Blue ocean strategy 04 perspective

382 vues

Publié le

Publié dans : Formation
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
382
Sur SlideShare
0
Issues des intégrations
0
Intégrations
7
Actions
Partages
0
Téléchargements
3
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Blue ocean strategy 04 perspective

  1. 1. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 1 / 7 Quatrième billet Bonjour, Dans les billets précédents, j'ai présenté les analyses cartésienne et systémique. Nous allons examiner ici quelle philosophie se cache derrière chacune de ces méthodes et de quelle manière ces philosophies, en accord avec l'HSW étendue, modèlent notre approche et notre vision du monde. Un changement de point de vue Il y a un changement de point de vue fondamental entre les analyses cartésienne et systémique et la compréhension de ce que ce changement implique est d'une importance capitale. Alors que l'analyse cartésienne cherche à mettre en évidence les circonstances ayant permis l'occurrence d'un événement, dussent ces circonstances présenter un caractère hautement hypothétique, l'analyse systémique cherche à déterminer quelle hypothèse présente la meilleure probabilité d'occurrence. Ce changement de paradigme présente un impact équivalent à celui qui a secoué le monde industriel lorsque la logique productive a glissé de "On vend ce qu'on fabrique" [on fabrique d'abord et on cherche des acheteurs ensuite] à "On fabrique ce qu'on vend" [on commence par chercher des acheteurs et on produit ensuite ce qui les intéresse] sous la poussées des études en mercatique. Il s'est passé quelque chose L'approche positive de l'analyse cartésienne cherche à expliquer pourquoi un événement s'est produit d'une certaine manière. L'analyse cartésienne fait implicitement abstraction de toutes les autres hypothèses qui auraient pu se produire mais qui ne se sont pas produites. Toutes ces hypothèses sont de facto placées hors du champ de l'analyse et ne seront pas mentionnées. L'analyse cartésienne constate qu'il s'est passé quelque chose et tente de valider une hypothèse parmi toutes les hypothèses potentielles. Cette analyse est dite "positive" car elle peut être modélisée par une requête qui affirme que si l'hypothèse choisie est valide par rapport au résultat, alors l'hypothèse est correcte. À cause de cette stratégie positive (le critère-clé est la validité de l'hypothèse), l'analyse cartésienne est déterministe: le résultat de l'analyse sera l'affirmation que, sous réserve de conditions initiales similaires, le comportement analysé conduit effectivement au résultat constaté. Il ne s'est pas passé n'importe quoi L'approche négative de l'analyse systémique est fondamentalement différente, il s'agit de démontrer pourquoi de nombreuses hypothèses ne se sont pas produites. L'analyse systémique constate que les causes initiales n'ont pas produit n'importe quel résultat mais un résultat déterminé. L'analyse systémique considère toutes les hypothèses susceptibles de produire le résultat constaté, elle englobe la totalité des hypothèses potentielles. Cette analyse est dite "négative" car elle peut être modélisée par une requête qui affirme qu'aussi longtemps que l'hypothèse actuellement examinée [parmi toutes les hypothèses potentielles] n'invalide pas le résultat, alors l'hypothèse est correcte et doit être incluse dans l'ensemble des hypothèses retenues. À cause de cette stratégie négative (le critère-clé est la non-invalidation de l'hypothèse), l'analyse systémique est probabiliste: le résultat de l'analyse sera l'affirmation qu'au milieu de toutes les hypothèses retenues, certaines présentent une probabilité plus ou moins élevée de parvenir au
  2. 2. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 2 / 7 résultat constaté. En conséquence, d'un point de vue systémique, même si les circonstances initiales semblent identiques, l'analyse systémique admet que les voies parcourues pour atteindre le résultat puissent différer. Par contre, le principal paradigme de l'analyse systémique étant la téléologie, c'est-à-dire l'étude de la finalité du système, la systémique assure que le résultat obtenu sera toujours le même. Cette capacité à traduire ses résultats sous forme de probabilité rend l'analyse systémique plus apte à émettre des prévisions efficaces. Non seulement un faisceau d'hypothèses compatibles avec le résultat attendu est établi mais la méthode d'obtention de celles-ci élargit le spectre des solutions potentielles. Addendum du 10 août 2016 La progression de mes travaux sur l'analyse systémique m'a conduit à préciser la définition du changement de point de vue proposé par l'une ou l'autre des analyses étudiées. Sélection et représentativité L'approche positive de l'analyse cartésienne pousse l'analyste à chercher les différences entre les cas retenus. Chaque différence par rapport à la situation de référence devient un nouveau cas à incorporer dans l'étude. Il est patent que le défaut de cette approche se trouve dans la multiplication des cas d'étude, laquelle force l'analyste à sélectionner un nombre limité de cas pour contenir son travail dans un ensemble économiquement et temporellement soutenable. La principale conséquence de l'approche cartésienne est que cette sélection par exclusion des cas jugés pas suffisamment représentatifs pour être intégrés