24 janvier 2019

25 ans dans une startup - billet n.39

Introduction - billet n.38

Tous les DSI vous le diront, mener à bien un projet d'évolution de l'ERP de l'entreprise est un sujet délicat qu'il faut prendre très au sérieux. Beaucoup des processus vitaux de l'entreprise sont organisés autour de son ERP.

Après avoir obtenu le feu vert du directeur général, et son appui, j'ai démarré le projet de remplacement de l'ERP : cahier des charges, analyse des produits du marché, comparatifs, groupe de travail, copil, maquetage, décision, préparation, formation, etc. Toutes les étapes d'une gestion de projet classique sont déroulées pendant deux ans.

La chance de ce projet aura été d'être mené juste après plusieurs mois d'une analyse qualité menée par tous les acteurs de l'entreprise. Tous les processus métiers étaient décrits et organisés sur le papier (et bien entendu dans la tête des acteurs).

La deuxième chance de ce projet était le soutien indéfectible de la direction générale dès qu'il y avait des grincements de dents.

La troisième chance a été l'implication de tous les acteurs clefs de l'entreprise, et en particulier "les petites mains", qui avaient compris assez vite le côté "vital" de la réussite du projet.

Après deux années d'efforts, la bascule vers le nouveau système a eu lieu. Les données sont reprises depuis l'ancien système et tout le monde bascule vers le nouveau, après des formations adaptées. 80% des besoins sont rapidement couverts, puis 90% et enfin 100%.

Mais le service informatique est dans le rouge.

A suivre...

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.




22 janvier 2019

25 ans dans une startup - billet n.38

Introduction - billet n.37.5

Il restait à tirer les leçons de cet événement pour hausser le niveau de sécurité.

Depuis le piratage de ce blog en 2012, lors d'une conférence sur la sécurité informatique où j'étais invité comme conférencier pour parler de mes activités d'expert judiciaire (lire le billet "pwned"), je me suis intéressé de près aux questions de sécurité informatique. Mon premier réflexe a été de lire tout ce que je pouvais sur internet, et il y a une tonne de références.

Puis je me suis intéressé aux documents de l'ANSSI, référence en la matière, et en particulier à la méthode EBIOS. J'ai commencé par auditer mon périmètre personnel, mes pratiques un peu light et trop confiantes. J'ai ensuite modifié mes habitudes, et en particulier j'ai segmenté mes identités numériques : identité comme blogueur, identité comme professionnel, identité comme expert judiciaire, identité comme conseiller municipal, etc. La compromission d'une boite email de l'une de ces identités numériques ne doit pas impacter les autres. Enfin, j'espère.

Tout ce travail d'analyse a eu comme conséquence de mettre un peu d'ordre dans mes pratiques et hausser un peu mon niveau de sécurité : modification en profondeur de la politique de sécurité des systèmes d'information de mon entreprise, et étapes par étapes, amélioration des procédures et meilleure identification du périmètre de sécurisation. J'ai endossé, petit à petit, la fonction de RSSI, en plus de toutes les autres.

Ma politique en matière de sécurité informatique est assez simple : chaque compte informatique sera un jour piraté, chaque ordinateur sera un jour compromis et chaque utilisateur cliquera un jour sur un lien malicieux. Plutôt que de faire culpabiliser tout le monde sur ces sujets, j'essaye de mettre en place des outils pour anticiper l'intrusion, pour réparer la perte d'un poste de travail ou pour faciliter le redémarrage de l'activité en cas de compromission. Un mode "best effort" pragmatique mais organisé.

J'ai établi la liste des services rendus, à la mode ITIL, la liste des logiciels, la liste des risques, etc. Tout ce travail m'amenait vers une conclusion assez évidente : le logiciel informatisant notre cœur de métier, notre ERP, était agonisant. Il fallait d'urgence mener une opération de remplacement, une opération à cœur ouvert du système d'information.

A suivre...

--------------

Ce récit est basé sur des faits réels, les noms et certains lieux ont été changés.

La sécurité, un travail d'équipe (allégorie)



09 janvier 2019

La plus belle préface du monde

Photo © Mme Zythom
(cliquez sur l'image pour l'agrandir)
Je me tiens au courant de l'actualité à travers de nombreux sites web, sélectionnés en fonction de mes centres d'intérêt, mais aussi en fonction de l'être humain qui rédige les articles que je lis.

Je teste régulièrement les logiciels d’agrégation des flux de syndication RSS/Atom et je suis plutôt satisfait du site Inoreader, même si leur message anti bloqueur de publicité commence à suffisamment m'agacer pour que j'envisage de partir voir ailleurs... Vous aurez néanmoins une idée d'une partie des sites que je suis, en consultant ma liste de liens sur le côté droit du blog (version web).

Parmi les gens que j'apprécie, et dont je ne rate aucun billet, il y a un certain Stéphane Bortzmeyer, que j'ai eu la chance de croiser en chair et en os lors de plusieurs conférences. J'aime la grande expertise qu'il possède et sa capacité à en publier des billets clairs, même si je le reconnais, j'ai parfois du mal à suivre le niveau...

C'est pourquoi j'ai un peu paniqué quand il m'a contacté pour me demander d'écrire la préface de son ouvrage "Cyberstructure". J'ai cherché sur Internet un tuto pour savoir comment écrire une préface et j'ai découvert à ma grande surprise que c'était maintenant enseigné au collège, et même un exercice assez basique...

