Bon ok, j’avoue tout, je ne vais pas traiter de manière exhaustive le sujet des outils de veille en ligne VS les outils monopostes (= qu’on installe sur sa machine) open source (d’ailleurs ce ne sont pas les seules catégories d’outils de veille, il y a les solutions propriétaires gratuites, les payantes et dans ces dernières, les pas chères et les hors de prix, etc.)… mais ne partez pas tout de suite.
Depuis que je fais de la veille, j’ai toujours “milité” (le mot est peut-être un peu fort) pour les outils open source et installés sur la machine de l’utilisateur final, tout simplement car cela me semble une évidence dans une démarche d’intelligence économique d’utiliser des outils dont le code peut-être audité pour en assurer la sécurité, l’absence de “backdoors“, etc. mais aussi car il est totalement aberrant d’utiliser des outils en ligne pour stocker des informations pouvant laisser transparaitre en cas de faille toute la stratégie d’une entreprise (ou sa vie privée).
Le soucis, c’est qu’on peut difficilement avoir un débat serein sur ce sujet car même si les personnes ont l’impression de parler de la même chose, c’est rarement le cas :
- certains vont dire que l’open source ce n’est pas sûr et ils ont raison si on utilise des outils développés par 2 personnes, mis à jour une fois toutes les morts d’évêques (il doit donc y avoir des périodes où c’est plus fréquent que d’autres);
- d’autres vont dire que l’open source c’est sûr car comme indiqué plus haut on peut auditer le code… mais encore faut-il avoir les compétences pour le faire. Alors on va préciser qu’il faut regarder le nombre de développeurs sur SourceForge mais aussi la régularité des mises à jour. Mais il y a toujours quelqu’un pour vous expliquer que tel ou tel gouvernement a mis la pression sur les responsables de tel outil (“on a les photos de vos enfants et on sait où ils vont à l’école...” sans lien direct, je vous laisse lire ce qui aurait pu être à l’origine de l’arrêt du développement de l’outil de cryptographie TrueCrypt) donc qu’il y a des failles bien cachées, à actionner au bon moment au cas où.
- Et puis il y a les sociétés qui éditent des logiciels propriétaires qui vont vous expliquer que leur outil est un outil “pro”, donc forcément plus sûr… comme si l’open source gratuit n’était pas “pro” en fait (euh… comment ça marche le web ?) ! Et bien sûr, ils sont contrôlés régulièrement par des organismes indépendants ou encore ils affichent un beau logo d’un ministère sur leur page “ils nous ont fait confiance”… donc c’est forcément que c’est sûr. Et à côté de ça, la presse relaie des affaires de failles de sécurité chez les mastodontes de l’informatique. On pourrait alors entendre ce type de conversation : “Si des sociétés comme Sony présentent des logiciels avec des failles, avec les moyens qu’ils ont, alors imagine les petits prestataires d’outils de veille“… un autre répond “oui mais non car les petites boites tout le monde s’en moque car les attaquer ne rapporte pas assez et ne sera pas assez médiatisé (ce que cherchent certains hackeurs)”… puis “ah mais tu dis ça mais les outils de veille ont des informations super stratégiques sur des boites du CAC40“, etc.
- L’outil sur la machine est censé être plus sûr… oui et non car si l’ordinateur est connecté en permanence au web, c’est un peu comme si l’outil qu’on n’a pas voulu dans le cloud l’était quand même. Et ça c’est valable que l’outil soit open source ou pas on vous dira, car si un spyware est installé et regarde tout ce que vous faites sur votre machine, quel que soit l’outil le résultat est le même. Donc quitte à ce que ça arrive, autant tout mettre dans le cloud : “c’est sécurisé car c’est crypté“… oui mais comment est le mot de passe utilisé ? Peut-on l’obtenir facilement en faisant du social engineering sur les réseaux sociaux ?
- “Moi je fais que de la veille presse donc je m’en moque si quelqu’un intercepte ce que je suis en train de faire, on se doute bien que je surveille mon marché et mes concurrents“… “ah ben oui mais tous tes filtres donnent des indications sur ce qui t’intéresse en ce moment“…
- Etc.
