Récemment, WIN organisait en collaboration avec CfDNT, le Cercle francophone des décideurs en Technologie du Numérique, né de la fusion entre les associations Adsif et CIO Club Wallonie-Bruxelles, une conférence dédiée à l’innovation numérique à destination de responsables IT venus aussi bien du secteur privé que public.

Thèmes de débat choisis: le “smart data” et l’Internet des Objets (IoT), les défis qu’ils font surgir, et leur impact sur le rôle des CIO et IT managers ainsi que sur les processus de gestion et le mode de fonctionnement des entreprises et acteurs publics.

Toutes ces données “perdues”

En guise d’introduction au thème de l’Internet des Objets (IoT), Christophe Hallard, associé chez Deloitte, brossait un tableau générique, rappelant combien l’IoT est pénètre de plus en plus chaque pan de notre quotidien, tant au privé que dans la sphère professionnelle (commerciale, industrielle, transactionnelle, relationnelle…). “L’IoT”, rappelait-il, “c’est avant tout un écosystème où des capteurs collectent des données qui sont relayées par des réseaux afin d’enrichir les interactions avec notre environnement.”

Le défi réside à la fois dans la collecte, le transfert, et la transformation des données et signaux, générés en volumes sans cesse croissants, en informations intelligibles. “Actuellement, seuls de 5 à 30% des données générées sont réellement transformées en informations.”

Lors de son propre exposé, Kenneth Stevens, chief technology advisor chez SAP Belux, soulignait qu’entre 60 et 73% des données que possède une entreprise ne sont pas exploitées à des fins de prise de décisions ou d’analyse (opérationnelle ou autre). “Elles ne voient pas les signaux importants, même ceux qui sont générés en interne. Que dire alors de l’accès et de l’exploitation des données externes…”

Personne n’y échappera

L’exploitation du big data et des multiples “signaux” qu’entreprises et acteurs publics peuvent capter et exploiter, tant en interne qu’en externe, fait à la fois figure de défi et d’opportunité. Si chacun en est conscient, la concrétisation de cette prise de conscience est encore loin d’être généralisée. Or, tout attentisme ou lenteur de réaction peut être synonyme de bataille perdue et de recul en compétitivité face à des concurrents, de toutes tailles, qui réussiraient à appliquer de bons processus de transformation et des modèles opérationnels nouveaux à ces giga-données et signaux.

Chaque secteur se transforme, inexorablement. L’un des exemples le plus fréquemment mis en avant – et il le fut à nouveau par Christophe Hallard – est celui des assurances.

Les acteurs y abandonnent progressivement une vision, et utilisation, statique des données qui sont en leur possession (le profil de risque théorique du conducteur combiné à son historique-client) en faveur d’une utilisation nettement plus dynamique, mouvante, évolutive (en fonction de son comportement temps réel, du type ou horaire de parcours…) voir prédictive et prescriptive. Demain plus encore qu’aujourd’hui, les tarifs seront appliqués et modifiés en temps réel, avec une granularité de couverture d’assurance de plus en plus fine et personnalisée.

Le défi que pose la voiture autonome pour les assurances aura aussi un impact majeur sur leur métier (à condition que ce dernier survive, estiment certains qui voient déjà les accidents être un concept du passé).

Christophe Hallard, lui, préférait considérer que les assureurs auront toujours un rôle à jouer mais pour assurer qui ou quoi? “le conducteur? le constructeur automobile? la société qui entretient la route? l’éditeur de logiciel?…”

Alexis Malchair, responsable IoT et numérisation, chez Cisco Belgique, abordait lui aussi le sujet mais sous un angle un rien différent: “Une législation est indispensable pour réguler les utilisations des données de voiture partagée. Aujourd’hui, le propriétaire d’une voiture est encore propriétaire des données qu’elle génère et communique. Mais qu’en sera-t-il quand les voitures s’échangeront des données entre elles ou avec l’infrastructure? Et quid des données personnelles collectées à propos des conducteurs successifs d’une voiture partagée?”

