La place de la sécurité de l’information à l’ère des accélérations

Entrez dans l’ère des accélérations
L’accélération de l’innovation technologique est l’une des trois accélérations identifiées par les scientifiques au cours des deux dernières décennies, les deux autres étant la mondialisation et le changement climatique. Comme ces trois phénomènes sont étroitement liés, dans son livre “Thank You for Being Late“, le chroniqueur du New York Times Thomas Friedman parle de notre époque comme de l’ère des accélérations.


Photo de Nicolas Hoizey sur Unsplash

Un impact marquant de l’entrée dans l’ère des accélérations est la nécessité pour les entreprises (ainsi que pour les individus) de s’adapter à un nouveau concept de travail.

L’auteur et stratège commerciale Heather McGowan explique qu’une des conséquences est la dissociation du travail – ou plus précisément, des tâches complexes – qui sont complètement ou partiellement numérisés en composants discrets pouvant être exécutés n’importe où dans le monde. Elle note que des entreprises telles que UpWork, TaskRabbit, Hourly Nerd “ont permis la production de taches atomisés”. (Voir The Adaptation Advantage par Heather E. McGowan, Chris Shipley)

En outre, une étude réalisée en 2016 par l’économiste Lawrence Katz de l’université de Harvard et Alan Krueger de l’université de Princeton a révélé que 60 % de la croissance nette de l’emploi au cours de la dernière décennie est due à l’augmentation du nombre d’entrepreneurs indépendants, de travailleurs indépendants et de travailleurs sous contrat avec des entreprises. C’est ce qu’on appelle souvent “l’économie du gig”.

Un nouveau concept pour le travail
Les trois phénomènes évoqués jusqu’à présent, à savoir l’accélération technologique, la mondialisation et la dissociation du travail, obligent les entreprises à modifier leur mode de fonctionnement, notamment en favorisant l’innovation à partir d’une main-d’œuvre composée d’employés de plus en plus mobiles, mais aussi d’employés temporaires, de free-lances et de personnel externalisé.

Photo de Nine Köpfer sur Unsplash

Dans son livre, Friedman explique que l’humanité a connu deux étapes de changements technologiques : le premier changement a eu lieu vers 2000 avec l’essor de la connectivité omniprésente et le second vers 2007 avec l’accès aux données qui est devenu possible à tout moment et en tout lieu grâce à la technologie du Cloud.

Le résultat est la disponibilité de flux d’informations numériques que les entreprises et les particuliers peuvent exploiter pratiquement sans frais pour améliorer leurs opérations.

Dans “Digital Globalization : The New Era of Global Flows“, le McKinsey Global Institute définit la transformation comme suit : “Les flux commerciaux et financiers internationaux qui ont caractérisé le XXe siècle se sont stabilisés ou ont diminué depuis 2008. Pourtant, la mondialisation n’est pas en train de s’inverser. Au contraire, les flux numériques s’envolent – transmettant des informations, des idées et des innovations dans le monde entier et élargissant la participation à l’économie mondiale”.

La place de la sécurité de l’information dans les flux numériques
La récente prise de conscience accrue de la cybersécurité en général résulte de l’intérêt des entreprises à tirer profit des flux d’informations. Hélas, ces flux s’accompagnent d’une mise en garde : il n’y a aucune garantie inhérente de sécurité. Il est clair qu’il n’y a aucune promesse quant à la véracité des informations véhiculées par ces flux.

Pensez à tous les flux d’informations fausses ou déformées utilisés comme des chambres d’écho renforçant les biais de confirmation.

Photo par Erico Marcelino sur Unsplash

Même lorsque la source d’un flux est vérifiée et en fonction de son utilisation, il peut également être nécessaire de garantir ses propriétés de sécurité telles que la confidentialité, l’intégrité et la disponibilité, de sorte que le flux puisse être intégré en toute sécurité dans un processus commercial dont les tâches ont été dégroupées par les forces d’accélération.

Pour les entreprises, l’externalisation des activités est le moyen le plus courant aujourd’hui d’intégrer les flux d’informations numériques dans leurs opérations. Un cas d’utilisation particulier et intéressant est la pratique de l’externalisation du développement de codes comme moyen de tirer profit de la mondialisation et de l’accélération de l’innovation technologique.

Pour tirer clairement parti des flux, un défi important pour les entreprises modernes sera de déterminer un mécanisme permettant d’équilibrer les avantages de l’intégration avec le risque d’exposer des secrets commerciaux, des informations confidentielles et la perte potentielle de propriété intellectuelle.

Commentaires, réactions : Laurent Balmelli (Twitter Laurent Balmelli)

trust but verify

L’énigme de la collaboration ouverte (et le lien avec l’innovation collaborative)

Cet article porte sur les méthodes de gestion de l’innovation dans les entreprises, c’est-à-dire le processus qui consiste à rendre ou à maintenir une entreprise de toute taille créative et donc compétitive. Il fait partie d’une série d’articles que je publie sur Medium (en anglais) comme support pour ma classe de troisième cycle à l’université que j’enseigne pendant mon temps libre.

Mes articles sont basés sur la littérature actuelle dans le domaine ainsi que sur ma propre expérience en entrepreneuriat et de conseils aux entreprises (profile LinkedIn). La version originale de cette article (en anglais) est disponible ici (ainsi que les liens sur les autres articles de cette serie).

L’énigme de la collaboration

La plupart des innovations importantes qui nous entourent, sinon toutes, résultent de l’interaction entre des entités, parfois avec des objectifs différents voire concurrents. En d’autres termes, elles se produisent rarement dans le vide. Pourtant, la collaboration est souvent considérée comme une énigme : elle fonctionne mieux en théorie qu’en pratique.