dans l'étude réduit plus ou moins fortement l'aptitude de ce type d'analyse à représenter correctement la réalité. L'approche négative de l'analyse systémique repose sur des paradigmes complètement différents: au lieu de rechercher des différences, l'analyste va s'attacher à trouver les éléments communs aux différentes hypothèses envisagées. Étant donné le très grand nombre d'hypothèses potentielles devant être incluses dans le champ de l'analyse, ce travail est nettement plus long que son équivalent cartésien. Par contre, du fait de la sélection obligatoirement plus vaste, sa représentativité est nettement supérieure. De par le fait que l'analyse systémique est centrée sur la recherche des éléments communs, elle est à même de rapidement dégager les lignes directrices qui sous-tendent l'activité du système considéré, autorisant une compréhension fine de son fonctionnement. Un piège sournois: la cartésienne de système De nombreuses personnes croient maitriser l'analyse systémique parce qu'elles travaillent avec des outils permettant l'étude de plusieurs éléments regroupés dans un système. Je baserai ma démonstration sur les outils d'aide à la conception logicielle, en particulier sur l'environnement RUP/UML (Rational Unified Process / Unified Modeling Language). Même si cette méthode est effectivement capable de présenter plusieurs éléments dans le même champ de travail, elle n'est pas une analyse systémique car elle ne décrit pas un système, c'est-à-dire un ensemble d'éléments agissant de concert dans le but d'atteindre un but préalablement défini. Une telle analyse présente plusieurs modules, liés ou non par divers canaux de transfert d'information, mais chaque module est analysé par rapport à lui-même et chaque module est
  3. 3. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 3 / 7 présenté comme immuable. La modélisation du fonctionnement d'un tel ensemble de modules ne modifie pas l'ensemble, la présentation est statique. A contrario, dans une analyse systémique, les éléments sont laissés à leur comportement et le focus est placé sur les échanges d'information. Chaque transfert d'information entraine un changement, une évolution du système, et le rapproche du but à atteindre. Lorsque l'analyse est terminée, le système s'est transformé. Il se trouve désormais dans un nouvel état stable qui caractérise le but devant être atteint, au moins en théorie. Démonstration 1: les véhicules autonomes À ma connaissance, c'est-à-dire lorsque j'examine la manière dont les voitures autonomes fonctionnent ou lorsque je lis une description de l'état de l'art de ce domaine, il est – à mes yeux tout au moins – patent que la voie actuellement suivie est incapable de garantir une sécurité suffisante de la part des véhicules autonomes, hors cas particuliers tel que l'environnement protégé d'une circulation sur autoroute. La raison en est simple, le recours à l'analyse cartésienne est à l'origine des obstacles rencontrés par les concepteurs de ces programmes. Ainsi que je l'ai écrit ci-dessus, l'approche cartésienne force le recours à la différenciation des cas, chaque cas susceptible d'être rencontré par le véhicule donnant lieu à la création du Use Case correspondant, pour autant que le cas présente une probabilité d'occurrence suffisamment élevée. La multiplication des cas potentiels étant susceptible de noyer le système de conduite sous un flot d'informations impossible à gérer, les ingénieurs sont contraints à simplifier leur modèle de la réalité. Cette incapacité à traiter toute la réalité de la conduite automobile est la principale faiblesse des systèmes de conduite actuellement en cours de développement. Quelle que soit l'étendue de l'expertise des ingénieurs en question, du fait de l'adoption d'un outil inadapté, ils ne pourront jamais atteindre le but d'une sécurité équivalente à celle du conducteur humain. C'est ainsi que les ingénieurs de Google s'extasient devant le nombre de cas non-anticipés qu'ils découvrent en consultant les vidéos stockées par leurs voitures de test. Certes, dans la plupart des cas, la voiture autonome réagit correctement et c'est tant mieux ! Mais rien ne garantit que ce sera toujours le cas. De fait, la nature même de l'analyse cartésienne étant de choisir de ne traiter que les cas présentant une probabilité d'occurrence suffisamment élevée, le corollaire logique est qu'il existe une multitude de cas considérés comme improbables qui ont été éliminés de l'analyse. Tôt ou tard, un véhicule rencontrera un tel cas et réagira mal. La question n'est pas de savoir SI cela arrivera mais QUAND… Quelle méthode choisir ? Avant de présenter l'analyse systémique, je décrirai une analogie qui éclaire bien la situation: - Supposons un pizzaiolo désirant maximiser ses ventes. Deux stratégies s'offrent à lui: soit créer la pizza qui séduit le plus de clients, soit créer la pizza qui déplait au plus petit nombre. - Supposons qu'une étude de marché pour la pizza lambda montre qu'elle plait à 82% des testeurs, laisse 11% indifférent et 7% des goûteurs qui la rejette. - Choisir la voie de la pizza la plus séduisante ouvre l'accès à une part de marché de 82%, les clients indifférents et les rejets ne faisant manifestement pas partie de la cible. - La stratégie de la pizza la moins déplaisante ouvre quant à elle l'accès à une part de marché de 93 % !
