Pour bien démarrer l’année 2026, nous vous proposons une expérience interactive inédite ! 🤩
Ce blog va devenir momentanément un jeu dont vous serez l’illustre détective…
En 2024, l’ISTQB a publié une nouvelle version du syllabus sur le management des tests. Un document très riche en ressources, et dont les questions d’examen sont assez exigeantes. D’une durée de deux heures (contre une heure pour les examens de niveau Fondation et Spécialiste), l’examen propose des questions à 1, 2 ou 3 points.
La longueur des questions est parfois intimidante. De notre côté, nous les trouvons particulièrement bien faites : bien souvent, « trop » d’informations sont données, et il faut faire le tri pour trouver l’indice véritablement pertinent. Et ça, c’est tout à fait représentatif d’un quotidien de test manager !
Il y a quelques mois, nous vous proposions un QCM pour réviser les notions du syllabus ISTQB CTAL-TM (Certified Tester Advanced Level – Test Management). Ce genre de format de révision est pratique pour revoir rapidement les concepts. Toutefois, ces questions de révision ne donnent qu’un nombre assez limités d’informations sur le contexte, et ne ressemblent pas vraiment aux longues questions qu’on peut trouver lors de l’examen.
Pour compléter cette ressource, nous vous proposons donc aujourd’hui un jeu d’immersion !
Cette immersion se présente comme une boîte de réception fictive, dans laquelle vous trouverez des mails contenant des informations dispersées, utiles pour répondre aux questions.
Vos meilleures réponses seront publiées dans un prochain article !
Vous pouvez bien sûr choisir de ne répondre qu’à certaines questions.
Vous êtes test manager au sein de la société Tekmanyax. Hier soir, pendant votre promenade, vous avez senti une fleur mystérieuse. Son odeur capiteuse a troublé votre esprit, et vous avez perdu une bonne partie de vos souvenirs. Votre médecin traitant vous assure que les effets vont se dissiper en 24 heures. Elle vous recommande de poser un arrêt de travail, mais vous avez l’intuition qu’on va avoir particulièrement besoin de vous aujourd’hui, et que vous allez très bien vous en sortir même avec ces troubles de la mémoire. Vous vous dites même que ce serait l’occasion de porter un regard nouveau sur votre quotidien !
Vous arrivez au travail sans rien dire à personne au sujet de votre amnésie. Heureusement, vous avez toujours votre boîte de réception pour vous fournir des informations précieuses, et vous savez que le syllabus ISTQB CTAL-TM vous donnera les bonnes clés pour avancer dans la compréhension de votre contexte…
Pour découvrir la boîte de réception, 💌 cliquez ici !
Il est courant de confondre les notions de faux positifs, faux négatifs, vrais positifs et vrais négatifs.
Dans cet article, nous proposons quelques astuces pour bien s’en souvenir. Ces notions ne sont pas seulement utiles lors d’un examen ISTQB, mais aussi dans son quotidien de QA !
Positif ou négatif ?
Concentrons-nous d’abord sur la première partie de l’expression.
Un test positif, c’est un test qui déclare qu’il a trouvé quelque chose. Un test de grossesse positif déclare “Il y a un embryon”. Un test PCR positif déclare “Il y a un virus”. Et un test logiciel positif déclare “Il y a un bug” !
Plusieurs moyens mnémotechniques peuvent être utilisés.
Moyen mnémotechnique 1 : les couleurs
La première voyelle de “positif” est la même première voyelle que “rouge”.
La première voyelle de “négatif” est la même première voyelle que “vert”.
Quand on exécute un test logiciel et qu’on considère qu’il nous a permis de détecter un bug, on lui met un statut “KO”, qui s’affiche bien souvent avec une pastille rouge. Positif = rouge !
De même, quand on exécute un test et qu’on ne trouve rien, on le met en “OK”, et c’est à ce moment-là une pastille verte qui s’affiche. Négatif = vert.
Moyen mnémotechnique 2 : une présence… ou une “n’absence” ?
Un test Positif déclare la Présence d’un bug.
Un test Négatif déclare qu’il N’y a pas de bug.
Vrai ou faux ?
Aucun résultat de test, que ce soit un test médical ou logiciel, n’est fiable à 100 %.
Ainsi, un test “en rouge” l’est peut-être à tort.
Prenons un exemple.
Adèle se base sur une spécification pour écrire des tests pour une application mobile. Or, cette spécification a été mise à jour, mais personne ne lui a transmis la dernière version. Au moment où elle exécute les tests, 10 tests échouent. Ces tests sont donc positifs (en rouge). Plus tard, elle découvre que sur ces 10 tests échoués, 8 sont en réalité conformes à des règles de gestion présentes dans la nouvelle version de la spécification. Les 8 tests sont donc positifs (rouges) à tort ; ils donnent un résultat faux : ce sont de faux positifs.