Photo by Perry Grone on Unsplash

Lorsque ces interactions sont le résultat d’un ensemble de collaborations axées sur des objectifs mais peu coordonnées, on parle de collaboration ouverte. Vous trouverez plusieurs définitions de la collaboration ouverte sur Wikipédia et d’autres ressources en ligne. Les exemples typiques sont les logiciels open source, les forums et les communautés en ligne. Comprendre le modèle de collaboration ouverte peut être une clé pour résoudre l’énigme.

Dans cet article, j’examine dans quelles conditions une collaboration ouverte se déroule idéalement et comment recréer ces conditions afin qu’elles puissent être utilisées comme un mécanisme efficace pour stimuler la créativité, par exemple dans un contexte entrepreneurial ou universitaire. En outre, lorsque la collaboration ouverte cède le pas au cas plus étroit de l’innovation collaborative (aussi appelé innovation ouverte, ou Open Innovation en anglais), j’examine les ingrédients supplémentaires et nécessaires pour favoriser un résultat bénéfique entre les participants, en particulier du point de vue de la propriété intellectuelle.

Qu’est-ce qu’une collaboration ouverte ?

Comme je l’ai mentionné dans l’introduction, une collaboration ouverte est définie comme la mise en place d’une série d’interactions peu coordonnées entre les participants, cependant avec un objectif commun.

Photo par Salmen Bejaoui sur Unsplash

Ainsi, en vertu de ce principe, une collaboration ouverte n’est pas nécessairement déclenchée de manière explicite, mais plutôt un processus émergent qui a lieu dans certaines circonstances, par exemple un besoin survenant dans un cadre communal ou un problème qui doit être résolu par consensus. Pensez à un groupe de petites et moyennes entreprises désireuses de partager leurs savoir-faire ou leurs ressources.

Le résultat de la collaboration offre un large éventail de possibilités : il peut s’agir simplement d’un accord, d’un consensus sur le savoir-faire ou d’une politique, mais aussi d’un nouveau produit ou service. Le fait que l’un de ces résultats soit mutuellement bénéfique pour les participants ou qu’il soit déséquilibré dépend d’un facteur important : la transparence.

Le développement de logiciels open source en est un parfait exemple et représente souvent l’exemple même de la collaboration de masse donnant lieu à des logiciels parfois d’une complexité impressionnante. Le but du projet GNU est de fournir un cadre pour de telles collaborations dans le but de “donner aux utilisateurs d’ordinateurs la liberté et le contrôle de l’utilisation de leurs ordinateurs et de leurs appareils informatiques en développant et en publiant en collaboration des logiciels qui donnent à chacun le droit d’exécuter librement le logiciel, de le copier et de le distribuer, de l’étudier et de le modifier“. (Wikipédia)

Le cadre informel d’une collaboration ouverte constitue souvent un processus hautement distribué qui peut être utilisé comme un système d’innovation, c’est-à-dire un ensemble de méthodes de création, pouvant être exploité par les entreprises ainsi que par les institutions universitaires et de recherche.

En règle générale, la collaboration ouverte entre entreprises ou dans un cadre universitaire va du partage d’informations au développement conjoint d’un nouveau produit par les participants, qui peuvent intégrer des contributions provenant d’efforts de collaboration de masse tels que l’open source, les “creative commons” ou les efforts de crowdsourcing.

Photo par Rob Curran sur Unsplash

C’est ainsi que la collaboration ouverte se rapporte à l’innovation collaborative (Open Collaboration), un sujet que j’aborde en détail dans un article précédent. Une innovation de produit ou de service est l’un des résultats possibles (et peut-être le plus marquant) d’une collaboration ouverte.

Cependant, la mise en œuvre d’une stratégie d’innovation collaborative réussie requiert un peu plus d’attention que la mise en place d’une collaboration ouverte. Alors, commençons par collaborer !

La confiance est la clé

Pour que la collaboration ouverte se produise en tant que processus émergent, c’est-à-dire en dehors d’un mécanisme de contrôle clair, un catalyseur important pour une collaboration ouverte réussie est la confiance.

Qu’elle soit déplacée ou non, il est peu probable qu’une collaboration ait lieu sans que les participants aient confiance en leur capacité à obtenir un résultat mutuellement bénéfique. Un mécanisme de vérification peut atténuer la probabilité d’un résultat défavorable pour l’une ou l’autre des participants. Ronald Reagan aimait citer un vieux proverbe russe “faire confiance mais vérifier” (trust but verify) lors des négociations du désarmement nucléaire avec les Soviétiques à l’époque de la guerre froide.

Le domaine de la cybersécurité et les mécanismes conçus par ses praticiens sont devenus une partie essentielle d’un appareil de vérification dans un monde où les collaborations se font principalement par le biais de dispositifs informatiques.

Photo par Nick Fewings sur Unsplash

Dans un cadre entrepreneurial, par exemple lorsque des entreprises décident de collaborer à un projet technique, un environnement de collaboration (cyber)sécurisé permet aux participants de s’assurer que, en s’ouvrant aux apports extérieurs et en fournissant des résultats, elles peuvent le faire de manière inoffensive. Il existe toute une série de préjudices possibles, mais les plus courants sont : la perte de la propriété intellectuelle, des actifs de l’entreprise ou même de la compétitivité. De plus, dans un environnement de conformité de plus en plus difficile, la fuite de données telles que les informations personnelles identifiables (IPI) peut être financièrement graves pour l’entreprise qui la subit, car de lourdes amendes sont infligées pour violation du règlement général sur la protection des données ou GDPR.

Il est évident que tous les préjudices susmentionnés peuvent être causés sans qu’il y ait collaboration (c’est-à-dire uniquement par des acteurs internes), mais le fait de faire entrer des personnes extérieures dans le “périmètre” de l’entreprise entraîne sans aucun doute de nouveaux défis et menace généralement la sécurité de l’entreprise.

