Cybersécurité : Managed Security Service Provider - 4 minutes
-

Cybermenaces Comment protéger efficacement la messagerie de votre entreprise

Notre blog

La messagerie d’entreprise : une porte d’entrée privilégiée pour les cyberattaquants //

La messagerie en entreprise est très souvent prise pour cible par les cybercriminels. En effet, en tant que moyen de communication majeur des organisations, elle représente une porte d’entrée privilégiée pour porter atteinte aux systèmes d’information. Les motivations pour ces attaques sont souvent financières et peuvent inclure des fraudes à la demande de paiement, le vol de données bancaires, l’exfiltration de données et le rançongiciel.  

Afin de protéger les messageries, les entreprises doivent vérifier la configuration de leurs serveurs en utilisant les derniers correctifs de sécurité et surveiller les journaux de serveur. L’expertise unit Apside Cyber proposent des solutions adaptées à vos besoins pouvant garantir la sécurité de la messagerie. 

Les risques liés à la messagerie en entreprise //

Les conséquences d’une attaque par mail (dans le cas où un utilisateur clique sur un mail malveillant) peuvent être dramatiques. Assurément, le simple fait de cliquer sur un lien ou de télécharger une pièce jointe hostile peut déclencher une attaque par logiciel malveillant et causer des dommages importants, tels que le vol de données, le blocage de l’accès à des fichiers ou des systèmes, voire la perte d’argent. 

Toutefois, même les utilisateurs les plus avertis peuvent être trompés par des courriers électroniques sophistiqués de phishing ou par des attaques appelées BEC (Business Email Compromised, dans lesquelles les cybercriminels usurpent l’identité d’un responsable d’entreprise pour convaincre un employé de l’entreprise de transférer de l’argent ou des données confidentielles). En effet, la messagerie électronique est l’un des vecteurs les plus accessibles pour les cyberattaquants et selon une étude de Proofpoint, plus de 96% des cyberattaques utilisent le courrier électronique comme vecteur d’offensive. En outre, pour corroborer ces propos, l’étude de Barracuda Networks affirme que les cybercriminels envoient environ 300 milliards de courriers électroniques malveillants chaque jour. Ces derniers peuvent contenir diverses armes pour porter atteinte aux organisations telles qu’une tentative de phishing, des pièces jointes malveillantes, ou encore des liens vers des sites Web infectés.  

Ces chiffres sont d’autant plus alarmants lorsque l’on sait que, selon une étude d’IBM et du Ponemon Institute, le coût moyen d’une attaque pour une entreprise peut osciller entre 50 000€ et 6 000 000 €. Fort de ce constat et parce que les attaques BEC sont de plus en plus courantes, les équipes Apside Cyber invitent fortement les organisations à sécuriser leur messagerie d’entreprise.  

Les solutions de sécurité pour protéger la messagerie en entreprise //

Pour les entreprises, la sécurité de leur messagerie est une préoccupation cruciale. Afin de répondre à ces enjeux et d’anticiper les menaces, les organisations peuvent s’appuyer sur les étapes suivantes :  

  • Intégration d’une solution antispam : une solution antispam peut être intégrée pour filtrer les emails entrants et sortants en bloquant les messages indésirables. Elle peut également détecter les spams et les courriers électroniques suspects, tels que ceux contenant des liens malveillants ou des virus.
  • Configuration des enregistrements DNS avec SPF et DKIM : la configuration des enregistrements DNS avec SPF et DKIM permet de garantir l’authenticité des emails en utilisant des clés de cryptage et des signatures électroniques. Le SPF (Sender Policy Framework) permet de vérifier l’identité de l’expéditeur, tandis que le DKIM (DomainKeys Identified Mail) permet de garantir que le message n’a pas été altéré en transit.
  • Réalisation de tests de phishing : les tests de phishing peuvent être réalisés pour évaluer la sensibilisation des employés aux attaques de phishing et pour mesurer leur capacité à détecter les emails suspects. Cette pratique peut aider les entreprises à identifier les lacunes de sécurité et à améliorer la formation des employés en matière de sécurité.
  • Réalisation d’audits et de tests de pénétration : les audits et les tests de pénétration peuvent être effectués régulièrement pour évaluer la sécurité de la messagerie en entreprise. Ils permettent de détecter les vulnérabilités et les failles de sécurité potentielles dans les systèmes de messagerie et les applications connexes, et de prendre des mesures pour y remédier.

Toutefois, outre les mesures techniques, il est important de sensibiliser les employés à la sécurité en leur enseignant les bonnes pratiques.  

Les bonnes pratiques pour protéger la messagerie en entreprise //

Cependant, les dispositions techniques citées ci-dessus ne sont pas les seules solutions pour protéger les organisations des cyberattaques. En dehors des stratégies techniques déployées par les DSI, la formation régulière en matière de sécurité informatique est également indispensable pour sensibiliser les employés aux menaces potentielles et les outiller pour les prévenir. 

Pour ce faire, les collaborateurs doivent être sensibilisés aux signaux d’alerte, aux bonnes pratiques pour sécuriser leurs mots de passe, à l’importance de sauvegarder régulièrement leurs données et à la prudence à adopter lors de l’utilisation de Wi-Fi publics. Ces formations peuvent être dispensées en présentiel ou en ligne en fonction des besoins de l’entreprise et de manière ponctuelle ou régulière, selon les risques identifiés et l’évolution des menaces.  

Par ailleurs, les utilisateurs doivent être particulièrement conscients des risques liés aux pièces jointes et aux liens hypertextes, en particulier s’ils ne sont pas attendus ou s’ils proviennent d’expéditeurs inconnus. Il est primordial de vérifier l’identité de l’expéditeur et l’orthographe de son adresse mail avant d’ouvrir le courrier, ou de cliquer sur un lien. Apside Cyber préconise également une sensibilisation aux techniques d’ingénierie sociale utilisées par les pirates informatiques, aux risques liés aux mots de passe faibles et à la nécessité de mettre à jour régulièrement les logiciels.  

Enfin, les experts cyber recommandent l’organisation d’exercices de test à travers de fausses attaques en vue de maintenir la vigilance des salariés face aux menaces en constante évolution.  

En adoptant des pratiques sûres, comme la vérification de l’identité de l’expéditeur des e-mails, la prudence lors du clic sur des liens et la sauvegarde régulière des données, la sensibilisation et la formation, les employés peuvent aider à protéger la messagerie de l’entreprise.  

Les services de cybersécurité pour protéger la messagerie en entreprise //

Faire appel à des experts en cybersécurité est le moyen le plus efficace pour protéger la messagerie de votre entreprise. Les services de cybersécurité tels que les fournisseurs de services de sécurité gérée (MSSP) peuvent prendre en charge la cybersécurité de votre entreprise en mettant en place des solutions de sécurité adaptées à vos besoins. Ils peuvent également surveiller votre système en continu en vue de détecter les menaces en temps réel et réagir rapidement en cas d’incident. En faisant appel à des experts, vous bénéficiez d’une tranquillité d’esprit en sachant que votre messagerie est entre de bonnes mains.  

Cyber sécurité - 5 minutes
-

cybersécurité Comment mesurer l’exposition d’une organisation aux risques cyber

Notre blog
risques_cybersécurité

Mesurer l’exposition d’une organisation aux risques cyber : contexte //

En 2021, 54% des PME ont fait l’objet d’une cyberattaque (CESIN). Ce chiffre n’est pas sans conséquence lorsque l’on sait que 60% des TPE et PME touchées font faillite si l’incident n’est pas résolu rapidement (Sénat – La cybersécurité des entreprises – Juin 2021). Par ailleurs, nos experts cybersécurité font un second constat alarmant : en 2023, il est malheureusement extrêmement simple et rentable d’attaquer la sécurité des organisations 

En effet, dans un contexte de digitalisation accrue, les cyberattaques se multiplient et deviennent un risque majeur aux conséquences lourdes : arrêt d’activité, vol de données sensibles, impact réputationnel…  

Forte de ce constat, Apside a été mobilisée pour cocréer pour Siparex XAnge, en partenariat avec Dattak, une solution permettant de mesurer l’exposition aux risques cybersécurité.  

 

Risques liés à l’exposition d’une organisation aux cyberattaques //

70% des PME victimes d’une cyberattaque déposent le bilan dans les trois ans. Le bilan est d’autant plus préoccupant alors que selon l’AMRAE, 84% des grandes entreprises sont assurées contre seulement 9% des ETI et 0,2% des PME et TPE. Mais de manière très pragmatique, quels sont les risques réels de ces cyberattaques ?  

