Applications mobiles : mode d’emploi à l’attention des entreprises hésitantes

A quoi servent les applications mobiles, comment les développer et quels sont les risques de sécurité. Tour d’horizon avec HPE, Infor, Econocom et Axway.

Pourquoi, et comment, rendre ses applications d’entreprise mobiles ? Cette question intéressera nécessairement les organisations qui n’auraient pas encore pris le train de la mobilité. Elle constituait la thématique de la table ronde du Club de la presse informatique B2B animée mercredi 13 avril par José Diz (par ailleurs contributeur de Silicon.fr). Pour Thierry Raguin, expert Mobilité & Design UX chez Econocom, « l’intérêt de la mobilité en entreprise est de permettre aux générations Y et Z qui ont grandi avec les mobiles de retrouver les mêmes outils pour travailler en mobilité et s’affranchir des horaires traditionnels de bureau, ce qui implique une transformation des systèmes historiques des entreprises ». Laquelle touche globalement toutes les applications de l’entreprise « en les adaptant aux besoins de l’utilisateur et au contexte de l’utilisation ».

Une transformation que Pierre Bijaoui, directeur technique Enterprise Services chez Hewlett Packard Enterprise, regarde sous un angle plus profitable en matière d’exploitation métier. « On veut aider nos clients à accroître leurs revenus. » Et de citer l’exemple d’une compagnie aérienne qui fait du Queue Boosting pour vendre des services supplémentaires par l’intermédiaire des agents de l’avionneur équipés de tablettes qui s’adressent aux voyageurs en attente de leur enregistrement sur le vol. « Cela améliore l’expérience client et augmente des revenus accessoires à une ligne de services. » Le CTO liste quatre autres priorités justifiant les applications mobiles : l’efficacité métier (avoir la bonne information pour la prise de décision); la réductions des coûts (notamment pour les forces de travail itinérantes qui n’ont plus besoin de bureau); la performance métier dans le monde digital; et la satisfaction des salariés et des partenaires. « A savoir comment mobiliser des applications d’entreprise afin de délivrer des services de qualité aux clients finaux, une problématique qu’on observe particulièrement dans le monde automobile avec les véhicules connectés. »

La mobilité s’applique-t-elle pour autant à l’ensemble des applications de l’entreprise ? « Il ne faut pas voir la mobilité comme une fin en soi, estime Sébastien Vugier, senior VP API & Analytics chez Axway, elle s’inscrit dans la transformation digitale de l’entreprise pour servir ses besoins de mobilité, s’ouvrir aux démarches d’innovation de son écosystème, et améliorer l’expérience client. » Ce qui passe par l’ouverture du système d’information pour préparer à la monétisation de services. Une vision qui s’applique aussi à l’ERP. « Oui, l’ERP est complètement ‘mobilisable’, confirme Jean-Roland Brisard, directeur ICS Solutions chez Infor. Notamment pour agir sur un processus d’entreprise, ce qui nécessite d’être connecté à l’ERP ». Une transformation qui s’applique déjà aux applications RH, CRM, notes de frais qui « ont été précurseurs dans la mobilité car c’est plus normalisé et plus sécurisé donc plus simple à rendre mobile ».

La sécurité incompatible avec la mobilité ?

Si, selon Jean-Roland Brisard, « toutes les applications n’ont pas vocation à être mobiles » (par exemple, le lancement d’un processus de facturation présentant peu d’intérêt en mobilité, selon lui), il reste à évaluer les risques que l’ouverture vers la mobilité impose en matière de sécurité. Une question susceptible d’intéresser l’AMF (Autorité des marchés financiers), pourtant peu concernée par la mobilité puisque les 450 salariés sont concentrés sur un seul site, à Paris. « Du coup, l’enjeu de l’ouverture du SI est un peu différent [des autres entreprises] puisque le périmètre d’application de la mobilité est réduit », concède Yann Holly qui vient tout juste de quitter le poste de DSI adjoint. La politique mobile de l’Autorité se confine ainsi à l’ouverture, réservée à certains responsables, de l’accès distant à la messagerie, « pour avoir ses messages dans sa poche », et à l’environnement de travail à partir du PC portable de l’utilisateur au prix d’un certain temps de latence. « Il y a aussi des enjeux de notoriété vis-à-vis des personnes tierces, épargnants ou sociétés, en droit d’attendre des services à valeur ajouté. » Une notoriété prise en compte dans le contrat. « En cas de détérioration de l’image d’un client suite à des failles de sécurité, de révélation de données, il y a des clauses d’indemnité, évoque Pierre Bijaoui. La sécurité est quelque chose qu’on prend très au sérieux. »

