12 septembre 2011

Une histoire simple et banale 5e partie

Ce billet est la suite de celui-ci.
Cette série de billets commence avec celui-ci.

Me voici de nouveau présent dans l'entreprise ARRAKIS. Quinze jours ont passé, je suis en présence de Monsieur Léto, le DSI de l'entreprise, et d'un de ses ingénieurs. Nous allons enfin pouvoir aborder la partie technique du problème.

Tout d'abord, je lui rappelle les conditions de l'exercice que nous nous apprêtons à faire: je dois réaliser moi-même toutes les opérations, avec son aide bien entendu, mais moi-même.

"Ah bon? Mais nous avons déjà installé le serveur de test et procédé à l'installation de PGI et d'une première sauvegarde..."

"Et bien, cela montre que c'est possible, vous avez certainement résolu tous les petits désagréments que l'on rencontre dans ce genre d'installation, ce qui va nous faire gagner beaucoup de temps, mais je dois procéder moi-même à l'installation pour pouvoir remplir ma mission."

Nous voici donc à recommencer l'installation d'un deuxième serveur de test (je préfère que l'on garde le 1er pour permettre à l'informaticien d'aller vérifier le paramétrage qu'il-a-mis-en-place-mais-pas-noté-sur-une-fiche-de-procédure-parce-que-bon-hein-on-a-autre-chose-à-faire). Je pousse les cédéroms, je suis les procédures, je prends des copies d'écran pour mon rapport. Comme je m'y attendais, tout cela prend quand même du temps, c'est-à-dire une bonne partie de la matinée.

Vient ensuite la restauration de la plus vieille sauvegarde, datant d'un an, et en particulier des dumps de la base. Mon objectif n'est pas de peaufiner un serveur de pré-production, ni de convaincre Monsieur Léto de l'utilité des exercices de restauration.

Je lui glisse quand même un petit avis personnel sur le fait de procéder à une sauvegarde complète du système AVANT installation du logiciel PGI, puis à une sauvegarde juste APRÈS recettage, sauvegardes qu'il est judicieux de conserver INDÉFINIMENT en cas de litige ultérieur. Il me répond assez classiquement, qu'on n'est pas en permanence à penser à une situation de litige avec ses partenaires. C'est une erreur, il faut toujours prévoir le pire.

Nous prélevons le contenu de la table contenant les droits des utilisateurs, selon la procédure indiquée par l'éditeur dans le fameux courrier à l'origine de l'affaire. J'utilise les outils de l'éditeur, avec lesquels je suis peu familier, sous la commande de l'ingénieur qui lui les connaît bien et manque plusieurs fois de m'arracher le clavier des mains tant il est exaspéré de ne pouvoir taper lui même les commandes. Pour me racheter un peu à ses yeux, je joue avec Toad sur mon PC pour examiner les entrailles du logiciel PGI.

Nous procédons ainsi pour toutes les sauvegardes encore actives dans la société ARRAKIS. Nous mangeons un sandwich sur place, entre deux restaurations de dump de la base. A chaque fois, je prélève une copie du contenu de la table des droits des utilisateurs que j'imprime aussitôt avec une mise en page basique.

A chaque fois, je constate invariablement que tous les utilisateurs sont au niveau 1, alors qu'ils devraient être uniquement au niveau 2.

A partir d'un certain moment, le contenu de la table change, juste après la réception du courrier de l'éditeur informant de l'anomalie constatée.

Je demande alors à Monsieur Léto s'il peut m'expliquer la différence entre le niveau 1 et le niveau 2 et quelles sont les opérations permises uniquement par le niveau 1. Il sort le manuel du logiciel PGI, me trouve la page répondant à mes questions. Je note que le niveau 1 permet d'utiliser des outils réservés aux administrateurs de la base. Je constate sur le système de production que ces outils ne sont pas installés sur les postes des utilisateurs, mais uniquement sur le poste de Monsieur Léto et de son ingénieur système. Je constate que la société ARRAKIS a payé pour avoir le droit niveau 1 pour deux utilisateurs dits "avancés". Je constate également (grâce à mon petit outil "Toad") que le logiciel PGI historise les accès privilégiés de niveau 1. Je peux ainsi constater que l'historique du système de production nous montre que les accès niveau 1 ont été limités dans le temps à la période du projet de déploiement initial et à quelques accès (probablement lors d'opérations de maintenance effectuées par la société CORRINO). Tous les accès ont été effectués à partir des deux postes affectés aux deux utilisateurs et toujours sous leurs identifiants personnels.

