9 juin 2008

Pour poster un commentaire

*     *

La sécurité

La sécurité des mots de passe, le suivi de la gestion des droits en fonction des entrées sorties dans l'entreprise sont calamiteux.

Lors d'un audit sur la sécurité d'une base de données primordiale pour l'entreprise, nous avons constaté que le mot de passe n'avait pas changé depuis des années. Nous l'avons fait modifier et le lendemain tout à pété en production : des milliers de scripts comportaient dans leur code ce mot de passe en dur. Il a fallu remettre l'ancien mot de passe en catastrophe et on n'y a plus jamais touché : le DSI n'avait pas les moyens de faire réécrire tous ces scripts.

En passant par cette faille, une personne malveillante pourrait faire tout ce qu'elle veut.

Les relations avec les SSII

Quand on ne comprend rien à quelque chose (le SI), on a tendance à n'évaluer sa qualité que par son coût. Il semble alors qu'un bon SI est un SI qui ne coûte pas cher, d'où des dérives qui ont pour effet paradoxal d'accroître le coût du SI.

La relation entre mon entreprise et les SSII se boucle selon un cycle infernal qui entretient la non qualité :
- la DSI ne recrute que des chefs de projets qui font faire les développements par les SSII ;
- le cahier des charges est toujours incomplet ;
- les SSII qui répondent à l'appel d'offres savent ne pas pouvoir faire un chiffrage réaliste car elles seraient trop chères par rapport à leurs concurrentes. Elles font donc des devis au plus juste, fondés sur le coût journalier moyen d'un ingénieur en développement débutant plus quelques journées de chef de projet ;
- la DSI achète le moins cher possible ;
- pour tenir ses coûts la SSII fait un travail de cochon ;
- les deux sont ensuite pieds et poings liés : les spécifications initiales ne sont pas claires, le développement n'est pas vraiment documenté, il est impossible de changer de SSII quand on est en production ;
- je passe sur les dessous de table qui lubrifient la relation commerciale (installation de GPS dans les voitures, invitations à Roland Garros etc.).

*     *

Tout ceci ne marche bien sûr que dans les entreprises riches qui peuvent se permettre de mener des projets de plusieurs millions d'euros et de ne pas les passer en production. Les PME recourent très peu aux SSII.

Les responsables de ce marasme ne sont pas seulement les PDG des entreprises : ce sont aussi les dirigeants de SSII et des boîtes de conseil. Leur travail est de faible qualité et la façon dont ils développent est opaque, ce qui fait tendre tout le monde vers le bas. D'où les tentatives de ces dernières années pour faire développer à l'étranger des composants logiciels moins chers.

Pour beaucoup de projets, des solutions très simples suffiraient, mais cela n'arrange pas les SSII. On préfère des refontes de SI à tout va qui ne vont jamais à leur terme.

Il y a de grandes réussites : le Web, par exemple. Mais elles surviennent en dehors de toute structure préexistante. C'est peut-être dans cette direction-là qu'il faut creuser.