Un cyberattaquant est guidé par un objectif principal : porter atteinte à une organisation. Cet assaut peut se manifester de plusieurs façons : il peut être d’ordre financier, en bloquant par exemple les systèmes d’information et activités et en demandant une rançon ; il peut être d’ordre réputationnel, en divulguant des informations sensibles pour l’image de l’entreprise ; ou encore il peut être d’ordre industriel et économique, en volant les données structurantes pour l’organisation et en les revendant à la concurrence.  

cyber
développement_cybersécurité

Menaces identifiées pour les organisations //

Toutefois, le risque central que notre cellule d’expertise identifie est surtout que désormais, il devient très accessible pour tout un chacun d’attaquer les organisations. En effet, 96% des attaques commencent par un simple mail (Proofpoint), et 94% des logiciels malveillants sont délivrés par e-mail (Data Breach). De plus, selon Hiscox, le coût médian d’une cyberattaque s’élève à 51 200€.  

A plus forte raison, il devient donc capital pour les organisations de sécuriser leurs outils les plus accessibles (notamment les logiciels de messagerie) et de mettre en place une stratégie de sécurisation de leurs systèmes d’information.

Pour amorcer cette démarche, l’outil Plan d’Attaque permet de mesurer l’exposition aux risques et de disposer d’un plan d’action personnalisé et priorisé.  

outil_diagnostic_plan_attaque

Plan d’Attaque – le diagnostic Cyber : promesses de l’outil //

Plan d’Attaque est une solution gratuite sous forme d’un questionnaire composé d’une quarantaine de questions (~20min). A la suite de ce questionnaire, les utilisateurs reçoivent immédiatement par mail un score de maturité, entre 0 et 100, qui permet de rendre compte de l’état général de sécurité de l’organisation, ainsi qu’un plan d’action personnalisé et priorisé.  

Le questionnaire est découpé en plusieurs grandes thématiques qui permettent d’auditer de manière globale l’exposition de l’entreprise. Les thématiques sont les suivantes :  

  • Périmètre ; 
  • Organisation de la sécurité ; 
  • Authentification du contrôle d’accès ; 
  • Sécurisation des postes de travail ; 
  • Sécurisation des réseaux et infrastructures ; 
  • Sécurisation de l’administration ; 
  • Sauvegarde et restauration ; 
  • Sensibilisation et formation des collaborateurs ; 
  • Nomadisme. 

De manière très concrète, l’outil efficient offre en très peu de temps une liste de quick wins pour augmenter la protection des organisations. Il est imaginé pour mettre en exergue les axes de travail les plus importants ainsi que les plus grandes faiblesses et pour proposer des solutions faciles à mettre en œuvre pour augmenter très rapidement le degré de sécurité de l’entreprise.  

Plan d’Attaque : conception de l’outil de diagnostic cyber //

L’expertise Unit Apside Cyber est composée de 40 experts qui s’engagent et se donnent pour objectif de protéger les PME et les ETI. Pour répondre aux enjeux structurants de ce projet, ce sont 6 experts qui ont été mobilisés pour participer à la conception du questionnaire, à la définition des questions et à la recette de la solution notamment lors des 7 sessions d’ateliers organisées. Parmi ces spécialistes, nous pouvions compter Patrick, notre CTO Cybersécurité et Innovation, Thomas, notre manager services managés, Inès, notre manager gouvernance risques et conformité, Jérémie, notre manager cybersécurité opérationnelle et AMOA, Rémi, notre manager cybersécurité industrielle et cryptologie et Mohamed, notre manager audit technique et réponse à incident.   

Après un audit des solutions existantes sur le marché, l’équipe a effectué une veille approfondie grâce aux référentiels certifiés comme celui de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ou celui du NIST (National Institut of Standard Technologies). Ces deux référentiels reconnus (français et américains) contiennent les normes de cybersécurité ainsi que les méthodologies à implémenter pour garantir la sécurité des entreprises. Au terme de cette étude, l’équipe a extrait toutes les bonnes pratiques et a amorcé une phase de brainstorming.   

Cette étape a permis aux experts de définir les thématiques nécessaires pour mesurer de manière exhaustive l’exposition des organisations aux risques cyber et ainsi déterminer les questions les plus adaptées.   

Une fois les thématiques et questions définies, l’équipe Cyber a pu formaliser le questionnaire et effectuer la recette de ce dernier avant diffusion. Pour ce faire, les équipes se sont chargées d’éprouver le questionnaire face à des profils d’organisation divers dans le but d’évaluer la pertinence de l’ensemble des questions pour chaque cible adressée. Il aura notamment été appliqué à certains clients et les résultats du questionnaire se sont avérés conformes à ceux de l’audit cybersécurité préalablement réalisé.  

apside_cyber_équipe

Plan d’Attaque : interprétation des résultats //

La promesse de l’outil est notamment d’offrir immédiatement à l’utilisateur une vue sur son score de maturité ainsi qu’un plan d’action personnalisé et priorisé. Pour répondre à cette dernière, il a donc été nécessaire d’élaborer précisément une liste de recommandations adaptées pour augmenter le score de maturité de l’entreprise auditée.  

Les niveaux de criticité ne sont pas définis selon un barème unique : en effet, ils sont plutôt conçus en fonction de la taille de l’organisation ciblée, de ses activités, de son écosystème et de l’ampleur de son système d’information 

Ce plan d’action contient une liste de recommandations (aisément identifiables grâce à un code couleur) triées par ordre de priorité en fonction du coût de mise en œuvre et du rapport de protection. Ainsi, les top recommandations n’étaient pas nécessairement les plus coûteuses et complexes, mais bien celles qui permettraient à l’organisation d’être bien plus protégée le plus rapidement possible. Toutefois, des directives plus sophistiquées sont également abordées bien que pas nécessairement prioritaires.  

A titre d’exemple, parmi les recommandations, nous pouvons notamment compter : 

  • Des solutions avancées pour sécuriser la messagerie contre les spams et hameçonnage mais également à la bonne configuration des enregistrements pour protéger l’entreprise ( SPF, DKIM et DMARC) ;
  • Des directives concernant la mise en place de pare-feux (classiques ou UTM) et la segmentation des réseaux ;
  • Des consignes afin de réaliser des tests de pénétration (évaluation, procédure, livrables…).

Accompagnement de l'EU Apside Cyber //

Enfin, il est évident que bien que les recommandations soient applicables directement par les organisations, l’Expertise Unit Cyber se montre à disposition pour répondre aux enjeux stratégiques des structures avec un accompagnement riche allant de l’évaluation du niveau de sécurité (analyse de risque et homologation dans le respect des méthodologies du client) à la réponse à incident avec une analyse complète (identification des solutions permettant la visibilité des menaces et protection complète des données et infrastructures). Vous souhaitez l’avis de nos experts ? Contactez-les via cette adresse : eu-cyber@apside.fr 

Ingénierie Automobile - 5 minutes
-

Apside x Gyrolift BIEN PLUS QU’UNE SOLUTION POUR LES PMR

Qu’est-ce que le Gyrolift ? //

La startup Gyrolift, fondée par Lambert Trénoras en 2017, propose un fauteuil roulant électrique composé d’un gyropode et d’un siège présentant la fonction de verticalisation. Ce produit, qui s’adresse à un public en quête d’autonomie et de mobilité, propose une solution aux personnes à mobilité réduite (PMR) afin qu’elles puissent évoluer dans tout type d’environnement. Il leur est ainsi désormais possible de travailler sur des postes jusque-là inaccessibles et inadaptés à leur situation.

Conçu autour du principe des ADAS (pour Advanced Driver-Assistance Systems), le fauteuil vise à augmenter la sécurité et à assister le conducteur. Les ADAS ont donc pour but de prévenir l’apparition de situations dangereuses et de réduire la criticité lorsque celles-ci apparaissent.

A l’inverse du monde automobile, où les ADAS prennent la main sur l’utilisateur comme sur les fonctions de conduite autonome, ils visent à augmenter, dans le cadre professionnel, capacités de la personne en limitant/automatisant des fonctionnalités pouvant être remplies par des tiers. La quête d’autonomie est donc ici pour l’utilisateur et non pour le véhicule contrairement aux standards de l’industrie automobile.

Genèse du projet : Apside x Gyrolift //

Le partenariat avec Gyrolift s’est fait naturellement avec Apside. En lien avec la Mission Handicap, Gyrolift a été invité à venir présenter leur fauteuil innovant à l’occasion de la semaine du Handicap 2021.

A la suite de cette visite et séduite par les valeurs qui ont porté ce projet innovant, Apside propose un partenariat par le biais de son bureau d’étude (BE). En effet, sponsorisé par la direction du groupe (et plus précisément par Pierre Gauthier, Président), le projet a remporté l’unanimité !

Ce partenariat vise à développer les compétences des Apsidiens juniors sur des thématiques présentes chez nos clients comme l’architecture système/fonctionnelle, les fonctions ADAS, la gestion de trame CAN, le prototypage… Le projet a été réalisé cette année, sur 6 mois, par une équipe de deux stagiaires dans le cadre de leur projet de fin d’études. Il est reconduit pour l’année 2023 sur le même mode de fonctionnement.