  4. 4. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 4 / 7 La différence entre ces deux stratégie se trouve dans la prise en compte des indécis, ceux-ci étant exclus de la part de marché de la pizza la plus séduisante alors qu'ils sont inclus dans la part de marché de la pizza la moins déplaisante. Il en va de même lorsqu'on choisit une méthode d'analyse. L'analyse cartésienne ne traite que les cas ayant fait l'objet d'un Use Case, elle laisse de côté tous les cas ayant été examinés mais rejetés car marqués par un faible degré de probabilité – c'est-à-dire les indécis de l'exemple de la pizza la plus plaisante. Elle laisse également de côté tous les cas, et ils sont nombreux, qui n'ont pas été envisagés – c'est-à-dire les rejets de l'exemple de la pizza la plus plaisante. De son côté, comme dans le cas de la pizza la moins déplaisante, l'analyse systémique englobe tous les cas examinés, y compris ceux jugés improbables – les indécis – et même des cas auxquels personne n'a pensé – les rejets – peuvent se retrouver inclus dans la solution pour peu que leur occurrence soit régie par des règles similaires aux lignes de conduite déterminées par l'analyse systémique. L'analyse systémique débute par la définition du but à atteindre, dans ce cas, la conduite autonome en toute sécurité. Ensuite un cas général est examiné et ses règles comportementales sont établies. Chaque nouveau cas est intégré dans l'analyse et ses règles sont comparées avec les règles déjà établies afin de les affiner, resp. d'en préciser le domaine d'action. Chaque cas supplémentaire agrandit le domaine d'action de l'analyse sans que cet accroissement des capacités de l'analyse n'entraine une explosion de sa taille, comme dans le cas de l'analyse cartésienne, car seuls les ajustements spécifiques à appliquer seront ajoutés aux règles existantes. Le développement une voiture autonome selon une approche systémique permet d'obtenir un véhicule doté d'un programme moins complexe tout en étant plus performant et plus flexible. Dans un tel cas, la sécurité issue de l'analyse systémique sera nettement plus élevée et il sera possible de prouver l'étendue de son domaine d'action par l'examen de ses règles de fonctionnement. Demo 2 L'influence de l'encadrement psychologique résultant du type d'analyse choisi est mise en évidence de manière encore plus flagrante dans ce deuxième exemple qui traite de cryptologie et de communication. Les arbres ou la forêt ? Il y a deux manières d'aborder un système, soit le considérer comme une accumulation d'éléments indépendants les uns des autres – les arbres – soit comme un tout formé de nombreux éléments interagissant les uns avec les autres – la forêt. L'arbre cartésien L'utilisateur de l'analyse cartésienne est conditionné à voir des arbres, il sélectionne un élément à étudier et l'extrait de son environnement pour procéder à son examen. Ce faisant, il coupe cet élément de tout ce qui le lie aux autres éléments dont il dépend ou qui dépendent de lui. Dans le cas du chiffrement, l'appel à l'analyse cartésienne fait que le focus est placé sur le message, plus précisément, un message est extrait de l'ensemble des messages et CE MESSAGE est analysé pour lui-même, sans lien avec son environnement.