Je demande les bons d'interventions de la société CORRINO signés par Monsieur Léto à la fin de chaque intervention, ce qu'il me fournit assez facilement (c'est rare). Je note de les demander également à la société CORRINO.

Je demande enfin le fonctionnement des synchronisations horaires des systèmes informatiques (serveurs et postes utilisateurs). Monsieur Léto me montre que tous ses systèmes se synchronisent sur un groupe de serveurs de temps indépendants de l'entreprise et garantissant l'heure exacte sur tous les postes. Il souligne l'importance de cette exigence par la présence d'un logiciel de pointage horaire pour tous les salariés qui ne sont pas au forfait jour.

Il est 20h30, j'ai tous les éléments techniques pour rédiger mon pré-rapport.
Il me manque les documents de chaque avocat contenant leurs arguments au sujet de leur estimation des préjudices. Il me faudra ensuite relancer l'un des avocats qui tarde à m'adresser ce document.

Il me reste à rédiger mon pré-rapport, puis à le soumettre aux parties[1] pour qu'elles m'adressent leurs dires.

La suite de ce billet est à lire ici.

--------------------
Crédit images darkroastedblend.com

[1] A chaque entreprise ET à son avocat, en recommandé avec avis de réception. Il arrive que l'entreprise se fâche avec son avocat et que celui-ci soit déchargé du dossier. N'envoyer qu'aux avocats est donc risqué. N'envoyer qu'aux entreprises fait perdre du temps, en particulier aux avocats. De plus, c'est mettre ceux-ci dans une situation de découvrir mon travail après leur cliente, ce que je trouve particulièrement impoli. Je recommande donc de toujours adresser les documents à la fois aux entreprises ET à leurs avocats.

5 commentaires:

  1. Chacune des 3 parties concernées à l'air d'être à la fois sincère et dans son bon droit.

    Bref, avant d'évaluer les préjudices, je pense qu'il s'agit d'abord de déterminer ce qui a été fait avec "préméditation" (à savoir en connaissance des droits et autorisations non respectés), et ce qui a été fait par erreur ou par commodité ; par exemple paramétrer le niveau 1 sur des postes autres que ceux des utilisateurs dits "avancés", ce qui pourrait peut-être être expliqué par l'utilisations momentanée de ces postes par ces fameux utilisateurs "avancés"...

    Cela ne vient bien sûr pas annuler les clauses du contrat initial (ex. nombre précis de licences pour le niveau 1 achetées).

    Par ailleurs, effectivement, l'historique vient montré que l'utilisation du niveau 1 n'a eu lieu que de façon limitée et par les utilisateurs habilités à le faire (les 2 licences "niveau 1" achetées par ARRAKIS).

    En fait, d'après ce que je comprends, la société éditrice de PGI (anciennement ERP) réclame donc plus un dédommagement pour une potentialité d'avoir pu utiliser le niveau 1 par d'autres personnes autres que les 2 habilitées à le faire ! (puisque vous êtes arrivé à constater une utilisation limitée du niveau 1 dans le temps, et à quelques accès)… le préjudice réel est donc limité et surtout "potentiel".

    J'ai bon jusque là?…


    Mon esprit retors m'incite à penser que la sté éditrice de PGI a du aussi constater cette utilisation limitée puisqu'elle s'est fait parvenir la table (et sûrement l'historique)… De là à penser que la sté éditrice de PGI connaît bien cette potentielle erreur de paramétrage (ou faute), il n'y a qu'un pas que je fais aisément !

    Mon esprit très retors m'incite aussi à penser que si il est si facile de faire des erreurs (ou des fautes) de paramétrages sur les niveaux, la sté PGI le sait forcément et pourrait facilement contrôler cette fonctionnalité…

    Mon esprit très très retors m'incite donc à penser que cette potentialité d'erreur (ou faute) est finalement aussi une potentielle poire juteuse, même si du point de vue du droit les choses ne sont pas forcément appréciées comme ça…

    Mon raisonnement devient un peu tordu mais plausible. Il est d'autant plus plausible qu'il vient confirmer une anecdote que j'ai vécu, et que je vous raconte brièvement :

    Il y a qq années je travaillais pour un groupe industriel français dans la fabrication et la vente de composants électroniques. Un chef de service R&D affirmait que les innovations faites par le service R&D étaient très mal protégées contre le piratage, la copie, etc. En clair, l'entreprise ne disposait pas de logiciel performant de gestion et de suivi des brevets, et ne cherchait pas forcément à vérifier si telle ou telle innovation avait été copié par la concurrence.

