Habilitation Electrique - 4 minutes
-

Retour d'expérience Comment se doter d’une formation Habilitation Electrique

Notre blog
habilitation_élec

Métiers de l’électronique et de l’informatique embarqué : enjeux d’une habilitation électrique //

Dans les métiers de l’électronique ou de l’informatique embarquée, les Apsidiens sont amenés à manipuler des cartes électroniques alors que celles-ci sont alimentées (principalement en très basse tension). Ces travaux rentrent donc dans le cadre du travail à proximité de pièces nues sous tension, et d’essais réalisés sous tension, selon la définition de la norme NF C 18-510. Afin de limiter les risques liés à ces manipulations, et en vue de se conformer à la législation en vigueur (code du travail), Apside doit former ses salariés et délivrer des titres d’habilitation électrique au bon niveau, selon le risque évalué et les activités réalisées.  

Métiers de l’électronique et de l’informatique embarqué : prémices de l’habilitation électrique chez Apside //

Jusqu’à présent, afin de pouvoir satisfaire ces obligations, Apside faisait notamment appel à des sociétés spécialisées dans ces formations obligatoires. Pour le niveau de formation visé par l’agence de Rennes (BR/B2V pour des interventions de dépannage et BE Essais pour des interventions de type essais, mesures…), la formation sur catalogue représentait 3 jours de formation, avec un contenu adapté à des intervenants dans le monde de l’électricité, mais peu adapté à nos métiers du numérique.  

En 2018, une première étape d’analyse de risque (travail sur des très basses tensions) avait permis à Apside et Socotec d’élaborer un programme spécifique sur une journée et demie de formation, avec un langage et des mises en application plus appliqués aux situations réelles rencontrées par nos collaborateurs. Si les apprenants ressortaient plus satisfaits de cette formation, l’organisation de ces sessions de formation nécessitait une certaine logistique : 8 à 12 personnes devaient être dans le besoin de cette formation à la même période et disponibles sur les mêmes créneaux. La délivrance du titre d’habilitation électrique étant parfois impérative au démarrage d’une mission, les équipes Rennaises perdaient alors en réactivité. 

Métiers de l’électronique et de l’informatique embarqué : internalisation de l’habilitation électrique Apside //

C’est ainsi qu’un projet de formation interne voit le jour chez Apside. Ce chantier implique alors d’identifier des collaborateurs qui souhaiteront et pourront être formés à devenir formateurs sur le sujet, puis de réaliser un contenu de formation adapté.  

Le projet se concrétise à partir de juillet 2022 sous la conduite d’Eric G. avec le support de Camille G. (Academy by Apside) et de l’équipe de formateurs. Dès le début, l’objectif est de maintenir un format mixte afin de respecter la norme. La formation en cours de conception comprendrait ainsi une journée de formation digitale via la plateforme de l’Academy by Apside, et une demi-journée en présentiel pour une mise en pratique et une évaluation finale.  

Après l’étude approfondie de la norme, les équipes ont pu procéder à la rédaction du storyboard de formation, à la mise en images et aux animations sur les plateformes Genially et Vyond (outils de l’Academy). Enfin, grâce à l’expertise de Camille ainsi que du formateur de la SOCOTEC qui a validé la cohérence et la conformité de notre parcours, la formation arrive aujourd’hui dans sa dernière étape de validation : la mise en ligne est donc prévue en février 2023. 

Métiers de l’électronique et de l’informatique embarqué : contenu de la formation //

Afin de créer cette formation, notre équipe a approfondi la norme d’habilitation électrique NF C18-510 (norme couvrant toutes les habilitations électriques) dans le but d’en extraire les savoirs et les savoir-faire nécessaires aux habilitations électriques de nos métiers. Pour cela, le formateur SOCOTEC a pointé à nos équipes les données structurantes. Ces derniers ont ensuite établi un tableau de ces savoirs et ces savoir-faire, pour procéder à un découpage en 3 modules : « Contacts et notions d’électricité », « Tronc commun », « BR et BE Essais ». 

L’appui de l’Academy by Apside a permis aux équipes de formaliser le processus de création des différents modules à travers des storyboards, notamment en répertoriant la diversité des activités, ou encore en veillant à l’ergonomie des supports. Toutefois, la conception d’une formation nécessite non seulement un apport théorique riche, mais également des dispositifs d’évaluation. Dans ce cadre, les concepteurs ont mis en place des QCMs d’évaluation formative, des QCMs de vérification des acquis ainsi qu’un QCM d’entrainement similaire à celui de l’évaluation théorique.  

Concernant la pratique, l’équipe projet avait connaissance des tests à mettre en place : en effet, plusieurs concepteurs avaient déjà participé à plusieurs habilitations électriques et aux recyclages associés. Il ne reste donc qu’à les personnaliser en fonction des métiers ciblés, et à répertorier le matériel adapté. C’est ainsi que 2 types de mises en situation ont été créés – individuelle et collective – avec des variantes, sous forme de « jeu de rôle ». Ces situations permettront au futur apprenant de démontrer l’acquisition des connaissances et compétences nécessaires à l’obtention de la certification.   

Finalement, les apprenants devront suivre un parcours e-learning de 3h sur l’Academy by Apside, (accompagnés d’un tuteur formateur disponible pour répondre aux questions et interrogations), et 3h de formation en présentiel qui permettront de récapituler les connaissances et de passer les évaluations théoriques et pratiques.  

Métiers de l’électronique et de l’informatique embarqué : conclusion //

Entre les sessions de recyclage tous les 3 ans et les formations initiales des nouveaux collaborateurs, ce sont déjà plus de 25 personnes qui devraient bénéficier de ce nouveau type de formation au sein de l’agence de Rennes en 2023. Cette initiative permettra ainsi à l’agence de gagner en réactivité et en temps de formation. Sans nul doute, cette formation a un grand avenir devant elle, avec un déploiement possible auprès d’autres agences confrontées aux mêmes risques électriques. Et qui sait, peut-être que nos concepteurs pourront vendre cette formation à l’écosystème du groupe (clients, partenaires…). 

Cyber sécurité - 5 minutes
-

Les 5 grandes étapes pour sécuriser un système embarqué

Notre blog
Les 5 grandes étapes pour sécuriser un système embarqué

Enjeu de la sécurisation d’un système embarqué //

En 2023, les fonctions cruciales des entreprises et industries modernes reposent notamment sur des produits et systèmes embarqués. Alors que près de 54% des PME ont fait l’objet d’une cyberattaque en 2021, il devient primordial de protéger ces systèmes embarqués efficacement contre les différents risques qui peuvent affecter leur performance et leur disponibilité. Cela implique de maîtriser 5 étapes clés nécessaires à cette sécurisation.

Sécurisation d’un système embarqué : grandes étapes //

Afin de répondre à ces enjeux majeurs, l’Expertise Unit Cyber Apside propose une méthodologie de sécurisation des systèmes embarqués en 5 grandes étapes :

  1. L’identification : elle consiste à identifier le contexte du système et les menaces potentielles qui pourraient l’affecter en prenant en compte les aspects techniques, organisationnels et humains.
  2. L’étude : elle repose sur l’évaluation de ses vulnérabilités en analysant ses points forts et ses points faibles qui pourraient être exploités par les sources de menace identifiées.
  3. La définition du plan d’action : il s’agit de déterminer les mesures de sécurité adéquates en employant des outils et des techniques de sécurité adaptés à l’environnement.
  4. La mise en place opérationnelle : elle s’appuie sur l’instauration de mesures de sécurité identifiées, en veillant à leur intégration dans les processus et les procédures de l’entreprise tout en formant les employés à leur utilisation.
  5. La veille : qui comprend la surveillance et l’audit régulier de la sécurité du système en testant l’efficacité des mesures de sécurité mises en place et en adaptant ces dernières en cas de besoin.
étapes sécurisation systems embarqués
identifier_faille_sécuriser_système_embarqué

Sécurisation des systèmes embarqués : l’identification //

Afin de mettre en œuvre une politique de sécurité efficace et adaptée à son environnement, il est indispensable en premier lieu d’identifier de manière précise le contexte et le périmètre du produit/système embarqué à protéger.