  5. 5. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 5 / 7 Ceci explique le recours à des procédures complexes car le but est de rendre CE MESSAGE aussi impossible à déchiffrer que possible. Plus la procédure de chiffrement/déchiffrement est complexe et plus la sécurité est censée être garantie. Plus précisément, la croyance était qu'il suffisait de développer une fonction qui soit facile à exécuter lorsqu'on en connait les paramètres mais qui soit extrêmement complexe à investiguer si ces paramètres sont inconnus En résumé, l'analyse cartésienne voit son salut dans la sélection de paramètres si exotiques et complexes que leur recherche pour accéder au contenu de CE MESSAGE est rendue si improbable qu'elle en perd toute pertinence. Jusqu'à aujourd'hui, ce fait s'est révélé exact: la création d'une procédure complexe basée sur l'exploitation de certaines propriétés des grands nombres a servi à garantir la confidentialité des échanges. Mais l'arrivée imminente des ordinateurs quantiques, (supposément) capables de trouver très rapidement des grands nombres possédant les propriétés désirées, a brisé cette certitude. Ce fait explique pourquoi des entreprises comme Google (https://security.googleblog.com/2016/07/experimenting- with-post-quantum.html ) s'efforcent de complexifier leurs procédures déjà fort complexes afin de rendre le chiffrement aussi résistant que possible au déchiffrement quantique. La forêt systémique L'utilisateur de l'analyse systémique est conditionné à voir une forêt, il ne voit pas les arbres mais un ensemble formé de TOUS LES MESSAGES. Il analyse TOUS LES MESSAGES en les laissant dans leur environnement, ce qui lui permet de prendre également en compte tout ce qui dépend des messages ou tout ce dont les messages dépendent. Dans le cas du chiffrement, l'appel à l'analyse systémique fait que le focus est élargi à tous les messages passés, présents et futurs ainsi qu'à tout ce qui tourne autour de cette constellation. Plutôt que de chercher, à l'instar d'autres scientifiques, si des procédures complexement complexes se justifient, je démarre une analyse systémique en statuant que le but à atteindre doit être une transmission au moins aussi fortement sécurisée qu'actuellement. Selon l'approche systémique, la solution ne se trouve pas forcément dans une nouvelle clé encore plus complexe mais – pourquoi pas ? – dans une nouvelle façon de penser le chiffrement. Et voici l'analyse résultante: - S'il est dangereux de chiffrer un message à l'aide d'une clé qui est l'unique élément de sécurisation, alors il faut ajouter un autre élément qui, conjointement avec cette clé, garantira la sécurité. - Si la clé ne peut être digne de confiance car facile à pirater ou à casser, c'est que le concept qui consiste à installer un programme de chiffrement dans chaque machine concernée est également indigne de confiance à cause du danger de réplication du programme et de la clé sur une machine externe à l'ensemble des machines devant être sécurisées. - C'est ce que constate Google lorsque Google déclare qu'un ordinateur quantique peut casser la clé actuellement utilisée – il suffit ensuite de prendre la clé fournie par l'ordinateur quantique et la faire tourner avec le programme idoine pour casser toutes les conversations chiffrées au moyen de la clé en question.
  6. 6. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 6 / 7 - En analysant plus finement, on réalise que le problème ne réside pas dans le fait qu'un ordinateur quantique peut casser une clé (cela sera toujours possible avec la force brute) mais que le cassage d'une clé donnée ouvre accès à TOUS LES MESSAGES cryptés avec cette clé. - La solution est donc de changer de clé pour chaque message de manière à supprimer l'avantage d'une clé cassée ouvrant tous les messages. - Deux alternatives sont offertes:  Soit une clé qui change selon un algorithme quelconque (c'est la solution qui était offerte avec les "Tamagochi", ces petits bidules qui affichaient un complément au mot de passe, par exemple, une série de 4 chiffres qui étaient renouvelés toutes les minutes) mais cette solution reposant sur un algorithme, elle peut elle aussi être cassée par l'ordinateur quantique, donc on retombe dans le cas de figure qu'on cherche à prévenir.  Soit on ajoute un élément totalement aléatoire à l'encryptage en cours pour garantir qu'aucune clé ne pourra être déterminée en se basant sur l'analyse des autres clés. Cette solution est inviolable par un ordinateur quantique – plus précisément, elle casse l'avantage de la clé valable pour plusieurs messages et oblige l'ordinateur quantique à casser chaque message car chaque message aura été codé par une clé à usage unique – mais cette solution impose la création d'un mécanisme de synchronisation entre les machines concernées et ce mécanisme ne doit pas être stocké localement dans les machines (comme dans le cas des Tamagochi) sous peine d'être craquable par l'ordinateur quantique ou d'être piraté par un Trojan. - En conséquence, il faut ajouter un élément de sécurité qui ne soit pas partie des machines concernées