Covid 19 : « il est important de penser, dès aujourd’hui, son système d’information de demain »
La Covid 19 a paralysé les économies mondiales, obligeant les entreprises qui le pouvaient à passer dans l’urgence au télétravail. Mamoudou Traoré, consultant sénior en direction des systèmes d’information partage son analyse de la situation et les approches nécessaires de transition numérique pour prévenir et limiter le chaos que nous avons pu connaitre.
A 50 ans et plus de 25 ans de carrière, Mamoudou Traoré a assumé de hautes responsabilités dans les directions des systèmes d’information de grands groupes tels que Chanel, SFR, Orange, Monoprix ou encore Axa. Consultant indépendant il accompagne, avec sa société Transfo Labs, grands groupes et PME dans leur développement et dans leur transition au numérique.
MeltingBook : Quelles réflexions vous inspirent la crise de la Covid 19 ?
Mamoudou Traoré : La crise sanitaire s’est muée très vite en crise économique. Il y a eu beaucoup de plans de relance, les banques centrales ont décidé d’injecter de l’argent dans les économies, l’Etat a subventionné le travail avec les aides quant au chômage partiel, les aides pour les professions libérales etc.
L’économie a pris un sacré coup avec ces quasi 3 mois d’arrêt, et on sait que les effets vont perdurer à la rentrée et probablement sur toute l’année 2021. Il y a une nécessité à reprendre et à reprendre fort l’activité économique. Il va falloir travailler cette nouvelle donne, avec la présence de la Covid 19.
Dès lors, comment travailler en étant en sécurité ? La première réponse est le travail à distance. Mais on pourrait le décliner tout de suite en disant que c’est une bonne solution, mais qu’il y a des inconvénients.
Tout le monde ne peut pas, ou n’aime pas, travailler à distance. Parce qu’il y a un manque de lien social. Dans certains cas, on a aussi besoin d’être avec ses collègues. Les réunions Zoom, ça ne fait pas tout !
D’un autre côté, nous avons des entreprises en difficulté. Parce qu’elles n’ont pas produit pendant 3 mois. Ça veut dire qu’elles doivent mettre les bouchées doubles pour essayer de rattraper, quand c’est possible, le manque d’activité.
Ce qui est impossible dans des secteurs, tels que l’hôtellerie ou la restauration. On ne peut pas rattraper des nuitées d’hôtel ou les plats qu’on n’a pas vendus. Il y a des choses qui sont définitivement perdues pour certaines branches de l’économie.
Par contre, pour les entreprises qui font du service, l’objectif est de vendre plus ou de vendre mieux. Et ça implique de donner un nouvel élan à son activité et c’est là que la transformation digitale va pouvoir aider.
MeltingBook : De nombreuses entreprises qui ont dû se déployer en télétravail avec la crise, y voient une opportunité de repenser en tout ou partie leurs façons de travailler. Le télétravail est-il la panacée du travail moderne ?
Mamoudou Traoré : C’est une bonne approche dans l’absolu. Parce que passer à un ou deux jours de travail à distance reste pertinent. C’est-à-dire que les salariés n’ont pas à se coltiner les transports en commun ou la voiture pour venir travailler. Le temps de trajet moyen, en Île de France, pour aller travailler est de 44 minutes ( jusqu’à 52 minutes en transport en commun ).
Donc une heure et demie à une heure quarante-cinq aller-retour. Autant de temps qu’on permet aux salariés d’économiser, ce qui n’est pas négligeable. Ça c’est positif. C’est-à-dire que les enseignements qu’on a tirés de la Covid 19 est qu’il y a peut-être un mix à trouver entre la présence physique au bureau et le travail à distance. C’est quelque chose qu’on peut voir d’un très bon œil.
D’un autre côté, cela pose des questions d’ordre pratique. Comme la connexion dont on dispose (ou pas) chez soi. Il faut aussi pouvoir trouver le juste milieu pour éviter d’être toujours chez soi devant son ordinateur dans des appels visio ou téléphoniques. Il y a des limites qu’il va falloir trouver.
