnement et d’amende.

Vous l’aurez compris, on ne plaisante ni ne transige avec la confidentialité et le secret des correspondances dans ce métier. L’erreur, qu’elle soit volontaire ou faite par un prestataire de Cloud Computing, n’est pas permise. Elle pourrait avoir comme conséquence des poursuites au pénal, d’être rayé de l’Ordre du Barreau, ou avoir des  conséquences au niveau des assurances de la profession.

Vous me diriez alors pourquoi sont-ils intéressés par le Cloud Computing ? Pour trois raisons principales :

  • La première, c’est que la profession est très fragmentée et qu’il existe un très grand nombre de cabinets de petite taille ou d’indépendants, et qu’ils n’ont ni le temps, ni l’argent à consacrer à gérer une informatique interne.
  • La seconde est qu’il s’agit d’un métier extrêmement mobile où on ne compte pas ses heures, où il n’est pas possible de se limiter à des horaires de bureau ou d’avoir le temps de repasser à l’étude.
  • Enfin, la dernière et c’est la raison principale de mon intervention, c’est que leurs nouveaux clients sont jeunes, et ont l’habitude d’utiliser des outils de communication et de transfert de données numériques : Allez dire à un jeune entrepreneur qu’il doit physiquement passer à l’étude de son avocat pour discuter 5 à 10 minutes sur l’état d’avancement de son dossier… Totalement décalé avec les jeunes entrepreneurs trentenaires, accros à leur Smartphone, Skype et autres Twitter.

Revenons à cette présentation du 17 septembre. Après avoir rapidement brossé les différents termes techniques du Cloud Computing avec lesquels vous êtes familiers et discuté avec les avocats présents lors de cette session, il apparait qu’environ un tiers sont déjà des utilisateurs à titre personnel de ces nouvelles technologies (Cloud Computing, SaaS, BYOD, etc.) ou tout du moins savent-ils en donner une définition exacte. Par contre, le premier transparent de ma présentation a eu son petit effet. Le voici :

protection

Comme vous l’aurez compris, ce métier est particulièrement sensible à tout intermédiaire qui pourrait s’immiscer dans la communication avec leur client. Quelle fût donc leur réaction en découvrant que le « nuage informatique » est tout d’abord un « nuage de responsabilité » comme le présente ce schéma.

Plus grave encore : Si certains acteurs de la chaîne de communication peuvent être facilement identifiés (l’émetteur, le fournisseur d’accès Internet, le prestataire du service Cloud avec lequel le cabinet a contractualisé, et une idée plus ou moins précise et fiable d’où se trouve la donnée hébergée ou en transit), certains sont totalement inconnus et/ou très difficiles ou impossible à identifier. Les murmures dans la salle se sont tus lorsque j’ai proposé à l’audience d’imaginer qu’elle transmette de main en main selon cette chaine, un dossier papier… Ambiance de plomb dans la salle. Pendant un bref instant, j’ai pensé que j’aurais dû mettre un peu de multimédia dans ce transparent en l’accompagnant d’un fond musical issu du répertoire de Frédéric Chopin (et plus particulièrement de la sonate n°2, opus 35, 3ème mouvement). Pour les esprits curieux et non musicophiles, je vous glisse ici le lien : http://upload.wikimedia.org/wikipedia/commons/3/31/Chopin_Sonata_no_2_3rd_movement.ogg. Si j’ai la chance de rejouer cette petite présentation aux Microsoft TechDays 2014, à condition de me trouver vingt minutes entre une session sur Windows Azure et une sur Office 365, promis, je le fais.

Cela étant, malgré ce nombre d’intermédiaires, cela ne remet pas en cause le fait qu’il soit indispensable d’adopter ces services en ligne, pour répondre aux exigences du métier comme j’ai pu l’indiquer quelques paragraphes plus haut. La peur du risque véhiculée par les ayatollahs de la sécurité ultime sur tout et n’importe quoi n’amène à rien, et surtout pas d’embrasser les nouvelles technologies. Si je les écoutais, je n’oserai même plus prendre ma voiture pour me déplacer.

Pour les cabinets d’avocats, le passage au Cloud Computing reste un outil irremplaçable comme pour de nombreuses autres professions pour s’adapter à leur clientèle. Plus spécifiquement, voici les fonctions principales dont ils ont besoin et que j’ai mises en exergue :

  • Gérer sa relation client

o    Portails collaboratifs client

o    Réseaux sociaux d’entreprise

o    Carnet d’adresses

o    Partage d’agenda

o    Vidéo-conférence

  • Gérer son capital intellectuel et son patrimoine informationnel

o    Portails collaboratifs interne

o    Numérisation des archives et recherche

o    Capitaliser et regrouper les sources d’information

o    Intégration facilitée dans l’entreprise

 

  • Être accessible et réactif

o    Accès depuis tout lieu et tout moyen (web, mobile, tablette, pc, mac)

o    Pouvoir joindre vos interlocuteurs en connaissant leurs disponibilités

o    Communiquer et collaborer à plusieurs sur les mêmes documents en temps réel

o    Disposer d’un numéro unique et renvoyer les appels sur le dispositif le plus adapté

o    Vos dossiers vous suivent partout

 

  • Gérer sa réputation numérique et gagner en visibilité

o    Page d’entreprise (ex: Facebook)

o    Canal de réputation (ex: Twitter)

o    Profilage et recherche (ex: LinkedIn)

o    Mesurer sa réputation (ex : Klout)

A la condition d’en mesurer les risques et d’éviter les mésaventures… Pour cela, je me suis servi de trois exemples afin de démontrer un certain nombre de cas d’école :

Prendre le temps de lire les conditions générales de vente avant de s’engager, même en cas de situation critique, comme par exemple, l’obligation de transférer un dossier en temps et en heure lorsqu’il ne reste que quelques minutes avant l’échéance et que l’outil informatique que vous auriez dû naturellement utiliser vous lâche. Pour cela, j’ai pris comme démonstration un logiciel très connu de transfert de fichiers, utilisé aujourd’hui par plus de 100 millions d’utilisateurs, 500 millions d’appareils, et dont le trafic journalier a dépassé il y a quelques mois la barrière du milliard de fichiers échangés par jour. En voici un extrait :

• Nous pouvons faire appel à certaines sociétés et personnes tierces de confiance pour nous aider à fournir, analyser et améliorer le service (y compris mais sans limitation…
• Ces tiers peuvent avoir accès à vos informations…
• Nous utilisons le service de stockage d’un autre prestataire cloud pour stocker certaines de vos informations…
• Nous pouvons partager vos informations avec une application tierce avec votre consentement, par exemple lorsque vous choisissez d’accéder à nos services par le biais d’une telle application.
• Nous ne sommes pas responsables de ce que ces parties tierces font de vos informations…
• Nous divulguerons à des personnes extérieures à notre société les fichiers stockés … et les informations vous concernant si nous pensons, en toute bonne foi, cette mesure comme nécessaire ou appropriée…
• Nous conserverons vos informations aussi longtemps que votre compte sera actif…
• Veuillez toutefois noter qu’il peut y avoir un délai pour la suppression des informations de nos serveurs et que des versions sauvegardées peuvent subsister après la suppression.
• Notre société et notre prestataire d’hébergement conservent plusieurs sauvegardes redondantes de l’ensemble des données dans divers emplacements.
• Vous, et non notre société, serez tenu responsables de la gestion et de la protection de l’ensemble de vos effets.
• Notre société ne sera donc aucunement responsable de la perte ou de la corruption de vos effets, ou des coûts ou dépenses éventuellement associés à la sauvegarde ou à la restauration de tout ou partie de vos effets.
• Nous nous réservons le droit de suspendre ou de mettre fin aux services à tout moment, avec ou sans motif, et avec ou sans préavis.
• LES PRÉSENTES CONDITIONS ET L’UTILISATION DES SERVICES ET DES LOGICIELS SERONT GOUVERNÉES PAR LA LÉGISLATION DE L’ÉTAT DE CALIFORNIE.

Responsabilité dans le cadre de contrats emboîtés et chapeaux ? Conditions de garantie plus que vagues ? Confidentialité ? Localisation de vos données ? Droit à l’oubli ? Droit applicable ? Des notions bien vagues et souvent impossibles à obtenir sous un format papier. Un produit attrayant, connu, simple, gratuit pour l’utilisateur, et une contractualisation (je vous rappelle que cela veut dire une acceptation des clauses contractuelles) en trois clics avant d’utiliser ce service. Ouf, votre dossier sera livré dans les temps, mais à quel prix ?

Mais des dangers encore plus importants vous guettent (ou du moins guettent vos données) sur Internet. Leur suppression par le fournisseur de manière unilatérale, voire sans avertissement. Là encore, j’ai mis deux exemples récents en valeur :

  • Angleterre, Février 2013

Les clients de la société anglaise « 2e2 administrator », qui fournit des services Cloud envoie une lettre à l’ensemble de ses clients, leur ordonnant de payer immédiatement 4.000 livres sterling pour les aider à financer leur propre migration vers un autre fournisseur avant coupure définitive des serveurs hébergeant leurs données…

  • Monde, Juin 2013

Près d’un an et demi après la coupure de Megaupload par les autorités, l’espoir s’amenuise pour les utilisateurs qui tentent de récupérer leurs données. L’hébergeur néerlandais LeaseWeb a pris l’initiative en faisant le ménage dans ses serveurs.