Cette étape primordiale consiste notamment à comprendre le fonctionnement et les mécaniques du système industriel dont il est question afin d’en déduire les sécurisations à appliquer. Par ailleurs, il est particulièrement important de distinguer si le système étudié est un équipement isolé (ECU véhicule, robot-aspirateur, drone, valve de contrôle) ou bien s’il fait partie d’un ensemble de produits interconnectés dans un réseau (GVN, CAN, Modbus, EtherCAT, Profinet). En effet, la politique de sécurité sera forcément impactée par ces corrélations éventuelles.

cybersécurité_système_embarqué

Sécurisation des systèmes embarqués : l’étude //

Dès que contexte et périmètre ont été identifiés, il convient d’étudier les vulnérabilités potentielles.

Comme dans toute phase de cadrage, se poser les bonnes questions permet de déterminer les actions à mener. En effet, les investissements et enjeux de cybersécurité sont évalués différemment suivant les situations et les scénarios envisagés. Apporter les réponses aux interrogations suivantes permettra de mieux calibrer ses enjeux :

  • « Des exigences fonctionnelles concourent-elles déjà à la sécurité de mon système ?»
  • « Mon produit possède-t-il des sécurités (antivirus, pare-feu, HIDS, MDP JTAG) et est-il administré par un système centralisé (SCADA, SIEM, UEM/MDM) ?».
  • « Quels impacts pour mon business en cas d’attaque sur mon système ?».

Évaluer et auditer la sécurité déjà en place aide à mieux identifier ses failles et ainsi à déterminer les efforts techniques et financiers requis pour élever son niveau de sécurité. Par ailleurs, un dysfonctionnement causé par une source malveillante aura de lourdes conséquences sur une organisation.

Ces impacts peuvent notamment être :

  • Matériels (sureté de fonctionnement) ;
  • Financiers (contexte opérationnel, chaîne de production) ;
  • Réputationnels (image de marque) ;
  • Humains (atteintes à l’intégrité physique des personnes).

 

Il faut enfin se demander quelles sont les spécificités et contraintes (s’appliquant au système) dont on ne peut pas se séparer. La réponse à cette interrogation permettra d’identifier les limites d’un système, car toutes les mesures ne sont pas implémentables et le coût lié à la cybersécurité doit être maîtrisé.

Sécurisation des systèmes embarqués : définition du plan d’actions //

Une fois que l’état des lieux est dressé, il devient pertinent de déterminer les mesures de sécurité à mettre en œuvre pour couvrir les risques cyber identifiés précédemment. Afin de contrer les menaces d’ordre physique et matériel sur un produit, voici quelques exemples de mesures :

  • Verrouillage des interfaces du matériel: Les interfaces de communication et de débogage doivent être protégées par mots de passe voire condamnés à l’aide d’obturateurs/scellés ;
  • Désactivation des fonctions non essentielles du micrologiciel : Des guides de sécurisation et de configuration sont disponibles (cf. guide ANSSI pour la sécurisation d’un système GNU/Linux) ;
  • Fonctions cryptographiques: le démarrage sécurisé (Secure Boot) authentifiera un micrologiciel et l’ajout d’un HSM protègera les secrets cryptographiques ;
  • Politique de mise à jour: Ces MAJ régulières assureront une sécurité efficace face aux dernières menaces avancées (0-day) ;
  • Sauvegardes régulières et PRA : Les sauvegardes sont rappelées en production via un plan de reprise d’activité (PRA). C’est une procédure documentée indispensable définissant les règles de déploiement des sauvegardes ;
  • Ségrégation : Une bonne pratique consiste à fragmenter physiquement les réseaux en fonction des usages. En cas de compromission, seule une partie du système sera impacté et les risques réduits. Si l’isolation n’est pas possible, l’emploi de zones démilitarisées et de diodes réseaux garantiront une ségrégation logique.
cybersécurité_système_embarqué

Sécurisation des systèmes embarqués : la sécurisation //

Toutes les étapes précédentes sont nécessaires afin d’effectuer la phase de sécurisation de manière optimale. Les exigences et mesures de sécurité pourront alors être mises en œuvre selon une procédure et un plan d’actions précis qu’il faut définir en prenant soin de préserver l’écosystème de production.

Pour ce faire :

  1. Déploiement dans un environnement de test: Il est d’usage d’expérimenter les ajouts dans un environnement de test ou de développement afin de garantir le bon fonctionnement du système final une fois sécurisé.
  2. Vérification d’intégration : Il est important de tester la viabilité de toutes les fonctions du système via des tests unitaires dédiés. Certaines pourraient être corrompues ou nécessiteraient d’être adaptées à l’environnement sécurisé.
  3. Simulations d’incidents: Des incidents type cyber pourront être simulés afin de vérifier la bonne intégration et le bon fonctionnement des mesures de sécurité dans les processus de l’entreprise.
  4. Formation des employés : Afin de s’assurer de la bonne gestion des incidents cyber, les employés devront aussi être formés à la bonne conduite des procédures de sécurité dans l’entreprise.

Sécurisation des systèmes embarqués : la veille //

Parce qu’une résolution d’un incident réussie ne garantit pas d’être définitivement à l’abris, il faut rester en veille permanente, en auditant et éprouvant régulièrement sa politique de sécurité et afin de l’adapter si besoin.

Cette surveillance passe notamment par 3 axes :

  • Supervision

Il est conseillé de mettre en œuvre des solutions de gestion centralisée (type SCADA) qui, associés à des systèmes de supervision (SIEM), faciliteront la détection d’incidents et d’alertes de cybersécurité. Les solutions d’IAM et de PKI aideront à la gestion des divers secrets manipulés au sein de votre environnement.

 

  • Sécurité réseau

Les communications, au sein d’un réseau doivent être chiffrées à l’aide d’algorithmes/protocoles sécurisés. Les NIDS/NIPS aident à détecter les attaques réseau et empêchent les exfiltrations de données en cas de défaillances des systèmes de sécurité.

 

  • Audit du système

Faire auditer son système par des professionnels de la cybersécurité ! Non seulement ils apportent un regard extérieur, mais ils permettent également la détection de vulnérabilités potentielles non couvertes, de mieux évaluer le niveau de sécurité des systèmes et de rationaliser les actions cyber à mettre en œuvre. Les audits peuvent prendre diverses formes (organisationnel, technique, web, réseau, code source) suivant une large sélection de mesures de sécurité en s’appuyant sur de nombreux catalogues (ISO-27002, ISO-62433) et guides (ANSSI, CIS) et peuvent permettre de faire certifier vos produits vis-à-vis de normes (ISO-27001, ISO/SAE-21434, ISO/IEC 62443, CC-EAL).

apside_cybersécurité_expertise_unit

L’expertise unit Cyber //

Ces 5 grandes étapes s’inscrivent dans une méthodologie globale et théorique, mais chacune d’entre elle aura un poids et une importance différente selon la nature de chaque organisation. Au sein d’Apside, nous avons une expertise unit dédiée à la cybersécurité qui se tient à la disposition des structures de toutes tailles ayant besoin de conseil pour sécuriser leur système embarqué. N’hésitez pas à prendre contact avec nous via cet email (eu-cyber@apside.fr) si vous souhaitez l’avis de nos experts.

A propos de l’auteur : Rémi Viard – Responsable de la division CCIS (Cryptology and Cybersecurity for Industrial Systems) au sein de l’Expertise Unit Cyber du groupe Apside – Responsable et créateur du TAESC’Lab (Laboratoire électronique de tests de pénétration des systèmes industriels et embarqués) – Spécialiste sur les sujets liés à la cybersécurité dans de nombreux secteurs (IT, OT, aérospatiale, Automobile).

Conseil Métier - 3 minutes
-

Fresque du Numérique Sensibilisez vos équipes aux enjeux environnementaux du numérique

Notre Blog
Esaclier en colimaçon menant à un jardin verdoyant

Le Fresque du Numérique, une variante de la Fresque du Climat avec un focus sur le numérique

À l’aube de grands bouleversements environnementaux et sociétaux, la Fresque du Numérique est un serious game d’une demi-journée, qui permet de comprendre les impacts du numérique, et d’être visionnaire pour adapter nos usages digitaux aux besoins d’aujourd’hui et de demain.

Cet atelier ludique, inspiré de la Fresque du Climat, fait jouer ses participants sur un principe d’intelligence collective, avec des dizaines de cartes qu’il convient de relier entre elles.