Le travail à distance est quelque chose qui s’apprend. C’est une nouvelle manière de travailler, c’est une nouvelle routine à acquérir. Sans compter que les personnes ont aussi des familles à gérer et ce n’est pas toujours évident de travailler à la maison tout en s’occupant de ses enfants, avec un désavantage manifeste pour les femmes à qui, il faut le reconnaître, échoie souvent cette charge.
MeltingBook : La question de la sécurité informatique, avec des salariés qui se connectent depuis chez eux revient également souvent…
Mamoudou Traoré : L’accès aux systèmes d’information quand on est à distance pose plusieurs problèmes. Le premier problème est l’ordinateur qu’on utilise à la maison et notre liaison Internet. Il faut que tout soit sécurisé. Pour éviter qu’un hacker ou qu’une personne mal intentionnée prenne le contrôle de votre ordinateur et s’introduise sur le système d’information de la société.
Il y a bien des solutions comme l’outil VPN (Virtual Private Network). C’est-à-dire qu’on va créer un lien sécurisé entre votre ordinateur et votre box Internet.
Si votre ordinateur est infecté par des virus, il y a là aussi des solutions en matière de cybersécurité dans un cadre de télétravail, comme bien évidemment faire tourner de manière régulière des anti-virus dans ses systèmes d’information.
Mais il est également intéressant de mettre en place, dans une zone dite « démilitarisée » (DMZ en anglais pour Demilitarized zone), pour donner accès à certaines données pour lesquelles on ne risque pas grand-chose. C’est-à-dire des documents aux informations peu sensibles pour l’entreprise et qui n’auront aucune valeur intrinsèque pour un hacker par exemple.
Pour les autres documents, il faut qu’on puisse avoir non seulement contrôler l’état de l’ordinateur qui est utilisé avec un scan antivirus automatique qui est fait dès qu’une personne se connecte. On peut ainsi demander un contrôle d’intégrité sur l’ordinateur pour vérifier qu’il est bien sain et qu’il n’y a pas de virus.
En plus, on peut, et on doit, demander une authentification à la personne pour qu’elle confirme qu’elle est bien qui elle dit être. Et c’est après cette dernière étape, que l’on va pouvoir donner accès à l’ensemble des systèmes d’information de l’entreprise.
MeltingBook : Beaucoup d’entreprises n’ont pas ce process. Quels sont au fond les risques ?
Mamoudou Traoré : Certaines entreprises n’ont pas conscience que tout peut partir d’un simple mail. Le fishing (hameçonnage) est une technique informatique malveillante pour récupérer vos données personnelles.
Quand il est bien réalisé, il peut prendre la forme d’un email aux couleurs et à la marque de votre société. Ce qui fait que vous n’allez pas forcément regarder dans le détail. Ça ressemble à un mail qui émane de votre société, mais ça n’en est pas un.
Souvent ce qui se passe c’est que sous un prétexte fallacieux, on va vous demander de cliquer sur un lien qui vous envoie sur une page qui ressemble à l’intranet de la société et on vous demande de remplir certaines informations personnelles. Ce que vous pouvez faire en toute bonne foi.
Et vos informations vont, en fait, être récupérées par une tierce personne qui va en faire un mauvais usage. Elle est potentiellement capable d’usurper votre identité et d’accéder à vos données et celles de l’entreprise.
L’un des scénarios catastrophes est que la société soit victime de ransomwares, c’est-à-dire des virus à partir desquels des hackers vont bloquer l’ensemble du système d’information de l’entreprise en cryptant toutes les données. Tout le monde est bloqué, les boîtes mail, l’accès aux fichiers, plus accès aux données : c’est tout l’outil productif qui est bloqué. Ça c’est vu dans des entreprises, des universités, des hôpitaux, qui ont dû payer pour que les hackers veuillent bien décrypter les informations de leur propre système d’information.
Et il suffit encore une fois d’une personne, d’un simple mail pour que ça puisse arriver. D’un directeur général à un simple employé qui ne fait pas attention, qui est pressé. Certaines sociétés ont même dû déposer le bilan à cause de cela.
