En soi, une super-appli est simplement une application qui regroupe sur une seule et même plateforme des fonctionnalités et services qui sont normalement autonomes, surtout dans le monde mobile, le tout souvent associé à un système de paiement associé.
Pour le consultant Gartner, une super-appli est une sorte de couteau suisse qui associe un ensemble d’outils (des mini-applis) permettant à un utilisateur final – qu’il s’agisse d’un client, d’un partenaire ou d’un employé – d’accéder à toute une série de fonctionnalités et de services au départ d’une seule et même plateforme et à l’aide d’une interface unique. A noter que certains super-applis fonctionnent davantage comme des portails.
Dans le cadre d’un écosystème, ces différentes mini-applis sont enrichies d’une solution de messagerie et de paiement notamment, ce qui permet de créer une expérience utilisateur enrichie. D’autant que de telles super-applis peuvent également permettre de supporter des technologies comme les chatbots (agents conversationnels), l’internet des objets ou des univers immersifs comme le métavers, insiste encore Gartner.
L’Asie comme pionnière
Si la notion de super-appli reste assez peu connue en Occident, plusieurs géants asiatiques ont déjà déployé des super-applis à grande échelle. Il faut dire que le mobile y est bien plus répandu que chez nous.
C’est ainsi qu’en Chine, WeChat ne comptait pas moins de 1,3 milliard d’utilisateurs actifs mensuels au 3e trimestre de 2022, soit plus de deux tiers de la population. S’il s’agissait au départ d’une messagerie en ligne, la super-appli permet désormais de réserver des billets d’avion par exemple, mais aussi de commander un taxi, de payer divers services publics et même semble-t-il de divorcer.
En fait, le statut de super-appli est atteint lorsqu’une appli rassemble une masse critique de services qui sont particulièrement faciles à utiliser entre eux tout en étant performants et sécurisés. En l’occurrence, la super-appli devient le système d’exploitation de la vie numérique de l’utilisateur.
Gartner estime à quelque 2,7 milliards le nombre d’utilisateurs mensuels actifs dans le monde pour les 15 super-applis les plus populaires. Et indique que d’ici 2027, plus de 50% de la population mondiale accèdera quotidiennement à différentes super-applis. Il faut dire que la jeune génération est née avec un smartphone en mains. Ainsi, toujours selon le cabinet, 67% des consommateurs se disaient intéressés par l’intégration de plusieurs expériences numériques au sein d’une seule et même super-appli.
En entreprise
Si elles sont surtout populaires auprès des consommateurs, ces super-applis commencent à s’imposer dans le monde professionnel, toujours selon Gartner. Ainsi, dans le monde des fintechs ou de la banque, les entreprises commencent à s’intéresser à cette technologie pour améliorer l’expérience mobile et répondre aux besoins des utilisateurs. De même, les organisations voient dans cette technologie une manière d’améliorer l’expérience utilisateur de leurs clients, de leurs employés et de leurs partenaires commerciaux.
Au niveau des collaborateurs par exemple, une super-appli permettrait de créer des environnements de travail cohérents plutôt que d’obliger les employés à accéder à de multiples applis disparates.
Gartner recommande en l’occurrence d’analyser en détail les applications déployées dans l’organisation et de réfléchir à la manière de les consolider, surtout en s’intéressant aux fonctionnalités les plus recherchées, ce qui accélérera l’adoption de telles super-applis dans le cadre d’un écosystème plus cohérent et d’une plateforme commune.
En Occident
Si WeChat ou Alipay comptent chacun plus d’un milliard d’utilisateurs, les raisons sont multiples : une expérience mobile très développée, une population qui n’utilise que peu les banques, un marché très homogène et un support gouvernemental très important. Mais qu’en est-il en Occident ?
Les freins à l’adoption de super-applis sont multiples. Et tout d’abord culturelles puisqu’il n’est pas question chez nous de monopole pour les services. En outre, les super-applis se heurtent à la conformité au RGPD (règlement général sur la protection des données), sachant que la collecte et l’agrégation de données peuvent poser des problèmes, notamment en termes de respect de la vie privée. Enfin, il n’existe pour l’instant que peu de partenariats entre les géants du web, style Facebook, PayPal ou Uber, et les développeurs d’applis. Or la collaboration est essentielle au succès de super-applis. Enfin, le marché du smartphone n’est pas aussi développé en Occident (Europe et États-Unis) que dans le monde asiatique, tandis que les smartphones utilisés chez nous sont moins performants en matière de stockage, rendant plus difficile l’installation de super-applis sur de tels appareils.
Pour accompagner les entreprises dans leurs projets d’innovation et de transformation numérique, Aprico Consultants se positionne à la fois sur le plan stratégique et technologique. Pour supporter sa stratégie, Aprico a mis au point une méthodologie de travail originale articulée selon trois axes : smart, lean and agile. L’approche transversale d’Aprico, combinant métier, technologie et méthodologie, le tout associé à nos critères d’exigence, constitue l’un des facteurs clés de succès.
Comme de tradition en cette période de l’année, les grands cabinets de consultance IT y vont de leurs prédictions à l’intention des CIO. Nous avons retenu les analyses de Gartner et d’ESG (Enterprise Strategy Group).