Le premier exemple est le risque pris si votre hébergeur se trouve dans une situation financière catastrophique, et dans le premier cas de figure, que se passerait-il si l’administrateur judiciaire de l’entreprise lors de son dépôt de bilan décidait de simplement couper le courant du centre de données ?

Le deuxième exemple traite des problèmes que peuvent engendrer la mutualisation de plusieurs entreprises sur une plateforme unique. C’est comme lorsque vous sortez dans la rue : le danger vient aussi des autres. Que fait réellement votre « e-voisin » ? Et si celui-ci avait des pratiques illégales qui pourraient entraîner une mise sous séquestre de la plateforme de l’hébergeur à des fins d’enquête souvent longues ? Je vous laisse juger des conséquences sur votre propre activité…

Enfin, en dernier exemple, j’ai souhaité traiter des difficultés que peut causer l’absence de discussions préliminaires avant un engagement contractuel en ce qui concerne les clauses de réversibilité, notamment en citant le cas de l’UMP contre Oracle, qui fort heureusement, semble s’être soldé en faveur du client (en l’occurrence ici l’UMP) :

Fin 2012, le contrat qui le lie à l’éditeur américain arrivant à échéance, ce parti politique décide de changer de système de gestion de base de données – sa base « Adhérents » – externalisée sur le Cloud. Mais l’UMP ne peut récupérer ses données, un bug technique empêchant la fonction « export » d’Oracle CRM On Demand. En attendant la mise en œuvre d’une nouvelle version, Oracle propose un correctif spécifique. En réponse, l’UMP l’assigne en référé. Le TGI de Nanterre donne raison à ce dernier et propose deux injonctions alternatives à Oracle, assorties d’une astreinte de 5.000 euros par jour de retard : Soit Oracle fournit à l’UMP « les moyens techniques de nature à lui permettre sans délai l’exportation de l’ensemble de ses données nominatives hébergées ». Soit l’éditeur garantit à l’UMP, sans frais, la prolongation de l’accès complet au service Oracle CRM On Demand, « jusqu’à l’expiration d’un délai de deux mois à compter du jour où il sera en mesure de procéder à l’exportation de ses données nominatives hébergées ».

Une fois ces exemples présentés, j’ai alors conclu ma présentation sur un recueil de recommandations et de bonnes pratiques qui feront l’objet d’un prochain livre blanc conçu avec des juristes et des hébergeurs destiné à la profession :

  1. Qualifier les données

o    Définir et qualifier votre patrimoine informationnel

o    Données pouvant faire l’objet d’intelligence économique

o    Protection du secret et de la confidentialité entre individus

  1. Conserver le contrôle en interne

o    Adapter la charte informatique aux nouveaux usages

o    Former vos collaborateurs sur la gestion du risque

o    Chiffrer, Chiffrer, Chiffrer… Tout !

o    Documents (ZIP)

o    Périphérique, clés, disques, etc…

o    Communication (SSL)

o    Garder un serveur local non connecté à Internet dans un espace sécurisé par vos soins. Le Cloud Computing n’est pas une solution qui remplace l’ensemble des technologies

  1. Qualifier votre fournisseur

o    Examiner les contrats avant de vous engager

o    Vérifier la notoriété et la solidité financière de votre fournisseur

o    Limiter le nombre d’intermédiaires

o    Assurez votre réversibilité, la responsabilité dans le cadre de contrats emboîtés et chapeaux, les conditions de garantie, la confidentialité, la localisation de vos données, le droit à l’oubli, le droit applicable. Demander un contrat « papier »

o    Noter qu’il n’existe pas de normalisation pour un service « Cloud Computing », même si plusieurs initiatives devraient aboutir

o    Demander une copie des certifications de l’hébergeur

i.    ISO/IEC 27001:2005  Information technology — Security techniques — Information security management systems

ii.    Conformités industrielles en termes de sécurité, de résilience, de sauvegarde (ex : SAS70 Type II, HIPAA, EU Safe Harbour, FINRA, …)

iii.    Les interroger sur leurs prochaines certifications à venir :

  • EU Code of Conduct for Data Centres (Corporate)
  • ISO 27017 – Information Technology — Security techniques — Security in cloud computing
  • ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services
  • Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)

Alors, la protection des données dans le nuage informatique. Une réalité ou une illusion ? En fait, la réponse ne dépend que de vous.

Publié dans IT Pro Magazine, Septembre 2013

Publicités

Histoire de la messagerie électronique – 5ème édition

28 décembre 2013

Arnaud Alcabez

Avec une publication tous les deux ans, vous trouverez grâce à ce lien (http://wp.me/a10UD4-KF) la dernière mise à jour, comprenant les faits marquants en 2012 et 2013. Bonnes fêtes.

Stratégies – L’été 2013 aura été Snow(den)

26 décembre 2013

Arnaud Alcabez

La vie privée sur Internet aura pris un sacré coup durant l’été avec l’affaire Edward Snowden (http://www.lemonde.fr/technologies/article/2013/08/16/la-nsa-a-enfreint-la-loi-sur-la-vie-privee-des-milliers-de-fois_3462261_651865.html ) et les révélations des programmes Prism et consorts. Le cabinet d’analyse ITIF (The Information Technology & Innovation Foundation) juge même que ces révélations pourraient faire perdre aux grandes sociétés fournissant des services en ligne entre 22 et 35 milliards de dollars US de revenus durant les trois prochaines années. Source : http://www.01net.com/editorial/601007/le-scandale-prism-pourrait-couter-cher-a-l-industrie-high-tech-americaine/

Cette affaire aura toutefois permis d’exposer la valeur des métadonnées, élément plutôt inconnu du grand public, et certains comme le MIT commencent à proposer des outils (https://immersion.media.mit.edu/) permettant de mieux comprendre quelles informations les métadonnées contiennent et ce qu’elles peuvent révéler sur votre personne.

snow1

Le problème principal est que « la donnée » est une notion difficile à interpréter en droit (Source : http://blog.lefigaro.fr/bensoussan/2010/05/la-propriete-des-donnees.html/), et donc encore moins « la métadonnée ». En effet, s’il est encore assez simple d’identifier qui est le propriétaire d’une donnée, pour une métadonnée, c’est beaucoup moins évident car en dehors de celles que vous avez saisies, comme l’adresse email de votre destinataire ou l’intitulé du message, celles-ci peuvent être conçues par les outils techniques de l’entreprise ou des entreprises par lesquelles vos messages transitent. Il est en effet nécessaire de chercher la nature de chaque élément de la métadonnée pour identifier les droits qui y sont attachés. Pas simple…

Surtout que les métadonnées et les données sont forcément exploitées durant leur transit entre deux systèmes de messagerie. Google vient d’ailleurs de faire l’objet d’une polémique aux Etats-Unis sur le traitement relatif aux données où chaque manipulation, même pour des raisons légitimes, peut être rapidement sortie de son contexte (http://www.20minutes.fr/web/1210387-20130815-fausse-polemique-gmail-non-respect-vie-privee)

Vie privée ou confidentialité professionnelle ?

Mais quels sont véritablement les risques et n’y a-t-il pas une confusion entre le respect de la « confidentialité » et le respect de la « vie privée » sur Internet ?

La première chose qu’il convient de distinguer à mon sens serait déjà de savoir qui on parle (d’une entreprise ou d’un particulier ?), car les attentes ne sont pas forcément les mêmes. Pour l’entreprise, les risques d’utilisation d’une messagerie sont des risques financiers. On peut les identifier en trois thèmes, liés à la confidentialité :

  • La protection de la propriété intellectuelle, brevets ou innovations
  • Le secret des correspondances entre le client et un interlocuteur (par exemple, dans la relation médecin-patient)
  • La protection des messages à caractère financier (acquisition, marchés, etc.) pouvant donner lieu à une certaine forme de délit d’initié

Pour les particuliers, les attentes sont différentes, et concernent surtout deux sujets principaux, tous les deux liés à la notion de vie privée :

  • Une meilleure information et une protection sur la traçabilité
  • Une meilleure information et une protection sur la revente des données personnelles

Mais d’un autre côté, ces deux groupes (l’entreprise et le particulier) s’accorderont à penser qu’Internet leur est également indispensable pour exposer un certain nombre d’information leur permettant d’améliorer leur réputation sur Internet et d’accentuer leur présence sur les différents réseaux sociaux.

Le risque est-il réel ?

Certainement oui. Récemment, une enquête menée par la CNIL a abouti à la conclusion que 99% des sites consultés collectent des informations personnelles. (http://www.lemonde.fr/technologies/article/2013/08/13/la-cnil-epingle-les-sites-ne-fournissant-aucune-information-sur-la-protection-des-donnees_3460872_651865.html). 20% des applications mobiles ne donnent aucune information concernant le traitement qu’il sera fait de ces données ou comment y avoir accès. Pour les 250 sites web régulièrement consultés par les français, mobiles ou non, cette valeur est d’un peu moins de 10%.