J’arrête là pour ne pas alourdir le propos mais vous voyez bien que ce n’est pas si simple. Ce genre de débat (ou dialogue de sourds) je l’ai eu des dizaines de fois en formation ou avec des collègues. Sans même parler de ces moments mémorables où on me demande d’intervenir en conférence pour parler de cybersécurité, que j’explique les dangers du cloud, suis applaudi avant que l’intervenant suivant vienne vendre sa solution miracle (“qu’elle est mieux que les autres“) de cybersécurité hébergée… dans le cloud (applaudissements…). Vous ne saisissez peut-être pas le rapport mais passons…
Mais s’il y a bien une chose sur laquelle tout le monde devrait pouvoir se mettre d’accord, c’est la suivante : quand on utilise un outil du cloud, toutes questions de sécurité mises à part (ce qu’on ne devrait pas faire… enfin, je me retiens d’en dire plus), lorsque la société derrière le service décide de couper le robinet, eh bien on est pris en otage (*) ! Si l’entreprise change ses conditions, on est pris en otage. Si la start-up française à qui on fait confiance (car c’est fraaançaiiiis et tout le monde sait qu’on est les meilleurs du monde… enfin seulement les français en fait, et pas tous) est rachetée totalement ou en partie par un investisseur étranger, on est pris en otage. Si on a mis en place toute sa veille, qu’on a passé un temps fou à tout configurer (certains utilisent des stagiaires de master en intelligence économique payés pas chers et interchangeables pour le faire donc ne se rendent pas vraiment compte du temps et de l’énergie que cela demande… ou alors ceci explique cela !), qu’on a bien réglé ses requêtes mais que le service proposé arrête une fonctionnalité, encore une fois on est pris en otage. Alors certains diront que ce n’est pas grave, il y a tellement de services en ligne qu’un coup d’export OPML des sources de flux et on change… Sauf qu’on perd l’historique et tous les réglages des requêtes. C’est arrivé il y a quelques années quand Google a arrêté le service de lecteur de flux RSS Google Reader. Comme je passais mon temps à expliquer qu’il ne fallait pas dépendre pour sa veille d’un outil du cloud car il pourrait un jour s’arrêter, on me riait au nez “non mais franchement, tu vois Google arrêter un service comme celui là, utilisé par autant de personnes ? Non mais franchement !” Alors oui, franchement… quand Google a arrêté son service, j’avoue avoir jubilé. Et pourtant, qu’ont fait les départements de veille après ce mini-séisme dans la profession ? Je vous le donne en mille, ils sont allés sur Netvibes !!! Un autre outil du cloud… L’histoire est cyclique vous me direz…
Avec le temps, un outil s’est petit à petit imposé dans le monde des veilleurs de part ses performances, sa facilité d’utilisation, la gestion de tags, de requêtes d’inclusion et exclusion avec possibilité d’associer des actions comme l’envoi d’e-mails à des collègues intéressés par telle ou telle thématique ou encore la conversion en flux RSS, l’intégration avec Twitter, la possibilité de veiller sur Google Actualités (tiens encore un service de Google, la proposition de flux RSS dans les news, qui a été arrêté) sans passer par les Google Alerts (prochain arrêt ?!), l’intégration dans une application Android/iOS… j’en passe… Bref, l’outil tellement ultime, surtout pour un prix dérisoire en version professionnelle (celle avec le plus d’options), à moins de 5 euros par mois que je me suis vu le proposer et même le conseiller dans mes formations, c’est dire !!! Certes toujours avec le discours “on fait de l’intelligence économique, pas de la veille presse donc attention à ce que vous faites” et rappel des techniques pour anonymiser au mieux son utilisation, mais on avait là un outil presque parfait. Cet outil, c’est “Inoreader“.
Alors pourquoi je vous parle de tout ça. Tout simplement car malgré ma connaissance des biais cognitifs ou encore des effets de la dopamine qui comme son nom l’indique nous dope au plaisir et nous incite à aller vers la facilité, je suis tombé dans le panneau car aujourd’hui la nouvelle tombe : Inoreader, comme beaucoup d’autres auparavant, a décidé de changer ses fonctionnalités (pour notre bien). Alors on retrouve toujours toutes les choses très pratiques listées ci-dessus et bien d’autres mais par exemple on passe d’un nombre illimité de règles, ce qui est un fort atout de l’outil, à… 10 règles seulement !!! En version pro, sachant qu’il n’y a pas de version au dessus ! 10 règles, mais c’est ridicule ! Comment faire de la veille avec seulement 10 petites règles pour trier ses informations ?! Imaginez, je n’utilise Inoreader que pour un usage personnel (je ne me permettrai pas de faire de la veille pour un client sur un outil du cloud, sauf avoir son autorisation) et je suis tout juste à 10 règles. Alors je ne vois pas comment conseiller l’outil à une entreprise avec beaucoup plus de préoccupations que les miennes. Certes, il est possible d’augmenter le nombre de règles en les contactant et en demandant un devis et peut-être que ce n’est pas si cher que ça mais franchement, sur le principe, la confiance est bien entamée de mon côté. Encore un outil qui appâte avec des services intéressants et pas cher… pour au final changer ses conditions et donc nous prendre… en otage !