Pour Gartner, dix grandes tendances devraient marquer 2023 et les prochaines années. Globalement, l’analyste Daryl Plummer, vice-président analyste distingué et Gartner Fellow estime que « les organisations devront se concentrer sur le maillon faible de la chaîne de leur succès. Le défi consistera à associer simultanément réflexion et action, sachant que l’incertitude est une source d’espoir et d’opportunités. »
Par ailleurs, Gartner précise que les options susceptibles d’ouvrir la voie à l’amélioration sont rarement restrictives et binaires. C’est ainsi qu’améliorer la durabilité peut se faire grâce à l’automatisation et l’intelligence artificielle. De même, les employés peuvent rechercher à la fois la flexibilité dans leurs horaires et le contenu de leur travail, alors même que l’inflation et la récession économique pourraient limiter leurs perspectives de carrière. Bref, tout l’art consistera à traduire les incertitudes en opportunités tout en rendant l’organisation plus flexible et adaptable – et en se préparant à toute éventualité.
Dix tendances technologiques de Gartner
ESG : poursuivre la transformation numérique
De son côté, le cabinet Enterprise Strategy Group (ESG) estime que, malgré les licenciements dans le secteur technologique et les conditions de marché incertaines, les organisations continueront à accroître leurs investissements en IT, notamment pour poursuivre leurs projets de transformation numérique.
Au-delà de la réduction des coûts d’exploitation et des investissements, ESG estime que 2023 devrait être marquée par l’amélioration des processus métier et de l’expérience utilisateur. Dans cette optique, les relations entre IT et business devront être renforcées : « IT is also a business function », affirme le cabinet.
Par ailleurs, trois tendances technologiques se dégagent. D’abord, la cybersécurité où la pénurie de talents IT obligera les entreprises à recourir à des services de sécurité gérés associant l’automatisation, l’IA et l’apprentissage machine. Ensuite, l’automatisation et l’IA précisément, compte tenu de la complexité croissante des environnements IT qui deviennent distribués et évolutifs. Enfin, l’observabilité, grâce à des outils et pratiques permettant de collecter des données pertinentes dans des environnements IT distribués, y compris l’identification automatique de nouvelles sources de données.
Si la plupart des entreprises ont désormais déployé des outils de surveillance de leurs infrastructures informatiques, certains fournisseurs estiment qu’elles devraient aller un pas plus loin en mettant en place des solutions d’observabilité. Car s’il est possible d’identifier les risques connus, comment faire face aux risques totalement inattendus ?
Alors que les plateformes informatiques deviennent toujours plus complexes et interconnectées, l’imprévisibilité de leur comportement ne fait évidemment que croître : paralysie, goulet d’étranglement, perte de performance, bogues, etc. Dans ces conditions, les systèmes actuels de surveillance révèlent toutes leurs limites.
En effet, il ne suffit plus de protéger les systèmes contre des défaillances connues à l’aide de solutions de surveillance. Car celles-ci sont conçues pour analyser des tendances, créer des tableaux de bord et alerter les équipes de réponse lorsqu’il problème survient. En d’autres termes, ce type de produits permettent d’identifier les « inconnues connues », entendez des problèmes qui ont déjà été rencontrés et pour lesquels une solution existe.
« Inconnues inconnues »
Or il existe de nombreux cas où un risque apparaît de manière totalement inattendue et se révèle difficile à anticiper. Ce sont les fameuses « inconnues inconnues » également appelés « angles morts » qui sont à ce point inattendues que les identifier et s’y préparer représente un effort en ressources humaines et en argent difficilement justifiable. D’autant que leur menace est surtout une question de volume.
Pour déployer une solution d’observabilité, trois composantes principales sont nécessaires. Tout d’abord, une instrumentation ouverte, à savoir un recueil de données de télémétrie open source ou propriétaire à partir de n’importe quelle source de données (application, service, infrastructure, conteneur, service cloud, appli mobile, etc.). Celle-ci offrira en effet une visibilité sur l’ensemble des applications et des plateformes. Ensuite, des entités connectées, dans la mesure où toutes les données de télémétrie collectées doivent être analysées dans le but d’identifier et de connecter les entités à l’origine de ces données, puis d’obtenir des métadonnées pour créer une corrélation entre les entités et leurs données. Enfin, une programmabilité, à savoir le contexte de l’entreprise et son type d’organisation, après quoi les données de télémétrie et les dimensions critiques de l’entreprise seront associées.
Bénéfices
Rendre une organisation observable d’un point de vue des opérations IT implique de connaître l’infrastructure dont dépend chaque métier ainsi que de développer et de fournir des expériences numériques susceptibles d’offrir un avantage compétitif.
En pratique, l’observabilité permet d’abord d’aligner les équipes sur les performances de l’entreprise. En effet, le suivi des performances orienté business plutôt que purement technique permet une résolution plus rapide des incidents et limite les dégradations de service. Par ailleurs, l’observabilité est un moyen pour les équipes métier d’optimiser les technologies numériques pour atteindre plus rapidement les objectifs de croissance. En outre, en combinant plusieurs niveaux d’informations dans des tableaux de bord centralisés (sur l’optimisation des ressources, les KPI métier, l’expérience utilisateur, l’expérience client, etc.), il est possible d’identifier rapidement tout problème et d’y remédier. En outre, l’entreprise s’en trouve ainsi plus compétitive grâce à une meilleure compréhension de son fonctionnement et une optimisation en continu de la chaîne de valeur numérique. Enfin, l’observabilité permettra de soutenir l’innovation en trouvant rapidement ce qui fonctionne et ce qui ne fonctionne pas, et en identifiant les points d’amélioration.
En d’autres termes, l’observabilité rend les équipes plus performantes, plus agiles, alignées sur les objectifs de l’entreprise, axées sur la compétitivité et innovantes.
Défis
Si l’observabilité peut apporter des résultats intéressants, le défi majeur consiste à collecter et à analyser les données pertinentes et de qualité. Pour ce faire, il faut disposer d’un outil adéquat. Car la technologie n’est qu’une partie (technologique) de la réponse, l’essentiel étant de structurer les équipes et de les préparer à tirer parti des concepts et des fonctionnalités offertes par l’outil. De même, il convient de définir d’emblée des KPI (key performance indicators), lesquels varient d’une application à l’autre. Car de mauvais KPI se traduiront inévitablement par de mauvais scénarios.