Le projet Gyrolift consiste actuellement à proposer différentes fonctions et réaliser des POC (Proof of Concept) de celles-ci. L’objectif à long terme est de s’inscrire dans une démarche de mécénat de compétences pour Gyrolift en testant la pertinence d’un certain nombre de fonctions directement au bureau d’études avant de leur proposer une solution d’intégration et d’industrialisation éventuelles pour les plus pertinentes au vu du POC.

Comment sont conçues les fonctions étudiées : les technologies //

La carte principale du système est une Raspberry PI 4, une carte Arduino vient jouer le jeu de carte d’acquisition pour les capteurs ultrasons d’écholocalisation et une seconde carte Raspberry est utilisée comme carte de gestion de l’IHM (Interface Home Machine). Chacune de ces cartes est développée avec ses propres fonctions, elles-mêmes conçues dans une optique de transposabilité. L’objectif n’est pas de concevoir des fonctions uniquement pour le stage mais réutilisables dans d’autres contextes. Ainsi, une des fonctions développées a pu reprendre une partie des codes d’un stage précédent.

Le développement de fonctions sur Arduino s’effectue avec le langage éponyme, proche cousin du C++. Les fonctions ici sont principalement de l’acquisition de données et de la mise en forme en vue de leur partage vers la carte principale où siège l’intelligence du code. La Raspberry principale est quant à elle codée en Python. Les fonctions décisionnelles du projet sont réalisées en Python (de même que la Raspberry gérant l’IHM pour les fonctions pré-affichage), et utilisent le logiciel QT pour l’interface graphique.

Enfin, le projet aura également abordé un volet électronique et câblage (trois niveaux de puissance) et permis de travailler sur des questions de dissociation des puissances et de control/command afin d’assurer la protection des composants importants du circuit.

Comment sont conçues les fonctions étudiées : les options possibles //

Une phase conséquente de la conception a été d’interfacer toutes les fonctions avec un système d’options. L’ensemble des fonctions développées peut être ajouté ou enlevé afin de passer du fauteuil initial au prototype développé avec ses 4 fonctions ADAS et son IHM.

Cette conception répond à deux besoins :

–             Ne pas modifier le fonctionnel actuel, notamment en termes de sécurité. Les fonctionnalités de sécurité du fauteuil initial ne sont en aucun cas impactées par les fonctions ajoutées, celles-ci viennent agir avant les contrôles sécurité et de façon indépendante. L’objectif est de garantir la sécurité des testeurs mais également de concevoir un système plus simple, de façon à n’avoir qu’une seule série de tests et validations pour répondre aux exigences de sécurité générales.

–             Proposer un système d’options à la startup Gyrolift, notamment avec une possibilité de venir monter facilement les POC, et par la suite les futures fonctions industrialisées sur le fauteuil. L’objectif serait, selon l’étude réalisée par l’équipe projet, de proposer une capacité d’options sur l’ensemble de la production pour permettre l’ajout des quatre fonctions développées.

Les options du Gyrolift : confort et sécurité //

Comme évoqué ensuite, les équipes du bureau d’études Apside proposent 4 options. Les 2 premières portent notamment sur l’affichage présenté au client ainsi que le démarrage :

  • IHM additionnel :

L’IHM développé propose le contrôle du démarrage du fauteuil, des boutons de sélection des fonctions actives, un affichage de la vitesse du fauteuil ainsi que l’heure. Il a été conçu pour être le plus ergonomique possible pour une personne pouvant souffrir de troubles moteurs au niveau des doigts avec notamment des boutons imposants et espacés. Un autre aspect consiste à inclure les possibles troubles visuels comme le daltonisme en présentant des pictogrammes différents selon la validation ou non des états ou des emplacements selon les messages véhicules.

  • Détection d’installation :

Ce système de détection d’installation est basé sur 2 principes : l’utilisateur doit avoir attaché sa ceinture et avoir au moins 1 pied correctement positionné sur le repose-pied du fauteuil avant de pouvoir démarrer.

Ce contrôle du démarrage s’effectue par l’inhibition du bouton de levé des béquilles. Cette vérification d’installation permet de garantir une forme de sécurité pour l’environnement des utilisateurs. La validation de la présence de la ceinture permet également de s’assurer que l’utilisateur est parfaitement sécurisé et qu’en cas d’arrêt brutal, il n’y a pas de risque d’éjection de l’utilisateur.

Les options du Gyrolift : le déplacement du fauteuil //

Une fois le fauteuil démarré et prêt à être utilisé, les équipes du bureau d’études ont ajouté 2 autres options pour la bonne utilisation de l’appareil :

 

  • Détection d’obstacles arrière

Une troisième fonction consiste à offrir à l’utilisateur d’avoir une connaissance de son environnement malgré une incapacité de sa part à se retourner, due à son handicap et à sa position sur le fauteuil.

Les distances mesurées par les 7 capteurs d’écholocalisation à ultrasons situés à l’arrière du Gyrolift sont exploitées de sorte à proposer un affichage coloré et à une distance variable sur trois zones comme présenté sur l’écran IHM (voir photo ci-contre).

Les zones colorées sont à une distance proportionnelle du fauteuil et de l’obstacle détecté. La couleur de la zone varie également selon la distance à l’obstacle, du vert au rouge en passant par le jaune.

  • Feux automatiques

La fonction liée aux feux automatiques consiste en deux choses : tout d’abord permettre à l’utilisateur de contrôler les feux de son fauteuil, mais aussi d’activer un contrôle automatique de la luminosité ambiante permettant d’activer les feux en dessous d’un certain niveau, et de les éteindre au-dessus d’un autre niveau. Les seuils d’allumage/extinction des feux suivent le principe de l’hystérésis.

La fonction de contrôle des feux est à l’origine non-disponible sur le fauteuil, les équipes l’ont donc ajouté et ont proposé une automatisation de ce contrôle disponible sur l’IHM.

Les résultats //

Les stagiaires composant l’équipe projet ont implémenté 4 fonctions sur le Gyrolift durant leur stage. Un système de détection d’installation a été ajouté au fauteuil. Ils ont par ailleurs implémenté une fonction de détection d’obstacles à l’arrière du véhicule, ainsi qu’un système de feux automatiques. Ils ont également réalisé un IHM complet additionnel au fauteuil.

Pour conclure, ce projet s’inscrit dans l’esprit d’Apside avec un enjeu sociétal fort, mené dans un objectif de formation continue et d’expertise technique. Apside est heureuse d’avoir contribué à sa manière à cette réelle innovation pour améliorer la vie des personnes à mobilité réduite.

Un grand bravo à l’équipe en stage au moment du projet, Caroline P. et Remi B. ayant mené le projet, et désormais ingénieurs chez Apside Industrie.

 

Crédits photo : Gyrolift

QVCT-MAM-4
La QVCT (ou QVTC) vue par MAM Sport Santé - 3 minutes
-

MAM Sport Santé x Apside Enjeux de la Qualité de Vie et des Conditions de Travail (QVCT)

QVCT-MAM-4

Introduction //

Depuis plusieurs années, la qualité de vie au travail est devenue, à juste titre, un véritable enjeu pour les entreprises. Un salarié épanoui dans son activité salariale créera implicitement une dynamique positive auprès de son équipe et sera un maillon fort de ce cercle vertueux. Par ailleurs, ce dynamisme et ce plaisir au travail sera moteur de la performance économique de l’entreprise. En effet,  la productivité d’un salarié augmente de 12% lorsqu’il se sent heureux dans son entreprise (source : Université Warwick 2014).

Depuis 2022, l’appellation QVT a légèrement évolué pour devenir QVCT (Qualité de Vie et Conditions de Travail). Mais qu’est-ce que QVCT ? Quelle est la vision de MAM Sport Santé ? Qu’est-ce que la qualité de vie chez Apside ?

Qu’est-ce que la QVCT ? //

Depuis le 31 mars 2022, la QVT laisse place à la QVCT. Cette appellation regroupe les démarches visant à améliorer les conditions de travail des salariés et, par conséquent, la performance globale de l’entreprise.

Apside s’investit dans ce bien-être professionnel grâce à son partenariat avec MAM Sport Santé, structure qui propose des offres autour du management de la performance, de la formation, de la réalisation de bilans de compétences et de la qualité de vie et des conditions de travail innovantes. Selon eux, le bien-être ne s’applique pas uniquement lorsque nous sommes en entreprise, il n’y a qu’une seule qualité de vie. C’est pourquoi, ils s’intéressent plus particulièrement à ce qu’ils surnomment la QVTC : la Qualité de Vie Tout Court ! En effet, la qualité de vie dépend de nos propres perceptions et ressentis. C’est en ce sens que l’approche de MAM Sport Santé se base sur des valeurs d’écoute, de compréhension de l’environnement, des attentes individuelles mais aussi collectives.