Même sans aller jusque-là et au-delà du préjudice financier pour l’entreprise, cela peut entamer sa réputation et la confiance que ces partenaires peuvent avoir à son égard. Raisons pour lesquelles certaines entreprises ne font pas publiquement écho de chantage numérique auquel elles ont dû céder.
Donc ça peut partir de quelque chose d’anodin, mais ça peut engendrer des conséquences dramatiques.
MeltingBook : Les ransomwares sont-ils les seuls risques majeurs ?
Mamoudou Traoré : Le ransomware n’est pas le seul risque en matière de cybersécurité. Un simple clic pour ouvrir un lien peut déposer des virus qui font infecter des fichiers, en détruire, en altérer. On imagine aisément les dégâts que cela peut avoir, par exemple, sur des données comptables si on vient tout bêtement à écraser les fichiers des factures ou les paiements fournisseurs.
Vous avez dès lors non seulement des problèmes financiers mais aussi pour le coup des problèmes juridiques. Parce qu’un fournisseur est en droit de se retourner contre votre société et de porter plainte contre vous.
Car c’est l’entreprise qui est responsable de la sécurité et de la sécurisation des données. Même les prestataires auxquels elle a fait appel pour mettre en place son site par exemple ne sont pas responsables en premier lieu.
Votre politique de sécurité doit être transmise à ses prestataires. Mais s’il y a des trous dans la politique de sécurité, c’est une question de gouvernance. Et la société ne pourra que s’en mordre les doigts de ne pas avoir anticipé les choses.
MeltingBook : Y a-t-il des alternatives ?
Mamoudou Traoré : Il ne s’agit pas seulement d’écrire les closes sur la sécurité dans des contrats avec des prestataires informatiques ou web et de lister des différents éléments. C’est loin d’être suffisant. Ce qu’il faut derrière c’est contrôler que les systèmes de sécurité qu’on a demandé à nos partenaires soient bien mis en place.
Cette fonction de contrôle est extrêmement importante notamment dans les sociétés bancaires, financières et plus largement dans toute société qui font appel à de l’outsourcing.
MeltingBook : Les entreprises auraient-elles pu anticiper la Covid 19 ?
Mamoudou Traoré : La Covid 19 est un cas exceptionnel. On a dû réagir dans l’extrême urgence. En décembre 2019, on comprenait qu’il se passait quelque chose en Asie, et je pense qu’on a tardé à prendre la mesure du phénomène. On se dit l’Asie c’est loin.
Après l’épidémie s’est propagée très rapidement en Europe, en Italie notamment. Là tout devenait directement plus concret pour tout le monde. Le gouvernent a réagi en février et début mars ça a été le confinement général parce que la pandémie était hors de contrôle.
Personne ne s’attendait à ça. Il y a eu d’autres épidémies comme Ebola, mais qui étaient assez localisées géographiquement, mais pas forcément en Europe et en France.
Les mesures ont été drastiques et ça a été un coup d’arrêt complet à l’économie. Quelque chose que nous n’avions jamais vu et qu’on n’imaginait même pas possible. Ce sont tous ces enchaînements qui ont fait que beaucoup d’entreprises n’étaient pas prêtes.
Certaines ont normalement dans leurs outils un DRP (Disaster Recovery Plan, plan de reprise après sinistre) et un BCP (Business Continuity Plan, plan de continuité de l’activité). Les deux vont ensemble.
Tout ça existait pour certaines entreprises, mais le risque est une notion qu’on a du mal à intégrer. On se dit que : « Oui, ça peut arriver. On va faire un DRP et un BCP ». Mais ça ne sont pas des procédures qui vont être testées à intervalles réguliers, qui sont éprouvées.
On se dit juste qu’on a un process qui est écrit quelque part. Mais on ne sait pas qui il implique dans la société, qui doit faire quoi. Et les personnes qui sont censées faire certaines choses ne sont pas forcément au courant qu’on va leur demander de faire ces choses-là.
Parce que le DRP et le BCP sont rarement communiqués à l’échelle de l’entreprise car les chances d’un scénario catastrophe sont très faibles. Ce qui reste vrai dans 99,9% des cas. Mais quand le 0,1 % se produit, si on n’a rien prévu et si les personnes au sein de la société ne savent pas ce qu’elles doivent faire on se retrouve dans la situation qu’on a connu.