Aprico peut accompagner les équipes techniques du client dans la conception technique de la plateforme, notamment les considérations architecturales concernant la structuration des données. Enfin, au-delà des aspects techniques, Aprico peut prendre en charge la formation ainsi que le transfert de savoir-faire technologique.
Face aux critiques liées à la centralisation du web sémantique, un nouveau concept voit le jour : le web3 ou web 3.0. Avec comme volonté de proposer une infrastructure décentralisée intégrant notamment des technologies de chaîne de blocs.
D’emblée, une précision s’impose : le web3 ne doit pas être confondu avec le web sémantique qui était la 3e version du protocole principal du WWW (world wide web) imaginé par Berners-Lee. Rappelons que le web 1.0 (années 1990-2004) était principalement constitué de sites web statiques d’entreprises et n’offrait qu’une interaction très limitée aux utilisateurs, tandis que le web 2.0 (2004 à aujourd’hui) a évolué avec l’émergence des plateformes de réseaux sociaux pour devenir en ‘lecture-écriture’, les utilisateurs pouvant générer du contenu et s’engager dans des interactions.
Concept
Si le terme est certes un peu ‘fourre-tout’ pour désigner une nouvelle vision d’un internet meilleur, le Web3 s’appuie sur les chaînes de blocs, les cryptomonnaies et les NFT (non-fungible tokens ou jetons non-fongibles, à savoir une donnée valorisée composée d’un type de jeton cryptographique qui représente un objet auquel est rattachée une identité numérique).
Plus besoin donc d’autorisation pendant l’utilisation d’un service sur la Toile, sachant que personne ne pourra bloquer un utilisateur ou refuser un accès. Bref, plus question de censure abusive. En effet, l’autonomie est le principe numéro 1 du web3 qui se veut un processus dégroupé et distinct. Par ailleurs, ce nouveau Web3 est conçu sur la base de protocoles et de langages standards du web.
Autre spécificité : le fait d’offrir à l’utilisateur un outil lui permettant de gérer lui-même ses activités. En d’autres termes, les géants du web ne devront plus piloter les données personnelles des utilisateurs. Ce qui sous-entend que ces grands du web n’auront plus la mainmise sur la Toile et ne serviront plus d’intermédiaire.
Avantages/inconvénients
Parmi les avantages du Web3, la propriété et le contrôle des données sont évidents, de même que la limitation du nombre d’intermédiaires puisque la chaîne de blocs permettra de connecter directement les entreprises à leurs clients. La transparence sera aussi au rendez-vous dans la mesure où les utilisateurs pourront tracer leurs données et contrôler le code source des plateformes qu’ils utilisent, le tout sans intermédiaire.
La recherche d’informations sera également plus efficace puisque le moteur de recherche ne vous présentera plus les pages les plus populaires, mais les résultats les plus pertinents grâce notamment au recours à la sémantique. L’expérience de navigation sera davantage personnalisée (les sites web pouvant mieux identifier les préférences de chaque utilisateur), tandis que les services seront ininterrompus puisque les données seront stockées sur des nœuds décentralisés. Enfin, le marketing sera plus ciblé et donc plus performant dans la mesure où les centres d’intérêt des utilisateurs seront mieux cernés.
En dépit de ces avantages, les observateurs estiment que le Web3 pourrait nécessiter des appareils assez sophistiqués. De même, le concept risque d’être difficilement à maîtriser par les néophytes, tandis que les sites web de générations précédentes devraient sembler démodés et nécessiter une mise à niveau vers le Web3. De même, l’accès aux données ne devrait pas être facilité. Enfin, la nature même du Web3, à savoir sa décentralisation, pourrait rendre son contrôle et sa régulation plus délicates, et donc favoriser potentiellement la cybercriminalité.
Cas d’usage
Aux dires des observateurs, le Web3 devrait à l’avenir s’imposer dans de nombreux domaines. C’est ainsi que l’économie de créateur (de contenu), la chaîne de blocs, les médias sociaux et les jeux à base de chaîne de blocs sont autant de technologies qui permettront l’essor du Web3, sans oublier les sciences décentralisées, les navigateurs, le stockage, les solutions de streaming décentralisé ou encore les applications de la vie réelle. En effet, les plateformes étaient jusqu’ici trop centralisées, obligeant ces créateurs à se plier aux contraintes existantes.
Cela étant, le concept reste flou et nébuleux. « Cela ressemble plus à un terme de marketing en vogue qu’à une réalité », aurait déclaré Elon Musk, CEO de Tesla et SpaceX, pourtant lui-même un crypto-enthousiaste convaincu.
Balbutiements
Si le Web3 n’en est encore qu’à ses débuts et que des progrès doivent encore être accomplis, il est clair que la donne a changé et que des applications innovantes vont voir le jour. A cet égard, une collaboration avec un partenaire IT se révèle pertinente, voire nécessaire.
Aprico ambitionne d’aider les entreprises à innover et à repenser leurs processus métier en mettant la sécurité au centre de leur réflexion stratégique. Nous pouvons partager les bonnes pratiques, technologies et modèles organisationnels qui permettront à l’organisation de s’ouvrir sur l’extérieur et de partager l’information en toute sécurité.
Considérée par le cabinet Gartner comme l’une des principales tendances stratégiques technologiques de l’année, la data fabric permet l’intégration flexible et résiliente des différentes sources de données afin que les celles-ci soient disponibles partout où elles sont nécessaires. Mais comment y parvenir ?