Une sécurité qui se construit sur « l’évaluation des risques », précise Thierry Raguin, en s’appuyant sur l’OWASP (Open Web Application Security Project), un référentiel de quatre niveaux d’exigence de sécurisation d’un environnement afin d’appliquer des bonnes pratiques applicatives. « Quand l’entreprise veut aller vite et déployer ses applications mobiles pour valoriser son image, c’est souvent au détriment de la sécurité », souligne de son côté Sébastien Vugier. « Beaucoup de sites applicatifs permettent, à partir d’un script, de récupérer librement des informations via des flux simplement parce qu’ils ne sont pas du tout authentifiés », confirme le responsable d’Econocom. Autrement dit, le périmètre de sécurisation est parfois mis à mal à cause d’une simple faille de conception.

Au-delà de la qualité de la conception de l’application mobile, « la meilleure protection est d’avoir des alertes d’anormalité », estime Jean-Roland Brisard. Un autre moyen de vérifier l’intégrité des applications mobiles déjà déployées passe aussi par l’analyse de code, estime Pierre Bijaoui qui en profite pour rappeler que HPE offre ce service via ArcSight (société rachetée en 2010). Les tests de pénétration peuvent aussi servir à évaluer la résistance aux attaques. Enfin, pour les sites nécessitant un monitoring de tous les instants, il faut se tourner vers le SIEM (Security Incident Environnement Management) qui surveille et analyse en temps réel l’ensemble des événements. « C’est très lourd à mettre en place, prévient le responsable chez HPE, mais très efficace ». Surtout si l’outil est renforcé par une équipe en mesure de répondre à n’importe quel incident de sécurité sous les 4 heures. Comptez 40 000 euros mensuels.

HTML5 ou application native ?

Les participants ont également abordé l’incontournable question de savoir quelle forme d’application mobile faut-il adopter. Une version mobile de l’application web grâce au HTML 5 et SS3 agrémentée de responsive design pour s’adapter automatiquement aux différents formats d’écran ? Ou bien une application native propre à chaque OS mobile ? Une problématique confrontée à « la diversité des terminaux et donc du coût impliqué pour la gestion du cycle de vie de l’application en regard des fonctions simples et des mises à jour rapides attendues », souligne Pierre Bijaoui.

Plusieurs approches sont aujourd’hui possibles pour y répondre. La mise en HTML5 des fonctions nécessaires au processus métier pour le périphérique mobile en est une. « Mais les applications HTML5 ne tirent pas forcément bénéfice des spécificités du périphérique mobile », souligne le responsable chez HPE qui fait référence à l’utilisation des composants comme la caméra, le GPS et autres accéléromètres qu’embarque le terminal. L’autre approche, cross platform, permet le développement d’un code unique déployable sur l’ensemble des environnements iOS, Android, Windows Phone/Mobile. « L’application native offre forcément une meilleure expérience utilisateur », assure Sébastien Vugier. Des éditeurs spécialisés comme Appcelerator (racheté par Axway) ou Xamarin (tombé entre les mains de Microsoft) proposent des outils spécifiques pour gérer un seul code réutilisable à hauteur de 60% à 90% dans plusieurs environnements mobiles.

Enfin, il existe l’offre hybride comme Cordoba qui encapsule du HTML5 dans une coque native et interagit avec le matériel via des passerelles Javascript. « Génial sur le papier, c’est infernal à gérer dans les faits, assure Thierry Raguin, notamment sous Android à cause de la diversité des versions web implémentées par les constructeurs. » Selon lui, au final, « l’application native est moins cher sur le long-moyen terme ». Grâce à l’optimisation des nouveaux outils de développement et aux compétences optimales des développeurs qui doivent bien connaître les environnements mobiles pour éviter les redondances fonctionnelles. Chez Infor, on ne se pose pas la question et on développe du natif d’un côté, pour des usages mobiles propres aux smartphones, et du HTML5 de l’autre, pour les postes sédentaires toujours plus tournés vers le Cloud. Il suffisait d’y penser.


Lire également
Nicolas Thenoz (Xebia) : «Développer des applications mobiles de qualité» (vidéo)
75% des applications mobiles ne passent pas les tests de sécurité
Applications mobiles : 5 millions d’emplois en Europe en 2018