Dans un cadre universitaire, la confiance est également un facteur déterminant. Toute institution universitaire disposant d’un financement important aspire à un classement décent parmi ses pairs. Par conséquent, sa réputation sera influencée par sa capacité à collaborer avec l’industrie. Ainsi fournir un environnement sécurisé (par exemple pour les données, les codes et d’autres actifs) ne peut qu’améliorer sa capacité à inciter ses partenaires industriels à partager des données du monde réel, ce qui permet à l’institution de collaborer sur des problèmes eux-aussi, du monde réel.
Il convient de mentionner que le mouvement Open Data joue un rôle d’équilibriste nécessaire qui atténue certaines des préoccupations relatives à la protection des données privée que j’ai évoquées plus haut. En particulier pour assurer le respect des règles lors du traitement des informations nominatives, le processus d’anonymisation des données joue également un rôle important de passerelle.

Il est ironique de constater que le processus d’ouverture de la collaboration entre les entreprises exige en fait que nous mettions en place de nombreux garde-fous supplémentaires !

Le lien avec la cybersécurité

Voyons maintenant comment la notion de confiance se traduit dans le monde de la cybersécurité. Mon but ici est seulement de donner un aperçu des ingrédients les plus importants et les plus nécessaires pour permettre une collaboration ouverte et sûre, et en aucun cas d’être exhaustif.

Photo de Kyle Glenn sur Unsplash

La notion de gestion des identités et des accès (souvent désignée par son acronyme IAM) est essentielle à la gestion des accès aux ressources informatiques. L’objectif de l’IAM est de faire en sorte que les utilisateurs, qu’ils soient externes ou internes, aient un accès contrôlé basé sur le principe du moindre privilège, c’est-à-dire qu’ils n’aient accès qu’aux ressources (ordinateurs, biens, documents, etc.) qui sont nécessaires à leur rôle et à leur mission. Dans le cas d’une collaboration ouverte, la nécessité de garder une vue claire de qui a accès à quoi (par exemple, documents de conception, notes de réunion, etc.) semble simple, mais un temps et des capacités techniques limité et parfois la négligence en font une corvée redoutable.

En particulier, l’accès aux systèmes informatiques est aujourd’hui possible grâce à des identifiants qui peuvent prendre plusieurs formes : paires utilisateur/mot de passe, clés cryptographiques, données biométriques, etc. La gestion des identifiants et des clés et, en particulier, la possibilité de révoquer l’accès en désactivant un identifiant est un élément important à la sécurité pour garder la collaboration ouverte sous contrôle.

Photo par Jason Leung sur Unsplash

Récemment, la nécessité d’un processus spécifique pour gérer les menaces d’initiés a pris de l’importance au sein de la communauté de la cybersécurité. Comme son nom l’indique, l’objectif est ici d’atténuer tout effet potentiellement néfaste qu’un initié malveillant pourrait causer. L’initié est ici un employé ou plus généralement toute personne qui pourrait avoir accès aux actifs de l’entreprise, comme dans le cas d’une collaboration ouverte. Les méthodes de gestion des menaces d’initiés et des attaques ciblées sont regroupées sous la discipline de l’analyse du comportement des utilisateurs. Elles consistent généralement à surveiller les activités d’un utilisateur et à déterminer si ses activités s’écartent d’un modèle de comportement “normal”.

Jusqu’à présent, les mécanismes de cybersécurité que j’ai mentionnés sont utiles pour gérer une collaboration ouverte impliquant le partage d’idées, de discussions, de documents de conception et de ressources informatiques.

Les ingrédients supplémentaires ci-dessous sont nécessaires lorsque la collaboration va plus loin et implique la création d’actifs tangibles tels que du codes informatique, un concept de produit ou d’autres artefacts permettant de capturer des connaissances concrètes, c’est-à-dire convergeant vers l’innovation collaborative.

Les pratiques de développement sûres, en particulier pour le code informatique, apportent une couche de confiance pour un champ d’application élargi de la collaboration ouverte. Certaines des disciplines de la cybersécurité qui sont pertinentes pour notre problème sont par exemple l’analyse de la composition des logiciels (j’y reviendrai dans le paragraphe suivant), les outils de gestion de la vulnérabilité des logiciels et les mécanismes de contrôle de la traçabilité des versions de développement des logiciels. Cette dernière fonction est foournie avec l’utilisation de logiciels tels que git et n’est souvent pas immédiatement perçue comme un mécanisme de sécurité. Cependant, elle joue un rôle central dans la sécurisation du développement de logiciels en offrant une protection contre les pertes dues à une mauvaise manipulation. Elle est également à la base de la construction ou de l’intégration de mécanismes de sécurité supplémentaires.

Photo par Eric TERRADE sur Unsplash

En résumé, pour toutes les parties collaboratrices, le niveau de maîtrise des disciplines de la cybersécurité que j’ai mentionnées ci-dessus influencera le niveau de confiance qui sera accordé à la collaboration ouverte qui s’instaure entre elles.

L’un des avantages immédiats qui découlent d’un mécanisme de vérification solide est la traçabilité. En particulier, la capacité à retracer les contributions de données (idées, documents, codes, etc.) tout au long du déroulement de la collaboration est en fait une clé pour transformer une collaboration ouverte en un processus d’innovation collaborative. Dans le dernier exemple de création de code informatique que j’ai mentionné, la pratique consistant à utiliser des outils de contrôle de version distribués permet aux parties collaboratrices de retracer clairement les contributions individuelles au code (lorsque le système gère les identités des contributeurs). Ceci nous amène au prochain sujet de notre discussion.