La Fresque du Numérique poursuit deux objectifs :

  • Comprendre ce que cela implique d’acheter, d’utiliser, ou de jeter du matériel numérique
  • Savoir comment agir efficacement à son échelle, que ce soit dans la vie pro ou perso pour limiter les conséquences négatives du numérique

 

Elle se déroule en 4 temps :

  • Compréhension: à travers le jeu de cartes et leur relation, et ainsi considérer la « big picture » du numérique
  • Créativité: sollicitation du cerveau droit et assimilation, avec la réalisation en équipe d’une fresque unique, décorée et titrée, qui entérinera cet atelier
  • Restitution: chaque équipe partage ses enseignements et les messages clés qu’elle a retenu
  • Action: les participants découvrent les cartes « action » et identifient celles qu’ils ont envie de retenir

Cet atelier se déroule dans une ambiance détendue, informelle, sans jugement ni culpabilisation ! Le but est de comprendre ensemble ce qui se cache derrière ces usages, et comment faire pour que le numérique devienne un atout pour ce monde.

« Le dématérialisé n’existe pas » : message central de la Fresque du Numérique

Évoquer le numérique ou la transformation digitale conduit à un raccourci : puisqu’on digitalise, on limite les papiers, les trajets, etc. et donc on « dématérialise ». Cet abus de langage amène à penser que le numérique est sans impact tangible, ce qui est totalement faux ! Les objets numériques sont loin d’être écologiques. Les usages de plus en plus intensifs, notamment du streaming vidéo, ont un impact considérable sur la planète.

Le secteur du numérique est responsable de l’émission d’une grande quantité de CO2 (le gaz à effet de serre responsable du réchauffement climatique) dans des proportions plus grandes que l’aviation civile !

La Fresque du Numérique est un jeu qui permet de comprendre ces impacts, et d’adapter nos façons de créer et de consommer le numérique pour contribuer à un monde durable.

Atelier de Fresque Numérique dans les locaux Apside
Schéma d'impact de la production d'un ordinateur portable sur l'environnement

Fresque du numérique : cibler la fabrication des objets, forte source de pollution et d’émissions carbone

Contrairement à l’imaginaire collectif, c’est la fabrication de nos objets numériques qui a le plus fort impact environnemental, 4 à 5 fois plus que les data centers ou les infrastructures. Que ce soit en termes de ressources en métaux, en eau, ou en énergie, nos objets numériques sont (très) gourmands.

L’exemple ci-contre nous montre qu’un ordinateur de 2kg implique l’utilisation de plus de 2 tonnes de ressources.

Et la problématique ne se limite pas à la fabrication, mais également au recyclage. Aujourd’hui, la plupart des déchets électroniques sont acheminés illégalement en Tanzanie, Ghana ou Ukraine, créant ainsi de gigantesques décharges désastreuses pour l’environnement.

Pour la fabrication et le recyclage, la meilleure solution reste donc de faire durer nos équipements numériques le plus longtemps possible !

Atelier de Fresque Numérique dans les locaux Apside

Fresque du numérique, l'inquiétude liée à la croissance exponentielle des objets et usages

En 2019, il existait 32 milliards d’équipements numériques en circulation sur la planète. On en prévoit 48 milliards en 2025… Les projections actuelles annoncent une croissance vertigineuse des émissions de CO2 liées au numérique, de l’ordre d’environ 10% par an. Si les usages continuent à croître en suivant la tendance actuelle, les émissions du numérique atteindront 35% des émissions de CO2 globales en 2050, contre 4% aujourd’hui.

Les nouveaux usages tels que la blockchain, la 5G, les objets connectés, et l’intelligence artificielle sont moteurs de cette augmentation significative déjà observée. C’est pour cette raison qu’il est grand temps de sensibiliser les utilisateurs mais aussi les acteurs du numérique, afin d’imaginer ensemble le monde de demain.

Affichage de post-its suite à un atelier de Fresque Numérique

Le Green IT, parmi les solutions présentées lors de la Fresque du Numérique

Notre précédent article sur le Green IT et l’impact du numérique l’explique parfaitement : il existe des alternatives concrètes pour raisonner nos usages du numérique, mais aussi raisonner la façon de les concevoir. La Fresque du numérique encourage toutes ces pratiques et en premier lieu le Green IT !

Ce concept, aussi appelé éco-conception, consiste à créer un système numérique sobrement, que ce soit techniquement ou fonctionnellement, afin qu’il réponde aux usages essentiels des utilisateurs avec le moins d’énergie et de matière possible. Le terme de « sobriété numérique » se fait de plus en plus entendre : comment fabriquer moins et mieux ? Selon le dernier rapport de l’association Cigref, la sobriété numérique est une démarche d’entreprise responsable, qui consiste à « modérer l’explosion des usages et la démultiplication des équipements, qui ne sont pas toujours nécessaires, et surtout pas soutenables ». Il s’agit donc de rationaliser, ce qui allie souvent écologie et économie.

À ne pas confondre, l’IT for Green est le choix de mettre le numérique au service de la planète, à travers des projets digitaux qui contribuent par exemple à réduire les émissions de gaz à effet de serre. Il est le plus souvent le fait d’initiatives distincts, par des personnes ou des collectifs, alors que le Green IT est une démarche globale et permanente qui doit s’imposer à tous.

 

Ces deux visions sont parfaitement complémentaires, et sont présentées comme solutions lors de la Fresque du Numérique, plus que jamais un atelier indispensable.

Onboarding digital - 2 minutes
-

Les enjeux et bénéfices du coaching des nouveaux arrivants

Notre Blog
Main féminine posée sur un carnet où est écrit lets get started

Coaching des nouveaux arrivants : une initiative exprimée par le besoin

Florence et Jean-Michel, respectivement Responsable du plateau SI à Aix et directeur de projet, ont développé un programme de coaching pour les nouveaux arrivants sur leur plateau. Ils se sont rendu compte que des profils juniors, avec peu d’expérience en sortie d’école, n’avaient pas toujours toutes les clés concernant la vie d’un projet.

Leur initiative, conçue comme un coaching individualisé, permet aux nouveaux arrivants en inter-contrat de monter en compétences et de comprendre tous les rouages de la gestion de projet en travaillant sur toutes les étapes d’un projet fictif mais concret.

De l’expression du besoin du client, au développement, en passant par la création de base de données pour gérer les ressources matérielles et humaines, les participants s’autoforment et apprennent à gérer leur temps pour répondre au mieux à ce client fictif mais exigeant.

Coaching des nouveaux arrivants : développer les compétences techniques

Au travers de cette initiative, Jean-Michel offre aux participants l’occasion de se former sur de nouvelles technologies, en cohérence avec celles qu’ils connaissent déjà. Il s’agit notamment d’acquérir des compétences sur des technologies actuelles et d’avenir, pas toujours apprises dans les établissements universitaires.

Le fait de s’auto-former sur une nouvelle technologie permet d’une part de démontrer les capacités d’apprentissage et d’adaptabilité de la personne, et d’autre part qu’ils deviennent à terme des développeurs autonomes et compétents sur plusieurs langages de programmation.

Écran où sont écrites des compétences sous forme de ligne de code
Une femmes expliquant un projet à une autre sur un tableau blanc

Coaching des nouveaux arrivants : développer les compétences professionnelles et interpersonnelles

Jean-Michel aide également ces recrues à développer leurs compétences professionnelles et interpersonnelles en les confrontant à des situations qu’ils pourront rencontrer sur un projet réel. Comment réagir face à des modifications dans le besoin exprimé, la façon de communiquer avec le client, bien gérer son temps et travaillez sur ce qui a été demandé et validé – autant de choses auxquelles pourra être confronté le collaborateur !

Avec cette initiative, il souhaite ainsi les aider à progresser, et à devenir des développeurs complets, autonomes, capables de comprendre et de répondre aux besoins du client, et de réagir en cas de problème.

Équipe projet informatique au tour d'une table en train d'échanger

Coaching des nouveaux arrivants : un double bénéfice d’intégration et de satisfaction client

Ce coaching des nouveaux entrants ne s’est pas imposé à nous, Apside recrutant des profils ayant démontré leurs compétences. C’est une initiative que nous avons pris dans une démarche d’amélioration continue, qui doit apporter des bénéfices en interne et en externe.

D’une part, ce coaching permet à Apside Aix de s’assurer que chaque profil qui rejoint l’entreprise reçoive une formation intégrante à l’image d’Apside, et qu’il bénéficie d’un suivi alimentant notre GPEC (Gestion Prévisionnelle des Emplois et des Compétences).

