Un collaborateur particulièrement curieux d’AntemetA m’a interpellé il y a quelques jours sur ma vision de la blockchain. Enthousiasmé après quelques lectures de toutes les capacités induites par les systèmes de la Blockchain, il m’a interrogé sur l’impact des DLT (Distributed Ledger Technology) dans notre industrie.
Chez AntemetA nous avons des services à valeur ajouté, des services au forfait et nous sommes fournisseurs de services managés. Nos activités sont principalement axées autour de l’infrastructure et du data management, c’est-à-dire les couches basses de l’informatique. Je suis donc resté un peu dubitatif sur les applications réelles de ces technologies dans nos environnements. En réponse, je lui ai simplement expliqué que les systèmes de blockchain n’étaient pas une révolution en soit mais que les principes du DLT apportaient de nouvelles méthodes de gestion de la sécurité de la donnée. Et ces méthodes sont intéressantes, quelle que soit l’industrie.
LA BLOCKCHAIN COMMENCE AVEC LES CRYPTO MONNAIES
Je m’intéresse personnellement aux crypto monnaies depuis quelques années. J’ai des comptes dans différentes monnaies et comme tout bon geek, j’ai investi dans quelques cartes graphiques qui ont réchauffé mon bureau au plus froid de l’hiver. Je suis donc généralement attentif à l’évolution du secteur des crypto monnaies et au secteur d’activité qui est celui de notre marché professionnel. Je n’ai cependant pas ressenti un changement de paradigme renversant ces dernières années. Même dans mon utilisation des crypto monnaies, je trouve l’évolution de l’offre assez … « molle ». Plus de 99% de mes dépenses sont encore effectuées dans ces chères et tendres monnaies à base fiduciaire alors qu’elles sont pour 95% dématérialisées ! D’un point de vue professionnel je ne vois pas non plus de systèmes de blockchain implémentés pas les nombreux applicatifs de production.
Alors, hype ou tendance ? SOMMES-NOUS A LA VEILLE D’UNE RÉVOLUTION DANS L’ENTREPRISE ?
Je ne ferai pas ici une analyse de ce qu’est la blockchain. Internet et YouTube regorgent de contenus sur le sujet. En revanche, par rapport à notre métier, il me semble intéressant de voir ici les bénéfices apportés par cette technologie.
En premier lieu la notion de Registre m’a semblé la plus intéressante (le L de Ledger dans DLT). Il n’est en effet pas classique de voir une industrie si largement impactée par un changement de technologie. Le fait d’utiliser une technologie d’encryption qui fiabilise les nouvelles entrées dans ce registre et que la chaîne des messages du registre devient elle-même un élément de la sécurité globale du registre est particulièrement intéressant. Même si c’est une notion de cryptographie assez ancienne le fait de l’ériger comme un principe et de le démocratiser à ce point est nouveau.
Ensuite la Distribution des calculs de ce registre (le D de Distributed dans DLT) apporte deux gains majeurs :
- une protection évidente de la légitimité pour la validation des nouvelles transactions (mais qui peut constituer un vecteur d’attaque).
- une archive fiable car hyper distribuée qui garantit la non altération de l’historique de la chaîne.
Enfin la Technologie (le T de Technology dans DLT) le fait que ces systèmes se basent essentiellement sur des systèmes distribués de peer to peer ne présente pas un intérêt premier dans le cadre de notre marché (informatique d’entreprise). En revanche je pense à certains de nos clients en B2C qui voient ce point d’un autre œil, de par le nombre de clients et la nature des données concernées. A ce titre, ceux qui ont lancé ce type de projet et qui ont une politique de mise en œuvre de RGPD stricte sont en train de rencontrer quelques problèmes avec leur chaîne inaltérable.
Ces préceptes sont-ils utiles en dehors des applications purement métiers ?
Sans vous faire plus languir je pense que la réponse est OUI. Il suffit de se pencher sur son patrimoine applicatif et de s’interroger si ces systèmes contiennent un historique ou des notions de sécurité pour voir un intérêt au DLT. Je me suis donc penché sur les applicatifs dont nous discutons le plus couramment avec nos clients et dont nous sommes nous-mêmes consommateurs. Voici ici un tableau des applications potentielles et du niveau d’intérêt (***) avec une grille de notation simple en fonction des besoins de l’applicatif pour les éléments suivants :
- Sécurité des transactions historiques assurées.