Comment pratiquer l’innovation collaborative dans le cadre de collaborations ouvertes

J’ai expliqué dans l’introduction que la collaboration ouverte est une voie naturelle vers l’innovation collaborative, c’est-à-dire basée sur l’utilisation des ressources externes. La collaboration prend également des formes multiples : entre entreprises homologues, lors d’une initiative d’outsourcing, entre entreprises de tailles différentes, etc.

Photo par Manja Vitolic sur Unsplash

En fait, pour concevoir une stratégie d’innovation collaborative, une entreprise doit envisager de multiples mises en œuvre, chacune impliquant une forme différente de collaboration. Celles que j’ai mentionnées ci-dessus ne constituent qu’un sous-ensemble des possibilités. Dans mon précédent article “Open Innovation: Qu’est-ce qu’une stratégie d’innovation ouverte?“, je présente un revue approfondie et une classification des différents types d’innovation collaboratives et des types de collaboration qu’elles nécessitent.

L’une des principales considérations lorsqu’on innove collaborativement est de savoir si l’effort conduit à la création de propriété intellectuelle.

Les actifs de propriété intellectuelle (PI) sont un élément clé de la stratégie concurrentielle de la plupart des entreprises. Pour tous les scénarios d’innovation ouverte que j’envisage ici, une préoccupation légitime est de savoir comment la propriété intellectuelle est partagée entre les participants. Pour répondre à cette question, nous devons réfléchir à la participation de chaque participant. Faire de cette réflexion un après-coup est souvent synonyme de désastre et nuit au mécanisme de vérification de la confiance. Aujourd’hui, ce problème est surtout traité par des documents juridiques et des accords préalables. Cependant, ce mécanisme n’est pas à l’abri de litiges car les relations sont parfois durables avec les changements de membres de l’équipe (ce qui entrave généralement la révision des contributions). De plus, l’évolution des positions compétitives des participants sur le marché peut entraîner des changements de stratégie.

Les questions que j’ai évoquées ci-dessus sont valables à la fois dans les milieux industriels et universitaires. De plus, la portée des contestations de licences pourrait ne pas se limiter aux participants impliquées dans la collaboration. Comme je l’ai expliqué précédemment, l’utilisation de composants logiciels open source est devenue routine pour continuer à innover dans un monde numérisé de plus en plus complexe. La discipline de l’analyse de la composition des logiciels que j’ai mentionnée précédemment met en lumière la complexité du traitement des licences des composants de logiciels open source. J’écris sur les questions liées aux logiciels à source ouverte (y compris leurs dangers) dans mon précédent article sur l’innovation collaborative.

Photo par Hitesh Choudhary sur Unsplash

Le traitement des questions liées à la propriété intellectuelle et à l’octroi de licences dans le cadre d’une collaboration ouverte fait appel à de nombreux mécanismes numériques, dont certains sont encore à l’état embryonnaire. On s’attend à ce que la gestion de la propriété intellectuelle soit également numérisée. Cela permet à son tour d’utiliser des techniques d’apprentissage automatique (Machine Learning) pour automatiser le traitement et l’analyse. En particulier, les mécanismes qui offrent certaines garanties d’immuabilité des données, tels que la Block Chain, sont considérés pour permettre d’enregistrer tout type de biens afin de traçer la PI. Cela permet de retracer la création de la PI tout au long du déroulement du projet de collaboration ouverte que j’ai mentionné précédemment. En substance, l’objectif est de suivre les idées et leurs auteurs depuis le début du projet.

Évaluation de la performance de la collaboration

Un dernier point que je voudrais aborder dans cet article est l’évaluation des performances de la collaboration.

En fonction de la relation entre les participants impliquées dans la collaboration ouverte, il pourrait être intéressant de contrôler les performances des différents contributeurs. Cela pourrait être particulièrement intéressant lorsque le cadre est plutôt déséquilibré, comme dans le cas de l’externalisation du développement (outsourcing).

Un cadre de collaboration ouverte que j’ai brièvement mentionné précédemment est celui où une entreprise externalise une partie de son développement à une entreprise externe.

L’externalisation est devenue un élément de la stratégie standard des entreprises. Toute mise en œuvre prudente de la stratégie met en balance un ensemble de risques bien compris et la l’attrait financier potentiel.

Photo par Alexander Redl sur Unsplash

Dans ce cas, il est probable qu’un contrat soit mis en place avec un certain type d’attentes sur la performance de l’entité contractuelle. Dans ce cas, la performance est généralement mesurée à l’aide d’un outil de gestion de projet qui permet à l’entreprise de suivre l’achèvement des tâches externalisées. Il est intéressant d’envisager la mise en place d’un mécanisme similaire dans le cas d’une collaboration ouverte “équilibrée”, par exemple entre pairs. Ce mécanisme peut être mis à profit dans le cadre du défi relatif à la propriété intellectuelle que j’ai mentionné précédemment.

C’est tout pour cet article. Les défis que la collaboration ouverte et un de ces resultats: l’innovation collaborative, apportent aux entreprises ne sont certainement pas limités à ceux que j’ai passés en revue dans cet article. Cependant, il est clair que la confiance est un catalyseur majeur pour permettre la collaboration, qu’elle soit ouverte ou fermée, et qu’elle est le ciment d’une collaboration réussie. La transparence est également un catalyseur qui renforce la notion de confiance dans la plupart des cas. Certains des mécanismes apportés par la cybersécurité sont un moyen de concrétiser cette confiance dans le monde réel.

Commentaires, réactions : Laurent Balmelli (Twitter Laurent Balmelli)

 

Open Innovation: Qu’est-ce qu’une stratégie d’innovation ouverte?