D’autre part, Apside Aix s’assure que chacun de ses talents soit immédiatement efficace lorsqu’il commence une mission client, même si c’est un profil jeune diplômé. La qualité des prestations de nos collaborateurs est au cœur de nos préoccupations, et ce coaching est une étape de plus dans notre exigence de résultats pour chaque projet qu’Apside mène.

Digitalisation de la formation : quel LMS choisir et comment ? - 3 minutes
-

Digitalisation de la formation Quel LMS choisir et comment ?

Notre Blog
Deux personnes pointant des fonctionnalités sur un écran d'ordinateur

Les origines du choix d’un LMS

Confrontées aux évolutions incessantes du marché, à la mutation des emplois ou encore aux difficultés de recrutement et de fidélisation, les organisations ont lancé ces dernières années des stratégies de transformation et de digitalisation.

Tous les secteurs d’activités sont concernés, et celui de la formation n’y échappe pas.

Cette dynamique a été renforcée par le législateur et la réforme de la formation professionnelle, qui oblige depuis le 1er janvier 2019 les entreprises au développement des compétences des salariés. Cette réforme reconnaît la formation à distance comme modalité de transmission de connaissance. La crise du Covid-19 et ses conséquences sur le marché de l’emploi ont accéléré cette évolution, l’investissement dans le capital humain des organisations devenant primordial.

La dimension du choix d’un LMS

Cet enjeu de digitalisation de la formation se confronte bien souvent très vite au choix de l’outil, ou autrement dit, à cette interrogation : quelle plateforme d’enseignement à distance sélectionner ?

Le chemin de croix débute alors ! Non seulement le nombre de solutions proposé par les acteurs de ce secteur florissant ne cesse de s’accroître, mais le type de ces solutions explose tout autant.

Pour preuve, aux premiers LMS (Learning Management System) se sont ajoutées les plateformes gratuites en ligne (Parcoroo, iEcole, Podia,…), les plug-ins de solutions de création de site (LearnDash, LearnPress, Tutor LMS,…), les LMS cloud (Moodle Cloud), les LMS customisés (Touch’Lite,…), les plateformes propriétaires de provider (Simplonline, Upility, Didask,…), les LCMS (Learning Content Management System), les LEP (Learning Engagement Platform), les LXP (Learning eXperience Platform), les plateformes de social learning voire mixtes (Tuttis, Hivebrite, Speach.me,…), les plateformes de mobile learning (Beedeez, Teach On Mars, Sparted,…),… Coté fournisseurs, le site capterra.com recense à date plus de 1140 LMS Software (https://www.capterra.fr/directory/30020/learning-management-system/software ) ! Les possibilités offertes sont, si ce n’est infinies, très riches.

Femme suivant un cours en ligne
Homme cadrant la création d'un plateforme web avec des post-its

Les interrogations préalables au choix d’un LMS

Cela étant, si cette question du choix de l’outil est centrale, sans doute n’est-elle pas première au risque de conduire à quelques désillusions. Comme pour tout projet ambitieux et stratégique, une phase de cadrage est indispensable.

Avant de se lancer dans l’expérimentation voire l’acquisition « impulsive » de LA solution, alors qu’elles sont toutes toujours plus attrayantes les unes que les autres, avec l’apparition ces dernières années de technologies comme la réalité augmentée, la réalité virtuelle ou encore les métavers, d’autres interrogations peuvent se révéler déterminantes pour sécuriser cette décision :

  • Quel est le niveau de digitalisation de l’organisation à équiper, voire du dispositif de formation, s’il existe déjà ? Des méthodes simples d’évaluation de ce niveau pour un dispositif existent, comme COMPETICE ou SDL de Jacques Rodet (http://blogdetad.blogspot.com/2020/08/situer-son-dispositif-de-digital.html).
  • Quels sont les niveaux d’acculturation et de maîtrise du digital des futurs acteurs de la plateforme : apprenant, administrateur, équipe pédagogique, formateur, concepteur, mentor, tuteur, manager, RH, commercial… ? La transition digitale nécessite, comme tout changement, d’être accompagnée. Ces deux premiers questionnements visent à projeter le degré de conduite à investir pour espérer la réussir.
  • Quels sont les besoins et les attentes des futurs utilisateurs, tous rôles confondus, au-delà de la seule plateforme, c’est-à-dire en termes d’approche et de modalité de formation, de précision du suivi des apprentissages, de la typologie des contenus pédagogiques et de ressources multimédias… puis, plus spécifiquement pour la plateforme, en termes de fonctionnalités à prioriser ? Quel type de formation, quelles modalités d’enseignement, pour finalement quels usages ? L’interrogation des problématiques rencontrées par les futurs utilisateurs dans l’environnement actuel de l’organisation, au sein du dispositif de formation et au-delà (CRM, SIRH, Qualiopi…), peut se révéler efficace pour éclairer le futur périmètre du projet.
  • Quels sont les moyens disponibles mis à disposition par l’organisation pour conduire et réaliser le projet : humains, budgétaires, temps à consacrer ? Quel est le délai attendu, qui porte le projet, qui le sponsorise ? Les moyens ainsi identifiés, l’ambition de la transformation peut être ajustée objectivement.
  • Quel est l’existant : l’écosystème des matériels et des outils digitaux déjà en place (SIRH voire une plateforme, outil CRM…), le catalogue de formation à date (formation courte, longue, hybride, professionnelle, public…), les contenus et supports pédagogiques, les outils de conception mais aussi d’animation d’une session ? Cette collecte initiale précise le périmètre de la transformation ainsi que les critères de sélection.

Il s’agit par ce questionnement non exhaustif d’affiner les critères de choix de la plateforme pour ensuite se confronter à l’expérimentation de quelques solutions, d’une ou deux typologies de LMS. Cette étape d’essai, tout aussi déterminante et trop souvent négligée, permet d’asseoir le choix de l’outil le plus adapté à l’organisation.

Ordinateur, téléphone, carnet et tasse de café posés sur un bureau

Digitalisation de la formation et LMS : ne pas choisir, c’est aussi choisir !

Opter pour un LMS ne se détermine donc pas par de simples fonctionnalités présentes ou non dans un outil mais bien par une réflexion plus globale centrée sur l’organisation, le dispositif de formation et les acteurs en présence. Réflexion qui peut conduire à la fois à la décision de ne pas s’équiper d’une plateforme mais d’une solution alternative, comme à celle d’en acquérir plusieurs !

 

L’outil n’est qu’un MOYEN, et surtout pas LA solution, face aux enjeux posés par la digitalisation.

Électronique numérique programmable Qu'est-ce que le FPGA ?

Notre Blog

Définition et construction d’un FPGA ou d’un composant électronique numérique programmable

Les FPGA, pour Field-Programmable Gate Array, sont une génération de composants logiques programmables. Ceux-ci sont des circuits électroniques intégrés logiques, qui peuvent être (re)programmés après leur fabrication. Concrètement, ils prennent la forme d’une puce située sur une carte électronique, contenant de nombreuses ressources réintégrées à cette puce. Le rôle d’un développeur FPGA sera alors de configurer cette puce pour réaliser les fonctions souhaitées.

Un FPGA est construit avec des périphériques d’entrées et de sorties (les IO sur la figure 2 ci-dessous) et des éléments programmables tels que des cellules logiques (les CLB – figure 2), des blocs de type mémoire (les Memory – figure 2) et des blocs plus complexes de multiplication par exemple (DSP – figure 2). Tous ces blocs sont agençables et reliés par des routes. L’objectif est alors de configurer ces blocs et ces routes afin que la puce réalise une fonction globale. Fonction qui accueille une information arrivant en entrée, la transforme à l’intérieur et la fait sortir pour qu’elle permette une action.

Dans la figure 2 ci-dessous, sur l’image de droite, on peut s’apercevoir de toutes les cellules configurées – en bleu plus foncé – et reliées aux multiples routes utilisées – en bleu-vert.

Les applications du FPGA

On retrouve ces puces un peu partout et notamment chez soi. Par exemple, il est sans doute arrivé à beaucoup de voir son décodeur TV accepter une mise à jour, avec comme message « mise à jour firmware X.X ». Cette manipulation est en fait une reprogrammation d’un FPGA à l’intérieur du décodeur. Mais la valeur ajoutée du FPGA s’exprime également dans des secteurs stratégiques comme le spatial, l’aéronautique ou la défense. In fine, on peut retrouver des FPGA un peu partout, grâce à sa qualité première qui est la mise à jour à distance de manière infinie afin de réaliser des activités différentes – ou corriger une erreur sans avoir à rappeler tout le matériel.