- Validité des nouvelles transactions garanties.
- Système transactionnel largement distribué.
- ***GESTION DES LOGS : c’est l’application la plus évidente à mon sens. C’est un système hyper-distribué (toutes les applications produisent des logs) dont l’altérabilité est un véritable problème de sécurité. On peut par exemple penser aux logs des accès aux URLs d’un service Web dans le cadre d’un SIEM.
- ***CMS (systèmes de gestion de contenus) & DATAROOMS : selon les industries, les documents posés dans de tels systèmes peuvent révéler un besoin de fiabilité très important. On verrait ici l’intérêt dans le cadre d’échanges juridiques dans la définition d’un contrat.
- ***IAM (gestion des identités et des accès) : ces systèmes se rapprochent des besoins des systèmes de gestion des logs mais diffèrent par deux aspects : on touche ici le client (non plus seulement le serveur) et ces systèmes ont une composante de données personnelles inhérente. On pourrait ici penser à l’historique des demandes d’accès validées ou non à un catalogue LDAP.
- **KMS (gestion des clés d’encryption) : c’est ici un bon candidat pour augmenter la fréquence de renouvellement des clés et garantir leur distribution de manière fiable. On pourrait notamment penser aux clés privées d’un système de chiffrement de surface déployé pour tous les ordinateurs d’une entreprise et un système de contrats intelligents pour la validation des clés.
- **ERP, CRM, COMPTABILITÉ, FACTURATION : tous les systèmes liés de près ou de loin à l’ERP ont une notion historique intrinsèque. L’idée de registre est ici omniprésente. Et même si nous sommes rarement dans un système transactionnel largement distribué, on peut imaginer des systèmes de validité des nouvelles transactions qui peuvent avoir un intérêt. On peut penser que dans le cadre de l’établissement d’un bilan d’une société pour soumission au contrôle la DLT présente une preuve intéressante.
- **GRC (Gestion de la Relation Client), E-MAIL, CHAT, ITSM : on peut ici vouloir sécuriser la traçabilité des conversations et des échanges dans des environnements qui ont des contraintes juridiques importantes. La DLT peut ici être une méthode de garantie pour l’auditabilité de l’historique des transactions, même si d’autres méthodes existent comme nous sommes souvent ici dans des systèmes client/serveur.
- **SAUVEGARDE, ARCHIVAGE LÉGAL : nous sommes ici en plein dans la notion de Registre et à ce titre un système inaltérable présente un intérêt certain. Des acteurs se sont déjà lancés dans l’implémentation de la blockchain par un agent de sauvegarde distribuée installé sur tous les PC de l’entreprise.
La liste n’est pas exhaustive bien évidemment. La volonté n’est pas de couvrir tous les systèmes éligibles mais d’évaluer ceux qui sont les plus intéressants dans un SI classique.
LES LIMITES D’APPLICABILITÉ
Nous n’avons pas parlé dans cet article des limites de l’application de la DLT mais elles sont nombreuses. En effet, des questions de sécurité et de performances viennent entacher ce beau tableau très en vogue que nous propose la blockchain. La difficulté technique d’intégration dans une chaîne de traitement existantes et de gestion légale des données contenues dans une blockchain sont un autre frein à l’adoption de ces solutions. Et enfin on peut se poser la question de l’utilité de telles solutions dans le cadre de systèmes cryptographiques dont la fiabilité a déjà été maintes fois auditée et prouvée.
La blockchain va-t-elle donc révolutionner notre gestion de l’IT dans les entreprises ? Probablement pas. Nos partenaires vont ils l’inclure dans leur stratégie de développement produits ? Certains nous ont déjà communiqué leur recherche active à ce sujet. Allons-nous l’utiliser chez AntemetA ? A moyen terme, c’est certain. Y a-t-il un bouleversement du business modèle pour certaines industries ? C’est évident, la révolution est en cours !