Le monde tourne autour de l’open innovation

L’innovation ouverte (open innovation, en anglais) est un concept qui encourage l’utilisation de ressources externes (en plus des ressources internes) dans le cadre d’un processus créatif dont le but est généralement de créer un produit ou un service.

Les ressources externes peuvent être purement informationnelles (par exemple, documents, code de conception, etc.), mais dans la société actuelle, très connectée, l’exploitation de ressources collaboratives externes telles que les communautés en ligne d’utilisateurs est encore plus passionnante. Dans ce sens, l’intelligence mondiale est le carburant créatif qui propulse l’open innovation.

Photo by Christoffer Engström on Unsplash

Ce concept existe néanmoins depuis les années 60, notamment lorsque les entreprises ont commencé à collaborer autour des efforts de recherche et développement. Un exemple typique est la société Digital Equipment Corporation (aujourd’hui disparue) faisant don aux étudiants du M.I.T. de Boston de certains de ses ordinateurs de la série PDP. Cela a eu de nombreux avantages, parmi lesquels l’encouragement à l’adoption, le “débogage gratuit des logiciels” ainsi que l’apparition de nouveaux logiciels apportant des perspectives uniques, créés par des passionnés d’informatique (des “hackers”).

Dans le livre de Steven Levy “Hackers”, vous pouvez lire un récit de telles histoires, en particulier comment certains des premiers logiciels “open-source” ont été produits par des personnes dont le seul intérêt dans la vie était l’informatique. Par exemple, cela a produit le tout premier jeu, à savoir “Spacewar !” écrit sur le PDP-1.

Spacewar! on a PDP-1 Designed by Steven Russell (Wikipedia)

Le terme “innovation ouverte” (open innovation, en anglais) aurait été diffusé par Henry Chesbrough, professeur au Centre pour l’open innovation de la Haas School of Business (Université de Californie à Berkeley).

Il existe plusieurs définitions de l’open innovation, mais une définition récente due à Chesbrough est “un processus d’innovation distribué basé sur la gestion des flux de connaissances à travers les frontières organisationnelles, en utilisant des mécanismes pécuniaires et non pécuniaires en accord avec le modèle d’entreprise de l’organisation“.

Bien que cette définition semble compliquée, mon but avec cet article est d’illustrer les moyens et les mécanismes qui sont utilisés pour mettre en œuvre un processus d’open innovation aujourd’hui.

Qu’est-ce que l’innovation fermée et deux voies vers l’ouverture

Bien qu’aujourd’hui l’avantage de tirer parti des collaborations et de la richesse des informations en ligne pour développer un produit semble évident, de nombreuses entreprises ont mené un processus d’innovation plutôt fermé jusqu’à récemment.

Par exemple, une erreur typique est de ne pas s’inspirer de la concurrence ou de ne pas impliquer le client assez rapidement dans la boucle de conception. Il est particulièrement intéressant de noter la prévalence d’un syndrome de “pas-inventé-ici” (i.e. ignorer ce qui se passe à l’extérieur)  que j’ai personnellement vécu lorsque je travaillais dans la division de recherche d’une grande entreprise Américaine au Japon de 2006 à 2011.

Photo by Tianshu Liu on Unsplash

Aujourd’hui, grâce à GitHub, à la prévalence des logiciels open-source (libres de droits), aux API ouvertes et à la disponibilité des données et des informations en ligne, il est devenu plus facile de s’appuyer sur les briques technologiques existantes pour créer des produits de classe mondiale.

Dans la dernière start-up que j’ai cofondée, nous vendions un compilateur assurant une protection contre les cyber-attaques. Mais nous n’avons vraiment développé que la partie en rapport avec la protection car nous nous sommes appuyés sur le projet de compilateur open source LLVM. Devoir construire un compilateur à partir de zéro aurait été une aventure complètement différente (et probablement économiquement irréalisable). Je fais référence ci-après déjà ce type d’innovation ouverte par le terme “open design innovation” (innovation ouverte de conception).

Article de Bloomberg sur ma dernière start-up

Sur le plan de la collaboration, il est complexe d’exploiter les communautés en ligne pour recueillir des informations et les entreprises (en particulier leurs équipes de marketing) commencent à peine à gratter la surface sur ce sujet.

Dans un des mes articles précédents (publié sur Medium, en anglais) j’explique que l’interaction avec les clients, l’obtention d’un retour sur le produit avant et après-vente, ou encore l’investigation du comportement des clients sont maintenant possibles grâce à la connectivité tout au long du processus d’innovation grâce à un grand nombre d’outils. Je me réfère à la mise en œuvre ces concepts ici en tant que collaboration ouverte (open collaboration).

Examinons maintenant plus en détail ces deux types d’open innovation: (1) innovation ouverte de conception et (2) la collaboration ouverte, en particulier pour la génération et la sélection des idées.

L’innovation ouverte de conception et ses dangers

Nous constatons tous quotidiennement que beaucoup d’informations sont accessibles en ligne  (profitez de la richesse des tutoriels sur YouTube) et que des idées de toutes origines peuvent être facilement réutilisées.

D’un point de vue conceptuel, les entreprises cherchent à savoir comment choisir la bonne approche d‘innovation ouverte.

J’ai donné l’exemple ci-dessus de la réutilisation de briques technologiques existantes avec l’innovation ouverte de conception pour améliorer les produits ou réduire vos coûts (ou les deux). Cela inclut les logiciels avec des sites tels que GitHub, mais aussi le matériel avec la prédominance de la conception de matériel open source (qui fait partie de la culture “Maker”). Il y a même des projets tels que celui de micrologiciel ouvert OpenWRT qui lie les deux mondes.