Le deuxième gros avantage du FPGA étant la rapidité des calculs et des traitements, on les retrouve ainsi dans les clouds, où les FPGA permettent l’accélération de certains traitements. Typiquement, les FPGA vont être utiles aux clouds pour le chiffrement. Aujourd’hui lorsque l’on crée un VPN, entre un point A et un point B, on va vouloir chiffrer des données. Auparavant, seul un CPU en était capable, en récupérant dans le serveur des données et en procédant à des calculs – souvent longs – pour les chiffrer. À la différence du microprocesseur, le FPGA est une configuration matérielle de nombreux éléments unitaires qui fonctionneront de concert. À chaque cycle d’horloge, chaque petit élément effectuera alors une tâche, là où le CPU ne sera capable d’en effectuer qu’une seule. Un chiffrement via FGPA ne pourrait ainsi prendre qu’un cycle d’horloge contre une multitude via un microprocesseur.

Représenation schématique et en 3D d'un FPGA
Circulation d'éléctricité entre deux sources

Performances et intérêt du FPGA

Pour prendre une analogie, la différence entre un microprocesseur et un FGPA est un peu comme la différence entre un garagiste changeant les roues d’une voiture, et une équipe de mécaniciens de formule 1. Là où le garagiste – le CPU – s’attachera à toutes les tâches une à une, c’est-à-dire dévisser, enlever la roue, mettre une nouvelle roue, revisser, passer à la deuxième, etc. une équipe de mécaniciens de formule 1 – le FPGA – aura une personne dédiée à chaque tâche pour chaque roue. Ce qui optimisera évidemment le temps global du projet, même si un CPU sera plus souple et plus rapide en fréquence d’horloge.

On pourrait rétorquer que les CPU sont capables de multithreading, c’est-à-dire du séquençage de phases en parallélisation. Mais bien souvent, c’est parallélisation est de façade. Pour reprendre l’analogie précédente, ce multithreading correspond bien souvent à dévisser un écrou sur une roue, puis un autre sur la deuxième, etc. Or, l’interrogation du CPU lors de cycle régulier donne l’impression que les choses avancent de concert – deux écrous ont été enlevés sur chaque roue – mais finalement, le microprocesseur ne fait qu’effectuer les tâches les unes après les autres, dans un séquençage où les tâches effectuées le sont par groupes similaires. Donc même en prenant en compte la rapidité par tâche supérieure du CPU, bout à bout, les FPGA seront plus rapides qu’un microprocesseur, grâce à leur fonctionnement mono-tâche.

Rapporté à la fréquence, un FPGA oscillera entre 200 et 300 mégahertz à son maximum, mais les projets classiques nécessiteront en général 100 Mhz. Tandis que les microprocesseurs auront une fréquence avoisinant les 3 gigahertz. Pourtant, afin de réaliser un ensemble de tâches, un CPU enchaînera aux alentours d’une trentaine d’instructions en dix périodes d’horloge, là où les FPGA pourront tenir 100, 1 000 voire 10 000 instructions en continu sur une seule période d’horloge.

Codage VHDL et simulation

Le rôle du développeur FPGA ?

Un projet FPGA se déroule en plusieurs phases assez traditionnelles. La première sera la phase de spécification. Particulièrement longue et challengeante, elle va permettre de choisir ce que l’on veut intégrer au FPGA, en termes de fonctionnalités de base et de taille notamment. La deuxième phase correspondra au codage (figure 3), en langage VHDL pour l’Europe, Verilog pour les USA. Elle aboutira à la construction de l’architecture qui va être interprétée et synthétisée, puis routée sur le FPGA.

La troisième phase consistera en la vérification en simulation. Le développeur observera ainsi l’exécution du traitement avant de l’intégrer à une puce FPGA. Cette phase permet ainsi d’aller voir à l’intérieur de tous les liens et signaux pour étudier leur comportement et ainsi d’avoir la vision globale du fonctionnement du FPGA. Et dès que la maturité est jugée suffisante sur ces simulations, le développeur effectuera des tests sur carte des différentes fonctions afin de vérifier qu’elles sont bien présentes et que les spécifications initiales sont respectées.

Toutes ces phases sont réalisées en lien avec les équipes hardware, qui définissent le besoin de comportement de leur carte électronique, et également des équipes logiciel dans le cadre des communications entre CPU et FPGA (voir plus loin la notion de SoC).

Comme un développeur IT, le développeur FPGA peut s’appuyer sur des bibliothèques (appelées composants en langage électronique), en langage VHDL, qui regroupent des outils de base permettant de faire des conversions de type de signaux ou du calcul de base. Pour des fonctions réimplémentées, plus complexes, le développeur se tournera vers les IP (pour Intellectual Property soit propriété intellectuelle). Ce sont des composants logiciels, avec leurs entrées et leurs sorties, qui peuvent être soit ouverts, écrit en VHDL, soit fermés, ou on aura une description en VHDL des entrées et sorties et au milieu une boîte noire qui sera appelée par l’outil de placement routage pour positionner les cellules précompilées et les mettre à la place souhaitée. Ces IP pourront être disponibles en open source ou payantes.

Construction d'un circuit FPGA

FPGA ou composant électronique numérique programmable : une solution d’avenir ?

Les dernières années avaient vu les projets FPGA se réduire, notamment à cause des performances de calcul toujours plus grandes des microprocesseurs. Mais aujourd’hui, on observe un regain d’intérêt pour le FPGA grâce au SoC (System On-Chip). Le on-chip est un FPGA auquel on va rajouter des éléments hardware en dur ou en soft. Typiquement, on peut rajouter en interne ou à côté des matrices FPGA un CPU afin de tirer avantage des deux unités électroniques. Le CPU va ainsi commander les différentes configurations du FPGA.

La matrice FPGA comportera alors plusieurs parties : la partie programmable logique, avec le code VHDL ; et des parties CPU ou dédiées à certaines interfaces. On pourra donc réaliser sur une seule puce ce qu’on pouvait réaliser avant sur plusieurs ou sur la totalité d’une carte.

Outre le fait de centraliser les qualités de chacun, cela permet aussi de concentrer tous les composants en un endroit et donc de réduire le temps de circulation des signaux et de gagner un temps précieux, évitant ainsi soudures, pistes longues, adaptations ralentissant les électrons.

Enfin, grâce aux instructions programmées dans les FPGA, on peut se servir du CPU pour en quelque sorte le reprogrammer en lui donnant des tâches spécifiques au besoin.

 

Finalement et vu son coût (de 1 à 3000$ la puce), le FPGA seul aura un intérêt en fonction des spécifications de la carte électronique. Pour les grandes séries, le CPU seul pourrait être le plus indiqué, mais si on souhaite lui apporter de la flexibilité, on peut se tourner vers le SoC. Et si on veut faire des petites séries, alors le FPGA sera idéal, car il aura le meilleur rapport qualité/prix et le meilleur ROI. En effet, outre son temps de développement, une puce CPU dédiée (ce qu’on appelle un ASIC) prendra environ 6 mois à être fabriquée dans les usines de silicium. Et ceci sans le droit à l’erreur car non reprogrammable.

Assurance qualité : de l’importance des tests fonctionnels - 4 minutes
-

L’assurance qualité de l'importance des tests fonctionnels

Notre Blog
Femme testant un site web sur un ordinateur portable

Le test dans un projet IT

Depuis une vingtaine d’années, le monde se « numérise » à marche forcée (énergie, télécommunication, transports, défense, sécurité…) et derrière tous nos gestes élémentaires du quotidien se cachent des dizaines de milliers de lignes de code d’applicatifs qu’il faut concevoir, développer, entretenir et bien sûr valider (par du test). Les tests sont une activité substantielle de l’ingénierie des systèmes qui va structurer le futur de nos sociétés hyper connectées, et des prévisions prévoient 50 milliards d’objets connectés via Internet aux alentours de 2030 soit l’équivalent de 6 par être humain.

 

Dans l’IT, le but d’un projet est de répondre au besoin d’un client ou de futurs utilisateurs en couvrant les exigences d’un cahier des charges. Ce dernier contient des fonctionnalités à partir desquelles les spécifications fonctionnelles de l’applicatif ou du site internet à réaliser seront décrites.