Il faut du temps pour se réorganiser. Et cela prend quelques semaines avant que les entreprises commencent à se remettre en ordre de marche.
MeltingBook : Quelle est votre approche quand vous arrivez sur une mission de responsable des Système d’information ?
Mamoudou Traoré : Professionnellement, j’ai, pour ma part, cette appétence au risque : il faut être pessimiste. En espérant que ça ne se produise jamais. Pessimiste, c’est vraiment le mot clé lorsque l’on a à gérer un système d’information qui est critique. Et le système d’information est, par défaut, critique.
C’est pour cela que j’encourage l’ensemble des personnes impliquées au niveau du service informatique au sens large et au-delà l’ensemble des lignes business, la direction générale, à se poser la même question : qu’est ce qui pourrait faire en sorte que notre activité s’arrête ? On liste les points et en face on y apporte des réponses.
C’est exactement la philosophie avec laquelle je travaille. Quand je travaille pour un site e-commerce ou une banque, je me dis : « mais qu’est ce qui peut se passer qui ferait en sorte que le site e-commerce dont j’ai la responsabilité avec les équipes, ou alors le système d’information de la banque ou de l’assurance pour laquelle je travaille, tombe par terre ?
Cette approche par les risques permet d’identifier ceux qui sont les plus importants et de mettre en place une série de mesures, soit pour limiter le risque, soit pour le transférer (aller voir son hébergeur par exemple ou la société qui a développé le site en leur disant : qu’est ce que vous faites, qu’est ce qui est prévu, qu’est ce qui est documenté ?). Ou alors j’accepte le risque en considérant des probabilités extrêmement faibles afin d’être à l’aise pour accepter le risque et pour mettre en place, en interne des procédures qui me permettront de passer le cap.
MeltingBook : Dès lors dans un contexte post confinement, comment procéderiez-vous pour mettre en œuvre des changements au niveau du systèmes d’information de l’entreprise ?
Mamoudou Traoré : Je pense que ça passerait par trois choses. S’assurer que les instances dirigeantes aient bien conscience que ce qui s’est produit montre que ça peut potentiellement se reproduire.
On n’est pas à l’abri d’une deuxième vague. On en parle beaucoup dans les médias aujourd’hui. On a eu là l’avènement d’un virus pour lequel nous n’avons pas de vaccin. Donc rien ne nous dit que l’année prochaine, dans un an ou dans cinq ans qu’on ne pas se retrouver face à un virus de cette même nature.
Donc le premier point est la sensibilisation des instances dirigeantes en leur disant qu’on a maintenant à vivre avec de l’incertitude et de l’incertain et qu’il faut bien en être conscient. Il est important de partir d’un constat partagé et d’avoir l’adhésion des dirigeants.
Si le constat n’est pas partagé, on n’ira pas loin. Parce qu’on pourra toujours trouver des personnes pour dire que c’était une situation exceptionnelle. Mais le fait est que les choses se sont produites. L’exception, même si elle ne devient pas la règle, entre dans le domaine du possible.
Une fois qu’on a fait ce constat, en découlent les deux autres points. Le premier c’est de faire un audit des situations qui feraient que l’outil de production soit à l’arrêt. Dès lors, il convient de travailler à trouver, avec les équipes, les solutions pour chacun des cas.
Qu’est ce qu’on fait quand on ne peut plus travailler dans la société ? Il y a bien sûr, le travail à distance mais aussi la communication entre les personnes, la communication avec les prestataires de services, donc c’est tout un plan de communication qu’il faut mettre en place.
De manière technique, il y a comment se fait l’accès au système d’information de l’entreprise de manière sécurisée. Ce sont autant de choses qui se testent, à intervalle réguliers pour s’assurer que les process qu’on a définis sont bien fonctionnels.
Et une fois qu’on a fait ce travail, de sensibilisation, d’audit, de listing de l’ensemble des cas et pour finir de solutions qu’on apporte en face, on est beaucoup plus sereins par rapport à l’avenir et à des situations qui nous empêcheraient de faire tourner l’outil productif.