    Lors d'une réunion il avait expliqué que les entreprises françaises en général, et celle pour laquelle il travaillait en particulier, perdaient probablement beaucoup d'argent à ne pas protéger efficacement leurs propriétés industrielles, et surtout à ne pas contrôler systématiquement si la concurrence reprenait ces innovations, et de préciser qu'à l'inverse les entreprises américaines gagnaient plus d'argent par les recours en justice pour se faire payer des royalties par les concurrents qui avaient copié (même de loin) une technologie protégée.
    En clair, il sous entendait que la véritable activité de certaines entreprises américaines étaient de faire breveté des innovations et ensuite, non pas de vendre les licences d'exploitation, mais de vérifier tous les produits des concurrents et voir si il y avait moyen de réclamer des royalties par voie de justice.

    Votre affaire me fait un peu penser à cela.

    RépondreSupprimer
  2. Oui je suis d'accord avec le premier commentaire.

    Intéressante cette partie technique qui à l'air de se dérouler plutôt bien. On a presque l'impression que l'ingénieur perd de vue ce qui en jeu pour se noyer dans les détails. Cela dit je suppose aussi que votre rôle d'expert et votre expérience vous permet d'oublier ces petits commentaires persuasifs.

    Très bonne analyse sur le "toujours prévoir le pire". C'est là aussi que l'expérience joue dans une boîte.

    Le monde est moche tout de même...
    Je suppose que souvent ce refrein doit teinter vos affaires.

    La partie techique n'arrive qu'à la 5ème partie de l'histoire, dingue (mais logique).

    A propos des captures: cela n'a aucune valeur juridique non ?
    Est-ce pour justifier votre travail et expliquer la procédure utilisée ou y a t'il un autre but ?

    J'ai hâte de connaître la suite.
    Comment le rapport final va répondre au questions initiales ?
    C'est de la pure spéculation mais vu que l'histoire est assez bien détaillée voici mon avis:

    "oui les utilisateurs étaient niveau 2 dans la base mais n'avaient pas accès aux fonctionnalités admin" ou alors "

    - convoquer les parties et entendre tous sachants: ok cela à été fait

    - dire si le logiciel PGI était installé par la société de service CORRINO en conformité avec les licences concédées par l'éditeur de PGI
    Bon apparemment la notion temporelle est importante pour répondre à cette question. Quid de la chronologie ?
    Je dirais que la réponse est non: logiciel non en conformité.
    Cela dit remarques (arguments pour les avocats):
    ->mise en conformité immédiate
    ->aucune différence pour les users

    - si non, établir les responsabilités des sociétés ARRAKIS et CORRINO
    Difficile à dire...
    C'est la question essentielle à mes yeux.
    Il semblerait que la société ARRAKIS à un service informatique très compétent qui à été réactif et coopératif. ARRAKIS s'est "reposée" sur le travail de la société CORRINO. ARRAKIS à accepté le travail réalisé par CORRINO. Peut-on lui reprocher de ne pas avoir commandé un audit ? Je pense que non mais ils le regrettent probablement.
    CORRINO semble avoir respecté les procédures de migration. Certes l'état final de la table des users n'est pas correct mais c'est la procédure de migration fournie par PGI qui veut ca et les users ne pouvaient pas exploiter les fonctionnalités avancées.
    On pourrait pousser le bouchon encore plus loin cher Anonyme (cf 1er commentaire): la procédure de migration n'a t'elle pas été pensé pour attaquer en justice par la suite. De même c'est un peu fort, mais pas impossible.

    - estimer les préjudices
    Je me lance : 0€

    - donner tout élément utile à la manifestation de la vérité.
    Le diable se cache dans les détails mais je pense que l'essentiel à été abordé précédemment.


    At last: je crois que ces sociétés qui ne vivent que en faisant des procès à un nom mais je n'arrive pas à le retrouver.

    RépondreSupprimer
  3. Toujours un plaisir de vous lire.
    Ca ferait un sacré bon bouquin tout ca...

    Pour compléter les commentaires, on parle ici de Patent Troll.

    Un lien vers Wikipedia sera bien plus explicite : http://fr.wikipedia.org/wiki/Patent_troll

    RépondreSupprimer
  4. Une question que je me pose: pourquoi faire vous-même ?
    Pour des questions juridiques ou pour maîtriser ?

    Autre point: pourquoi la société éditrice n'a pas inclus de clé de licence. On pourrait considérer que celà fait partie des Règles de l'Art...

    RépondreSupprimer
  5. Effectivement, cette affaire est peut-être une sorte de "Patent Troll" dont la particularité originale est de s'attaquer à ses propres clients plutôt qu'à ses concurrents !

    RépondreSupprimer