Dans ce contexte, les tests permettent de garantir un niveau de qualité de ce qui sera produit par l’équipe en charge d’un projet. Cette notion de qualité est certes subjective et n’aura pas la même signification selon que l’on soit développeur, responsable du SI concerné, utilisateur ou financier. Par exemple :

  • Le développeur souhaitera voir la qualité du code produit : est-il modulaire, générique, compréhensible, documenté, facile à maintenir…
  • Le responsable du Système d’Information s’attachera à savoir si le logiciel sera facile à administrer et qu’il ne sera pas susceptible de corrompre la sécurité globale du SI.
  • L’utilisateur final attendra lui, plutôt qu’un logiciel corresponde à son besoin, en étant si possible ergonomique voire esthétique.
  • Le financier voudra s’assurer que le logiciel se vendra bien, qu’il permette de faire du profit ou s’il permet d’améliorer la compétitivité de la structure.

La création logicielle est une activité humaine, donc par nature soumise à erreur. Elle passe par plusieurs étapes et le test en est une au même titre que le développement.

Qu’est-ce que le test fonctionnel ?

La norme ISO/IEC 25010 définit 8 grandes familles de tests (fonctionnels, de performance, de compatibilité, d’utilisabilité, de fiabilité, de sécurité, de maintenabilité et de portabilité). Il existe également 4 niveaux de tests selon l’ISTQB® [1] (tests de composants, tests d’intégration, tests système, tests d’acceptation) couverts par les 8 familles de tests susmentionnés.

 

Mais alors qu’entend-on exactement par « tests fonctionnels » ?

Les tests fonctionnels étant bien nommés, les 7 autres types de tests sont, par opposition, dits « non-fonctionnels ». Les tests fonctionnels ont ainsi pour but de démontrer que l’application ou le site que l’on teste, effectue ce pour quoi il est fait en recherchant d’éventuelles défaillances lorsqu’on le sollicite sur des valeurs nominales.

Plus simplement, les tests fonctionnels visent à qualifier ce qu’un logiciel fait alors que les tests non-fonctionnels, eux, visent à qualifier la façon dont il le fait.

Toujours selon la norme ISO/IEC 25010, les tests fonctionnels sont composés de ce qu’on pourrait traduire par tests d’exactitude (Fonctional Correctness), de complétude (Fonctional Completeness) et d’aptitude à l’usage (Fonctional Appropriateness).

  • Les tests d’exactitude : sont le degré avec lequel un ensemble de fonctions couvrent toutes les spécifications et demandes utilisateurs.
  • Les tests de complétude : sont le degré avec lequel un produit ou un système renvoit des résultats corrects pour un degré de précision attendu.
  • Les tests d’aptitude à l’usage : sont le degré avec lequel les fonctions facilitent l’exécution de tâches et d’objectifs spécifiés.

Il n’existe pas de définition officielle des tests fonctionnels, et il conviendra, en amont d’un projet, de s’assurer que toutes les parties prenantes parlent de la même chose à ce sujet. Ce qui est évident pour les uns ne l’est pas forcément pour les autres et le but final restant de livrer un produit de qualité.

Femme testant une application sur mobile et prenant des notes
Écran d'ordinateur affichant un code

L’intérêt de tester et les risques à ne pas tester

Souvent mal perçus, les tests fonctionnels sont indispensables pour vérifier la conformité des fonctionnalités d’un applicatif avant sa livraison. La qualité de celui-ci s’en trouve alors améliorée notamment dans son utilisation réelle.

Les tests fonctionnels vont également fournir des informations sur le niveau de qualité du produit livré. Ces informations en permettront un suivi lors de ses évolutions.

Sans l’assurance qualité, il est compliqué d’évaluer la fonctionnalité d’un produit et surtout il devient extrêmement difficile de repérer des défauts critiques qui deviennent coûteux à traiter a posteriori. Il est également difficile de satisfaire et garantir non seulement les exigences des clients, mais aussi les objectifs et les attentes de l’entreprise qui produit l’applicatif.

 

Faire l’impasse sur les tests fonctionnels comporte des risques en termes de coûts, de maintenabilité, et parfois même humains (systèmes d’assistance à la conduite de véhicules par exemple…). Malgré cela, on peut constater encore trop souvent, qu’ils se retrouvent écartés des processus par manque de temps, de budget, ou même par méconnaissance. Et les anomalies non détectées faute de test seront embarquées dans les évolutions successives du logiciel pouvant entraîner des conséquences à plus ou moins long terme. C’est pourquoi intégrer tôt le test au cœur du cycle de vie des applicatifs permettra de gagner du temps en traquant les anomalies le plus tôt possible.

 

Négliger les activités de test, pour livrer plus vite de nouvelles fonctionnalités ou de nouveaux produits, pourrait être tentant. Or, les erreurs sont consubstantielles à l’acte de programmation, aussi, il faut surtout s’organiser en conséquence en faisant de l’activité de test un impératif. Le préventif sera toujours moins coûteux que le curatif et ne pas intégrer la validation dans un projet logiciel se fera au détriment de la satisfaction clients.

 

 

[1] L’ISTQB® (en anglais « International Software Testing Qualifications Board ») est le Comité international de qualification du test logiciel.

Qualité industrielle - 3 minutes
-

Objectif Industrie 5.0 accompagner l’industrie ne s’arrête pas à sa digitalisation

Notre Blog
Photo intérieure d'une usine avec un casque de chantier blanc accroché

Vers l’Industrie 5.0 : Un paradigme industriel en évolution

Alors que le paradigme de l’industrie 4.0 n’est pas encore pleinement implémenté sur l’ensemble du secteur, en particulier au sein des petites et moyennes entreprises, les évolutions sociétales impulsent une variation continue de ses préceptes qui ne peut être obérée.

En effet, le retour sur investissement attendu du fusionnement des mondes physique et virtuel au sein de l’industrie n’a pas encore atteint son plein rendement que de nouveaux défis se font jour et réclament déjà une adaptation des feuilles de route industrielles, incitant à une innovation rapide capable de générer de la valeur au service de la société. C’est le genre de défis qu’impose par exemple le « pacte vert pour l’Europe », dont l’objectif est de rendre l’Europe climatiquement neutre en 2050.

De fait, l’industrie du XXIème siècle, aujourd’hui dénommée Industrie 5.0, en arborant des valeurs sociales et écologiques, se veut centrée sur l’humain et ses valeurs plus que sur une productivité économiquement optimisée. Malgré tout, les acteurs industriels fédérateurs en la matière ne l’identifient pas comme une rupture mais bien comme une évolution de l’industrie 4.0 induite par un recentrage jugé inéluctable.

Un recentrage vers la génération de valeur : l’objectif ultime de l’Industrie 5.0

En remettant en avant les concepts initiaux de la version précédente, l’Industrie 5.0 se veut fondamentalement centrée sur l’humain et à son service, dans le sens où elle s’aligne sur les valeurs sociétales.

À ce titre, la mise en œuvre de nouvelles technologies n’est plus considérée comme une finalité en soit mais bien comme un moyen au service d’une vision qui requalifie les objectifs d’efficacité du monde industriel pour les axer vers une contribution à la société et non uniquement vers la productivité.

Sur le plan humain, cette réorientation place le collaborateur au centre du processus de production et incite à utiliser les nouvelles technologies pour rendre compatible l’environnement industriel avec les valeurs sociétales et non l’inverse. L’intention est donc bien d’y rendre chaque fonction plus sûre, moins contraignante, mais aussi porteuse de sens, dans une logique de collaboration humains/machines mettant en exergue leurs plus-values respectives qui se veulent complémentaires.

Parallèlement, l’industrie du XXIème siècle se recentre également vers les valeurs de durabilité et de résilience, objectifs pour lesquels elle fait régulièrement appel à l’innovation technologique.

Pilotage d'une machine industrielle par tablette tactile
Création d'une pièce via imprimante 3D

Industrie 5.0 : quelles conditions à l’atteinte des objectifs ?

Premièrement, l’intégration de l’ensemble des futurs bénéficiaires tout au long du processus d’intégration est nécessaire afin de les impliquer dans la création de valeur, qu’elle soit sociale ou environnementale. En effet, l’acceptation des nouvelles technologies ainsi facilitée devient facteur de confiance, voire de fierté, sur le long terme.