J'ai donc beaucoup lu sur le sujet, et essayé de mettre en pratique les conseils des enseignants : donner envie sans dévoiler, mettre en valeur sans se mettre en valeur, etc. Stéphane et son éditeur ont accepté que je puisse reproduire cette préface sur mon blog. La voici.

Déclaration d'éventuels conflits d'intérêts : J'ai écrit la préface sur la base du tapuscrit numérique envoyé par Stéphane Bortzmeyer. Son éditeur m'a ensuite proposé, comme c'est semble-t-il l'usage, de recevoir des exemplaires gratuits de l'ouvrage final. J'ai refusé, et je me suis procuré avec mes propres deniers un exemplaire de cet excellent ouvrage que je recommande d'avoir dans toutes les bonnes bibliothèques : "Cyberstructure - L'Internet, un espace politique". L'ouvrage est pour tout public, et pas seulement pour les geeks, les nerds, les experts judiciaires ou les avocates. Je ne touche aucun droit sur les ventes, pas même en Ethereum. Je n'ai reçu aucune rémunération, et aucun animal n'a été maltraité durant nos échanges chiffrés.

------------------------------------------------------------------------------ 

Préface

Quand Stéphane Bortzmeyer m’a demandé d’écrire la préface de cet ouvrage, j’ai essayé de comprendre pourquoi il contactait un petit informaticien expert judiciaire de province, inconnu de tous IRL. En fait, la réponse fait partie de la magie d’internet : cet assemblage de réseaux informatiques qui relient des ordinateurs, relie également les gens entre eux et permet des rencontres qui auraient été improbables dans le monde réel. Car oui, j’ai eu la chance de rencontrer Stéphane Bortzmeyer, de lui parler et de lui serrer la main (je n’ai pas fait de selfie avec lui car je trouvais cela un peu ridicule à l’époque, mais je me soigne depuis).

Comme beaucoup d’internautes, je lis avec attention les textes que Stéphane Bortzmeyer publie sur son blog http://www.bortzmeyer.org/ même si souvent leur contenu me semble a priori hors de portée, moi qui ne suis pas spécialiste des Request For Comments (RFC), ni du nommage internet sécurisé… L’éclairage qu’il apporte à ces sujets complexes permet de mieux comprendre comment fonctionne internet dans ces différents usages.

Aujourd’hui, tout le monde connaît internet, mais peu cherchent à en comprendre la dimension politique. Le livre que vous allez découvrir aborde ce sujet avec une prise de hauteur que peu d’experts techniques arrivent à avoir, en abordant par exemple la question de la neutralité de la technique, de la censure du web, de la vie privée, et bien d’autres encore. Stéphane Bortzmeyer montre ici toute sa capacité d’explication et partage avec nous sa vision humaniste du progrès technique.

Vous allez y trouver des réponses claires sur le fonctionnement d’internet, mais aussi des réflexions sur des points politiquement sensibles telles que la manière de prendre en compte les différentes langues humaines, ou l’influence des choix techniques sur l’exercice des droits humains.

En tant qu’expert judiciaire en informatique, j’ai dû me plonger, à la demande de magistrats, dans l’intimité numérique de nombreux citoyens, pour y rechercher des preuves éventuelles de leurs activités supposées criminelles. Cette violation légale du droit à la vie privée m’a amené à réfléchir sur le pouvoir qui m’était délégué par des lois votées par des femmes et hommes politiques qui n’ont pas toujours conscience de leurs impacts potentiels sur chaque citoyen. Un fait divers sordide entraîne souvent une réaction législative guidée par l’émotion de la population. Mais sommes-nous conscient de limiter nos libertés individuelles au nom d’une protection collective souvent illusoire ? Il faut ouvrir une réflexion.

Ce livre vous donnera beaucoup de réponses aux questions que vous vous posez sur le formidable outil qu’est internet. Mais il vous permettra surtout de redécouvrir une aptitude que nous possédions tous dans notre enfance : celle de se poser des questions. A vous ensuite d’essayer de trouver les bonnes réponses auprès de sources fiables. Ce livre en fait partie.

Je vous souhaite une lecture instructive.

Zythom, avec ma serviette de bain

08 janvier 2019

2019 sera une bonne année

Je vous souhaite à tous une bonne et heureuse année 2019. J'espère qu'elle vous sera agréable pour vous et vos proches.

De mon côté, je vais tout faire pour remonter la pente et reprendre une vie recentrée sur les choses importantes. Je pose ici une vidéo qui illustre bien cet état d'esprit :



La suite de la série "25 ans dans une startup" va reprendre après 3 mois d'interruption, mais à un rythme plus lent (un billet par semaine), toujours dans l'esprit de l'exercice d'écriture dont je parlais dans l'introduction. Je vais aussi intercaler d'autres billets sans rapport avec la série, mais plus près de ce que je fais dans le temps présent.

Comme je le disais dans le billet précédent, 2019 est pour moi une année de grands changements. Le blog va également changer d'orientation. J'en parlerai dans l'épilogue de la série des "25 ans dans une startup". Merci pour votre patience.

2019, c'est aussi un nombre qui a la propriété suivante : quand on l'écrit en binaire et qu'on compte de droite à gauche les nombres de bits identiques, le comptage est une suite strictement croissante :
11111100011 -> 2,3,6
La dernière fois, c'était avec 2017 (1,4,6) et la prochaine fois, ce sera avec 2032 (4,7).
De rien (source).

Zythom