Les 2 autres tests positifs (rouges) expriment en revanche de réels écarts entre le comportement observé et le comportement attendu. Ces 2 tests positifs (rouges) disent donc vrai : ce sont des vrais positifs.
Inversement, un test OK, un test négatif (vert), peut passer à côté d’un bug. C’est donc un négatif qui dit faux ; un faux négatif.
Et enfin, le dernier, c’est le test qui annonce une bonne nouvelle (vert, négatif), et qui a raison de le faire : le vrai négatif !
Conclusion
Nous espérons que vous y voyez plus clair dans ces expressions. On vous souhaite beaucoup de vrais négatifs !
Faut-il se certifier pour construire une belle carrière dans le test logiciel ? Pas forcément. Est-ce qu’on le recommande ? Si vous le pouvez, oui ! Dans cet article, nous faisons le point sur les (bonnes) raisons de se certifier, et vous offrons quelques conseils pour faire des certifications des atouts riches de sens, plutôt que de simples documents administratifs !
Pourquoi (continuer de) se certifier ?
Depuis de nombreuses années, en France, la plupart des nouvelles personnes qui arrivent dans le monde du test logiciel suite à un dispositif de reconversion passent une, voire plusieurs certifications via leur organisme de formation. C’est une bonne chose, car cela assure un socle commun, une compréhension qui leur permet de maîtriser certaines notions essentielles. La certification ISTQB Fondation est la plus couramment présentée comme une sorte de passeport pour Testland.
Toutefois, une fois le premier emploi décroché, continuer de se certifier apporte un grand nombre de bénéfices. En voici quelques-uns !
Se démarquer sur le marché de l’emploi
Tout d’abord, d’un point de vue purement pratique, le marché de l’emploi du test tend à devenir plus concurrentiel. Les certifications permettent de rendre un profil plus attractif en y apportant un capital symbolique, c’est-à-dire une reconnaissance légitime et facilement reconnaissable. Elles agissent comme un signal auprès des personnes qui doivent parcourir de nombreux CV, surtout s’il s’agit de certifications réputées comme étant difficiles à obtenir.
Les certifications permettent aussi d’acter certaines spécialisations. Par exemple, une personne travaillant comme testeuse « généraliste » et détenant à la fois de l’expérience en tests de performance ET une certification portant sur ce type de test, rend visible cette appétence. Elle augmente ses chances d’être recrutée en tant que spécialiste en tests de performances.
Maintenir une habitude d’apprentissage
Si vous êtes en poste, il peut arriver de traverser des périodes où vous ne développez plus de nouvelles connaissances et compétences. Ce n’est pas grave en soi et c’est même assez courant. Faire de la veille et essayer de nouveaux outils sont de bonnes idées pour se tenir à jour, mais ces habitudes se retrouvent souvent enterrées sous le fourbi des autres activités « prioritaires ». Avoir en ligne de mire le passage d’une certification motive à dégager des plages de temps pour apprendre. Implémenter cette habitude au plus tôt dans sa carrière aide à garder un état d’esprit d’apprentissage constant !
Apprivoiser les situations stressantes
Passer une certification est un moment susceptible de provoquer un panel d’émotions pas toujours des plus agréables au premier abord. Elles peuvent rappeler d’autres moments stressants de son parcours professionnel : examens de fin d’études, entretiens d’embauche… La différence importante, c’est qu’il y a souvent beaucoup moins d’enjeux. Typiquement, si vous ratez une certification, vous pouvez en général la passer de nouveau quelques jours plus tard.
Provoquer une exposition graduée à ce genre de situation permet à terme de les apprivoiser. Il est possible même que cela vous donne envie de les rechercher. Vous connaissez l’expression galvaudée « sortir de sa zone de confort » ; d’année en année, vous soumettre à des situations de stress contrôlées a plutôt tendance à élargir cette zone de confort, et à rendre ce stress synonyme de croissance et de progression.
Nos conseils
Créer un plan de vol précis
Quelle forme souhaitez-vous donner à votre carrière ? Qu’est-ce qui vous fait le plus vibrer : développer une spécialité en particulier, ou cultiver un profil touche-à-tout ?
Si vous souhaitez vous spécialiser, il existe des dizaines de certifications utiles au métier du test. Réfléchissez à ce qui vous plaît, à ce qui vous intéresse ; il y a certainement une ou plusieurs certifications qui peuvent vous accompagner dans cette voie. D’ailleurs, il est possible que votre prochaine certification utile ne soit pas forcément une certification orientée vers le test !
Par exemple, si les tests d’utilisabilité vous passionnent, des certifications spécifiques à l’UX peuvent être la piste pertinente à suivre.