Et dans les autres secteurs?

Le big data, c’est aussi la promesse de pouvoir utiliser les “signaux”, produits notamment par les dispositifs IoT, pour de multiples finalités, non seulement en mode réactif mais, si possible, en mode prédictif, pour anticiper besoins, risques et opportunités.

Petite florilège d’utilisations potentielles? Gestion des menaces de sécurité, des données personnelles, des paramètres techniques (par exemple à des fins de maintenance), analyse de “sentiments” des utilisateurs et clients, détection de fraude,“vue 360°” sur les clients (par exemple, pour identifier les “bons” clients et ceux qui dilapident trop vos ressources)…

Impact incalculable

• de 7 à 70 milliards d’objets connectés d’ici 2020, qui seront autant de points de création de données
• certains estiment déjà ces chiffres largement dépassés, parlant plutôt de 200 milliards à l’horizon 2020
• dès l’année prochaine, un volume astronomique de 403.000 milliards de giga-octets pourraient être générés par des objets IoT en tous genres (électroménager, smartphones, voitures, capteurs industriels ou environnementaux…)
• chaque jour, les réseaux sociaux, forums et autres plates-formes connectées voient transiter plus de 2,5 milliards de “conversations” (réels échanges, commentaires, etc.) au sujet des marques

“Dans le monde des données qui est aujourd’hui le nôtre, comment les entreprises peuvent-elles repenser leurs processus?”, s’interroge Kenneth Stevens. “Il s’agit d’allier les données internes aux “signaux” externes.”

Exemple? Les comportements et préférences de clients, “captés” via les réseaux sociaux ou les sites transactionnels, peuvent être exploités pour gérer les stocks en anticipant la demande de tel ou tel produit, selon la saison, la zone géographique… A la clé, “un just-in-time encore plus efficace, davantage de chiffre d’affaires, davantage de marge.”

Source : SAP.

De manière plus fondamentale, il estime que les entreprises devraient remettre leurs modèles commerciaux en question de manière plus volontariste. Il prend trois exemples.

Under Armor, fabricant de vêtements de sports à l’origine, s’est lancé dans l’IoT dotant vêtements et accessoires de capteurs. Il se positionne ainsi désormais en prestataire de conseils bien-être et santé.

Les constructeurs de moteurs d’avion, tels que Safran ou GE, ont tout d’abord utilisé les données IoT des capteurs intégrés aux moteurs pour faire de la maintenance prédictive (risques de pannes, usures…). De plus en plus, ils ne vendent plus le moteur aux compagnies aériennes mais le facturent par heure de vol, en intégrant le paramètre maintenance dans le prix, en modulant ce dernier en fonction du type d’utilisation de l’avion. Ils responsabilisent ainsi également les compagnies, en les incitant à une utilisation plus efficace.

De même, Kaeser, constructeur de compresseurs, facture désormais ses clients selon le volume de m3 d’air comprimé utilisé par ses engins…

“Jusqu’ici, gestion et innovation ont trop souvent été considérés comme deux mondes distincts, déconnectés. Il faut intégrer les deux, instaurer une boucle infinie”, argumente Kenneth Stevens. “Si l’on repère un nouveau paramètre grâce aux systèmes d’innovation déployés (dispositifs IoT, machine learning, big data, analytique, blockchain…), il faut le transformer en action immédiate au niveau des infrastructures opérationnelles (ERP, CRM…), effectuer le suivi analytique de ces actions et poursuivre les rétro-feedbacks.”

Selon lui, la logique dont une entreprise ne peut plus se passer désormais est d’enchaîner les trois étapes sans fil que sont la modernisation, l’innovation et la transformation.