Agir plutôt que se plaindre

Pourtant, il existe de nombreux moyens de se protéger afin d’éviter de divulguer trop d’informations personnelles sur Internet liée à la protection de la vie privée. A titre d’exemple, PrivacyFix (d’AVG) (http://www.privacyfix.com) est un excellent petit logiciel permettant d’analyser les données personnelles collectées à partir de votre navigateur Internet et de reconfigurer automatiquement le service ou le navigateur afin d’éviter des collectes non sollicitées. Vous pouvez en profiter pour installer sur votre navigateur « healthbar Privacyfix » qui vous permettra d’identifier sur un certain nombre de sites connus les risques que vous prenez. La capture ci-dessous présente respectivement l’analyse de PrivacyFix depuis mon navigateur lorsque je me connecte à Linkedin, Facebook et Twitter (en haut en bas).

snow2

Concernant les données, que l’on peut catégoriser comme suit :

  • Messages électroniques
  • Communications instantanées et VoIP
  • Documents et données
  • Applications, processus et paramètres
  • Archives

Seul le chiffrement est la bonne parade dès lors que ces informations sont confiées de manière volontaire ou non à un tiers. Personnellement, j’évite d’utiliser des logiciels de chiffrement fournis par des services en ligne ou des sociétés commerciales, et privilégie principalement les solutions dont le code source est ouvert à la lecture de spécialistes, ou de logiciels mis à disposition des communautés. Mes deux préférés sont TrueCrypt pour chiffrer les données sensibles sur mon disque, et lorsque je dois émettre à un tiers, je préfère utiliser mon propre logiciel de chiffrement, plutôt que la solution de l’éditeur, basé sur PGP. Une liste des outils pouvant être utilisés est disponible ici :  http://lifehacker.com/5677725/five-best-file-encryption-tools

De même, je prends certaines précautions lors de mes envois et réception de messages : La première précaution que je prends est que je préfère utiliser des messageries dont je connais les administrateurs. La seconde étant que je fais toujours attention à ce que les intitulés de mes messages ne contiennent aucune information sensible pouvant amener à donner un indice sur la valeur du contenu. La dernière étant que toute donnée ayant de la valeur est forcément dans une pièce-jointe chiffrée, et ni directement en clair dans le corps du message ou simplement attachée en pièce jointe en clair.

Enfin, il reste les données vraiment confidentielles dont je parlais au début de mon article, celles des entreprises. J’évoque souvent aux sociétés qui me demandent comment sécuriser leurs données numériques qu’elles ne se posent pas les mêmes questions lorsqu’elles utilisent leur téléphone opéré par un réseau public. Soyons clair, tout ce qui sort de l’entreprise amène à prendre un risque en termes de confidentialité des données, dès lors qu’on n’a aucun moyen de contrôle fiable sur le tiers qui sert d’intermédiaire. La confidentialité des données sur Internet ou sur le Cloud Computing est donc tout à fait illusoire.

Remettre l’intranet au goût du jour ?

Ce n’est pas parce qu’une technologie apparaît dans le paysage informatique, comme le Cloud Computing, qu’elle pourra remplacer à elle seule toutes les technologies précédentes. Comme je l’évoquais, pour assurer la confidentialité des données, il est nécessaire de maîtriser la sécurité de bout-en-bout. Une solution de collaboration complète, basée sur un Intranet, avec une connexion VPN et un client léger reste la meilleure plateforme pour assurer le travail collaboratif et la sécurité des données. Demandez leur avis aux dirigeants nord-coréens !

Dommage que l’Intranet soit un sujet qui enthousiasme peu les jeunes générations, qui privilégient le Cloud Computing comme la solution miracle à tous les problèmes. Mais c’est peut-être que nos jeunes informaticiens sont aussi beaucoup moins sensibilisés aux notions de confidentialité et de vie privée que leurs aînés. Mais ils ont aussi des excuses : souvent leur vie numérique a commencé avant même leur naissance, avec un papa ou une maman fiers de poster sur Facebook la première échographie. Comment voulez-vous leur parler de vie privée après ça ?

Quel logiciel utiliser pour créer un Intranet sécurisé ? Fondamentalement, n’importe lequel, sauf si bien entendu vous demandez son avis à l’agence de sécurité nationale américaine (NSA) qui semble avoir une dent contre SharePoint depuis l’affaire Edward Snowden (http://www.theregister.co.uk/2013/07/19/nsa_sharepoint_leaks/). Ce qui en soit est totalement injustifié, car cela reviendrait à accuser le fournisseur de la serrure qu’un voleur ait réussi à faire un double de votre clé. Vous l’aurez compris : votre sécurité ne pourra se reposer à elle seule sur un logiciel, mais surtout sur la formation et la qualité des équipes et des procédures que vous dévouerez à cette tâche. A vous d’en fixer le prix.

IT Pro Magazine, Septembre 2013

Microsoft Office 365 ou Google Apps : Quelle suite est la plus adaptée à votre entreprise ? (1ère partie)

26 décembre 2013

Arnaud Alcabez

Préambule

Microsoft Office 365 et Google Apps for Business sont deux services basés sur le Cloud Computing qui fournissent à des petites, moyennes et grandes entreprises des outils de communications et des outils bureautiques à coût à l’usage. Toutefois, Google Apps et Microsoft Office 365 ont des différences significatives qui peuvent rendre difficile la tâche de choisir entre ces deux offres.

Ayant eu plusieurs vies en informatique, mon métier m’a progressivement amené à faire du conseil en stratégie informatique et bien qu’ayant eu une trajectoire depuis une vingtaine d’année liée à Exchange puis Office 365, j’avoue que j’ai été très déçu jusqu’à présent par ce que j’ai pu trouvé dans la presse ou en échangeant avec mes collègues. En effet, sorti des combats de chapelles entre les pro-Microsoft et les pro-Google, j’ai eu beaucoup de mal à avoir une vision claire des capacités de chacune des offres. D’un point de vue partial, il est difficile d’avoir des données précises des parts de marché de chaque éditeur, de ce qui est financé et de ce qui est réellement payé par les entreprises. D’un point de vue factuel, les deux solutions ayant été choisies par des clients, et je vous invite à consulter les revues de presse vantant les implémentations réussies de Microsoft Office 365 et de Google Business Apps dans des entreprises de petite, moyenne et grande taille, il faut bien reconnaître que chacune répond aux besoins qui lui sont confiés.

J’ai donc considéré que pour avoir une vue impartiale de chacune des solutions, il était nécessaire de déployer et d’utiliser pendant plusieurs mois les deux offres, celle de Microsoft et celle de Google. Une fois déployées, il fallait encore déterminer une grille commune de fonctionnalités que je devais comparer, et de donner un ordonnancement à chacune des catégories testées :

  • Tarification
  • Niveaux de services
  • Couverture du service (pour les utilisateurs, pour la contractualisation, et compatibilité avec les régulations)
  • Messagerie classique et archivage
  • Messagerie instantanée, conférences en ligne, messagerie vocale
  • Collaboration en ligne
  • Intégration avec l’intranet
  • Intégration avec Active Directory
  • Support des périphériques mobiles
  • Support du mode déconnecté
  • Administration et prérequis d’installation
  • Interface utilisateur et facilité d’usage
  • Stockage en ligne

Ce mois, nous allons commencer par comparer trois catégories : la tarification, les statistiques d’interruption et de transparence du service, et la couverture du service.

Les réelles différences : Comprendre les besoins de votre entreprise

Une infrastructure de type Cloud Computing est attractive pour une raison principale, même si ce n’est pas la seule : C’est une manière moins coûteuse de gérer vos données de votre entreprise. Vous laissez au service la responsabilité d’opérer les serveurs, la configuration des applications et la gestion de la plateforme.

Choisir entre Google Apps for Business et Microsoft Office 365 revient à déterminer si votre entreprise est à la recherche de l’amélioration des processus opérationnels (en anglais Business Process Improvement ou BPI) – http://en.wikipedia.org/wiki/Business_process_improvement – ou la refonte des processus opérationnels (en anglais Business Process Re-Engineering ou BPR) – http://en.wikipedia.org/wiki/Business_process_engineering.

Pour résumer les différences fondamentales entre le BPI et le BPR, le BPI est l’amélioration de pratiques déjà existantes là où le BPR est plus révolutionnaire qu’évolutionnaire. Pour le BPR, il s’agit de disséquer les worflows métiers existants et de les refondre du sol au plafond. Google Apps for Business adopte une approche proche du BPI, où les Google Apps viendront remplacer des processus déjà existants dans l’entreprise pour en améliorer la performance par rapport au coût du service gérant ces processus. Google Apps for Business peuvent certainement être utilisé pour favoriser le BPR, mais elle ne sera clairement pas la plateforme idéale pour aller jusqu’au bout de cette approche. Microsoft Office 365, en revanche, est un outil idéal pour mettre en œuvre le BPR, avec des fonctionnalités plus avancées et des plateformes personnalisables telles que les aiment les entreprises pour répondre aux besoins variés de leurs utilisateurs.