Si vous souhaitez développer un profil généraliste, il est évidemment possible de « piocher » des certifications qui ne soient pas centrées vers le même objectif. Exercez-vous cependant à créer un fil rouge entre toutes ces certifications ; pourquoi les avez-vous choisies, celles-là en particulier ? Cela donnera davantage de cohérence à votre profil.
En parler à votre organisation
Selon l’organisation où vous travaillez, votre direction n’est pas forcément au courant de toutes les certifications qui existent ainsi que de leur utilité. Vous pouvez les sensibiliser, non seulement pour pouvoir passer vous-mêmes des certifications, mais aussi pour construire une approche plus globale qui pourra profiter à toute votre équipe.
Privilégier les certifications récemment mises à jour
La thématique d’une certification est évidemment importante, mais regardez aussi de quand date son contenu. Certains domaines, comme l’intelligence artificielle, évoluent très rapidement ces dernières années. Même si la plupart des certifications sont valables « à vie », cette caractéristique ne doit pas cacher le fait que les contenus peuvent devenir obsolètes ou incomplets.
Rester humble
C’est une évidence mais il faut le rappeler : une certification seule ne garantit pas l’expertise. Quand on découvre un domaine par le simple biais de supports théoriques associés à une certification, on peut avoir l’impression que le domaine est plus simple qu’il ne l’est réellement. Cette tendance, en tant que novice, à surévaluer ses compétences, s’appelle l’effet Dunning-Kruger.
Pour vous en prémunir, lisez attentivement le contenu d’une certification : vous remarquerez souvent une grande variété de sources et de pistes à explorer. Même une fois votre certification obtenue, il vous reste énormément de choses à étudier et à maîtriser pour justifier d’une véritable expertise.
C’est d’ailleurs assez paradoxal : dans une logique parfaite, on ne passerait de certifications que pour formaliser une compétence préexistante, alors qu’il peut arriver qu’on commence par la certification (et donc la reconnaissance sociale) avant d’avoir réellement pratiqué. Ce qui nous amène au conseil suivant…
Varier les approches
Quand vous étudiez un sujet en vue de passer une certification, complétez les enseignements du syllabus par des recherches personnelles. Cela vous permettra de développer une vision d’ensemble du sujet et de le contextualiser avec des exemples pratiques.
Ancrer les connaissances sur la durée
Pendant vos études, vous avez peut-être remarqué que ce que vous connaissiez quasiment par cœur à un moment donné, vous l’aviez oublié l’année d’après. La courbe de l’oubli a tôt fait de catapulter les connaissances dans le néant. Le risque ici, c’est de détenir une certification valable à vie… et de ne plus pouvoir s’en souvenir quelques mois plus tard !
Mobiliser régulièrement les connaissances acquises permet de les mémoriser durablement. Se forcer à relire régulièrement les documents de la certifications n’est pas forcément l’approche la plus efficace, ni la plus simple à mettre en œuvre. Utiliser un outil d’organisation des connaissances, comme Obsidian, peut être plus adapté pour assimiler durablement ce qu’on apprend.
Voici une capture d’écran du graphe Obsidian d’une des collaboratrices d’Hightest. Les notes prises lors des révisions de la certification ISTQB CTAL-TM (Management des Tests) sont éclatées en notes atomiques, chaque note étant consacrée à un concept précis. Elle a obtenu cette certification il y a des mois, mais peut rapidement mobiliser ces connaissances car elles sont intégrées à un ensemble de connaissances plus larges, et propre à son parcours spécifique.
Quelques ressources en libre accès
Qui dit certification dit entraînement… En plus de nos formations en présentiel, nous proposons en libre accès des questions de révision pour quelques certifications.
ISTQB GenAI – Tester avec l’IA générative
Notre dernier quiz porte sur la certification ISTQB GenAI. Le contenu du syllabus offre quelques bases théoriques pour comprendre le fonctionnement de l’IA, et une palette importante d’application de l’IA génératives dans la pratique des activités de test.
Nous pensons que cette certification va rapidement s’imposer et peut-être avoir un succès comparable à la certification ISTQB Fondation.
ISTQB CTAL-TM – La certification de niveau avancé pour le management des tests
Attention, pour passer cette certification il est nécessaire de détenir la certification ISTQB Fondation.
Au niveau Fondation, les 7 activités principales du processus de test standard sont abordées ; avec la certification CTAL-TM, on se concentre sur 3 d’entre elles qui concernent spécifiquement le management des tests. Le pilotage et le contrôle des tests, la planification des tests et la clôture des tests sont ainsi approfondis.
Cette certification est particulièrement intéressante, car elle permet de comprendre la véritable portée de l’un des 7 principes généraux des tests : « Les tests dépendent du contexte » !