tout en étant partie de "ce qui se passe entre les machines concernées." - Donc, c'est le message lui-même, la communication, qui doit être utilisé comme élément supplémentaire de sécurité. - CQFD Le reste est affaire de programmation logicielle et le tour est joué. Naturellement, pour des questions de protection de propriété intellectuelle, je ne décrirai pas plus précisément les méthodes utilisées dans cette démonstration. Par contre, un expert de ce domaine a déjà reconnu la validité de mon concept ainsi que le degré de protection revendiqué. Des stratégies différentes Les approches élémentaire ou globale des méthodes d'analyse disponibles créent des contraintes qui orientent le choix de la stratégie de travail. L'approche monadique1 de l'analyse cartésienne contraint à réfléchir en fonction d'un seul élément, négligeant toutes les synergies possibles avec les autres éléments puisque ceux-ci sont ipso facto rejetés hors du focus de l'analyse. Le choix logique ne peut être autre que celui de la plus extrême sophistication, la plus extrême complexité. C'est ce qui a été effectivement choisi par les développeurs de ces méthodes de chiffrement, ils ont sélectionné des nombres aux propriétés remarquables et les ont amené à interagir selon des procédures sophistiquées. Le choix d'une procédure complexe reposant sur l'exploitation de nombres formant eux-mêmes un sous-ensemble très réduit de l'ensemble des nombres entiers naturels a naturellement entrainé la sélection d'une stratégie de travail basée sur les corollaires de ce choix: la procédure étant complexe 1 du grec ancien μονάς, monás , l'élément unitaire, l'isolat
  7. 7. Didier BAUDOIS Blue Ocean, Sweet Blue Ocean Strategy Ingénieur en génie logiciel HES Chemin de l'Ouche-Dessus 54 CH-1616 Attalens Page 7 / 7 et les nombres disponibles formant eux-mêmes une petite caste, la conséquence a été de privilégier une mise en œuvre répétitive de ces paramètres dont le choix est si ardu. Focalisés sur les monades constituant leur espace de travail habituel, les afficionados de l'analyse cartésienne n'ont pas réalisé que ce choix d'un recyclage des mêmes paramètres pour de très nombreux messages créait ipso facto le danger corollaire: le cassage de la clé mettait en danger TOUS LES MESSAGES passés, présents et futurs chiffrés avec cette clé ! Il est possible que les tenants du chiffrement complexe aient été conscients de ces failles mais, persuadés d'être protégés par la complexité de leur procédure et les spécificités des nombres utilisés, ils ont passé outre ce risque sous la pression économique de la maintenance de leur système. En effet, plus la procédure est complexe, plus les paramètres sont sélectifs et plus leur modification est laborieuse. L'approche globale systémique échappe à ces écueils en prenant en compte la globalité des messages, ceci autorisant la recherche et la mise en œuvre des synergies potentielles entre les divers éléments du système. Au lieu du choix d'une stratégie complexe protégeant un grand nombre de messages, l'analyse systémique effectuée privilégie la mise en œuvre d'une procédure rustique travaillant avec des paramètres ordinaires mais qui sont changés pour chaque message. De cette manière, même si une clé est cassée, elle ne donne jamais accès qu'à un seul et unique message. Aucun autre message passé, présent ou futur n'est soumis à un risque inutile du fait de l'unicité de la clé mise en œuvre. L'étude de l'environnement économique confirme cette conclusion: - Même si une procédure complexe est très difficile à casser, ce travail est économiquement justifié par le fait qu'il donne accès à de très nombreux messages passés, présents et futurs, du moins aussi longtemps que la clé ne change pas. - Et même dans le cas d'un changement de clé, le savoir-faire recueilli lors de ce travail peut simplifier, c'est-à-dire rendre plus économique, la recherche des clés futures, par exemple via l'exploitation de telle ou telle propriété des nombres utilisés par la procédure. - La procédure rustique systémique changeant la clé pour chaque message, même si cette procédure est théoriquement2 plus sensible à la force brute, cette attaque est plus difficile à justifier d'un point de vue économique car la clé ne donne accès qu'à un seul message. - L'exploitation de nombres entiers naturels indiscriminés pose un défi différent aux attaquants. Du fait que tout nombre entier naturel est un candidat potentiel au même titre que tous les autres entiers naturels, trouver les nombres constitutifs d'une clé déterminée n'est d'aucune aide dans la détermination des nombres constitutifs d'une autre clé. La procédure systémique démontre sa supériorité par son caractère rustique et résilient qui rend son attaque économiquement insupportable. Au plaisir de vous retrouver ici ! Didier Baudois Ce texte est soumis aux conditions Creative Commons CC-BY-NC-SA. 2 Ce risque est malgré tout très théorique puisqu'un nombre entier naturel inférieur à 100 octets transmis selon le protocole de communication systémique peut être transformé en une clé de près de 30'000 octets…

×