Pour démarrer un processus décisionnel pour choisir entre Microsoft Office 365 et Google Apps for Business, il est nécessaire que vous vous interrogiez en priorité sur le véritable but derrière le remplacement de vos systèmes existants. Tant que vous êtes satisfait du niveau de service fourni par votre système actuel et que vous désirez néanmoins le remplacer pour des raisons de coûts, ou si votre motivation est de fournir une nouvelle génération d’outils qui rendront vos utilisateurs plus efficaces dans leur travail, vous aurez déjà répondu à la question du choix de la bonne solution. Reste que ces choix devront faire l’objet d’une analyse minutieuse de communication dans votre entreprise, et plus particulièrement en direction de vos métiers afin qu’ils soient eux-mêmes convaincus du bien fondé de la solution que vous aurez retenu.

Commençons par le plus important : La tarification

Le gagnant : Google Apps

Naturellement, il y a une grande différence en termes de tarification. On ne va pas se mentir : Microsoft Office 365 est jusqu’à 120% plus cher que l’offre (le plan) le plus cher de Google. Je ne dis pas que le prix est toujours le meilleur indicateur pour la sélection d’une solution, mais le budget reste toujours un facteur très important dans la décision.

La seule chose que Microsoft Office 365 et Google Apps for Business aient en commun dans leurs plans est que chaque offre est facturée mensuellement et comprennent pour chaque utilisateur une certaine quantité de stockage (25 Go). Il est donc assez facile de comparer les offres des deux éditeurs.

Google sait rester simple pour être efficace : La société ne propose que deux offres pour les entreprises avec aucune limite en termes d’utilisateurs pour chacun des plans. Notez que les tarifs ci-dessous sont donnés en dollars et se comprennent par utilisateur :

 

Google Apps for Business

Google Apps for Business avec Vault

Prix par utilisateur

$5/mois ou $50/an

$10/mois

Nombre maximum d’utilisateurs

Illimité

Illimité

Capacité de la boîte aux lettres par utilisateur

25 Go

25 Go

Capacité Google Drive fournie

1 Go

1 Go

Taille limite des attachements par message électronique

50 Mo

50 Mo

Support des archives

Non

Oui

Table 1 : Tarif des offres Google Apps for Business

A la vue de ce tableau, les offres proposées par Google sont presque identiques, si ce n’est la fourniture de Vault qui revient à doubler le prix du service. Toutefois, se passer de Vault pour une entreprise ne sera difficilement possible en France. En effet, Vault apporte un service fondamental d’e-Discovery, c’est-à-dire la capacité pour des administrateurs ou des auditeurs de rechercher un message dans Gmail ou la messagerie instantanée au travers de toute l’organisation. En clair, avec Vault, vous payez Google pour que la société archive l’ensemble des emails et des journaux de messagerie instantanée, ce qui sera indispensable si votre entreprise est amenée à être auditée par un organisme extérieur, ou si elle doit fournir des pièces lors d’une citation à comparaitre. Vault est le successeur de Postini Message Discovery (connu également sous le nom de Google Message Discovery). Contrairement à ce qu’on peut lire parfois dans la presse, Vault n’est absolument pas un outil de récupération d’urgence des boîtes aux lettres.

Microsoft de son côté préfère proposer un plan de tarification plus large, quitte à parfois susciter bien des questions de la part des clients intéressés. La fourchette de prix démarre à partir de $4 pour aller jusqu’à $22 par mois. Cinq offres sur les six proposées supportent un nombre d’utilisateurs jusqu’à 50.000 (en d’autres mots, presque illimité). Pour rester dans une analyse permettant de comparer aisément Google à Microsoft, nous allons nous limiter aux quatre offres proposées aux entreprises de taille moyenne et de grande taille. Microsoft les désigne par un code « E » pour « Enterprise » :

 

E1

E2

E3

E4

Prix par utilisateur

$8/mois

$14/mois

$20/mois

$22/mois

Capacité de la boîte aux lettres par utilisateur

25 Go

25 Go

25 Go

25 Go

Editeur de documents en ligne

Non

Oui

Oui

Oui

Intégration à Active Directory

Oui

Oui

Oui

Oui

Support des archives

Non

Non

Oui

Oui

Souscription à la version Office 2013 bureautique

Non

Non

Oui

Oui

Fonctionnalités VoIP Entreprise

Non

Non

Non

Oui

Table 2 : Tarif des offres Microsoft Office 365 pour les entreprises

La principale différence entre Office 365 E1 et E2 concerne la collaboration en ligne : Le plan E1 fourni uniquement la possibilité d’afficher des documents Microsoft Word, Microsoft Excel, etc. mais pas de les modifier. Le plan E2 en revanche permet aux utilisateurs de créer ou de modifier directement les documents, à l’instar de Google Drive. Les offres E3 et E4 incluent la souscription à Microsoft Office 2013 (lequel pourra être installé localement sur le poste de travail de l’utilisateur). Ces plans proposent également l’archivage légal (ce qui entend que l’administrateur peut choisir de conserver un message situé dans la boîte de réception ou dans les éléments supprimés d’un utilisateur indéfiniment même si ce dernier tente de l’altérer ou de le supprimer). Enfin, les plans E3 et E4 supportent également l’archivage des messages (comme Google Vault) et le service de messagerie vocale. En comparant avec les offres de Google, le plan E3 de Microsoft est celui qui s’approche le plus des fonctionnalités offertes par le plan Google Apps for Business avec Vault.

La comparaison entre les plans E3 et les plans E4 d’Office 365 est moins évidente. Le plan E4 remplace Lync Online par une solution on premises Lync Server, afin de pouvoir s’interconnecter avec le système téléphonique (PBX) pour supporter les appels entrants et sortants traditionnels. Si on peut considérer que cette stratégie de Microsoft permet de mieux interfacer son offre E4 avec l’existant, la démarche s’oppose à la logique qui vous a amené à aller vers le Cloud : Simplifier votre infrastructure.

En conclusion sur ce sujet, Google Apps for Business est moins cher à adopter, moins cher à maintenir, et moins cher à opérer que son concurrent. Microsoft Office 365 n’est pas seulement plus cher que Google Apps for Business, mais il n’est pas moins cher que les versions d’Exchange, de SharePoint et Microsoft Office que vous souhaitez remplacer. Si votre stratégie consiste à déployer vos services de messagerie et de collaboration sur le nuage pour réduire vos coûts et vos équipes informatiques impliquées à la maintenance, il est clair que Google Apps for Business est le gagnant.

Respect des niveaux de services et engagement de l’éditeur

Le gagnant : Egalité

En regardant les rapports d’incidents sur Microsoft Office 365 sur une période de 151 jours (entre le 23/9/2012 et le  02/02/2013), 18 concernent le service de messagerie Exchange. Ces incidents et les temps d’arrêt planifiés, représentent un total de 4.503 minutes d’interruption, soit 3 jours, 3 heures et 3 minutes. Cela revient à un niveau de disponibilité de 97,929% pour le service de Microsoft durant cette période, ce qui n’est pas exactement ce qui est promis par l’éditeur en matière d’engagement à 99,9%.

Par comparaison, le service Gmail a un niveau de disponibilité de 99.983%. Cette disponibilité correspond à une interruption du service pendant 44 minutes. En résumé, pour chaque minute d’interruption de Gmail, Exchange Online est en panne pendant 103 minutes.

Google publie publiquement ses informations sur le niveau de disponibilité via une page intitulée Google Apps Status Dashboard (http://www.google.com/appsstatus) sur laquelle tout le monde peut se connecter, même s’il n’est pas client. Le tableau de bord affiche les informations de performance en temps réel pour tous les services Google Apps. Google met à jour le tableau de bord avec informations sur les performances, pour s’en servir en tant que outil de promotion marketing.

Microsoft dispose d’un tableau de bord similaire – mais contrairement à la page publique Google Apps Status Dashboard de Google, le tableau de bord Microsoft est protégé, et uniquement accessible aux utilisateurs qui sont déjà clients de l’offre Microsoft Office 365. Quelque part, cela empêche les clients potentiels de Microsoft Office 365 de faire des recherches sur les niveaux réels de disponibilité du service avant de prendre une décision d’achat. En outre, cette page empêche quiconque qui n’est pas administrateur du domaine de messagerie Office 365 d’accéder au tableau de bord. Ainsi, sans l’aide d’un administrateur, les principaux décideurs et utilisateurs stratégiques de l’entreprise qui utilisent Microsoft Office 365 ne peuvent vérifier si le service de messagerie fonctionne correctement ou non. Microsoft ne publie pas quel pourcentage de ses utilisateurs sont affectés par des pannes, et ne concerne que les régions ont été touchés et se limite à indiquer la région concernée tant qu’ils ne peuvent déterminer avec exactitude l’origine du problème.

Toutefois, Microsoft offre un contrat de niveau de service financièrement soutenu (SLA) lorsque Microsoft Office 365 descend en dessous de 99,9% de disponibilité. Les SLA d’Office 365 sont complets et simples à comprendre à propos des désagréments subis, par composant et par région. Au contraire, Google ne propose que des crédits de service à la fin du contrat annuel (et aucun remboursement) et reste beaucoup plus succinct sur la nature des incidents rencontrés.