L'Arduino est une conception populaire et précoce de matériel à source ouverte. (Wikipédia)

Le design de l’Arduino est open-source. (Wikipédia)

Cependant, s’appuyer sur des logiciels existants n’est pas sans danger : vous devez vous méfier de l’origine des logiciels ou libraires que vous réutilisez, par exemple pour éviter d’incorporer dans un projet  à votre insu un malware (logiciel malveillant) ou un cheval de Troie. La réutilisation des logiciels open source a déclenché un tout nouveau domaine d’intérêt pour la cybersécurité et donné naissance au domaine de l’analyse de la composition des logiciels (Software Composition Analysis, en anglais).

Le danger n’est pas seulement les malwares, mais aussi d’intégrer des vulnérabilités logicielles dans votre produit. Ces vulnérabilités peuvent être exploitées par des acteurs malveillants afin de prendre le contrôle de vos produits une fois qu’ils sont entre les mains de vos client.

La vulnérabilité de Heartbleed a permis aux acteurs malveillants d’avoir accès à la liste des mots de passe.

Un exemple particulièrement notoire est l’utilisation extensive du logiciel open source OpenSSL pour mettre en œuvre des connexions sécurisées (c’est-à-dire cryptées) entre votre navigateur et plus de 80% des serveurs web dans le monde. Une vulnérabilité (nommée Heartbleed après sa découverte en 2014) a permis à des criminels d’accéder à la liste des mots de passe du serveur. Vous pouvez consulter ma série d’articles sur la cryptographie si vous vous intéressez à ce type d’anecdotes en cybersécurité.

Un excellent livre sur les risques de l’innovation en matière de conception ouverte autour de la cybersécurité est “Click Here to Kill Everybody” de Bruce Schneier.

La collaboration ouverte pour la génération d’idées

Je présente un cadre conceptuel pour la collaboration ouverte dans l’image ci-dessous. Pour l’obtenir, j’ai adapté le graphique de l’article d’Andrew King et Karim R. Lakhani de 2013 “Using Open Innovation to Identify the Best Ideas” dans le MIT Sloan Management Review pour illustrer les mécanismes présentés dans cet article. De plus, j’ai rajouté certains mécanismes dont les auteurs n’ont pas tenu compte (car certains n’existaient pas !)

Cadre conceptuel de la collaboration ouverte pour illustrer les mécanismes introduits dans cet article.

Cadre conceptuel de la collaboration ouverte pour illustrer les mécanismes introduits dans cet article.

Les entreprises peuvent ouvrir leur processus de génération d’idées en impliquant leurs clients dès le début de la boucle d’innovation. La collecte d’idées auprès de communautés construites autour d’une marque ou d’un produit est un mécanisme efficace si vous pouvez le mettre en oeuvre. J’en discute plus en détail dans la conclusion de l’article.

Le crowd-sourcing d’idées, par exemple en utilisant certains des logiciels dont je parle dans cette article, produit probablement une quantité considérable d’idées (si vous avez la chance d’avoir un grand nombre de “followers”) et la qualité des idées peut varier considérablement, en particulier si vous utilisez une communauté pour laquelle vous n’avez pas identifié ou sélectionné les différents participants. Cela rend l’évaluation et la sélection des idées difficiles.

Une autre approche plus ciblée pour ouvrir le processus de sélection des idées est l’utilisation de tournois d’innovation. Il s’agit d’une sorte d’enchère inversée : une entreprise offre un prix pour résoudre un problème et les innovateurs proposent des solutions possibles. Ce type de collaboration ouverte a donné naissance à des courtiers en innovation, tels que Innocentive, CrowdSpring ou Kaggle et bien d’autres. Ce sont des entreprises qui mettre de ligne des concours, annoncent les prix et collectent les solutions. Ils font cela pour de différents types d’innovation : Innocentive fait la promotion de concours scientifiques, par exemple dans le domaine des sciences de la vie. CrowdSpring permet aux entreprises d’utiliser les internautes pour affiner leur image de marque, par exemple pour trouver des noms de produits. Kaggle encourage la competition dans le domaine de la science des données (data science) et de l’apprentissage machine (machine learning).

Pourquoi avons-nous besoin de courtiers en innovation ?

Il existe de nombreuses raisons de faire appel à un courtier en innovation. Par exemple, l’avantage de participer à un tournoi d’innovation est la possibilité de toucher un public très ciblé et spécialisé, plutôt que de demander à une marque ou à une communauté de produits.

L’aspect compétitif (récompensé par un prix en espèces) est également très important. Des équipes composées d’universitaires et de professionnels se forment autour des concours. On rapporte que la composition des équipes évolue au fil du temps, par exemple avec la formation d’alliances pour augmenter les chances de gagner.

La composition des équipes peut également être très inattendue : Dans un concours lié au traitement du diabète de type 1, il est rapporté par King et Lakhani que la solution gagnante est venue d’une équipe formée d’un étudiant de premier cycle en chimie, d’un dentiste à la retraite, d’un géophysicien et d’un chercheur en génétique de haut niveau sans expérience dans la recherche sur le diabète.

Traitements du diabète de type 1

Traitements du diabète de type 1

Les courtiers en innovation nous permettent aussi de faire face à un corollaire du paradoxe d’Arrow. Ce paradoxe est attribué au lauréat du prix Nobel Kenneth Arrow et le corollaire est que la valeur d’une idée ne peut être évaluée tant qu’elle n’est pas révélée. Il est clair qu’une fois révélée, sa valeur tombe à zéro. Ce point est également abordé par King et Lakhani dans leur document MIT Sloan.

Si cela vous rappelle l’histoire du chat de Schrödinger, c’est parce que, comme moi, vous pourriez trouver qu’il est de nature similaire.