QVCT-MAM-5
QVCT-MAM-1

Quel est l’intérêt de la QVCT en 2023 ? //

Tout d’abord, il est évident que la qualité de notre vie dans tous ses aspects est une notion primordiale à l’accomplissement et au bonheur. S’intéresser à la qualité de vie, ce n’est pas suivre une tendance éphémère, mais bien un sujet de société resté trop longtemps enfoui. En outre, l’épanouissement des collaborateurs est également un levier incontestable sur la performance de l’entreprise.

D’après l’INSEE, 60% des actifs déclarent connaître un ou plusieurs problèmes de santé chroniques, comme des problèmes de stress et d’anxiété, des problèmes de dos ou des maux de tête. À l’échelle nationale, le coût social de la souffrance au travail des salariés français représenterait 8% du PIB (source : ANACT). La sous-estimation de la santé au travail entraîne donc des conséquences économiques importantes et un inconfort des salariés. À l’inverse, le Wall Street Journal affirme qu’un salarié heureux est 10 fois moins malade que les autres collaborateurs.

En résumé, un collaborateur heureux serait plus engagé, moins souvent absent, plus efficace et apportera donc de meilleurs résultats. La QVCT a longtemps été ignorée et doit aujourd’hui prendre sa place en tant que facteur important à la performance d’entreprise.

QVCT-MAM-3

Comment mettre en place une QVCT optimale ? //

Une démarche QVT, commence avant tout par l’audit de l’entreprise pour en comprendre le fonctionnement, les attentes de chacun et pour choisir les bons outils pour cet accompagnement.

Pour mettre en place une QVCT optimale, il faut :

  • S’interroger, car chaque entreprise a ses propres besoins et attentes ;
  • Tester, car un nouveau fonctionnement n’a pas d’intérêt s’il reste au stade de la théorie ;
  • Vivre, car c’est l’expérience qui nous permet de mesurer véritablement l’impact d’un changement sur notre santé mentale et physique

Ensuite, nous observons 3 niveaux dans la QVCT :

  • Individuel: quelles sont mes attentes et besoin s pour me sentir bien et performant dans mon travail comme dans ma vie personnelle ?
  • Groupe de travail: quels sont les besoins du groupe pour être performant ? Les interactions et missions collectives sont-elles efficaces ?
  • L’entreprise: mes employés sont-ils présents et épanouis dans l’entreprise ? Les résultats sont-ils engageants ? L’image de marque de ma société est-elle propice à un bon investissement de la part de mes salariés ?

Tous ces facteurs doivent donc être pris en compte pour mettre en place une qualité de vie optimale pour vos salariés.

QVCT-MAM-2

Et alors, qu’est-ce que la QVCT chez Apside ? //

La QVCT chez Apside se traduit par des valeurs et des actions visant à l’épanouissement des salariés. En effet, parce que le groupe incarne des valeurs fortes – engagement, proximité et professionnalisme, le bien-être de nos collaborateurs est notre priorité.

Parmi ces actions, nous pouvons notamment compter :

  • Le sport, à travers la participation à des évènements solidaires (courses à pied, voile…),
  • L’associatif, en soutenant des causes d’utilité publique,
  • Le télétravail, qui offre de la flexibilité et limite le temps passé dans les transports,
  • La proximité et la convivialité, pour donner à chacun l’attention qu’il souhaite,
  • … et bien d’autres !

Apside a depuis plusieurs années investi dans sa politique RSE, consciente qu’adresser les enjeux sociétaux est un gage d’épanouissement. Apside, résolument humaine, prône une meilleure qualité de vie et des conditions de travail, et promet un engagement sociétal & numérique.

Habilitation Electrique - 4 minutes
-

Retour d'expérience Comment se doter d’une formation Habilitation Electrique

Notre blog
habilitation_élec

Métiers de l’électronique et de l’informatique embarquée : enjeux d’une habilitation électrique //

Dans les métiers de l’électronique ou de l’informatique embarquée, les Apsidiens sont amenés à manipuler des cartes électroniques alors que celles-ci sont alimentées (principalement en très basse tension). Ces travaux rentrent donc dans le cadre du travail à proximité de pièces nues sous tension, et d’essais réalisés sous tension, selon la définition de la norme NF C 18-510. Afin de limiter les risques liés à ces manipulations, et en vue de se conformer à la législation en vigueur (code du travail), Apside doit former ses salariés et délivrer des titres d’habilitation électrique au bon niveau, selon le risque évalué et les activités réalisées.  

Métiers de l’électronique et de l’informatique embarquée : prémices de l’habilitation électrique chez Apside //

Jusqu’à présent, afin de pouvoir satisfaire ces obligations, Apside faisait notamment appel à des sociétés spécialisées dans ces formations obligatoires. Pour le niveau de formation visé par l’agence de Rennes (BR/B2V pour des interventions de dépannage et BE Essais pour des interventions de type essais, mesures…), la formation sur catalogue représentait 3 jours de formation, avec un contenu adapté à des intervenants dans le monde de l’électricité, mais peu adapté à nos métiers du numérique.  

En 2018, une première étape d’analyse de risque (travail sur des très basses tensions) avait permis à Apside et Socotec d’élaborer un programme spécifique sur une journée et demie de formation, avec un langage et des mises en application plus appliqués aux situations réelles rencontrées par nos collaborateurs. Si les apprenants ressortaient plus satisfaits de cette formation, l’organisation de ces sessions de formation nécessitait une certaine logistique : 8 à 12 personnes devaient être dans le besoin de cette formation à la même période et disponibles sur les mêmes créneaux. La délivrance du titre d’habilitation électrique étant parfois impérative au démarrage d’une mission, les équipes Rennaises perdaient alors en réactivité. 

Métiers de l’électronique et de l’informatique embarquée : internalisation de l’habilitation électrique Apside //

C’est ainsi qu’un projet de formation interne voit le jour chez Apside. Ce chantier implique alors d’identifier des collaborateurs qui souhaiteront et pourront être formés à devenir formateurs sur le sujet, puis de réaliser un contenu de formation adapté.  

Le projet se concrétise à partir de juillet 2022 sous la conduite d’Eric G. avec le support de Camille G. (Academy by Apside) et de l’équipe de formateurs. Dès le début, l’objectif est de maintenir un format mixte afin de respecter la norme. La formation en cours de conception comprendrait ainsi une journée de formation digitale via la plateforme de l’Academy by Apside, et une demi-journée en présentiel pour une mise en pratique et une évaluation finale.  

Après l’étude approfondie de la norme, les équipes ont pu procéder à la rédaction du storyboard de formation, à la mise en images et aux animations sur les plateformes Genially et Vyond (outils de l’Academy). Enfin, grâce à l’expertise de Camille ainsi que du formateur de la SOCOTEC qui a validé la cohérence et la conformité de notre parcours, la formation arrive aujourd’hui dans sa dernière étape de validation : la mise en ligne est donc prévue en février 2023. 

Métiers de l’électronique et de l’informatique embarquée : contenu de la formation //

Afin de créer cette formation, notre équipe a approfondi la norme d’habilitation électrique NF C18-510 (norme couvrant toutes les habilitations électriques) dans le but d’en extraire les savoirs et les savoir-faire nécessaires aux habilitations électriques de nos métiers. Pour cela, le formateur SOCOTEC a pointé à nos équipes les données structurantes. Ces derniers ont ensuite établi un tableau de ces savoirs et ces savoir-faire, pour procéder à un découpage en 3 modules : « Contacts et notions d’électricité », « Tronc commun », « BR et BE Essais ». 

L’appui de l’Academy by Apside a permis aux équipes de formaliser le processus de création des différents modules à travers des storyboards, notamment en répertoriant la diversité des activités, ou encore en veillant à l’ergonomie des supports. Toutefois, la conception d’une formation nécessite non seulement un apport théorique riche, mais également des dispositifs d’évaluation. Dans ce cadre, les concepteurs ont mis en place des QCMs d’évaluation formative, des QCMs de vérification des acquis ainsi qu’un QCM d’entrainement similaire à celui de l’évaluation théorique.  

Concernant la pratique, l’équipe projet avait connaissance des tests à mettre en place : en effet, plusieurs concepteurs avaient déjà participé à plusieurs habilitations électriques et aux recyclages associés. Il ne reste donc qu’à les personnaliser en fonction des métiers ciblés, et à répertorier le matériel adapté. C’est ainsi que 2 types de mises en situation ont été créés – individuelle et collective – avec des variantes, sous forme de « jeu de rôle ». Ces situations permettront au futur apprenant de démontrer l’acquisition des connaissances et compétences nécessaires à l’obtention de la certification.   

Finalement, les apprenants devront suivre un parcours e-learning de 3h sur l’Academy by Apside, (accompagnés d’un tuteur formateur disponible pour répondre aux questions et interrogations), et 3h de formation en présentiel qui permettront de récapituler les connaissances et de passer les évaluations théoriques et pratiques.  