Plus dérangeante est l’approche de Google en manière de disponibilité du service Google Apps for Business. En effet, Google booste ses chiffres d’uptime en combinant les services aux consommateurs et des entreprises. De plus, Google teste ses produits en version bêta avec les utilisateurs de Google Apps, mais ceux-ci ne sont pas couverts par le SLA. Enfin, Le SLA ne couvre que douze services en ligne (les services de synchronisation hors connexion ne sont pas couverts par le SLA), et Google dispose d’une méthode de calcul très particulière pour identifier un temps d’interruption : « Les temps d’arrêt est défini comme un taux d’erreur de l’utilisateur de plus de 5% » (http://www.google.com/apps/intl/en/terms/sla.html).

En conclusion, parce que Google et Microsoft ne semblent pas avoir la même définition du temps d’arrêt et que la couverture des services n’est pas la même, il est impossible de déterminer un gagnant de manière claire dans cette catégorie.

Couverture du service (utilisateurs, contractants et autres régulations)

Couverture du service pour les utilisateurs

Le gagnant : Microsoft Office 365

Sur la couverture en termes de pays, les deux géants n’ont encore pas la même approche. Google Apps for Business s’appuie sur une liste d’exclusion (Cuba, l’Iran, la Corée du Nord, le Soudan et la Syrie), directement liée à la liste noire des pays définie par le gouvernement américain. La liste d’exclusion n’est d’ailleurs pas exhaustive, et n’est pas détaillée par service.

Toutefois, le téléchargement des applications, notamment pour les mobiles peuvent être interdit (comme l’ont appris à leur dépend des utilisateurs situés en Thaïlande ou au Pakistan), même si techniquement, il existe le plus souvent des méthodes de contournement, elles peuvent être considérées comme illégales dans les pays concernés.

Microsoft Office 365 dispose d’une liste claire et concise en un seul document des pays dans lesquels le service peut être consommé ou pas, de manière intégrale ou limitée. http://www.office365advisors.com/office-365-country-licensing-restrictions/

Couverture du service pour les contractants

Le gagnant : Egalité

Bien qu’il soit possible d’utiliser le service dans de nombreux pays, la liste des pays pouvant acheter le service est plus restrictive, et dépend des accords commerciaux, fiscaux et légaux avec les états concernés. Google Apps peut être contracté dans 96 pays et Microsoft Office 365 peut être contracté dans 88 pays (http://new.googlepartnerconnect.com/Home/partner-program-support-countries).

Parmi les 106 pays couverts par l’une ou l’autre des solutions, 18 pays ne peuvent contracter un service qu’avec Google, et 10 pays ne peuvent contracter un service qu’avec Microsoft. Ainsi, pour les sociétés situées en Albanie, aux Samoa Américaines, en Arménie, au Bangladesh, en Bolivie, en Bosnie-Herzégovine, aux Iles Vierges anglaises, au Cambodge, à Gibraltar, à Guam, au Laos, à Monaco, en Mongolie, aux Philippines, à San Marin, aux Iles Vierges américaines, au Vatican et au Vietnam, à moins qu’elles disposent de la possibilité de signer leur contrat  dans un autre pays, la question ne se pose pas, seul Google Apps est disponible. D’un autre côté, pour les sociétés situées en Algérie, en Azerbaïdjan, au Bahreïn, en République Dominicaine, au Kazakhstan, au Maroc, au Paraguay, à Trinidad et Tobago, en Uruguay, et au Venezuela, seul Office 365 est disponible.

Toutes les informations indiquées s’appuient sur les données officielles fournies par les deux éditeurs au 14 mai 2013.

Autres contraintes en matière de régulation

Le gagnant : Egalité

Google ne précise pas l’emplacement de ses centres de données, ni où se trouvent les données que vous y stockerez. La société se limite à indiquer que ses centres de données sont situés dans des pays « démocratiques », bien que cette information soit tout à fait suggestive et non reconnue en droit. Microsoft est plus précis sur l’emplacement des données de l’utilisateur. Les centres de données sont répartis sur des zones continentales séparées, avec un nombre de centres réduits. Par exemple, en ce qui concerne la France, les données sont hébergées dans deux pays de l’Union Economique Européenne : L’Irlande (Dublin) pour le centre de données principal, et les Pays-Bas (Amsterdam) pour le centre de données de secours.

Toutefois, quelle que soit la localisation des données, comme tous les services électroniques internationaux, les deux sociétés sont engagées dans les accords d’autorisation de transferts de données dans le cas d’une investigation mandatée par les services d’enquêtes des pays concernés par ces accords, connus sous les noms de Patriot Act et de EU Safe Habour.

Google comme Microsoft proposent des tarifs éducation, mais les données sont mutualisées sur les mêmes environnements que celles des autres sociétés.

Les deux sociétés proposent également des offres pour les organisations gouvernementales, mais uniquement aux Etats-Unis. Dans les deux cas, ces services sont cloisonnés des autres activités, et ont tous les deux reçus la certification et l’accréditation FISMA (Federal Information Security Management Act) (FISMA) pour héberger des services de l’Administration Générale des Services U.S.

Je vous donne rendez-vous au prochain numéro pour continuer notre comparaison entre les deux offres de services en ligne, avec du lourd : La comparaison des fonctionnalités. D’après vous, qui sera le gagnant ?

IT Pro Magazine, Septembre 2013

Note: Les valeurs indiquées dans cet article correspondent à Mai 2013 et sont susceptibles de changer en fonction des annonces des éditeurs.

Stratégies – 100 grammes qui changèrent le monde

26 décembre 2013

Arnaud Alcabez

Bring Your Own Device (BYOD) aussi appelé Bring Your Own Technology (BYOT), Bring Your Own Phone (BYOP) et Bring Your Own PC (BYOPC) signifient que la politique de sécurité de l’entreprise permet aux collaborateurs de venir avec leurs propres appareils mobiles sur leur lieu de travail et d’utiliser ces dispositifs pour accéder aux informations et aux applications de l’entreprise pour laquelle ils sont employés.

Le terme BYOD a été mentionné dans un article pour la première fois (http://www.vs.inf.ethz.ch/publ/papers/rohs-byod-2004.pdf) lors de l’UBICOMP 2004, une conférence sur l’informatique ubiquitaire, et la première analyse réelle du phénomène est attribuée à Cisco et Intel au travers d’une étude menée entre 2009 et 2010 : http://www.govinfosecurity.com/webinars/mobile-learn-from-intels-ciso-on-securing-employee-owned-devices-w-264

100 grammes 1L’acceptation du BYOD au sein des entreprises n’est pas la même selon les marchés. Ainsi, pour les pays en fort développement économique, tels que le Brésil, la Russie, l’Inde, les Emirats Arabes Unis et la Malaisie, on estime que 75% des collaborateurs utilisent leur propre technologie au travail. Pour les autres pays développés, la croissance serait plus modérée, avec 44% d’utilisateurs concernés. Ainsi, la progression du BYOD dans les entreprises est liée à plusieurs facteurs déterminants :

  • Le développement économique du pays ou de la société,
  • La séparation du temps consacré à la vie privée et à la vie professionnelle,
  • La séparation des usages privés et professionnels

De plus, en Europe, nous avons un historique informatique lourd dont il nous faut gérer l’héritage et qui ralentit de fait l’acceptation de ce nouveau modèle d’utilisation des ressources informatiques :

  • L’investissement déjà consenti dans les entreprises sur les équipements informatiques
  • L’importance significative de la notion de confidentialité des données personnelles et professionnelles
  • Les cadres législatifs très fragmentés et néanmoins assez stricts en Europe, avec l’absence d’une politique commune pour répondre aux attentes et aux craintes des utilisateurs

Pour les entreprises, il s’agit d’un vrai challenge d’intégration, et dont le problème principal consiste en un manque de visibilité sur la transformation des usages internes vers un nouveau modèle. Plus précisément, si les  collaborateurs et la direction des entreprises sont plutôt favorables à l’utilisation de périphériques mobiles personnels dans leur ensemble, la direction des systèmes d’information en tant que fournisseur du système informatique et garant de son bon fonctionnement et de sa sécurité aura une certaine réserve à mettre en œuvre ces technologies sans que l’entreprise elle-même n’ait à redéfinir les concepts de sécurité de l’information et de cadre de travail.

Dans cette perspective, la DSI devra détailler les différentes stratégies que l’entreprise peut initier pour permettre à ses collaborateurs d’utiliser des périphériques mobiles dans le cadre de leur usage professionnel et privé.

Dans la réalité, on peut distinguer un certain nombre de tendances ou que j’ai essayé de synthétiser dans le tableau ci-dessous. Aujourd’hui, elles sont au nombre de sept. Leur premier différentiateur concerne la propriété des objets: celle du périphérique, celle de l’application utilisée, et celle du réseau. Leur second différentiateur concerne la supervision des transactions : sera-t-elle au niveau physique ou au niveau applicatif ?