Pour que les concours d’innovation fonctionnent (et ne souffrent pas du paradoxe d’Arrow), les innovateurs doivent être assurés qu’ils seront effectivement récompensés si leur idée est sélectionnée. Les courtiers remplissent ce rôle de cohésion. Sans eux, vous ne pourriez pas garantir que votre chat est vivant au cas où vous auriez une bonne idée dans la boîte, c’est-à-dire que vous serez payé. Ne prenez pas ce dernier point trop au sérieux.

Photo by Manja Vitolic on Unsplash

Photo by Manja Vitolic on Unsplash

La collaboration ouverte pour la sélection des idées

Une autre façon d’ouvrir la collaboration consiste à laisser choisir nos idées à des personnes extérieures (par exemple, les internautes). Cela peut se faire avec plusieurs degrés d’effort en fonction de l’objectif.

Le concept du “Minimal Viable Product” (MVP) introduit dans la méthodologie Lean Startup et dont je parle dans de nombreux articles (voir par exemple “Assessing the Feasibility of your Minimal Viable Product”, sur Medium en anglais) est peut-être le plus impliqué en termes d’efforts. L’objectif est ici de faire valider (entre autres, par les clients potentiels) les hypothèses de conceptions d’un produit afin d’évaluer son intérêt pour un marché potentiel.

Un autre mécanisme en rapport est les plateformes de financement collaboratives. Grâce à Kickstarter ou Indiegogo, vous pouvez étendre la validation de la désirabilité de votre MVP au grand public et l’utiliser pour lever des fonds pour le compléter, le commercialiser, le distribuer, etc. En fonction du niveau de contribution, vous serez redevable à vos premiers investisseurs providentiels d’une série de récompenses de votre choix.

Des approches plus légères, donc plus opérationnelles, sont utilisées (par exemple dans les entreprises matures) pour déterminer l’opportunité de nouvelles lignes de produits, par exemple dans le domaine des vêtements de mode. Certaines marques disposent d’applications pour smartphones qui leur permettent d’interagir directement avec leur public avec de nouvelles collections et de recueillir des commentaires.

L'application CALA permet d'adapter des vêtements de marque à votre corps grâce aux photos de l'iPhone

L’application CALA permet d’adapter des vêtements de marque à votre corps grâce aux photos de l’iPhone

De manière plus générale, de nombreuses marques utilisent les réseaux sociaux pour effectuer des analyses de sentiments dans le cadre de diverses initiatives de marketing. Le concept de marketing d’influence (Influencer marketing) permet aujourd’hui aux marques de sonder leurs clients et d’affiner leur stratégie de sélection des idées.

Une manière encore plus immersive d’impliquer votre client dans la sélection est de le faire participer au processus de conception de votre produit. Certaines marques mettent en place des outils en ligne pour que les clients sélectionnent les produits, les couleurs, les formes et autres caractéristiques des produits, ce qui leur permet également d’optimiser leur processus de production en utilisant l’approche de la personnalisation de masse.

Il est clair que l’ouverture de votre processus d’innovation à une sélection externe comporte le risque de “révéler votre jeu” à vos concurrents également. C’est pourquoi une collaboration ouverte exige une réflexion stratégique et un équilibre prudent entre la révélation et la dissimulation des facettes de votre processus d’innovation.

Enfin, vous pouvez clairement mélanger la génération et la sélection, par exemple en organisant des hackathons, des ateliers clients, etc. Au Japon, la marque Muji organise des “hakensai” (littéralement, “festival de la découverte” en japonais) pour inciter les clients à générer des idées et à sélectionner des concepts de produits.

Comment mettre en œuvre un processus d’innovation ouvert et votre entreprise

La mise en œuvre d’un processus d’open innovation dans votre entreprise consiste à sélectionner les éléments d’innovation de conception ouverte et de collaboration ouverte (génération d’idées, sélection ou les deux) qui conviennent à votre processus créatif.

La vue d'ensemble : Considérez toutes les composantes d'une stratégie d'open innovation pour votre processus d'innovation.

La vue d’ensemble : Considérez toutes les composantes d’une stratégie d’open innovation.

En outre, il y a quelques éléments que vous devez prendre en considération pour réussir à la mettre en œuvre.

Lorsque vous envisagez de générer des idées de manière externe, vous devez vous demander si des personnes en ligne possèdent les connaissances nécessaires pour générer une solution plausible. En outre, vous devez vous demander si une solution potentielle nécessite un groupe ciblé ou si elle pourrait ou devrait être récoltée auprès d’une échantillon de population en ligne générique.

Vous devez également réfléchir à la manière d’inciter les personnes extérieures à vous faire part de leurs idées. La recherche d’une solution nécessite-t-elle un investissement considérable de leur part ? Quel est le risque financier qu’elle seraient prête à prendre ? Le concours doit-il être un concours où tout le monde gagne quelque chose ou la récompense doit-elle être partagée ? Pouvez-vous rassurer les innovateurs que leurs idées ne seront pas détournées ?

Pouvez-vous rassurer les innovateurs que leurs idées ne seront pas détournées ?

Pouvez-vous rassurer les innovateurs que leurs idées ne seront pas détournées ?

Vous pouvez susciter une série de questions similaires lorsque vous envisagez de mettre en œuvre une sélection externe. Les sélectionneurs d’idées ont-ils les connaissances appropriées sur les besoins de vos clients ? Et s’il s’agit de vos clients, comprennent-ils vraiment leurs propres besoins ? Pouvez-vous aligner les incitations des sélecteurs externes sur les objectifs de votre entreprise ? Pouvez-vous motiver les sélecteurs à participer tout en gardant le contrôle des idées choisies ?

J’espère qu’avec cet article, je vous ai donné une idée des nombreux défis que vous aurez probablement à relever pour mettre en place un processus d’innovation moderne et ouvert. 