Métiers de l’électronique et de l’informatique embarquée : conclusion //

Entre les sessions de recyclage tous les 3 ans et les formations initiales des nouveaux collaborateurs, ce sont déjà plus de 25 personnes qui devraient bénéficier de ce nouveau type de formation au sein de l’agence de Rennes en 2023. Cette initiative permettra ainsi à l’agence de gagner en réactivité et en temps de formation. Sans nul doute, cette formation a un grand avenir devant elle, avec un déploiement possible auprès d’autres agences confrontées aux mêmes risques électriques. Et qui sait, peut-être que nos concepteurs pourront vendre cette formation à l’écosystème du groupe (clients, partenaires…). 

Cyber sécurité - 5 minutes
-

Les 5 grandes étapes pour sécuriser un système embarqué

Notre blog
Les 5 grandes étapes pour sécuriser un système embarqué

Enjeu de la sécurisation d’un système embarqué //

En 2023, les fonctions cruciales des entreprises et industries modernes reposent notamment sur des produits et systèmes embarqués. Alors que près de 54% des PME ont fait l’objet d’une cyberattaque en 2021, il devient primordial de protéger ces systèmes embarqués efficacement contre les différents risques qui peuvent affecter leur performance et leur disponibilité. Cela implique de maîtriser 5 étapes clés nécessaires à cette sécurisation.

Sécurisation d’un système embarqué : grandes étapes //

Afin de répondre à ces enjeux majeurs, l’Expertise Unit Cyber Apside propose une méthodologie de sécurisation des systèmes embarqués en 5 grandes étapes :

  1. L’identification : elle consiste à identifier le contexte du système et les menaces potentielles qui pourraient l’affecter en prenant en compte les aspects techniques, organisationnels et humains.
  2. L’étude : elle repose sur l’évaluation de ses vulnérabilités en analysant ses points forts et ses points faibles qui pourraient être exploités par les sources de menace identifiées.
  3. La définition du plan d’action : il s’agit de déterminer les mesures de sécurité adéquates en employant des outils et des techniques de sécurité adaptés à l’environnement.
  4. La mise en place opérationnelle : elle s’appuie sur l’instauration de mesures de sécurité identifiées, en veillant à leur intégration dans les processus et les procédures de l’entreprise tout en formant les employés à leur utilisation.
  5. La veille : qui comprend la surveillance et l’audit régulier de la sécurité du système en testant l’efficacité des mesures de sécurité mises en place et en adaptant ces dernières en cas de besoin.
étapes sécurisation systems embarqués
identifier_faille_sécuriser_système_embarqué

Sécurisation des systèmes embarqués : l’identification //

Afin de mettre en œuvre une politique de sécurité efficace et adaptée à son environnement, il est indispensable en premier lieu d’identifier de manière précise le contexte et le périmètre du produit/système embarqué à protéger.

Cette étape primordiale consiste notamment à comprendre le fonctionnement et les mécaniques du système industriel dont il est question afin d’en déduire les sécurisations à appliquer. Par ailleurs, il est particulièrement important de distinguer si le système étudié est un équipement isolé (ECU véhicule, robot-aspirateur, drone, valve de contrôle) ou bien s’il fait partie d’un ensemble de produits interconnectés dans un réseau (GVN, CAN, Modbus, EtherCAT, Profinet). En effet, la politique de sécurité sera forcément impactée par ces corrélations éventuelles.

cybersécurité_système_embarqué

Sécurisation des systèmes embarqués : l’étude //

Dès que contexte et périmètre ont été identifiés, il convient d’étudier les vulnérabilités potentielles.

Comme dans toute phase de cadrage, se poser les bonnes questions permet de déterminer les actions à mener. En effet, les investissements et enjeux de cybersécurité sont évalués différemment suivant les situations et les scénarios envisagés. Apporter les réponses aux interrogations suivantes permettra de mieux calibrer ses enjeux :

  • « Des exigences fonctionnelles concourent-elles déjà à la sécurité de mon système ?»
  • « Mon produit possède-t-il des sécurités (antivirus, pare-feu, HIDS, MDP JTAG) et est-il administré par un système centralisé (SCADA, SIEM, UEM/MDM) ?».
  • « Quels impacts pour mon business en cas d’attaque sur mon système ?».

Évaluer et auditer la sécurité déjà en place aide à mieux identifier ses failles et ainsi à déterminer les efforts techniques et financiers requis pour élever son niveau de sécurité. Par ailleurs, un dysfonctionnement causé par une source malveillante aura de lourdes conséquences sur une organisation.

Ces impacts peuvent notamment être :

  • Matériels (sureté de fonctionnement) ;
  • Financiers (contexte opérationnel, chaîne de production) ;
  • Réputationnels (image de marque) ;
  • Humains (atteintes à l’intégrité physique des personnes).

 

Il faut enfin se demander quelles sont les spécificités et contraintes (s’appliquant au système) dont on ne peut pas se séparer. La réponse à cette interrogation permettra d’identifier les limites d’un système, car toutes les mesures ne sont pas implémentables et le coût lié à la cybersécurité doit être maîtrisé.

Sécurisation des systèmes embarqués : définition du plan d’actions //

Une fois que l’état des lieux est dressé, il devient pertinent de déterminer les mesures de sécurité à mettre en œuvre pour couvrir les risques cyber identifiés précédemment. Afin de contrer les menaces d’ordre physique et matériel sur un produit, voici quelques exemples de mesures :

  • Verrouillage des interfaces du matériel: Les interfaces de communication et de débogage doivent être protégées par mots de passe voire condamnés à l’aide d’obturateurs/scellés ;
  • Désactivation des fonctions non essentielles du micrologiciel : Des guides de sécurisation et de configuration sont disponibles (cf. guide ANSSI pour la sécurisation d’un système GNU/Linux) ;
  • Fonctions cryptographiques: le démarrage sécurisé (Secure Boot) authentifiera un micrologiciel et l’ajout d’un HSM protègera les secrets cryptographiques ;
  • Politique de mise à jour: Ces MAJ régulières assureront une sécurité efficace face aux dernières menaces avancées (0-day) ;
  • Sauvegardes régulières et PRA : Les sauvegardes sont rappelées en production via un plan de reprise d’activité (PRA). C’est une procédure documentée indispensable définissant les règles de déploiement des sauvegardes ;
  • Ségrégation : Une bonne pratique consiste à fragmenter physiquement les réseaux en fonction des usages. En cas de compromission, seule une partie du système sera impacté et les risques réduits. Si l’isolation n’est pas possible, l’emploi de zones démilitarisées et de diodes réseaux garantiront une ségrégation logique.
cybersécurité_système_embarqué

Sécurisation des systèmes embarqués : la sécurisation //

Toutes les étapes précédentes sont nécessaires afin d’effectuer la phase de sécurisation de manière optimale. Les exigences et mesures de sécurité pourront alors être mises en œuvre selon une procédure et un plan d’actions précis qu’il faut définir en prenant soin de préserver l’écosystème de production.

Pour ce faire :

  1. Déploiement dans un environnement de test: Il est d’usage d’expérimenter les ajouts dans un environnement de test ou de développement afin de garantir le bon fonctionnement du système final une fois sécurisé.
  2. Vérification d’intégration : Il est important de tester la viabilité de toutes les fonctions du système via des tests unitaires dédiés. Certaines pourraient être corrompues ou nécessiteraient d’être adaptées à l’environnement sécurisé.
  3. Simulations d’incidents: Des incidents type cyber pourront être simulés afin de vérifier la bonne intégration et le bon fonctionnement des mesures de sécurité dans les processus de l’entreprise.
  4. Formation des employés : Afin de s’assurer de la bonne gestion des incidents cyber, les employés devront aussi être formés à la bonne conduite des procédures de sécurité dans l’entreprise.

Sécurisation des systèmes embarqués : la veille //

Parce qu’une résolution d’un incident réussie ne garantit pas d’être définitivement à l’abris, il faut rester en veille permanente, en auditant et éprouvant régulièrement sa politique de sécurité et afin de l’adapter si besoin.

Cette surveillance passe notamment par 3 axes :

  • Supervision

Il est conseillé de mettre en œuvre des solutions de gestion centralisée (type SCADA) qui, associés à des systèmes de supervision (SIEM), faciliteront la détection d’incidents et d’alertes de cybersécurité. Les solutions d’IAM et de PKI aideront à la gestion des divers secrets manipulés au sein de votre environnement.

 

  • Sécurité réseau

Les communications, au sein d’un réseau doivent être chiffrées à l’aide d’algorithmes/protocoles sécurisés. Les NIDS/NIPS aident à détecter les attaques réseau et empêchent les exfiltrations de données en cas de défaillances des systèmes de sécurité.