Selon Tibco, spécialisée en logiciels d’infrastructures, la data fabric est une solution d’intégration et de gestion de données de bout en bout, composée d’un logiciel d’architecture, de gestion et d’intégration de données ainsi que de données partagées pour la gestion globale de données. La data fabric permet donc d’accéder et de partager les données avec une expérience utilisateur optimale dans un environnement sécurisé.
Avantages
Par rapport à des solutions traditionnelles d’intégration de données, la data fabric permet de gérer les données quelles que soient les types d’applications, de plateformes et d’emplacement de stockage. Elle répond dès lors aux exigences de connectivité en temps réel, de libre-service, d’automatisation et de transformations universelles.
Grâce au fait que la data fabric est avant tout une nouvelle architecture de données intégrée, l’organisation pourra mieux contrôler ses coûts, ses performances et l’efficacité de son stockage. Bref, savoir qui utilise quoi et comment, indépendamment de l’endroit de stockage des données et des applications. Et comme elle est gérée de manière centralisée, la data fabric est accessible partout, que ce soit sur site ou dans un cloud privé ou public.
En d’autres termes, la data fabric permet d’exploiter tout le potentiel des données pour répondre aux besoins business et gagner en productivité et compétitivité. De plus, les services IT peuvent tirer parti de la puissance du cloud hybride, gagner en automatisation et dès lors accélérer le développement, le test et le déploiement d’applications, tout en protégeant les ressources en continu.
Comment déployer une data fabric ?
Pour le cabinet Gartner, la data fabric ne doit pas se limiter à associer des technologies traditionnelles et modernes, mais se présente plutôt comme une approche susceptible d’optimiser la gestion des données en automatisant les tâches répétitives grâce à l’apprentissage machine.
Pour apporter une véritable valeur métier, Gartner estime qu’il faut s’appuyer sur une base technologique solide, puis identifier les fonctionnalités de base et évaluer les outils existants de gestion des données. Pour ce faire, associer des solutions développées en interne et achetées sur le marché est l’approche la plus appropriée. Ainsi, il serait possible de trouver une plateforme répondant à 65 ou 70% des besoins, après quoi les autres fonctionnalités proviendront d’une solution sur mesure.
Toujours selon Gartner, une data fabric globale doit être constituée de trois piliers. Primo, l’information contextuelle est à la base d’un concept de data fabric dynamique. En effet, il faut disposer d’un mécanisme permettant à la fabric d’identifier, de connecter et d’analyser tous types de métadonnées (techniques, métier, opérationnelles ou sociales). Secundo, la fabric doit convertir les métadonnées passives en métadonnées actives. Pour ce faire, il faut analyser en permanence les métadonnées disponibles au niveau des métriques et des statistiques clés pour construire ensuite un modèle graphique. Et tertio, la fabric devra générer et nettoyer les graphes de connaissance qui serviront aux décideurs à créer de la valeur métier en enrichissant les données à l’aide de sémantique.
Retour sur investissement
Alors que les entreprises ont aujourd’hui tendance à travailler en silos, ce qui crée de nombreuses façons différentes de gérer les données et d’y accéder, la data fabric entend répondre aux défis suivants : données situées sur plusieurs sites et dans le cloud, plateformes informatiques hétérogènes, données structurées et non-structurées qui se côtoient, niveaux de maintenance différents des fichiers, bases de données et application, sans parler de la croissance exponentielle des volumes de stockage.
Pour garantir un meilleur ROI possible, quatre conditions doivent être remplies : stimuler la réutilisation des données, éliminer les réplications inutiles de données, créer un jumeau numérique de tous les ‘objets’ de l’entreprise, et accélérer les délais d’analyse.
Une récente étude d’IBM estime que de 60 à 73% des données d’entreprise ne sont absolument pas exploitées. Or chacun sait que les entreprises qui gagneront demain et seront les plus compétitives sont celles qui allient connaissances et analyses des données. Il conviendra donc de combler le fossé entre connaissances disponibles et informations, puis de transformer les informations en analyses.
Aprico Consultants est une société de consultance de premier plan qui guide la stratégie et la transformation ICT dans le but de stimuler la performance, la productivité et la compétitivité de votre organisation. Nous combinons une expertise pointue à une parfaite compréhension du contexte et de l’expérience du client ainsi qu’une approche de bout en bout dans tous les secteurs, depuis la consultance jusqu’au déploiement de solutions.
Pour que le data scientist puisse exploiter de manière optimale les données présentes dans et en-dehors de l’organisation, encore faut-il qu’il dispose de données de qualité. Telle est la mission de l’ingénierie de données.
Permettez-nous d’enfoncer une porte ouverte : les données sont certes le nouvel or noir des entreprises, mais que les organisations croulent sous les données dont il est difficile, voire impossible, d’extraire des informations pertinentes et utiles, et donc de prendre les bonnes décisions au bon moment et au bon endroit.
Exploiter la donnée
Aujourd’hui, toute organisation stocke des données à la fois structurées et non-structurées, générées soit en interne, soit par des partenaires extérieurs ou des sources de données tierces, comme Google notamment. Ces données doivent être considérées comme de la ‘matière première’ qu’il conviendra de rendre intelligible.
C’est à ce niveau qu’intervient le data scientist dont la mission sera d’analyser les données en profondeur, de construire des modèles prédictifs et de communiquer les résultats aux ‘décideurs’ dans l’entreprise.
Traiter la donnée
Mais avant que le data scientist ne puisse traiter la donnée, il importera de la rendre exploitable. C’est le rôle dévolu au data engineer. Son travail consistera à travailler en amont du data scientist en créant des plateformes qui facilitent le traitement de gros volumes de données (big data) ainsi qu’en s’assurant que les échanges de données soient fiables et sécurisés.