Vous pouvez en savoir plus sur l’innovation de produit grâce à la série d’articles de ma classe d’innovation à l’université en Suisse et  à Tokyo, au Japon, ou sur la cybersécurité et d’autres sujets dans ma collection d’articles sur la plateforme Medium (en anglais) ou le blog du temps (en francais).

Commentaires, réactions : Laurent Balmelli (Twitter Laurent Balmelli)

Pouvons-nous garder nos secrets? Comment le chiffrement façonne notre société

Twitter: @laurentbalmelli

Tous mes articles (Anglais) sur Medium: https://medium.com/@laurentbalmelli

La cryptographie et le domaine de la sécurité de l’information sont récemment devenus l’un des sujets les plus discutés dans la société. Je discute dans cet article comment le chiffrement des données est perçu lorsque notre vie privée est en jeu.

Un récent débat  à travers le monde consisteà decider si nous devrions partager nos secrets. La prévalence des applications de messagerie qui fournissent du chiffrement, par exemple WhatsApp (et bien d’autres), nous permet de garder nos conversations à l’abri des regards indiscrets, y compris de la loi. Ce nouveau moyen de communication est clairement loué par les militants de la protection de la vie privée, mais il est aussi largement utilisé par les criminels. À qui devons-nous de faire la distinction entre l’utilisation éthique et le mauvais usage de la technologie?

Mon travail quotidien dans le domaine de la sécurité de l’information me permet d’interagir avec l’ensemble des opinions sur ce sujet. D’un côté, je gère des ingénieurs avec une compréhension approfondie des aspects de la mise en œuvre de cette technologie. Leurs opinions vont de l’activisme («tout doit être caché») au pessimisme («les États-nations peuvent de toute façon vous pirater»). À l’autre extrémité, j’interagis, par le biais d’activités de volontariat, avec des fonctionnaires et des forces de l’ordre, dont les opinions reflètent souvent le pragmatisme («nous devons trouver un moyen d’y accéder»). La façon dont nous équilibrons la vie privée, la sécurité et essentiellement le plus grand bien de tous est peut-être l’une des questions sociétales clés auxquelles nous sommes confrontés aujourd’hui.

Au cœur de cette discussion se trouve le domaine de la cryptographie et son utilisation pour assurer la confidentialité des données, avec la technologie de chiffrement des données. Ce jeune domaine de la science regorge de réalisations récentes (pas plus de 50 ans) et critiques qui ont changé notre vie quotidienne et permis des aspects clés de notre économie moderne tels que le commerce électronique. Cependant, les premières méthodes de chiffrement datent de l’Antiquité. Attestant de la nouveauté du sujet est le fait que le domaine de la cryptographie ne faisait généralement pas partie du programme de base de l’informatique lorsque j’ai obtenu mon diplôme et doctorat à l’EPFL il y a 20 ans.

La garantie générale de sécurité dans le chiffrement des données est basée sur la complexité apportée par l’approche mathématique. Lorsqu’elle est correctement mise en œuvre, la quantité de possibilités de deviner la clé donnant accès aux données chiffrées est tout simplement trop grande, même si la recherche se fait avec le meilleur ordinateur disponible aujourd’hui, à condition qu’elle soit suffisamment grande. Il est donc tout simplement impossible de “forcer la clé” pour accéder à une discussion sur WhatsApp à laquelle vous n’êtes pas participant. Cependant, l’accès à ces informations pourrait être très intéressant lorsque l’un ou les deux destinataires sont des trafiquants de drogue connus.

Pour forcer les éditeurs de logiciels à donner accès à des conversations chiffrées, les législateurs ont commencé à faire pression pour de nouvelles réglementations. Ce phénomène est mondial (France, Royaume-Uni, Australie, etc.) et s’amplifie. La méthode de chiffrement telle que celle utilisée dans WhatsApp est appelée de bout en bout. Cela signifie que seuls les participants à la conversation ont accès à la clé car elle est stockée sur leur smartphone et nulle part ailleurs. Par conséquent, même les ingénieurs de WhatsApp ne peuvent pas y accéder, et encore moins la transmettre aux autorités. Par conséquent, d’une certaine manière, les législateurs demandent aux éditeurs de logiciels de créer intentionnellement des failles dans leurs systèmes. Malheureusement, ces défauts ne serviront pas seulement à l’application de la loi, mais tout le monde, y compris les organisations criminelles et les gouvernements malveillants. Ce serait formidable pour la police de pouvoir écouter les suspects (en supposant que les bons mandats sont en place), mais il n’y a aucun moyen de concevoir un mécanisme qui ne fonctionne qu’en présence d’un tel mandat.

Supposons maintenant un instant qu’un tel mécanisme soit possible et que seules les forces de l’ordre disposant de l’autorisation appropriée puissent écouter les conversations. La réponse typique que j’entends autour de moi est que «cela ne me dérange pas d’être écouté, je n’ai rien à cacher». Cette réaction positive est enracinée dans l’état actuel des choses, c’est-à-dire que dans une démocratie, les gens avec de bonnes intentions peuvent compter sur la justice et le bon sens. Bien qu’il s’agisse d’un état d’esprit typique dans notre partie du monde, il est facile d’imaginer que cela devient plus difficile dans d’autres parties. En 1941, la ligne du premier ministre de Staline, Beria, «montre-moi l’homme et je vais te montrer le crime» date de l’époque où les conversations (et la fabrication d’un crime) entre des personnes nécessitait d’être physiquement présentes. Maintenant, cela peut être fait à tout moment, n’importe où et automatiquement.

«Cacher ou ne pas cacher» est peut-être une dissonance sociale dont la solution pourrait façonner le destin de l’humanité.