 

  • Audit du système

Faire auditer son système par des professionnels de la cybersécurité ! Non seulement ils apportent un regard extérieur, mais ils permettent également la détection de vulnérabilités potentielles non couvertes, de mieux évaluer le niveau de sécurité des systèmes et de rationaliser les actions cyber à mettre en œuvre. Les audits peuvent prendre diverses formes (organisationnel, technique, web, réseau, code source) suivant une large sélection de mesures de sécurité en s’appuyant sur de nombreux catalogues (ISO-27002, ISO-62433) et guides (ANSSI, CIS) et peuvent permettre de faire certifier vos produits vis-à-vis de normes (ISO-27001, ISO/SAE-21434, ISO/IEC 62443, CC-EAL).

apside_cybersécurité_expertise_unit

L’expertise unit Cyber //

Ces 5 grandes étapes s’inscrivent dans une méthodologie globale et théorique, mais chacune d’entre elle aura un poids et une importance différente selon la nature de chaque organisation. Au sein d’Apside, nous avons une expertise unit dédiée à la cybersécurité qui se tient à la disposition des structures de toutes tailles ayant besoin de conseil pour sécuriser leur système embarqué. N’hésitez pas à prendre contact avec nous via cet email (eu-cyber@apside.fr) si vous souhaitez l’avis de nos experts.

A propos de l’auteur : Rémi Viard – Responsable de la division CCIS (Cryptology and Cybersecurity for Industrial Systems) au sein de l’Expertise Unit Cyber du groupe Apside – Responsable et créateur du TAESC’Lab (Laboratoire électronique de tests de pénétration des systèmes industriels et embarqués) – Spécialiste sur les sujets liés à la cybersécurité dans de nombreux secteurs (IT, OT, aérospatiale, Automobile).

Conseil Métier - 3 minutes
-

Fresque du Numérique Sensibilisez vos équipes aux enjeux environnementaux du numérique

Notre Blog
Esaclier en colimaçon menant à un jardin verdoyant

Le Fresque du Numérique, une variante de la Fresque du Climat avec un focus sur le numérique

À l’aube de grands bouleversements environnementaux et sociétaux, la Fresque du Numérique est un serious game d’une demi-journée, qui permet de comprendre les impacts du numérique, et d’être visionnaire pour adapter nos usages digitaux aux besoins d’aujourd’hui et de demain.

Cet atelier ludique, inspiré de la Fresque du Climat, fait jouer ses participants sur un principe d’intelligence collective, avec des dizaines de cartes qu’il convient de relier entre elles.

La Fresque du Numérique poursuit deux objectifs :

  • Comprendre ce que cela implique d’acheter, d’utiliser, ou de jeter du matériel numérique
  • Savoir comment agir efficacement à son échelle, que ce soit dans la vie pro ou perso pour limiter les conséquences négatives du numérique

 

Elle se déroule en 4 temps :

  • Compréhension: à travers le jeu de cartes et leur relation, et ainsi considérer la « big picture » du numérique
  • Créativité: sollicitation du cerveau droit et assimilation, avec la réalisation en équipe d’une fresque unique, décorée et titrée, qui entérinera cet atelier
  • Restitution: chaque équipe partage ses enseignements et les messages clés qu’elle a retenu
  • Action: les participants découvrent les cartes « action » et identifient celles qu’ils ont envie de retenir

Cet atelier se déroule dans une ambiance détendue, informelle, sans jugement ni culpabilisation ! Le but est de comprendre ensemble ce qui se cache derrière ces usages, et comment faire pour que le numérique devienne un atout pour ce monde.

« Le dématérialisé n’existe pas » : message central de la Fresque du Numérique

Évoquer le numérique ou la transformation digitale conduit à un raccourci : puisqu’on digitalise, on limite les papiers, les trajets, etc. et donc on « dématérialise ». Cet abus de langage amène à penser que le numérique est sans impact tangible, ce qui est totalement faux ! Les objets numériques sont loin d’être écologiques. Les usages de plus en plus intensifs, notamment du streaming vidéo, ont un impact considérable sur la planète.

Le secteur du numérique est responsable de l’émission d’une grande quantité de CO2 (le gaz à effet de serre responsable du réchauffement climatique) dans des proportions plus grandes que l’aviation civile !

La Fresque du Numérique est un jeu qui permet de comprendre ces impacts, et d’adapter nos façons de créer et de consommer le numérique pour contribuer à un monde durable.

Atelier de Fresque Numérique dans les locaux Apside
Schéma d'impact de la production d'un ordinateur portable sur l'environnement

Fresque du numérique : cibler la fabrication des objets, forte source de pollution et d’émissions carbone

Contrairement à l’imaginaire collectif, c’est la fabrication de nos objets numériques qui a le plus fort impact environnemental, 4 à 5 fois plus que les data centers ou les infrastructures. Que ce soit en termes de ressources en métaux, en eau, ou en énergie, nos objets numériques sont (très) gourmands.

L’exemple ci-contre nous montre qu’un ordinateur de 2kg implique l’utilisation de plus de 2 tonnes de ressources.

Et la problématique ne se limite pas à la fabrication, mais également au recyclage. Aujourd’hui, la plupart des déchets électroniques sont acheminés illégalement en Tanzanie, Ghana ou Ukraine, créant ainsi de gigantesques décharges désastreuses pour l’environnement.

Pour la fabrication et le recyclage, la meilleure solution reste donc de faire durer nos équipements numériques le plus longtemps possible !

Atelier de Fresque Numérique dans les locaux Apside

Fresque du numérique, l'inquiétude liée à la croissance exponentielle des objets et usages

En 2019, il existait 32 milliards d’équipements numériques en circulation sur la planète. On en prévoit 48 milliards en 2025… Les projections actuelles annoncent une croissance vertigineuse des émissions de CO2 liées au numérique, de l’ordre d’environ 10% par an. Si les usages continuent à croître en suivant la tendance actuelle, les émissions du numérique atteindront 35% des émissions de CO2 globales en 2050, contre 4% aujourd’hui.

Les nouveaux usages tels que la blockchain, la 5G, les objets connectés, et l’intelligence artificielle sont moteurs de cette augmentation significative déjà observée. C’est pour cette raison qu’il est grand temps de sensibiliser les utilisateurs mais aussi les acteurs du numérique, afin d’imaginer ensemble le monde de demain.

Affichage de post-its suite à un atelier de Fresque Numérique

Le Green IT, parmi les solutions présentées lors de la Fresque du Numérique

Notre précédent article sur le Green IT et l’impact du numérique l’explique parfaitement : il existe des alternatives concrètes pour raisonner nos usages du numérique, mais aussi raisonner la façon de les concevoir. La Fresque du numérique encourage toutes ces pratiques et en premier lieu le Green IT !

Ce concept, aussi appelé éco-conception, consiste à créer un système numérique sobrement, que ce soit techniquement ou fonctionnellement, afin qu’il réponde aux usages essentiels des utilisateurs avec le moins d’énergie et de matière possible. Le terme de « sobriété numérique » se fait de plus en plus entendre : comment fabriquer moins et mieux ? Selon le dernier rapport de l’association Cigref, la sobriété numérique est une démarche d’entreprise responsable, qui consiste à « modérer l’explosion des usages et la démultiplication des équipements, qui ne sont pas toujours nécessaires, et surtout pas soutenables ». Il s’agit donc de rationaliser, ce qui allie souvent écologie et économie.

À ne pas confondre, l’IT for Green est le choix de mettre le numérique au service de la planète, à travers des projets digitaux qui contribuent par exemple à réduire les émissions de gaz à effet de serre. Il est le plus souvent le fait d’initiatives distincts, par des personnes ou des collectifs, alors que le Green IT est une démarche globale et permanente qui doit s’imposer à tous.

 

Ces deux visions sont parfaitement complémentaires, et sont présentées comme solutions lors de la Fresque du Numérique, plus que jamais un atelier indispensable.

Onboarding digital - 2 minutes
-

Les enjeux et bénéfices du coaching des nouveaux arrivants

Notre Blog
Main féminine posée sur un carnet où est écrit lets get started

Coaching des nouveaux arrivants : une initiative exprimée par le besoin

Florence et Jean-Michel, respectivement Responsable du plateau SI à Aix et directeur de projet, ont développé un programme de coaching pour les nouveaux arrivants sur leur plateau. Ils se sont rendu compte que des profils juniors, avec peu d’expérience en sortie d’école, n’avaient pas toujours toutes les clés concernant la vie d’un projet.

Leur initiative, conçue comme un coaching individualisé, permet aux nouveaux arrivants en inter-contrat de monter en compétences et de comprendre tous les rouages de la gestion de projet en travaillant sur toutes les étapes d’un projet fictif mais concret.

De l’expression du besoin du client, au développement, en passant par la création de base de données pour gérer les ressources matérielles et humaines, les participants s’autoforment et apprennent à gérer leur temps pour répondre au mieux à ce client fictif mais exigeant.