Dans le cycle de la donnée, le data engineer intervient donc à deux niveaux, à savoir la collecte et le stockage des données. Il s’agira de construire des entrepôts de données de grande taille (datawarehouses) ou de plus petites tailles et dédiés (datamarts).
Métier spécifique
Alors que le data scientist analyse et exploite les données, le data engineer a davantage un profil de technicien. Son activité principale consiste à préparer les systèmes et les réseaux sur lesquels vont travailler les data scientists. Il lui revient de bâtir les réservoirs de données qui stockeront et tester les données. De même, il gèrera les systèmes de traitement et les bases de données et en assurera le bon fonctionnement.
Ses compétences sont davantage techniques et couvrent l’architecture de bases de données, la maîtrise des outils de modélisation et des langages de programmation, le codage, le recours aux technologies SQL et NoSQL ainsi que l’exploration des données, le cas échéant avec l’intelligence artificielle et l’apprentissage machine, ce qui exigera une bonne connaissance des algorithmes. Il va de soit que la compréhension des outils de big data comme Hadoop ou de l’ETL seront autant d’atouts.
Trois profils
Dans l’entreprise, l’ingénieur de données pourra remplir trois types de mission. D’abord, en tant que généraliste, assurer la collecte, la consolidation et le traitement des données de bout en bout au sein d’une petite équipe et dans le cadre d’un projet de petite dimension. Ensuite, l’ingénieur ‘pipeline-centric’ qui s’intégrera dans une équipe d’analytique de données de taille moyenne et prendra en charge des projets plus complexes dans le cadre de plateformes distribuées. Enfin, l’ingénieur ‘database-centric’ qui assurera l’implémentation, la maintenance et la dissémination de bases de données analytiques. Son rôle conviendra davantage à de grandes organisations où les données sont réparties entre différentes bases de données. En général, l’ingénieur de données travaillera sur les données à la fois structurées et non-structurées.
Globalement, les responsabilités de l’ingénieur de données seront : la conception et la gestion de bases de données et/ou du data lake ; la collecte de différentes sources et rapprochement ; la mise en place de pipelines permettant d’automatiser les différentes étapes d’acquisition des données, de l’extraction jusqu’au stockage ; la création d’outils permettant d’accéder aux données ; et la gestion de la scalabilité de l’infrastructure (horizontale et verticale) de manière transparente pour les autres acteurs.
Collaboration étroite
En général, l’ingénieur de données travaille au sein d’une équipe d’analytique en étroite collaboration avec le data scientist. Il fournit des données dans des formats exploitables par le data scientist qui lance des requêtes et fait tourner des algorithmes pour obtenir de l’analytique prédictif, de l’apprentissage machine ou du data mining. Par ailleurs, il livre des données agrégées à l’intention de la direction et des analystes ainsi qu’à d’autres utilisateurs à des fins d’analyse, ces résultats permettant alors d’améliorer les opérations.
Enfin, sans une infrastructure de développement en interne, qu’il s’agisse de la plateforme et des logiciels associés. Avec l’arrivée du ‘as-a-Service’, même les développements informatiques se font dans le cloud, permettant ainsi d’éliminer une partie de la complexité liée à l’exploitation, et donc de rendre l’expérience développeur plus confortable. Sans parler de la réduction des coûts…
Le concept de base du serverless computing est relativement trivial : accéder à des services back-end facturés à l’utilisation. En d’autres termes, un fournisseur d’informatique sans serveur permet à son client d’écrire et de déployer du code sans se préoccuper de l’infrastructure sous-jacente et facture l’utilisation de ses services sur base de leur consommation. Certes, ce type de service fait évidemment appel à des serveurs, mais ceux-ci sont hébergés par le prestataire de services qui en assume la maintenance et l’évolution technologique.
En général, les services back-end proposés concernent les bases de données et le stockage, mais certains fournisseurs offrent aussi des plateformes de type FaaS ou Function-as-a-Service qui permettent aux développeurs d’exécuter de petites parties de code en périphérie du réseau. Par ailleurs, certains fournisseurs proposent également du BaaS (Backend-as-a-Service) qui englobe notamment des services d’authentification, des options de chiffrement plus poussées, des bases de données accessibles dans le cloud, etc. Dans ce type de modèle BaaS, les fonctions sans serveur sont en général appelées des API (interfaces de programmation d’applications).
Avantages
On l’aura compris, l’un des attraits majeurs de l’informatique serverless est de permettre de réduire les coûts d’investissement en serveurs puisque ceux-ci résident chez le prestataire de services. De plus, les coûts d’exploitation sont variables et limités à l’utilisation de la capacité de calcul et/ou de l’espace de stockage. De même, l’agilité souvent nécessaire aux développements permet de ne pas sous-dimensionner ou surdimensionner l’infrastructure. La productivité des développeurs pourrait en outre s’améliorer puisque ceux-ci ne devraient pas se charger des tâches d’approvisionnement et de gestion des serveurs, tandis qu’ils auraient à leur disposition une infrastructure répondant au plus près à l’évolution de leurs besoins.
En outre, la mise en production d’applications est plus rapide puisque le processus de déploiement est nettement réduit, tandis que les développeurs peuvent travailler avec des conteneurs gérés par le fournisseur de cloud.
Enfin, le serverless stimule l’adoption de pratiques DevOps, voire SecDevOps, dans la mesure où les développeurs ne doivent plus décrire explicitement l’infrastructure de développement que l’équipe d’exploitation doit leur fournir.