Appellation

Nom complet

Description

Propriétaire du périphérique

Propriétaire des applications

Propriétaire du réseau poste de travail

Niveau de gestion pour l’entreprise

 

Modèle standard

Ce modèle est celui classique qui considère que les périphériques dits mobiles sont gérés comme des postes de travail bureautiques traditionnels

Entreprise

Entreprise

Entreprise

Périphérique

BYOD

Bring Your Own Device

L’entreprise permet aux utilisateurs d’apporter leurs périphériques personnels pour se connecter aux services délivrés par l’entreprise. Lorsque cette stratégie est étendue à d’autres types d’appareils (stockage, etc.) on parle alors de BYOT « Bring Your Own Technology »

Utilisateur

Utilisateur
et Entreprise

Entreprise

Périphérique (avec l’accord de l’utilisateur)

BYOA ou BYON

Bring Your Own Access
Bring Your Own Network

L’entreprise ne gère plus de parc informatique, ni de réseau de type poste de travail. Chaque utilisateur est libre de contracter avec un opérateur réseau et de choisir la nature de sa connexion (WiFi, femtocell, tethering). Ce modèle se comprend si l’ensemble des applications de l’entreprise sont accessibles via un accès par Internet

Utilisateur

Utilisateur et/ou Entreprise

Utilisateur

Application

PYCA

Push Your Corporate Application

L’entreprise ne gère plus de parc informatique au sens des périphériques utilisés, et se préoccupe de mettre en œuvre et de tenir à jour un magasin d’applications qui lui appartient dans lequel l’utilisateur vient se servir s’il en a le droit

Utilisateur

Entreprise

Entreprise

Application

CYOD

Choose Your Own Device

L’entreprise permet à l’utilisateur de choisir un périphérique dans une liste délimitée qu’elle tient à disposition

Entreprise

Entreprise

Entreprise

Périphérique

COPE

Company Owned, Personally Enabled

L’entreprise choisit le périphérique, mais permet à l’utilisateur de se servir à des fins personnelles en y installant des applications dont il est le propriétaire

Entreprise

Utilisateur et/ou Entreprise

Entreprise

Périphérique

BYOA ou BYOS

Bring Your Own Application
Bring Your Own Software

L’utilisateur peut se servir d’applications personnelles dont il est le propriétaire ou l’utilisateur légal pour travailler dans le cadre de l’entreprise

Utilisateur et/ou Entreprise

Utilisateur

Entreprise

Application

 

Finalement, il n’existe pas de bon et de mauvais modèle concernant l’intégration du BYOD dans les entreprises, chacune allant forcément trouver un modèle qui lui correspond. D’ailleurs, peut-être que la solution se trouve dans de futurs périphériques qui s’avèreront être compatibles avec toutes ces politiques de sécurité mobile.

Les sociétés BlackBerry et Thalès ont d’ailleurs chacune tenté de proposer des périphériques mobiles à politique mixte. Par exemple, BlackBerry Balance (http://fr.blackberry.com/business/software/blackberry-balance.html) pour le BlackBerry Z10 et Teopad pour Android (http://fr.wikipedia.org/wiki/teopad) par Thalès.

Il reste néanmoins qu’aucune des grandes entreprises influentes dans le marché de la mobilité ne semblent être très intéressées à développer une approche liée aux exigences des entreprises européennes pour leur permettre de mieux intégrer le BYOD comme une composante de transformation de leur système d’information. Et c’est une première ! Après avoir été chouchoutées pendant des années par les éditeurs de logiciels et les constructeurs qui voyaient dans les sociétés les grands commanditaires de matériel informatique, et qui se pliaient à leur moindre exigence, le monde a définitivement changé.

Comme les responsables des grands systèmes informatiques ont fini par laisser le système informatique aux administrateurs « micro-informatique », ces derniers devront sans doute s’effacer demain au profit d’une nouvelle équipe informatique, plus à même d’avoir un modèle de pensée propre à gérer le nomadisme, la propriété et la sécurité. C’est la vie…

IT Pro Magazine, Septembre 2013

Stratégies – Et la ville devint intelligente

26 décembre 2013

Arnaud Alcabez

Aujourd’hui, seulement 2 % de la surface de la terre sont occupés par les villes. Or, d’ici 2050, elles accueilleront 70 % de la population mondiale et seront à l’origine de 80 % des émissions de CO2.

Ainsi, selon le Conseil économique social et environnemental (CESR), la population francilienne en 2050 aura augmenté d’environ trois millions d’habitants pour atteindre 15 millions d’individus en Ile-de-France. (75 à 80 millions en France, pour 9 milliards dans le monde). Que dire si vous vous sentez déjà à l’étroit dans les transports en commun ?

Il est facile d’imaginer les effets collatéraux d’une explosion de la démographie du Grand Paris, sur le travail, les transports, la distribution, l’alimentation ou le logement…

Ainsi, la qualité de vie va devenir, comme dans toutes les grandes cités avec lesquelles Paris sera en compétition, un défi permanent. Nous n’avons pas d’autres choix que de faire en sorte que la vie en région parisienne soit agréable, faute de quoi, le nombre d’actifs dynamiques quittant le bassin francilien n’aura cesse de croître. Parallèlement, nous aurons également à nous occuper de nos aînés : le nombre des franciliens âgés de 75 ans devrait doubler dès 2030, et il faut prévoir que le nombre de maisons de retraite soit multiplié par quatre d’ici 2050.

 

De part cette démographie croissante, outre les questions énergétiques, les villes, sont d’ores et déjà confrontées à de nombreux problèmes de ressources (espace, mobilité, financement, etc.), problèmes auxquels elles doivent très rapidement trouver des réponses pour demeurer attractives aux yeux des nouveaux talents, des entrepreneurs, des créateurs, des investisseurs… bref, de tous ceux qui contribuent à sa vitalité.

En ce qui concerne le coût de l’énergie, et en réponse à l’engagement de l’Union Européenne à diminuer ses émissions de CO2 de 80 % entre 1990 et 2050, les énergies renouvelables devraient représenter 50 % de la production sur le Vieux Continent, sachant qu’aujourd’hui, 50 % de la production est assurée par les énergies fossiles, 28 % par le nucléaire. Cette évolution entraînera une forte et continue hausse des tarifs de l’électricité pendant les vingt ans à venir, puis les prix grimperont plus doucement jusqu’en 2050 en raison des coûts d’investissements pour déployer les nouvelles infrastructures énergétiques et la diminution de l’utilisation des installations existantes, qui abaisse leur rentabilité.

 

Dans un tel contexte, un nouveau concept émerge progressivement : celui des cités intelligentes (ou « Smart Cities »). Des villes modernes, capables de mettre en œuvre des infrastructures (d’eau, électricité, gaz, transports, services d’urgence, services publics, bâtiments, etc.) communicantes et durables pour améliorer le confort des citoyens, être plus efficaces, tout en se développant dans le respect de l’environnement.

image 1

Le développement des cités intelligentes est d’abord une réponse aux aspirations des habitants en termes d’objectifs économiques, environnementaux et sociaux :

Objectifs économiques (Efficacité)

  • Améliorer le partage d’informations et développer la coordination entre les différents services de la ville
  • Améliorer la qualité du service et l’utilisation des ressources opérationnelles
  • Optimiser les investissements
  • Accroitre la réactivité de la vile face à des événements imprévus

Objectifs environnementaux (Durabilité)

  • Réduire la consommation d’énergie et les émissions de gaz à effet de serre
  • Encourager l’utilisation des énergies renouvelables
  • Optimiser l’utilisation des ressources naturelles
  • Réduire les besoins en investissements lourds
  • Respecter l’héritable et préparer le futur de la ville

Objectifs sociaux (Viabilité)

  • Proposer une meilleure qualité de vie aux habitants
  • Développer de nouveaux services innovants pour les citoyens, pour les touristes et les entreprises
  • Être plus attractive et compétitive face aux autres viles

Pour atteindre ces objectifs, de nombreuses adaptations devront être réalisées dans plusieurs domaines techniques :

En matière de gestion de l’énergie

  • Déploiement des réseaux intelligents (SmartGrids)
    • Systèmes avancés de gestion du réseau en temps réel
    • Automatisation, flexibilité des équipements, gestion des actifs
    • Mesure et gestion interactive de l’effacement (adapter la demande à l’offre)
    • Intégration des énergies renouvelables
    • Améliorer les distributeurs pour une meilleure gestion de l’énergie jusqu’au périphérique

En matière de gestion des bâtiments et des logements

  • Systèmes intégrés de gestion du bâtiment (sécurité, énergie…)
  • Contrôle des consommations et tableaux de bords (énergie et CO2)
  • Pilotage intelligent des logements
  • Connexion au SmartGrids

En matière de gestion de la mobilité

  • Infrastructures de recharge, pilotage de la charge, services de gestion pour véhicules électriques
  • Gestion auto-adaptative du trafic
  • Améliorer la mobilité en ville et rendre le trafic plus fluide avec les voitures connectées
  • Favoriser l’usage des transports publics, collectifs ou partagés, et gérer la multimodalité
  • Péages urbains
  • Systèmes de gestion intégrée de la mobilité et de l’information voyageurs en temps réel

En matière de gestion de l’eau

  • Réseaux intelligents
    • Gestion de la distribution
    • Détection des fuites
    • Qualité de l’eau
    • Systèmes de contrôle et de sécurité
    • Gestion des événements naturels

En matière de gestion des services publics

  • Gestion des événements graves
  • Sécurité publique et vidéosurveillance
  • Système de gestion de l’éclairage public
  • Information aux citoyens et aux touristes

En matière de gestion intégrée (ou « services transverses »)

  • Plateforme de gestion intégrée des applications urbaines (mobilité, éclairage public, etc.)
  • Systèmes d’information et de gestion de l’énergie et du CO2
  • Service interactifs et expertise météo

Les enjeux économiques sont colossaux, notamment pour les entreprises capables de fournir ces services aux collectivités et aux services publics. Néanmoins, le marché européen reste toujours diversifié dans l’idée des priorités d’une ville intelligente. Ainsi, un sondage réalisé par 3M/TNS dans cinq pays européens sur les attentes citadines montre des variations, hormis l’efficacité des transports, plébiscitée par quatre pays sur cinq.