Coaching des nouveaux arrivants : développer les compétences techniques

Au travers de cette initiative, Jean-Michel offre aux participants l’occasion de se former sur de nouvelles technologies, en cohérence avec celles qu’ils connaissent déjà. Il s’agit notamment d’acquérir des compétences sur des technologies actuelles et d’avenir, pas toujours apprises dans les établissements universitaires.

Le fait de s’auto-former sur une nouvelle technologie permet d’une part de démontrer les capacités d’apprentissage et d’adaptabilité de la personne, et d’autre part qu’ils deviennent à terme des développeurs autonomes et compétents sur plusieurs langages de programmation.

Écran où sont écrites des compétences sous forme de ligne de code
Une femmes expliquant un projet à une autre sur un tableau blanc

Coaching des nouveaux arrivants : développer les compétences professionnelles et interpersonnelles

Jean-Michel aide également ces recrues à développer leurs compétences professionnelles et interpersonnelles en les confrontant à des situations qu’ils pourront rencontrer sur un projet réel. Comment réagir face à des modifications dans le besoin exprimé, la façon de communiquer avec le client, bien gérer son temps et travaillez sur ce qui a été demandé et validé – autant de choses auxquelles pourra être confronté le collaborateur !

Avec cette initiative, il souhaite ainsi les aider à progresser, et à devenir des développeurs complets, autonomes, capables de comprendre et de répondre aux besoins du client, et de réagir en cas de problème.

Équipe projet informatique au tour d'une table en train d'échanger

Coaching des nouveaux arrivants : un double bénéfice d’intégration et de satisfaction client

Ce coaching des nouveaux entrants ne s’est pas imposé à nous, Apside recrutant des profils ayant démontré leurs compétences. C’est une initiative que nous avons pris dans une démarche d’amélioration continue, qui doit apporter des bénéfices en interne et en externe.

D’une part, ce coaching permet à Apside Aix de s’assurer que chaque profil qui rejoint l’entreprise reçoive une formation intégrante à l’image d’Apside, et qu’il bénéficie d’un suivi alimentant notre GPEC (Gestion Prévisionnelle des Emplois et des Compétences).

D’autre part, Apside Aix s’assure que chacun de ses talents soit immédiatement efficace lorsqu’il commence une mission client, même si c’est un profil jeune diplômé. La qualité des prestations de nos collaborateurs est au cœur de nos préoccupations, et ce coaching est une étape de plus dans notre exigence de résultats pour chaque projet qu’Apside mène.

Digitalisation de la formation : quel LMS choisir et comment ? - 3 minutes
-

Digitalisation de la formation Quel LMS choisir et comment ?

Notre Blog
Deux personnes pointant des fonctionnalités sur un écran d'ordinateur

Les origines du choix d’un LMS

Confrontées aux évolutions incessantes du marché, à la mutation des emplois ou encore aux difficultés de recrutement et de fidélisation, les organisations ont lancé ces dernières années des stratégies de transformation et de digitalisation.

Tous les secteurs d’activités sont concernés, et celui de la formation n’y échappe pas.

Cette dynamique a été renforcée par le législateur et la réforme de la formation professionnelle, qui oblige depuis le 1er janvier 2019 les entreprises au développement des compétences des salariés. Cette réforme reconnaît la formation à distance comme modalité de transmission de connaissance. La crise du Covid-19 et ses conséquences sur le marché de l’emploi ont accéléré cette évolution, l’investissement dans le capital humain des organisations devenant primordial.

La dimension du choix d’un LMS

Cet enjeu de digitalisation de la formation se confronte bien souvent très vite au choix de l’outil, ou autrement dit, à cette interrogation : quelle plateforme d’enseignement à distance sélectionner ?

Le chemin de croix débute alors ! Non seulement le nombre de solutions proposé par les acteurs de ce secteur florissant ne cesse de s’accroître, mais le type de ces solutions explose tout autant.

Pour preuve, aux premiers LMS (Learning Management System) se sont ajoutées les plateformes gratuites en ligne (Parcoroo, iEcole, Podia,…), les plug-ins de solutions de création de site (LearnDash, LearnPress, Tutor LMS,…), les LMS cloud (Moodle Cloud), les LMS customisés (Touch’Lite,…), les plateformes propriétaires de provider (Simplonline, Upility, Didask,…), les LCMS (Learning Content Management System), les LEP (Learning Engagement Platform), les LXP (Learning eXperience Platform), les plateformes de social learning voire mixtes (Tuttis, Hivebrite, Speach.me,…), les plateformes de mobile learning (Beedeez, Teach On Mars, Sparted,…),… Coté fournisseurs, le site capterra.com recense à date plus de 1140 LMS Software (https://www.capterra.fr/directory/30020/learning-management-system/software ) ! Les possibilités offertes sont, si ce n’est infinies, très riches.

Femme suivant un cours en ligne
Homme cadrant la création d'un plateforme web avec des post-its

Les interrogations préalables au choix d’un LMS

Cela étant, si cette question du choix de l’outil est centrale, sans doute n’est-elle pas première au risque de conduire à quelques désillusions. Comme pour tout projet ambitieux et stratégique, une phase de cadrage est indispensable.

Avant de se lancer dans l’expérimentation voire l’acquisition « impulsive » de LA solution, alors qu’elles sont toutes toujours plus attrayantes les unes que les autres, avec l’apparition ces dernières années de technologies comme la réalité augmentée, la réalité virtuelle ou encore les métavers, d’autres interrogations peuvent se révéler déterminantes pour sécuriser cette décision :

  • Quel est le niveau de digitalisation de l’organisation à équiper, voire du dispositif de formation, s’il existe déjà ? Des méthodes simples d’évaluation de ce niveau pour un dispositif existent, comme COMPETICE ou SDL de Jacques Rodet (http://blogdetad.blogspot.com/2020/08/situer-son-dispositif-de-digital.html).
  • Quels sont les niveaux d’acculturation et de maîtrise du digital des futurs acteurs de la plateforme : apprenant, administrateur, équipe pédagogique, formateur, concepteur, mentor, tuteur, manager, RH, commercial… ? La transition digitale nécessite, comme tout changement, d’être accompagnée. Ces deux premiers questionnements visent à projeter le degré de conduite à investir pour espérer la réussir.
  • Quels sont les besoins et les attentes des futurs utilisateurs, tous rôles confondus, au-delà de la seule plateforme, c’est-à-dire en termes d’approche et de modalité de formation, de précision du suivi des apprentissages, de la typologie des contenus pédagogiques et de ressources multimédias… puis, plus spécifiquement pour la plateforme, en termes de fonctionnalités à prioriser ? Quel type de formation, quelles modalités d’enseignement, pour finalement quels usages ? L’interrogation des problématiques rencontrées par les futurs utilisateurs dans l’environnement actuel de l’organisation, au sein du dispositif de formation et au-delà (CRM, SIRH, Qualiopi…), peut se révéler efficace pour éclairer le futur périmètre du projet.
  • Quels sont les moyens disponibles mis à disposition par l’organisation pour conduire et réaliser le projet : humains, budgétaires, temps à consacrer ? Quel est le délai attendu, qui porte le projet, qui le sponsorise ? Les moyens ainsi identifiés, l’ambition de la transformation peut être ajustée objectivement.
  • Quel est l’existant : l’écosystème des matériels et des outils digitaux déjà en place (SIRH voire une plateforme, outil CRM…), le catalogue de formation à date (formation courte, longue, hybride, professionnelle, public…), les contenus et supports pédagogiques, les outils de conception mais aussi d’animation d’une session ? Cette collecte initiale précise le périmètre de la transformation ainsi que les critères de sélection.

Il s’agit par ce questionnement non exhaustif d’affiner les critères de choix de la plateforme pour ensuite se confronter à l’expérimentation de quelques solutions, d’une ou deux typologies de LMS. Cette étape d’essai, tout aussi déterminante et trop souvent négligée, permet d’asseoir le choix de l’outil le plus adapté à l’organisation.

Ordinateur, téléphone, carnet et tasse de café posés sur un bureau

Digitalisation de la formation et LMS : ne pas choisir, c’est aussi choisir !

Opter pour un LMS ne se détermine donc pas par de simples fonctionnalités présentes ou non dans un outil mais bien par une réflexion plus globale centrée sur l’organisation, le dispositif de formation et les acteurs en présence. Réflexion qui peut conduire à la fois à la décision de ne pas s’équiper d’une plateforme mais d’une solution alternative, comme à celle d’en acquérir plusieurs !

 

L’outil n’est qu’un MOYEN, et surtout pas LA solution, face aux enjeux posés par la digitalisation.

Électronique numérique programmable Qu'est-ce que le FPGA ?