Inconvénients
Si l’informatique sans serveur peut apparaître comme idéale, il faut remarquer que le fait de ne pas disposer de ses propres serveurs et de ne pas contrôler sa logique côté serveur peut présenter certains inconvénients. De même, un fournisseur de services risque d’appliquer ses propres contraintes d’interaction avec ses serveurs internes, ce qui peut limiter la flexibilité et le niveau de personnalisation de l’infrastructure.
Enfin, comme toute dépendance vis-à-vis d’un fournisseur (le vendor lock-in), en cas de changement de prestataire de services, vous devrez probablement payer un surcoût pour la mise à niveau de l’infrastructure.
Cas d’utilisation
Une architecture serverless convient parfaitement aux applications asynchrones et stateless (une application sans état est indépendante et ne stocke pas de données ni de référence à une transaction passée, et est donc exécutée à partir de rien, comme si s’était la première fois). Ce type d’approche est également adapté pour faire face à des pics de demande peu fréquents et imprévisibles. C’est le cas par exemple du traitement par lots de fichiers image entrants.
Par ailleurs, le serverless peut s’appliquer aux cas d’utilisation basés sur des flux de données entrants, des chatbots, des tâches programmées ou de la logique métier. De même, les API backend et les applications web, l’automatisation des processus métier ou encore les sites web sans serveur constituent des cas pratiques intéressants.
Il est clair que l’arrivée sur le marché de solutions d’orchestration de conteneurs (style Kubernetes ou Knative dans le monde open source) qui permettent d’exécuter des applications conteneurisées sur une infrastructure automatisée contribue largement au succès du serverless.
Avenir
L’informatique serverless actuelle reste confrontée à certains défis, comme la problématique des démarrages à froid. En effet, un fournisseur qui constate qu’une fonction serverless spécifique n’est pas utilisée aura tendance à la désactiver. Et si le client décide de l’utiliser à nouveau, une certaine latence sera nécessaire avant le redémarrage.
Dès lors, avec le succès croissant du sans serveur ainsi que l’amélioration de l’intégration et des états, les fournisseurs devraient passer au ‘serverless 2.0’ et donner un nouvel élan à cette technologie.
Pour aider les organisations dans leur transformation numérique, Aprico Consultants collabore avec ses clients pour traduire la stratégie de l’entreprise, ses objectifs et ses contraintes en programmes de transformation pragmatiques qui délivrent une véritable valeur ajoutée et un retour sur investissement avéré. Aprico Consultants permet à ses clients d’accélérer résolument leurs processus de transformation numérique en apportant la flexibilité, la performance et la compétitivité nécessaires pour leur permettre de renforcer leur position sur le marché.
La gestion et la gouvernance des API (application programming interfaces) peuvent permettre de stimuler le business en ouvrant de manière sécurisée les systèmes d’information de l’entreprise et en facilitant la migration vers le cloud.
Comme chacun sait, une API est une solution logicielle permettant à des applications de communiquer entre elles. En outre, elles sont au cœur du cloud puisqu’elles facilitent l’exploitation de services dans le nuage et sont le fondement de la transformation numérique en adaptant des plateformes autrefois fermées en systèmes ouverts et interconnectés. Enfin, elles sont la porte d’entrée du système d’information, que ce soit au niveau des données ou des services.
En effet, une API bien conçue peut être partagée, sécurisée, distribuée, contrôlée et monétisée sur une plateforme d’infrastructure qui prend en compte les performances, le contrôle des utilisateurs et l’évolution future.
Stimuler l’adoption des API
Pourtant, il semble que les API ne soient pas suffisamment mises en œuvre par les entreprises. Ainsi, une étude récente du cabinet Forrester Consulting baptisée « 2022 Axway API Adoption Survey » montre que 71% des organisations interrogées n’ont pas obtenu les résultats commerciaux prévus de leurs API. Et 86% des décideurs en matière d’API admettent que la valeur de leurs API ne réside pas tant dans leur seule existence que dans leur consommation. « De nombreuses entreprises sont enthousiasmées par les API, mais il est essentiel de se concentrer sur la création des bonnes API, celles qui apportent une valeur commerciale. Ce qui manque souvent, c’est une vue globale des API pour prendre des décisions fondées sur des données », analyse Brian Pagano, chief catalyst d’Axway. Avant d’enchaîner : « La bonne plateforme de gestion des API permet de combler le fossé entre le développement et l’utilisation grâce à une gouvernance centralisée et automatisée. »
Il importe donc d’instaurer une culture de l’API en faisant de celles-ci non pas une solution technique, mais bien une source de business. « Ce qui manque souvent, c’est une vision globale des API et des métriques pour prendre des décisions fondées sur des données », poursuit Brian Pagano.
Gouvernance des API
De son côté, le cabinet Forrester estime dans son rapport « The Forrester Wave, API Management Solutions, Q3 2020 » que, compte tenu du large éventail de cas d’utilisation des API, l’entreprise doit se montrer particulièrement prudente dans le choix de son fournisseur d’outils de gestion d’API. Ainsi, il faudra que ce dernier s’aligne sur la stratégie en matière d’API de l’entreprise, notamment en assurant une couverture la plus large possible de ses besoins. Ce fournisseur devra par ailleurs comprendre la manière dont l’entreprise s’engage vis-à-vis de ses utilisateurs, qu’ils soient internes ou externes. Ainsi, une entreprise pourra être ‘dirigiste’ et définir des procédures très strictes et une documentation très structurée, ou au contraire non interventionniste et donc adepte du laisser-faire pour les développeurs.
Enfin, le fournisseur devra soutenir les processus de conception d’API et permettre ainsi d’avoir des flux cohérents de bout en bout lorsque ces solutions de gestion seront combinées à d’autres outils.