Ceci s’avère d’autant plus important lorsqu’il s’agit d’intégrer aux processus métier des technologies complexes dans une logique de coopération humain/machine. Il faudra alors les rendre compréhensibles afin d’être en mesure d’en démontrer pleinement la valeur ajoutée, étape indispensable à l’obtention d’une adhésion marquée.

Enfin, les individualités devront être prises en compte à différents niveaux, notamment celui de la formation, qui, si elle est suffisamment différenciée, permettra à chaque collaborateur de tirer le plein potentiel de ces nouvelles technologies.

Quatre personnes coiffées d'un casque de chantier et montant un escalier

Industrie 5.0 : un partenariat au-delà de la digitalisation

S’inscrire en tant que partenaire de l’industrie ne consiste pas simplement à fournir et intégrer des solutions techniques innovantes au sein de l’écosystème de production. En effet, pour permettre au monde industriel d’atteindre les objectifs de l’Industrie 5.0, il est nécessaire d’adhérer pleinement à la vision qu’elle constitue et de s’impliquer dans son mouvement de manière plus globale.

À l’égal des technologies, la digitalisation de l’industrie n’est qu’un moyen et non une finalité. À ce titre, elle consiste à outiller les processus de production industrielle dont la prise en compte systématique doit se faire en pleine connaissance des objectifs stratégiques à court, moyen et long terme.

En effet, afin d’être à même de créer la meilleure valeur ajoutée, il faut maîtriser la feuille de route globale de l’entité et pas uniquement celle de sa DSI. Le partage de la vision que cela induit permet d’enforcir les processus de conception et d’implémentation de valeurs communes comme la durabilité et la résilience, puis, à terme, de démontrer la plus-value de l’innovation.

Ceci fait, il est essentiel de s’assurer que la modification des processus ne soit pas source de cassure numérique.

Personnes accroupie dans une pièce aux murs en néon

L’accompagnement vers l’Industrie 5.0 : un processus total

La création de valeur ne peut être totale que si chacun est à même de tirer le plein potentiel des processus métier ainsi réoutillés. L’accompagnement vers l’Industrie 5.0 se doit donc logiquement de prévoir une phase de formation.

L’optimisation des processus industriels par apport de technologies innovantes impacte quasi systématiquement les problématiques de cybersécurité et de protection des données. De même, le niveau de confiance des collaborateurs peut également s’en trouver affecté de manière insidieuse. Il est donc primordial que l’accompagnement soit complet et comprenne une conduite du changement assortie d’une formation adaptée aux besoins de chacun.

L’apprentissage hybride est un type de formation qui continue de faire ses preuves en matière de formation différenciée à la collaboration humains/machines dans le monde de l’industrie. En effet, à la personnalisation des cours en présentiel vient aujourd’hui s’adjoindre la capacité d’adapter les parcours de formation à distance grâce au concours de l’intelligence artificielle.

Ainsi, cet accompagnement, en assurant la compatibilité des objectifs industriels avec les valeurs sociétales, crée de la valeur et, finalement, donne du sens au travail.

Cyber sécurité - 5 minutes
-

Cybersécurité Pourquoi et comment sécuriser un projet SI ?

Notre Blog
Panneau digital d'un système d'information

Pourquoi parler de cybersécurité ?

La cybersécurité n’est pas un enjeu nouveau. Mais avec la multiplication des produits digitaux et plateformes web, elle devient un sujet central pour les entreprises qui ont engagé une démarche de transformation digitale. Soit la quasi-unanimité des entreprises. Et plus qu’un slogan, security by design devient un leitmotiv pour chaque acteur devant le risque grandissant d’attaque.

 

S’il est difficile de mesurer a priori les conséquences d’une attaque cyber (on peut en revanche y préparer ses équipes), les risques sont eux bien identifiés. Ils peuvent notamment porter sur le fonctionnement de l’entreprise, ses finances, ses relations commerciales et son image.

Cybersécurité : les risques encourus en cas d’attaque

Le risque fonctionnel

Le premier risque en cas d’attaque cyber engage le fonctionnement même de l’entreprise. Une attaque prenant le contrôle du système d’information d’une entreprise peut totalement paralyser cette dernière. Récemment, la ville d’Angers a été victime d’un ransomware qui a éteint tout son parc informatique, reléguant la ville au papier crayon pendant de nombreux jours.

 

Le risque financier

Le deuxième risque est financier. Et il n’est pas uniquement lié à l’attaque en elle-même. Car, outre la rançon qui peut être demandée par le hacker, une entreprise victime d’une attaque peut également être ciblée par la CNIL au titre d’un manquement au RGPD et ainsi encourir une amende pouvant aller jusqu’à 5% de son chiffre d’affaires annuel mondial.

 

Le risque commercial

En lien avec le risque financier, le risque commercial est aussi critique. Quelles entreprises voudront continuer à travailler avec une société qui n’a pas réussi à sécuriser ses données et celles de ses clients ? Quels consommateurs souhaiteront toujours acheter des produits ou services de la part d’une société qui a perdu leurs données personnelles ? Si l’on comprend aujourd’hui que tout le monde peut être victime d’une attaque, le niveau de préparation et de réaction d’une entreprise déterminera certainement la poursuite de ses principaux contrats commerciaux.

 

Le risque d’image

Enfin, le dernier risque est lié à l’image et au fait de se retrouver au cœur de l’actualité pour de mauvaises raisons. Les effets sont alors destructeurs, au même titre que les précédents risques. En 2015, le site de rencontre extra-conjugal Ashley Madison a été victime d’une attaque, et, ne souhaitant pas céder au chantage de la rançon, a vu toutes les données de ses utilisateurs publiées. L’un des arguments phare de la plateforme était la discrétion autour de ses membres, il a ainsi volé en éclats. La base de données du site se retrouvant même publiée avec un moteur de recherche permettant d’identifier chacun des utilisateurs.

Panneau digital d'un système d'information
Écran d'ordinateur brouillé

Les réflexes pour une protection cybersécurité

Avec le Règlement Général sur la Protection des Données, les mentalités sur la défense des données ont grandement évolué. Les notions de privacy by default ou de privacy by design sont apparues et la cybersécurité est devenue une composante centrale des projets dès la réflexion amont. Dès la création d’un nouveau canal de circulation – ou sur un existant, si le travail n’a pas été encore mené – la contrainte de la sécurisation de la donnée doit être présente. En d’autres mots, tous les risques doivent être calculés et anticipés dès la construction du produit ou service. Ce mode de pensée se généralise aujourd’hui, mais cela reste jeune et donc fragile.

Cette évolution des mentalités doit maintenant se traduire dans les budgets alloués à la cybersécurité et à leur ventilation. La réflexion ne doit plus par exemple se faire par produit – on avait coutume de dire qu’il fallait 10% du budget logiciel qui devait être consacré à sa sécurisation – mais pour le SI global. Le responsable sécurité n’est d’ailleurs plus aujourd’hui considéré comme un adjoint du DSI, mais comme une personne décisionnaire à part entière. Ces changements sont déjà effectifs pour beaucoup, mais restent minoritaires lorsqu’on regarde la globalité des entreprises françaises.

Enfin, il faut regarder les partenariats noués. Héberger ses données via un logiciel cloud américain va par exemple à l’encontre du RGPD. Le Cloud Act états-unien stipule en effet que le gouvernement a un droit de regard sur toutes les données manipulées par chaque entreprise de nationalité américaine. Ce qui est évidemment contraire à la réglementation européenne. En février dernier, la CNIL a par exemple mis en demeure un grand éditeur de sites français pour son utilisation de Google Analytics, ne garantissant pas l’anonymisation de la donnée des utilisateurs. Une manière de rappeler qu’utiliser les plateformes hors Europe doit se faire de manière encadrée.

Portail fermé par une chaîne et un cadenat

Cybersécurité : sécuriser un projet SI en amont

De manière plus spécifique, si l’on s’intéresse aux projets SI, la sécurisation commence dès la réflexion amont, soit la cartographie, les user stories, la méthodologie de travail, etc.