Notre Blog

Définition et construction d’un FPGA ou d’un composant électronique numérique programmable

Les FPGA, pour Field-Programmable Gate Array, sont une génération de composants logiques programmables. Ceux-ci sont des circuits électroniques intégrés logiques, qui peuvent être (re)programmés après leur fabrication. Concrètement, ils prennent la forme d’une puce située sur une carte électronique, contenant de nombreuses ressources réintégrées à cette puce. Le rôle d’un développeur FPGA sera alors de configurer cette puce pour réaliser les fonctions souhaitées.

Un FPGA est construit avec des périphériques d’entrées et de sorties (les IO sur la figure 2 ci-dessous) et des éléments programmables tels que des cellules logiques (les CLB – figure 2), des blocs de type mémoire (les Memory – figure 2) et des blocs plus complexes de multiplication par exemple (DSP – figure 2). Tous ces blocs sont agençables et reliés par des routes. L’objectif est alors de configurer ces blocs et ces routes afin que la puce réalise une fonction globale. Fonction qui accueille une information arrivant en entrée, la transforme à l’intérieur et la fait sortir pour qu’elle permette une action.

Dans la figure 2 ci-dessous, sur l’image de droite, on peut s’apercevoir de toutes les cellules configurées – en bleu plus foncé – et reliées aux multiples routes utilisées – en bleu-vert.

Les applications du FPGA

On retrouve ces puces un peu partout et notamment chez soi. Par exemple, il est sans doute arrivé à beaucoup de voir son décodeur TV accepter une mise à jour, avec comme message « mise à jour firmware X.X ». Cette manipulation est en fait une reprogrammation d’un FPGA à l’intérieur du décodeur. Mais la valeur ajoutée du FPGA s’exprime également dans des secteurs stratégiques comme le spatial, l’aéronautique ou la défense. In fine, on peut retrouver des FPGA un peu partout, grâce à sa qualité première qui est la mise à jour à distance de manière infinie afin de réaliser des activités différentes – ou corriger une erreur sans avoir à rappeler tout le matériel.

Le deuxième gros avantage du FPGA étant la rapidité des calculs et des traitements, on les retrouve ainsi dans les clouds, où les FPGA permettent l’accélération de certains traitements. Typiquement, les FPGA vont être utiles aux clouds pour le chiffrement. Aujourd’hui lorsque l’on crée un VPN, entre un point A et un point B, on va vouloir chiffrer des données. Auparavant, seul un CPU en était capable, en récupérant dans le serveur des données et en procédant à des calculs – souvent longs – pour les chiffrer. À la différence du microprocesseur, le FPGA est une configuration matérielle de nombreux éléments unitaires qui fonctionneront de concert. À chaque cycle d’horloge, chaque petit élément effectuera alors une tâche, là où le CPU ne sera capable d’en effectuer qu’une seule. Un chiffrement via FGPA ne pourrait ainsi prendre qu’un cycle d’horloge contre une multitude via un microprocesseur.

Représenation schématique et en 3D d'un FPGA
Circulation d'éléctricité entre deux sources

Performances et intérêt du FPGA

Pour prendre une analogie, la différence entre un microprocesseur et un FGPA est un peu comme la différence entre un garagiste changeant les roues d’une voiture, et une équipe de mécaniciens de formule 1. Là où le garagiste – le CPU – s’attachera à toutes les tâches une à une, c’est-à-dire dévisser, enlever la roue, mettre une nouvelle roue, revisser, passer à la deuxième, etc. une équipe de mécaniciens de formule 1 – le FPGA – aura une personne dédiée à chaque tâche pour chaque roue. Ce qui optimisera évidemment le temps global du projet, même si un CPU sera plus souple et plus rapide en fréquence d’horloge.

On pourrait rétorquer que les CPU sont capables de multithreading, c’est-à-dire du séquençage de phases en parallélisation. Mais bien souvent, c’est parallélisation est de façade. Pour reprendre l’analogie précédente, ce multithreading correspond bien souvent à dévisser un écrou sur une roue, puis un autre sur la deuxième, etc. Or, l’interrogation du CPU lors de cycle régulier donne l’impression que les choses avancent de concert – deux écrous ont été enlevés sur chaque roue – mais finalement, le microprocesseur ne fait qu’effectuer les tâches les unes après les autres, dans un séquençage où les tâches effectuées le sont par groupes similaires. Donc même en prenant en compte la rapidité par tâche supérieure du CPU, bout à bout, les FPGA seront plus rapides qu’un microprocesseur, grâce à leur fonctionnement mono-tâche.

Rapporté à la fréquence, un FPGA oscillera entre 200 et 300 mégahertz à son maximum, mais les projets classiques nécessiteront en général 100 Mhz. Tandis que les microprocesseurs auront une fréquence avoisinant les 3 gigahertz. Pourtant, afin de réaliser un ensemble de tâches, un CPU enchaînera aux alentours d’une trentaine d’instructions en dix périodes d’horloge, là où les FPGA pourront tenir 100, 1 000 voire 10 000 instructions en continu sur une seule période d’horloge.

Codage VHDL et simulation

Le rôle du développeur FPGA ?

Un projet FPGA se déroule en plusieurs phases assez traditionnelles. La première sera la phase de spécification. Particulièrement longue et challengeante, elle va permettre de choisir ce que l’on veut intégrer au FPGA, en termes de fonctionnalités de base et de taille notamment. La deuxième phase correspondra au codage (figure 3), en langage VHDL pour l’Europe, Verilog pour les USA. Elle aboutira à la construction de l’architecture qui va être interprétée et synthétisée, puis routée sur le FPGA.

La troisième phase consistera en la vérification en simulation. Le développeur observera ainsi l’exécution du traitement avant de l’intégrer à une puce FPGA. Cette phase permet ainsi d’aller voir à l’intérieur de tous les liens et signaux pour étudier leur comportement et ainsi d’avoir la vision globale du fonctionnement du FPGA. Et dès que la maturité est jugée suffisante sur ces simulations, le développeur effectuera des tests sur carte des différentes fonctions afin de vérifier qu’elles sont bien présentes et que les spécifications initiales sont respectées.

Toutes ces phases sont réalisées en lien avec les équipes hardware, qui définissent le besoin de comportement de leur carte électronique, et également des équipes logiciel dans le cadre des communications entre CPU et FPGA (voir plus loin la notion de SoC).

Comme un développeur IT, le développeur FPGA peut s’appuyer sur des bibliothèques (appelées composants en langage électronique), en langage VHDL, qui regroupent des outils de base permettant de faire des conversions de type de signaux ou du calcul de base. Pour des fonctions réimplémentées, plus complexes, le développeur se tournera vers les IP (pour Intellectual Property soit propriété intellectuelle). Ce sont des composants logiciels, avec leurs entrées et leurs sorties, qui peuvent être soit ouverts, écrit en VHDL, soit fermés, ou on aura une description en VHDL des entrées et sorties et au milieu une boîte noire qui sera appelée par l’outil de placement routage pour positionner les cellules précompilées et les mettre à la place souhaitée. Ces IP pourront être disponibles en open source ou payantes.

Construction d'un circuit FPGA

FPGA ou composant électronique numérique programmable : une solution d’avenir ?

Les dernières années avaient vu les projets FPGA se réduire, notamment à cause des performances de calcul toujours plus grandes des microprocesseurs. Mais aujourd’hui, on observe un regain d’intérêt pour le FPGA grâce au SoC (System On-Chip). Le on-chip est un FPGA auquel on va rajouter des éléments hardware en dur ou en soft. Typiquement, on peut rajouter en interne ou à côté des matrices FPGA un CPU afin de tirer avantage des deux unités électroniques. Le CPU va ainsi commander les différentes configurations du FPGA.

La matrice FPGA comportera alors plusieurs parties : la partie programmable logique, avec le code VHDL ; et des parties CPU ou dédiées à certaines interfaces. On pourra donc réaliser sur une seule puce ce qu’on pouvait réaliser avant sur plusieurs ou sur la totalité d’une carte.

Outre le fait de centraliser les qualités de chacun, cela permet aussi de concentrer tous les composants en un endroit et donc de réduire le temps de circulation des signaux et de gagner un temps précieux, évitant ainsi soudures, pistes longues, adaptations ralentissant les électrons.

Enfin, grâce aux instructions programmées dans les FPGA, on peut se servir du CPU pour en quelque sorte le reprogrammer en lui donnant des tâches spécifiques au besoin.

 

Finalement et vu son coût (de 1 à 3000$ la puce), le FPGA seul aura un intérêt en fonction des spécifications de la carte électronique. Pour les grandes séries, le CPU seul pourrait être le plus indiqué, mais si on souhaite lui apporter de la flexibilité, on peut se tourner vers le SoC. Et si on veut faire des petites séries, alors le FPGA sera idéal, car il aura le meilleur rapport qualité/prix et le meilleur ROI. En effet, outre son temps de développement, une puce CPU dédiée (ce qu’on appelle un ASIC) prendra environ 6 mois à être fabriquée dans les usines de silicium. Et ceci sans le droit à l’erreur car non reprogrammable.