Avantages
Une solution de gestion des API vise à centraliser le contrôle des API et devra inclure les fonctionnalités suivantes : un portail pour les développeurs (permettant d’accéder à la documentation et aux processus d’intégration), une passerelle d’API (le point d’entrée unique), des fonctions de gestion du cycle de vie des API (depuis leur déploiement jusqu’à leur retrait), des fonctions d’analyse (pour suivre l’activité des API) et un support de la monétisation des API (dans le cadre de contrats d’utilisation).
Si les API facilitent grandement la tâche des développeurs, encore faut-il que ceux-ci soient en mesure de les découvrir, de s’y abonner et de les utiliser. En effet, 69% des DSI interrogés dans l’étude d’Axway évoquée ci-dessus indiquent que le retour sur investissement des API augmenterait de 21% en moyenne si les API étaient mieux exploitées dans l’entreprise.
Enjeux
Si les choix technologiques sont (évidemment) importants, la composition des équipes chargées de la gestion des API est un aspect à ne pas négliger. (4) En effet, il faut pouvoir combiner des compétences diverses et variées afin de constituer un écosystème susceptible d’évoluer dans le temps. Par ailleurs, la gouvernance du programme API revêt une importance particulière.
Enfin, il faudra sans doute recourir à de la consultance externe, surtout si l’équipe de gestion API est réduite ou de de nouvelles équipes sont mises en place.
Aprico Consultants est une société de consultance de premier plan qui guide la stratégie et la transformation ICT dans le but de stimuler la performance, la productivité et la compétitivité de votre organisation. Nous combinons une expertise pointue à une parfaite compréhension du contexte et de l’expérience du client ainsi qu’une approche de bout en bout dans tous les secteurs, depuis la consultance jusqu’au déploiement de solutions.
Gérer la stratégie de transformation numérique et sa mise en œuvre dans une organisation peut être encadrée par un outil de balanced scorecard (BSC) déjà largement utilisé pour mesurer la performance de la stratégie d’entreprise.
Concept né dans les années ’90 à la Harvard Business School, le balanced scorecard est destiné au départ à ne pas limiter la gestion stratégique d’une entreprise à des mesures financières uniquement. L’idée était donc de gérer la performance stratégique à l’aide d’un tableau de bord équilibré qui permet de traduire la stratégie et la mission d’une organisation sous forme de critères tangibles susceptibles d’être mesurés et prioritisés.
En pratique, quatre axes avaient été définis sur la base de tableaux de bord : perspective financière (économie), perspective des processus métier internes (processus), perspective client (client) et perspective de connaissance, de formation et de croissance (apprentissage). Des indicateurs sont ensuite déterminés pour chaque perspective en fonction du contexte et des besoins de pilotage.
IT BSC
Comme l’informatique s’impose comme un composant essentiel de la gestion d’une organisation, il devenait indispensable de mesurer les performances de l’IT et de définir ses objectifs stratégiques. Or l’émergence du cloud et des méthodologies agiles modifient fondamentalement le pilotage de l’IT, sans oublier évidemment l’externalisation informatique et le concept ‘as-a-Service’.
Toutes ces nouvelles évolutions modifient en profondeur les rôles, les comportements et les compétences des équipes IT. De nouvelles valeurs voient le jour, comme la transparence et la gouvernance, tandis que les missions des informaticiens se transforment, passant d’un rôle d’exécution à celui d’encadrement, de coordination et de support. De même, le manager voit sa fonction se transformer vers une position de pilotage plutôt que de contrôle.
Quelle approche ?
Globalement, deux approches peuvent être envisagées. D’une part, utiliser les métriques existantes du BSC d’entreprise pour les appliquer à l’IT, avec comme avantage que toutes les parties « parlent le même langage ». En l’occurrence, les critères employés dans les départements RH, finances ou comptabilité pourraient servir dans l’IT.
L’autre approche consiste à créer des tableaux de bord spécifiques à l’IT en s’appuyant sur les quatre axes évoqués ci-dessus et en les adaptant aux besoins de l’IT, voire en créant de nouveaux critères de mesure. Dans ce cas, les experts suggèrent d’opter pour des KPI (key performance indicators) qui soient distincts de ceux du BSC d’entreprise.
En pratique, il s’agira dans un premier temps de définir les objectifs pour chaque vue du tableau de bord prospectif. Ensuite, il conviendra de choisir des indicateurs pertinents pour chaque objectif, puis de fixer une valeur cible (le niveau de performance souhaité). Enfin, il s’agira de sélectionner des initiatives stratégiques, à savoir des actions et projets menés pour atteindre les objectifs fixés. En fonction des actions/projets choisis, il sera peut-être nécessaire de descendre d’un niveau et de s’intéresser aux plans d’action opérationnels.
A noter que les actions menées pour chaque perspective s’inscrivent dans une cohérence d’ensemble où l’on retrouve donc à la fois la vision, les objectifs, les indicateurs et les initiatives.
Défis
Si le BSC et l’IT BSC sont désormais assez largement répandu dans les (grandes) entreprises, plusieurs défis doivent cependant encore être relevés. Ainsi, l’IT BSC exige une customisation plus ou moins importante, ce qui est lourd en termes de ressources et de délai de mise en œuvre, mais risque également de s’écarter de l’objectif premier, à savoir de mesurer sur une même base le département informatique et les autres entités organisationnelles.
De même, cet IT BSC exige l’adhésion des collaborateurs du département informatique ainsi que du management pour assurer des mesures à la fois cohérentes et précises. De même, une nouvelle culture d’entreprise devra être instaurée pour éviter que l’on se tourne trop vers le passé – « C’est ce que l’on a toujours fait ! » – pour se concentrer sur ce qui est aligné ou non sur la stratégie.