En tout les cas, pour réussir ce pari, les technologies du Cloud Computing, du Big Data, de l’Open Data, et de la mobilité seront mises à l’honneur pour concevoir ces cités intelligentes. A ce propos, vous trouverez en annexe quelques sites de démonstration exploitant l’Open Data.

Enfin, pour terminer, la cité intelligente de 2050 reste un idéal à atteindre et ne garantit en rien que ces technologies soient celles que nous sommes capables d’imaginer aujourd’hui. Comme l’a écrit récemment Founder Funds dans un rapport à propos du futur : « Nous voulions de voitures volantes, à la place nous avons eu 140 caractères », en parlant de notre vision du futur dans les années 60 et notre incapacité à imaginer un service comme Twitter, de par sa simplicité technologique.

dataparis.io

image é

flightradar24.com

image 3

wearedata.watchdogs.com

image 4

 

IT Pro Magazine, Août 2013

Stratégies – Biométrie personnelle au service de la santé

26 décembre 2013

Arnaud Alcabez

WithingsWithings, contraction de WiFi et de things (choses ou objets en anglais)  est une société qui transforme des objets du quotidien au service de la santé en objets intelligents en y intégrant des capteurs. Dernier produit en date, après avoir déjà créé un tensiomètre, un baby phone, un contrôle d’activité cardiaque et un pèse-enfant intelligent, voici  un pèse-personne connecté portant le nom du « Smart Body Analyzer » communiquant en Wifi avec un équipement mobile.

Au-delà de ce qu’on peut attendre comme fonction de ce type d’appareil, la balance est équipée de deux capteurs particuliers : Le premier mesure le rythme cardiaque au repos, le second relève la quantité de CO² dans la pièce dans laquelle elle est installée (la chambre) toutes les trente minutes pour mesurer la qualité de l’air ambiant.

La pesée quant à elle récupère un certain nombre de données, telles que l’indice de masse corporelle (IMC), la masse grasse, le pouls, et bien entendu le poids, et les envoie sur votre profil personnel sur Internet, protégé par un mot de passe. L’application mobile « Withings Compagnon Santé », disponible sur iPhone et Android vient consommer les données collectées. L’application restitue les données sous forme de graphiques d’évolution dans le temps et montre comment elles se situent par rapport aux données type fournies par l’Organisation Mondiale de la Santé (OMS).

Sur le même thème de la santé connectée que le bracelet « Up », le « Smart Body Analyzer » est vendu à un prix de 150€ sur le site de la société withings.com et dans les Apple Stores.

Profitant de cette actualité, il est intéressant de rappeler deux caractéristiques fondamentales de l’informatique ambiante et des objets intelligents connectés pour qu’ils puissent entrer dans cette catégorie :

  • L’intelligence ambiante est d’enrichir les objets existants, de la vie quotidienne, et de les réinventer (ou recycler) pour les rendre plus utiles en les connectant, sans les rendre plus complexes d’utilisation. Ce principe est tout à fait respecté dans le « Smart Body Analyzer » où la fonction originelle de l’objet est conservée, tout en étendant son utilité.
  • Par contre, est-ce qu’il suffit qu’un objet soit intelligent et soit connectable pour qu’il soit véritablement un objet intelligent connecté ? Sous cette différence subtile se cache une vraie question : Suffit-il d’assembler quelques capteurs, un stockage des informations collectés, et un retour des données sur une page web ou un équipement mobile pour qualifier ce produit d’objet intelligent connecté ? Si sur le principe, je comprends que toute innovation peut être brevetée, l’objet se doit d’être ouvert avec des API (Application Programming Interface ou en français Interface de programmation) pour permettre aux développeurs d’interfacer d’autres objets ou de concevoir de nouvelles interfaces consolidées. Le « Smart Body Analyzer » est bien un objet intelligent connecté au sens où la société Withings met l’API à disposition du public sur son site Internet.

Bien évidemment, même s’il reste utile, ce type d’objet n’est en rien proactif, au sens où il ne sait pas s’adapter à son environnement en fonction des données qu’il reçoit d’autres appareils, de contexte environnemental ou humain, et encore moins anticiper en événement.

Le nombre d’objets de notre quotidien au service du bien-être, de la santé ou de l’hygiène qui nous entourent offre des perspectives illimitées en termes de réinventions. Maintenant, à quoi sert de collecter des données si la chaîne de valeur n’est pas complète ? En effet, l’interprétation des valeurs est laissée libre à l’utilisateur, et il pourrait être intéressant de disposer de la possibilité d’être conseillé préventivement en temps réel par un vrai spécialiste de la santé, sous la forme d’un abonnement. Médecins, c’est à vous de jouer… à vos claviers !

IT Pro Magazine, Juillet 2013

Stratégies – L’Homme, ce périphérique Wifi qui s’ignore

26 décembre 2013

Arnaud Alcabez

Lhomme wifiSi certains s’efforcent encore de démontrer que les réseaux Wifi peuvent être nocifs à notre santé, comme c’est le cas de cette étude menée par cinq lycéennes de Stockholm et qui a fait le tour d’Internet à la fin du mois de mai, d’autres explorent de nouveaux champs d’exploitation qu’on pourrait faire de ces réseaux dans lesquels nous baignons au quotidien.

Quatre étudiants de l’université de Washington se sont intéressés à l’analyse de la distorsion du signal entre deux bornes Wifi lorsqu’un objet situé entre les deux perturbe la fréquence des ondes radio, en les faisant rebondir (effet Doppler).

Via un routeur modifié (qu’ils ont appelé WiSee), les variations sont analysées et découpées en fines bandes de fréquences radio de 2Hz, afin de rechercher les changements de l’ordre de 10Hz, soit de l’ordre d’un mouvement de bras.

Sur une batterie de 9 gestes prédéfinis, WiSee arrive à identifier et classer des gestes avec une précision de 94 %, et est capable dans un environnement avec plusieurs personnes, de se fixer sur une seule personne en utilisant plusieurs antennes, ou d’utiliser plusieurs canaux MIMO (Multiple-Input Multiple-Output) pour identifier et gérer indépendamment plusieurs personnes dans le champ de diffusion du réseau Wifi.

En utilisant l’effet Doppler, les étudiants ont résolu deux problèmes liés aux objets de détection de mouvement à lentille optique : le fait de n’être pas sensible à la luminosité ambiante, le périphérique pouvant être utilisé sans éclairage, et le fait de ne pas forcément être dans le champ de vision, voir à une certaine distance de l’appareil.

Une vidéo de présentation est disponible ici : http://www.youtube.com/watch?v=VZ7Nz942yAY.

Avec cette technologie, l’Homme lui-même devient un objet connecté, sans avoir recours à un artefact pour entrer des données dans un système numérique. On peut même imaginer qu’en analysant en profondeur ses caractéristiques anthropomorphiques et de signal, on puisse l’identifier en tant qu’objet unique. Pour ce dernier point, une équipe de recherche de l’université de Carnegie Mellon n’est pas loin de le proposer en concevant une carte du Maraudeur, en référence à Harry Potter, basée sur la reconnaissance faciale et le tracking qui permet de repositionner sur une carte virtuelle chaque individu passant devant une caméra et suivre leurs déplacements en temps réel.

Une vidéo de présentation est disponible ici : http://www.youtube.com/watch?v=maj4Ps-wMG4

Alors, l’Homme, bientôt connecté automatiquement sur le réseau, tracé automatiquement en passant dans le champ d’une caméra ou d’un réseau Wifi est-il pour un avenir proche ? Peut-être…

Et peut-être que dans un demi-siècle, les tours opérateurs proposeront à leur catalogue des prestations pour passer une vraie semaine « offline » hors du Réseau dans des espaces réservés à cet effet que les gens les plus riches s’arracheront.

IT Pro Magazine, Juillet 2013

Les musées et le numérique: Entre la recherche d’une stratégie et désengagement de l’Etat. Existeront-ils encore demain ?