MeltingBook : Vous êtes consultant. Est-ce le travail d’un seul homme ?
Mamoudou Traoré : Non. C’est une équipe qui doit être mise en place. Une équipe à l’intérieur de l’entreprise. Pour faire un audit, par exemple, il n’y a pas que l’informatique qui soit impacté. L’informatique reste une fonction support au sein d’une entreprise, c’est-à-dire qu’il donne des outils techniques pour que les personnes puissent travailler.
C’est pour ça qu’il est important de parler également aux lignes métiers pour comprendre quels sont les points clés qu’il faut sécuriser si une situation similaire venait à se reproduire.
Il faut avoir une équipe qui soit capable de parler aux différentes parties prenantes. C’est forcément une approche transversale. Le système d’information dans une entreprise est là pour aider à ce que le business se fasse. Le responsable SI à un rôle de business partner.
On ne fait pas de la technique pour le plaisir de faire de la technique. On offre des outils, des méthodologies pour servir un besoin business pour faire les choses différemment, plus rapidement, mieux, pour générer de la valeur.
Quand on a intégré ça la Direction des Systèmes d’Information devient une sorte de hub, de pool, qui va servir des demandes métiers et qui va également être force de proposition en trouvant des solutions et des méthodes qui permettent d’améliorer la productivité de la société.
MeltingBook : Les salariés se plaignent souvent, ici et là, de leurs nouveaux outils techniques qu’ils jugent peu adaptés à leurs pratiques. Comment expliquez-vous cela ?
Mamoudou Traoré : C’est quelque chose qui s’entend assez souvent et ce décalage vient du fait que l’expérience d’usage n’est pas pris en compte. Bien souvent il y a des sachants sur l’expertise d’usage et des sachants techniques.
Le décalage se fait parce qu’il n’y a pas assez de discussions entre les uns et les autres. Et c’est là que les méthodes telles que l’Agile viennent en renfort. C’est-à-dire que les experts techniques vont travailler avec les experts d’usage à la mise en place de la meilleure solution. C’est ce mix de compétences qu’on doit réaliser.
Il faut bien comprendre aujourd’hui que les compétences métiers doivent être mises au centre du jeu. Il faut écouter les experts d’usage. Et il faut avoir ce dialogue ou l’informatique va amener des réponses aux questions qui sont posées et être force de proposition.
L’approche qui consiste à dire dites-moi ce dont vous avez besoin et moi expert de l’IT je vais vous sortir une solution ne marche pas. Il est clair que les notions d’innovation, de création de co-création ont démontré leur efficacité. Et moi je milite totalement pour cette approche.
MeltingBook : Se lancer dans la transition numérique peut coûter cher. Dans cette période de crise, n’est-elle pas un enjeu secondaire pour l’entreprise ?
Mamoudou Traoré : L’enjeu immédiat est effectivement économique et financier. Il en va de la survie de l’entreprise. Cependant il ne faut certainement pas raisonner qu’à court terme. Effectivement l’accent va être mis sur retravailler les marges et les ramener à un niveau qui soit acceptable pour l’entreprise. Il y a un travail premier à faire.
Mais la réflexion ne peut pas s’arrêter là. Pour toutes les raisons que j’ai expliquées jusque-là. Cet impact lié à la Covid 19 est là pour durer et on n’est encore une fois pas à l’abri de retomber sur le même type de problèmes graves dans les années à venir vu qu’il n’y a pas encore de vaccin.
C’est pour ça qu’il est important, dès aujourd’hui, de penser son système d’information de demain.
Et ça, ça veut dire comment la DSI peut trouver de nouveaux process, de nouveaux outils qui permettront, si le cas se présente, de traverser la zone de turbulences avec beaucoup moins d’impacts négatifs que les entreprises ont pu connaitre avec la pandémie qui nous a tous frappés.
Découvrez :
- Le profil Linkedin de Mamoudou Traoré
- contact@transfolabs.online
- Le site Internet de Transfo Labs