On se réfère alors au modèle OSI (Open Systems Interconnection – une norme de communication informatique qui régit le fonctionnement des SI) et à ses sept couches, qu’il convient de sécuriser au maximum. Il faut partir du principe que soit l’application (ce que l’on développe), soit le système (la machine physique qui la fait tourner) peuvent être attaqués – voire les deux. Sur l’échelle des 7 layers, beaucoup de questions vont donc devoir être posées. Par exemple et de manière non exhaustive :

  • • Doit-on émettre les communications sur du http ou du https ?
  • • Les données doivent-elles être chiffrées sur le disque de stockage ?
  • • Ce disque doit-il être ouvert à la lecture, à l’écriture ? À quelles personnes ?
  • • La connexion doit-elle être exigée par SSH ? Telnet n’est-il pas plus indiqué ?
  • • Etc.

Toutes ces questions introduisent la notion de security by design, entrouverte par le RGPD. La bonne pratique consiste à limiter au maximum les couches ouvertes, afin de réduire la surface d’attaque. Il y aura donc moins de end points à sécuriser et on sera d’autant plus efficace sur les potentiels points faibles, car ils seront identifiés et anticipés, et on pourra se concentrer sur le système de log par exemple ou des alertes pour savoir à tout moment ce qu’il s’y passe, et si quelque chose d’inhabituel est en train de se produire. Concrètement, si une attaque en brute force arrive, cela va immédiatement ressortir sur les communications, les données traitées, ou la consommation en CPU de la machine.

Programmeur travaillant sur un code dans une pièce sombre

De l’importance de monitorer en cybersécurité

Comme il y aura ainsi énormément de facteurs qui vont permettre de déterminer si l’on subit une attaque – encore un argument pour limiter les couches ouvertes–, il est nécessaire de suivre précisément ce que les équipes sont en train de produire et ce qui a été mis en place en amont pour déterminer si oui ou non, on est dans une situation critique d’attaque. L’aspect monitoring est donc une suite logique et chronologique au security by design.

Aujourd’hui, on estime qu’une entreprise victime met 6 mois à se rendre compte d’une attaque de son système. La pratique des hackers veut en effet qu’entre la découverte de la faille et l’attaque à proprement parler, il y ait une période dormante permettant de ne pas éveiller les soupçons. Et lorsque l’entreprise se rend compte de l’intrusion, c’est trop souvent lors de la demande de rançon et il est alors trop tard. On peut également ajouter d’autres attaques, invisibles, comme l’espionnage industriel. L’intrus ici n’a quasiment pas d’activité suspecte et va être difficilement repérable. En résumé, il faut être capable de voir qui s’est introduit dans le système, où et comment il a fait, sous peine de n’être ni capable de l’identifier, ni l’empêcher de recommencer.

 

Les utilisateurs : la faille numéro un en cybersécurité ?

Dans un projet informatique, et même si on a fait l’effort de le tester à chaque étape de sa construction, il est fréquent que les utilisateurs n’en aient pas l’utilisation prévue initialement. Cela crée donc naturellement des failles non-anticipées. Il est alors indispensable non seulement de préparer son interface ou son SI à des attaques, mais surtout de former ses équipes afin de limiter la faille la plus compliquée à prévenir : l’erreur humaine.

Cyber sécurité - 3 minutes
-

Améliorer la résilience numérique entraînement à la gestion de crise cyber ?

Notre Blog
Grafiti mural représentant une caméra de vidéosurveillance

Le contexte d'un entraînement à la gestion de crise cyber //

Retour d’expérience sur l’exercice organisé par Apside.

Il y a quelques semaines Apside a été à l’origine de l’organisation d’une «War Room » pour une journée d’exercice particulièrement intense où il a fallu prendre en compte, alerter, analyser, prioriser, coordonner, et décider. Parce qu’une attaque sur le cyber espace provoque des impacts multiformes et généralement sévères, il faut résolument être prêts à y faire face !

Au-delà de l’impact que cet exercice a pu avoir, cet article pose les enjeux d’une attaque cyber et les réponses à y apporter, à tous les niveaux d’une structure.

Qu’est-ce qu’une crise cyber et quel est l’objectif de ce type d’exercice ? //

On parle de « crise cyber » lorsqu’une ou plusieurs action(s) malveillante(s) sur le système d’information (SI) de l’organisation ciblée provoque(nt) une déstabilisation majeure de celle-ci. Les préjudices de ce type d’attaque peuvent parfois s’avérer irréversibles.

Il s’agit donc de s’entrainer à faire face à une situation de crise d’origine « cyber » et à savoir alerter les personnes requises pour analyser, puis décider rapidement et judicieusement. « Dans ce genre de situation il faut savoir faire preuve de discernement et restreindre le plus possible l’improvisation. L’expérience montre malheureusement que le manque d’anticipation est souvent dévastateur. » précise le directeur de l’exercice (DIREX). Il s’agit donc d’un exercice de niveau décisionnel. Celui-ci ne vise pas à surprendre ou à piéger les participants, mais, bien au contraire, à les accompagner dans un entraînement cadré qui repose sur des objectifs clairement définis, communiqués et partagés en amont.

Face à une menace de plus en plus présente, l’organisation d’exercices est indispensable. En s’entraînant très régulièrement, les équipes impliquées dans la gestion de crise acquièrent, exercice après exercice, des réflexes et des méthodes leur permettant de travailler ensemble plus efficacement. Savoir réagir à ce type d’attaque ne remplace pas la prévention, en menant une politique de cyber sécurité pro-active, mais elle doit lui être concomitante.

Bouton d'urgence rouge
Groupe de travail Apside sur la gestion d'une crise cyber

Sur quelle base l’exercice de gestion de crise cyber est-il conçu ? //

Préparé dans le plus grand secret par une équipe dédiée, l’exercice est précédé d’une phase dite de « warm’up » consacrée à la présentation du contexte totalement fictif mais proche d’une situation réelle (agence, client, projet). Bien qu’il s’agisse de ne pas créer de confusion avec l’activité réelle de l’entreprise, le contexte choisi se veut vraisemblable et formateur, pour les joueurs, les observateurs mais également pour les organisateurs. Ainsi, le scénario retenu se compose d’un enchaînement d’événements fictifs proposant une mise en situation de crise réaliste, bien que construite de toute pièce. Il se déroule sur une durée limitée.

 

Comment organiser un exercice de ce type ?

Il s’agit de ne pas partir de zéro. À ce titre, l’ANSSI propose un guide baptisé « organiser un exercice de gestion de crise cyber ». Celui-ci présente les actions à entreprendre pour chacune des étapes de conception et de cadrage, de préparation du scénario, de déroulement de l’exercice et enfin d’enseignements à en tirer.

Photo caricatural d'un hacker dans une pièce sombre

A quoi faut-il se préparer et quels sont les caractéristiques d’une crise cyber ? //

La fulgurance de ce type d’évènement, conjuguée au fait que l’entreprise peut être touchée simultanément de manière protéiforme, génère une situation d’incertitude plus ou moins durable. À ce stade, il ne s’agit plus de se préparer au mieux à une future crise mais bien d’agir en suivant la trame d’un plan imaginé à l’avance et éprouvé.

À l’image de n’importe quel événement générateur de crise au sein de l’entreprise, les conséquences d’une cyberattaque sont diverses. En effet, les impacts peuvent être juridiques, réglementaires, légaux, métiers, organisationnels, RH, financiers, réputationnels et techniques. Ils peuvent également engendrer une forte pression médiatique. Par conséquent, la cellule de crise doit être en mesure de coordonner des équipes aux compétences variées dans le but d’endiguer les effets de la crise et de permettre la meilleure résilience possible.

Groupe de travail Apside sur la gestion d'une crise cyber

Quelle est la mission de la cellule de gestion de crise ? //

Il s’agit de coordonner les actions des acteurs de la cellule de crise et des équipes extérieures pour apporter au décideur l’ensemble des éléments d’information nécessaires pour :

  • Supprimer rapidement l’impact de l’attaque via un cyber confinement par exemple ;
  • Assurer la continuité de l’activité ;
  • Communiquer en interne et en externe ;
  • Prévenir les autorités et déposer plainte…

Et enfin amorcer les opérations de correction et de reconstruction qui sont à prévoir pour une reprise d’activité dans les meilleurs délais. À noter que la sortie de crise doit s’envisager sur le long terme, souvent plusieurs mois.

 

En conclusion, ce type d’exercice s’inscrit dans une réflexion globale visant à renforcer la résilience de l’organisation via une démarche d’apprentissage progressif aux objectifs et paliers à atteindre au fil du temps bien définis. En invitant les bons profils et en les confortant dans leur rôle réel, l’exercice permet également de préparer les personnes. Un double bénéfice collectif et individuel donc.