26 décembre 2013

Arnaud Alcabez

Depuis plus d’une décennie, les musées du monde entier se demandent quelle stratégie adopter pour l’accessibilité du public depuis Internet. Leurs initiatives sont nombreuses et variées :

  • Informations pratiques
  • Sites interactifs soit événementiels, soit permanents
  • Applications variées
  • Partenariat avec un éditeur en ligne
  • Accès à des collections ne pouvant être exposées au public
  • Parcours pédagogique et accès à des complétements d’information
  • Constitution d’une société de gestion des droits numériques

Toutefois, la question reste ouverte, à savoir qu’est-ce qu’un espace virtuel peut apporter au public et quels sont les liens à tisser entre un espace dématérialisé et un espace physique représenté par l’institution ? Les obstacles sont encore nombreux :

  • Le coût de la numérisation d’une collection reste très élevé, et demande d’investir dans du matériel adapté ou de le faire sous-traiter
  • Les collections sont parfois très importantes et l’indexation du contenu numérique apporte des problématiques spécifiques de navigation généralement différentes de celles d’un parcours physique d’un musée
  • La mise en valeur de l’œuvre (exposition, lumière) ne peut être forcément rendue de la même manière sur Internet. Je suis allé voir récemment l’exposition de Keith Haring au Musée d’Art Moderne de Paris, et la mise en valeur de certaines œuvres en lumière noire avait vraiment du sens
  • La qualité des œuvres est généralement réduite pour éviter le pilage numérique et l’appropriation des œuvres
  • Une partie de la collection appartient à des ayant-droits tiers, et les œuvres ne sont que prêtées à l’institution qui l’expose et qui n’en détient donc pas les droits numériques
  • Les interactions entre les musées sont faibles. Pourquoi ne pas les connecter entre eux, en tant qu’objets intelligents du numérique de demain
  • Le panier moyen des boutiques est peu élevé. Pourquoi ne pas permettre la reproduction sérigraphiée des œuvres avec une imprimante 3D

L’approche du musée Rijksmuseum d’Amsterdam peut donc surprendre puisque ce musée a pris l’initiative de numériser des œuvres choisies en haute définition et de les mettre à disposition des internautes, voire, d’encourager même le public à les copier et à s’en servir sur toute sorte de support (documents, t-shirts, tatouages, assiettes, ou pourquoi pas du papier toilette).

Plus étonnant, l’objectif que le musée souhaite atteindre est de numériser 40.000 images par an, jusqu’à exposer le million d’objets que ce dernier possède. Il est à noter que toutes les œuvres numérisées font partie du domaine public.

Toutefois, le musée virtuel a aussi de nombreux avantages :

  • Permettre à un public différent de celui qu’on croise dans les musées d’accéder aux œuvres via Internet
  • Donner un accès universel à l’œuvre quel que soit le lieu ou l’accessibilité du visiteur. Si vous avez envie de découvrir les collections du MOMA (Museum of Modern Art de New-York) et que vous habitez New Delhi, vous n’avez pas les mêmes chances que si vous habitez Staten Island.
  • Prendre le temps de parcourir les collections à votre rythme et selon la logique qui vous appartient. Trop d’heures peuvent être passées dans collection mondiale d’Art de l’Égypte antique au British Museum, de ses sept galeries égyptiennes permanentes, et qui pourtant, ne permettront au visiteur que de voir les 4% exposés de son patrimoine.

Mais au-delà de ces considérations, les musées sont avant tout un véhicule indispensable pour la transmission du savoir et de la culture, et sans doute les gouvernements devraient-ils mieux considérer et s’impliquer dans la diffusion numérique des nombreux contenus.

En Mai 2012, lors du renouvellement du gouvernement français, j’avais alors proposé à notre nouvelle Ministre déléguée des PME, de l’Innovation, et de l’Economie Numérique, Mme Fleur Pellerin, de considérer qu’il y avait une mission de gouvernance quant à la diffusion du patrimoine des musées, en regroupant l’ensemble des applications mobiles conçues par ces derniers (qu’ils soient publics ou privés) dans un référentiel (appstore) commun et accessible au plus grand nombre, tout en définissant un cahier des charges à minimum avec Mme la Ministre de la Culture de la Communication Aurélie Filippetti, et dans ce sens, être une force de proposition quant à la définition d’un modèle européen, vecteur de diffusion de notre culture et de notre patrimoine, qu’ils soient locaux, régionaux, nationaux ou européens. Toutefois, au regard des nombreux dossiers que son équipe et elle-même ont dû traiter, cette proposition n’a pas eu l’intérêt escompté.

En conclusion, à l’heure où les modèles économiques des musées sont fragilisés par la concurrence d’Internet, et en l’absence d’une action gouvernementale structurante, chaque institution est livrée à elle-même, en fonction de ses crédits et de sa notoriété.

Pour rappel, 1 200 établissements sont labellisés par le ministère de la Culture, et au moins autant sont dirigés par des organismes privés, locaux ou associatifs. L’État consacre 350 millions d’euros par an pour les établissements publics, qui, eux, sont soumis à une loi et à des obligations. Un budget apparemment colossal quand on sait que seuls 30% des français mettent les pieds au moins une fois par an dans un musée. Plus de 55 millions de visiteurs se sont rendus dans un musée en 2008 en France, dont une grande partie provient du tourisme. En 2008, Le Louvre a reçu plus de 8,4 millions de visiteurs, le musée d’archéologie de Harne (Nord-Pas-de-Calais), environ 1.000.

IT Pro Magazine, Juillet 2013

Les imprimantes 3D révolutionnent la médecine

26 décembre 2013

Arnaud Alcabez

Imprimantes 3DLes premières applications dans le domaine de la santé concernent la fabrication de dispositifs médicaux ou de prothèses sur mesure, la forme et l’architecture de ces structures solides étant définies en fonction des caractéristiques anatomiques du patient obtenues par imagerie médicale. Ainsi, des guides chirurgicaux imprimés en 3D sont utilisés par des chirurgiens-dentistes pour améliorer la précision du placement des implants dentaires. La capacité de personnaliser les prothèses a récemment conduit une équipe américaine à imprimer sur mesure une exo-prothèse pour une fillette souffrant d’un handicap congénital (arthrogrypose classique). Enfin, la première implantation d’une prothèse réalisée par impression 3D (une mandibule de mâchoire en titane) a été réalisée en 2011.

De plus en plus de scientifiques s’intéressent à la bio-impression (ou bioprinting) car cette nouvelle technologie pourrait répondre à de très importants besoins médicaux et sociétaux en permettant de fabriquer à la demande des tissus humains. Si les premières expériences d’impression de cellules avaient été réalisées il y a dix ans en bricolant des imprimantes jet d’encre de bureau (l’encre étant remplacée par une suspension de cellules et le papier par un support de culture cellulaire), les technologies ont depuis beaucoup évolué. Imprimer du vivant n’est plus de la science-fiction. Il est ainsi aujourd’hui possible d’imprimer des cellules souches humaines ou d’autres constituants biologiques des tissus avec une résolution micrométrique qui permet de contrôler les processus d’auto assemblage cellulaire. Concernant les applications, les recherches menées au niveau international concernent principalement la peau ou encore le tissu osseux.

L’utilisation de «bio-imprimantes» et de «bio-encres» a déjà permis à d’autres laboratoires de produire des fragments tissulaires qui pourraient un jour aider à réparer certaines lésions, voire à produire des organes pour suppléer au manque de greffons. Ces techniques utilisent comme encre biologique des solutions contenant des cellules provenant d’un tissu sain. Elles sont cependant limitées par les contraintes techniques liées au prélèvement des cellules et à leur mise en culture ; la bio-impression nécessite en effet des millions de cellules pour produire quelques millimètres carrés de tissu.

Cette technoscience est fascinante et se transforme déjà en outil de recherche fondamentale pour l’étude du vivant, notamment des relations entre structure et fonction biologique. Elle offre ainsi aux biologistes la possibilité de comprendre en fabriquant! Du point de vue industriel, la fabrication de tissus biologiques sur mesure devrait permettre à l’industrie pharmaceutique de disposer de modèles d’étude plus représentatifs et donc plus prédictifs, ce qui facilitera la découverte de nouvelles molécules en réduisant par ailleurs le recours à l’expérimentation scientifique sur les animaux. Enfin, concernant les applications cliniques, imprimer des organes tels que le cœur ou le rein reste aujourd’hui du domaine du rêve en raison de leur complexité. Par contre, on peut raisonnablement envisager les premiers essais cliniques d’ici moins de dix ans pour des tissus plus simples tels que la cornée, la peau ou l’os.

Oreilles artificielles, cartilage humain, bras artificiels en thermoplastique, tissus synthétiques série de cellules souches humaines de moelle osseuse ou de peau développées en culture, bébé de quelques mois, victime d’une malformation des voies respiratoires sauvé grâce à une prothèse 3D capable de s’adapter à la trachée, les applications pratiques de l’imprimerie 3D au service de la médecine se multiplient, et elles ouvrent la voie à l’industrialisation.

Pour les écoles de médecine, cette technologie rend accessible la possibilité de scanner et de numériser une partie du corps d’un patient, et de le restituer à l’identique via une imprimante 3D. Ainsi, plutôt que de s’entrainer sur des cadavres, qui s’avèrent être des ressources rares, chères et fragiles, l’impression 3D permet aux étudiants de pratiquer des opérations proches du réel, avec les mêmes niveaux de densité et de manipulation dans l’espace, comme par exemple comme les os et cartilages d’un poignet ou une mâchoire pour un futur dentiste, pour un coût modique pouvant avoisiner les 30 euros la pièce (hors investissement de l’imprimante).

A lire : Les imprimantes 3D font des merveilles pour la médecine

IT Pro Magazine, Juin 2013