Des concepts encore mal compris

Pour Frédéric Pivetta, de Dalberg Data Insights (relire l’article que nous avons consacré, en mars 2017, à la société), l’exploitation que l’on fait des données (du secteur privé ou du secteur public) est encore nettement insuffisante. Les avantages potentiels sont gigantesques, non seulement pour améliorer les processus, résoudre des problèmes sociétaux ou environnementaux, mais aussi pour doper les revenus des entreprises. “Nous n’en sommes encore qu’au début. On teste des idées, de premiers produits, mais il s’agit désormais de basculer vers la “productisation” et vers la création d’un écosystème.”

Avec des règles et des mécanismes encore à définir: si les données d’un acteur A sont “monétisées” par un acteur B (l’un et l’autre pouvant évoluer dans le secteur public ou privé), comment rémunérer A, quelles contre-parties prévoir, qui aura la responsabilité d’héberger, de gérer les données…?

L’écosystème à créer concerne, selon lui, à la fois les données et les algorithmes. “Impossible pour chaque acteur de tout développer de son côté.” Trop lourd et trop lent. “Si des parties d’algorithmes étaient ouvertes, cela permettrait de les utiliser pour construire plus vite.”

Boîte de Pandore

Selon Christophe Hallard, plusieurs éléments vont sans doute freiner le déploiement d’objets connectés. A commencer par les nouvelles réglementations en matière de protection des données et, parmi elles, le Règlement européen GDPR.

Autre frein – du moins à un déploiement anarchique d’objets non compatibles: la définition de normes et protocoles de communications, qui seront bien nécessaires pour éviter de devoir investir dans de multiples infrastructures et outils de conversion et intégration.

Il évoquait aussi un autre obstacle: “le manque de compétences et de connaissances technologiques au sein des entreprises et un déficit d’imagination dans le développement de solutions.”

Pour sa part, Eric Wilmot, chief commercial officer d’Engine M2M (filiale d’Engie et de Nethys qui exploite un réseau Sigfox), mettait l’accent sur le fait que “les applications IoT, dans les domaines de l’énergie, de la géolocalisation, de la surveillance d’environnements divers, sont encore très verticales et étroites. Il n’existe pas encore de package complet, modulaire. L’interaction fait encore souvent défaut. Autre faiblesse: les applis sont parfois peu fiables ou matures, parce que conçues par des start-ups.”

Mais le gros point noir que plusieurs orateurs de la conférence ont placé en tête de leur liste est celui de la sécurité. Ils évoquaient notamment le risque (souvent insoupçonné) que font courir des objets connectés (lisez: actifs) en permanence. Tels ces enceintes vocales, du genre Amazon Echo ou Google Assistant, qui captent la voix et des données en permanence, à “l’insu du plein gré” du consommateur. “Ce sont autant de chevaux de Troie supplémentaires”, avertissait Christophe Hallard.

Patrick Grillo, directeur commercial et marketing pour Fortinet EMEA, avait carrément intitulé son exposé “The Internet of Things: Good, Bad or just plain Ugly?” Tout un programme…

A l’heure où le moindre objet du quotidien est connecté – parfois de manière extrêmement futile -, les risques de piratage deviennent omniprésents. Quel intérêt un hacker aurait-il à exploiter les failles d’un grille-pain ou d’un frigo connecté? Bien plus qu’on ne l’imagine sans doute.

Source: Symantec

La moindre faille ou carence de l’objet connecté peut se traduire par une fuite massive de données qui n’atterriront pas dans des mains innocentes. Au-delà des indiscrétions anodines, toute info sur le consommateur peut déboucher sur un profilage et des utilisations dangereuses.

Le risque est décuplé (au minimum) dans le monde professionnel et industriel. Patrick Grillo évoquait notamment les voitures autonomes détournées, les sabotages d’installations industrielles, les failles des réseaux sans-fil déployés dans les avions qui permettent à des personnes bien informées de prendre le contrôle de certains systèmes critiques de l’avion…

L’un des problèmes majeurs, soulignait Patrick Grillo, est l’“incapacité inhérente d’objets basiques et bon marché à intégrer un degré de sécurité suffisant, à recevoir des mises à niveau et correctifs.” Ils peuvent être détournés, piratés, exploités en masse pour devenir des botnets ravageurs, servir ainsi de méga-cheval de Troie et vecteur de DDoS, pour des attaques ciblant des infrastructures critiques – publiques ou privées.