De mon côté, finalement, ce n’est pas la catastrophe car j’utilise toujours Thunderbird pour agréger les flux, mettre des règles avec des actions couplées… gratuitement et en nombre infini mais pour une fois qu’un service web arrivait presque à me faire changer d’avis, je suis déçu. Et puis peut-être qu’ils reverront leur copie si tous les veilleurs commencent à aller à la concurrence ou encore qu’ils proposeront un tarif raisonnable avec de nouveau toutes les fonctionnalités qu’on avait jusqu’à maintenant, sans passer par le besoin d’un devis pour migrer de tant de règles à tant, de tant de recherches actives à tant, de tant de comptes Twitter surveillés à tant, etc. A la limite, qu’ils annoncent de suite que le tarif passe de 50 euros par an à 200 euros, au moins on sait à quoi s’en tenir mais là, le maintien du flou ne donne vraiment pas confiance.
Allez l’équipe d’Inoreader, un petit effort, pour une fois que je soutiens un outil de veille dans le cloud…
Mise à jour le 8 février 2019 à 17 h :
Au niveau de son compte, via le lien Inoreader Upgrage il est maintenant possible lorsqu’on clique sur “Resquest More” d’accéder à un outil dans lequel on balade un curseur qui en fonction de ses besoins va recalculer le coût de l’abonnement. Je suis sûr à 100 % que hier cette option n’existait pas et entrainait comme je l’ai expliqué plus haut directement une demande de devis personnalisé. C’est déjà plus clair et c’est franchement appréciable. Bon, cela ne change rien à ce que je voulais développer ici car il y a un changement drastique des conditions et des tarifs : par exemple avec moins de 5 euros par mois auparavant avec des règles en illimité, on passe maintenant à 24 euros pour 30 règles. Pour donner une idée plus précise, si on monte à 50 recherches actives au lieu de 30, idem pour les filtres ou le nombre de comptes Twitter, la facture mensuelle s’élève à 75 euros par mois (900 euros annuels tout de même). Bon, ça reste très raisonnable vu la qualité de l’outil et les services rendus, et effectivement une société du CAC 40 ne verra pas la différence. Il n’empêche que c’est environ 15 fois plus cher qu’avant pour des options qui ne sont plus en illimité. Affaire à suivre…
Mise à jour 13 février 2019 :
Les abonnés à Inoreader ont reçu un message de la part des développeurs pour indiquer qu’ils rétropédalaient puisqu’ils remontent les limitations mises à 10 au niveau de 30. D’une part, je pense que c’est raisonnable pour une TPE/PME voire un particulier pour faire sa veille (sachant qu’on peut aussi compléter avec d’autres outils comme indiqué plus haut), d’autre part je tiens à féliciter le geste. En effet, il ne paraissait pas non plus pertinent de leur côté que de très grosses entreprises utilisent cet outil en version “illimitée” pour 5 Euros par mois, en monopolisant les ressources serveur, vu les services qu’il peut rendre. C’était finalement une erreur commerciale au lancement de l’outil mais je comprends que pour une jeune startup tout cela soit difficile à estimer. Le plus important étant de ne pas passer d’un extrême à l’autre pour ne pas laisser la mauvaise impression de s’être fait avoir malgré la qualité de l’outil. En tout cas, voilà une société qui applique à elle-même la démarche que propose son outil, faire de la veille et réagir le plus tôt possible puisque c’est à cause des messages des internautes laissés sur le web que ce changement a pu se produire. Et pour ça, je dis “Bravo”.
(*) j’ai conscience que l’expression “prise d’otage” est un peu forte mais vous voyez ce que je veux dire.
Sources et autres liens utiles :
- Page wikipedia sur l’open source
- L’intelligence économique sur ce blog
- Page wikipedia sur les backdoors
- Le portail des outils open source SourceForge
- Présentation de l’outil de cryptographie TrueCrypt (passez maintenant sous Veracrypt…)
- Piratage du playstation store de Sony
- Page wikipedia sur les spywares
- Page wikipedia sur le social engineering
- Page wikipedia sur l’OPML
- Page d’accueil de Google Reader (oups, ça marche plus… dommage…)
- Le lecteur de flux RSS en ligne Netvibes
- Google Alerts
- L’excellent outil de veille en ligne Inoreader (si avec ça vous ne faites pas des efforts…)
- Page sur la dopamine qui vous dope pour vous donner bonne mine
Source et copyright image “à la une” : inoreader.com