Valeur ajoutée
L’implémentation d’un IT BSC se justifie par plusieurs raisons : offrir une vue cohérente de la stratégie IT, améliorer la communication stratégique avec l’IT, renforcer la compréhension entre les différents métiers au sein du département IT, définir un engagement plus fort vis-à-vis des objectifs définis et enfin mettre en place l’apprentissage stratégique.
Plus globalement, l’IT BSC permettra de mesurer la valeur IT de l’organisation et lui permettre dès lors de s’approprier des projets à haute valeur ajoutée et innovants.
Aprico Consultants est une société de consultance de premier plan qui guide la stratégie et la transformation ICT dans le but de stimuler la performance, la productivité et la compétitivité de votre organisation. Nous combinons une expertise pointue à une parfaite compréhension du contexte et de l’expérience du client ainsi qu’une approche de bout en bout dans tous les secteurs, depuis la consultance jusqu’au déploiement de solutions.
Qui mieux qu’un pirate informatique est à même de vérifier la sécurité d’une application mise au point par un développeur ? Avec à la clé un ‘bug bounty’ ou prime aux bogues. Selon le principe : « C’est avec les braconniers que l’on fait les meilleurs gardes-chasse. »
Le principe du bug bounty est trivial. Aujourd’hui encore, le développement de logiciels reste un processus complexe et fragile, souvent réalisé par des humains. Et comme « l’erreur est humaine », un logiciel est donc susceptible de comporter des fautes. D’autant qu’un tel logiciel est en général conçu par plusieurs développeurs qui ne sont pas forcément toujours sur la même longueur d’onde. De plus, un logiciel est classiquement soumis à des mises à niveau et autres améliorations qui le complexifient, ce qui multiplie le risque de problème. Sans oublier que dans l’urgence (le métier attend normalement son application avec impatience), le logiciel n’est pas toujours soumis à des tests et vérifications poussées, tant au niveau de la cohérence du code que de la (cyber-)sécurité notamment.
Et avec les projets numériques qui se multiplient au sein des entreprises, la pression sur l’informatique pour accélérer le déploiement d’applications se fait toujours plus forte, d’où le risque de court-circuiter le processus de vérification du code et de sécurisation des programmes.
Récompense
Vous l’aurez compris : un logiciel n’est jamais parfait, n’en déplaise aux développeurs d’applications. Et si les outils de sécurité se cessent de se développer, aucun logiciel n’est à l’abri d’une faille. D’où l’idée émise par certaines organisations de renforcer leur cybersécurité en mettant en place des solutions de bug bounty visant à embaucher des pirates éthiques pour découvrir et signaler une vulnérabilité dans une application. Bref, de proposer à des chasseurs de prime ‘de confiance’ de mettre leurs compétences diverses et variées au service de la sécurité des applications.
En pratique, un programme de prime aux bogues commence par la définition du périmètre à sécuriser et du budget alloué. Cela permet à l’entreprise d’exclure certains domaines, notamment pour éviter de perturber le fonctionnement de l’organisation. Par ailleurs, le montant de la récompense sera en général proportionnel à l’impact potentiel de la faille découverte. Même s’il faudra éviter bien sûr que le pirate éthique se contente des ‘low hanging fruits’, entendez les résultats faciles et donc les plus rémunérateurs. Cela dit, la motivation des hackers n’est souvent pas le seul appât du gain.
Une fois que le pirate aura découvert une faille, il conviendra de lui demander un rapport précis du problème ainsi que de son impact et son degré de gravité. Ensuite, le pirate précisera la manière de reproduire le bug, ce qui permettra aux développeurs de le documenter et de le confirmer. Après quoi la prime sera versée…
En pratique
Globalement, deux approches peuvent être envisagées pour la mise en place d’une solution de bug bounty. D’une part, héberger en interne une telle solution. Mais au préalable, il faudra prévoir une plateforme de communication, un système de suivi des bugs et une passerelle de paiement. L’autre méthode consiste à s’adresser à l’un des nombreuses plateformes existantes. Citons par exemple YesWeHack, Open Bug Bounty, HackerOne, BugCrowd, SafeHats, Intigriti ou Synack.
Ajoutons que pour aider les entreprises à mettre en place une approche de bug bounty, le Centre pour la CyberSecurity Belgium propose sur son site (4) une ‘coordinated vulnerability disclosure policy’ CVPD. Il s’agit d’un ensemble de règles définies à l’avance par une organisation responsable des systèmes IT pour permettre à des pirates éthiques d’identifier les vulnérabilités potentielles dans ses systèmes ou de fournir toute information pertinente à propos de ces failles. Un tel programme de prime aux bogues couvre l’ensemble des règles établies par l’organisation responsable pour donner des récompenses aux participants qui identifient des vulnérabilités dans les technologies qu’elle utilise. Il s’agit d’une sorte de politique coordonnée de divulgation des vulnérabilités qui prévoit des primes en fonction du volume, de l’importance et de la qualité des informations fournies.
D’ores et déjà, de nombreuses grandes entreprises ont mis en place des approches de primes aux bogues. Et notamment la plateforme d’e-commerce Shopify qui a fait de la sécurité une priorité absolue. Ou encore le site d’appli mobile Yelp qui publie des avis participatifs sur les commerces locaux.
Aprico ambitionne d’aider les entreprises à innover et à repenser leurs processus métier en mettant la sécurité au centre de leur réflexion stratégique. Nous pouvons partager les bonnes pratiques, technologies et modèles organisationnels qui permettront à l’organisation de s’ouvrir sur l’extérieur et de partager l’information en toute sécurité.