Comment les autoriser dans l’enceinte et même en dehors des murs d’une entreprise? “Les problèmes de sécurité des réseaux sont chose connue mais l’IoT les aggrave ou les fait resurgir. Le périmètre du réseau d’entreprise s’est dilué et élargi. Les systèmes non inclus dans le réseau mais qui y ont accès se multiplient. Cela décuple les moyens d’y pénétrer et d’en extraire des données. La surface d’attaque s’accroît et l’IoT ne fait qu’aggraver la situation.”

La complexité s’accroît d’autant plus que les choix de solutions, en ce compris en matière de sécurité, varient d’un site à l’autre, parfois d’un département à l’autre. Or, “les différents produits, venant de divers fournisseurs, ne sont pas conçus pour travailler avec les autres.” Résultat: les silos se multiplient. “Le simple fait de devoir trouver un moyen pour que différents pare-feu se parlent accroît les risques; un seul point of entry suffit à un hacker…”

Philippe Naelten (WIN): “Les entreprises doivent minimiser les risques auxquels elles s’exposent, notamment lorsqu’elles acceptent un hébergement de leurs données dans des pays qui ne sont pas soumis à la législation belge ou européenne. Le sujet de la territorialité des données est essentiel. Eviter d’expatrier vos données. Conservez-les sur le territoire national, voire régional.”

L’IoT implique par ailleurs que l’environnement n’a plus rien de statique. “Le réseau doit “apprendre à apprendre” à chaque fois qu’un nouvel objet s’ajoute, apprendre ce qui se passe, placer chaque objet dans le segment adéquat”, insistait Patrick Grillo.

Et il y a trois catégories: les systèmes gérés, connus, identifiés, soumis à des règles établies ; les dispositifs “tolérés”, qui ne sont pas dotés de logiciels clients et sont uniquement autorisés à se connecter à Internet mais pas au réseau interne ; et les “indésirables/imprévus” qui déclencheront une alerte – “même s’ils sont acceptables, ils devront être validés, bloqués avant de pouvoir être placés dans l’un des deux autres catégories.”

Face aux carences sécuritaires d’objets connectés bas de gamme, certains soulignent que le lieu où les mécanismes de sécurité doivent être insérés et activés se situe au niveau du réseau ou de son périmètre immédiat. Par exemple, au niveau de tout dispositif suffisamment à même de supporter le fonctionnement d’algorithmes et de mécanismes d’apprentissage (machine et deep learning). “L’IA est en mesure de définir un schéma de comportement d’un objet et de déclencher une alerte, par exemple lorsqu’il se connecte à un réseau qui n’est pas le sien”, déclarait Lorenzo Piro (Aruba/HPE).

Des métiers dans la balance

Le métier d’assureur a déjà été évoqué. Mais tous les secteurs seront “disruptés”. Lors de la conférence .Connect, un exemple quasi-exotique (mais pas pour tout le monde) était cité par DimensionData. Lors des deux derniers Tours de France, des capteurs ont été fixés sous la selle des coureurs en vue de collecter une foule de paramètres. Lire par exemple cet article publié par JDN.

Les données sont destinées pour partie au grand public, aux spectateurs de la Grande Boucle, par le truchement, notamment, des commentateurs sportifs. Mais 90% des données collectées sont réservées aux directeurs d’équipes, pour une analyse précise des paramètres de performances sportives.

“En cumulant les données collectées sur plusieurs années, il devient possible de prédire les chances de réussite d’une échappée”, expliquait Pierre Dumont, directeur général de DimensionData BeLux. Le métier de commentateur sportif est-il condamné?