Cette certification n’est pas une certification ISTQB. Toutefois, les dialogues sont nombreux entre l’univers TMMi et ISTQB, et TMMi Professional est une certification qui complète parfaitement un bagage ISTQB. Inversement, pour pouvoir prétendre à des certifications supérieures de TMMi, certaines certifications ISTQB sont requises !
TMMi Professional aborde la gestion du processus de test à l’échelle de l’organisation, quand la certification CTAL-TM est plutôt pensée à l’échelle du projet ou du produit.
Les certifications ne sont pas une fin, mais un outil puissant pour vous aider à progresser dans vos compétences, vos connaissances et votre carrière. À vous de vous approprier cet outil et de lui donner le maximum de sens !
Smartesting est une entreprise française que vous connaissez peut-être déjà pour ses outils Yest ou Gravity ; en 2025, son petit dernier s’appelle Lynqa.
“Des tests manuels automatiques”, telle en est la promesse oxymorique. Nous avons eu l’occasion d’essayer cet outil et souhaitons partager avec vous un exemple de scénario simple parmi ceux que nous avons testés.
Comment marche Lynqa, à quoi ça ressemble et qu’est-ce que ça implique de nouveau dans le monde du test, on va décortiquer tout ça dans cet article !
Lynqa, c’est quoi ?
Le principe de Lynqa : exécuter des tests à partir de cas de tests existant. Ni plus ni moins : un patrimoine de test avec des cas de test tout ce qu’il y a de plus classique avec actions et résultats attendu.
Pour illustrer le fonctionnement de Lynqa, voici un cas de test très simple :
Action : “Sur la page Fruits à gogo, entrer une quantité de 30 kilos de papaye, valider.”
Résultat attendu : “Le tarif s’affiche et correspond à 10 500 francs pacifiques.”
Lynqa devra se débrouiller avec ces informations, comme le ferait un être humain. Pas question donc de lui préciser de sélecteurs, comme un automate le nécessiterait. On oublie les input, les button, on ne cherche plus d’id unique, on ignore les classes CSS. Pas question non plus d’écrire précisément “kg” au lieu de “kilos” pour correspondre à la graphie du site. “Valider” doit être correctement interprété, à savoir comme un clic sur le bouton “Calculer”. Et enfin, on ne s’inquiète pas du format de la devise ; Lynqa devra comprendre que “francs pacifiques” c’est la même chose que “CFP”, “F CFP” ou encore “XPF” !
Comment ça marche ?
Sous le capot de Lynqa travaillent plusieurs agents IA. Chacun de ses agents a sa propre responsabilité : interpréter l’intention du test, découper les actions, “regarder” l’apparence de l’interface à tester, comparer ce qui est constaté par rapport à l’attendu…
Vous noterez qu’aucun agent n’étudie la structure du DOM ; tout est fait pour se calquer sur l’utilisation cible d’une personne réelle. Ce qui compte, c’est ce qui s’affiche à l’écran.
Lors d’une démo, nous avons pu voir Lynqa travailler avec une cartographie interactive, un type de test souvent casse-tête à automatiser from scratch avec les frameworks habituels. Cela nous a donné envie d’en savoir plus et de faire nos propres essais.
Lynqa nous a confié un accès bêta afin qu’on puisse essayer nous-mêmes cette prometteuse solution, alors allons-y !
Découvrir Lynqa avec un exemple simple
Remarque : les screenshots qui suivent sont datés d’octobre 2025. Au moment où vous lirez cet article, l’interface aura peut-être changé.
Lynqa se présente aujourd’hui comme un plugin Jira qui s’interface avec Xray. Pour commencer, il faut disposer d’un test.
Pour notre essai, les étapes du test sont les suivantes :
Quand on rattache ce test à une “Test Execution”, on peut voir en bas à droite le bouton “Exécuter avec Lynqa”…
Ce bouton ouvre une popin toute simple où il convient de saisir l’URL du site à tester.
À noter : pour le moment, seuls les sites web dont l’accès est public sont testables avec Lynqa, mais la roadmap du produit prévoit à terme de réaliser des tests sur tout type d’application, qu’elle soit web ou non, publique ou non.
Ça y est, l’exécution est lancée !
Les résultats des exécutions sont visibles dans un onglet Lynqa dédié.
On découvre alors le détail de ce que l’automate a réalisé, et on se rend compte que le postulat de départ était correct ! Lynqa a bien réussi à interpréter le langage naturel, à trouver les éléments sur la page, et à effectuer la vérification comme attendu.
D’ailleurs, pour s’en assurer, il est possible d’afficher des captures d’écran pour chaque étape.
Top, le premier test est réussi !
Maintenant voyons ce qui nous est proposé dans le cas d’un test en échec. Pour ce test-là, on va demander de calculer le prix d’un fruit qui n’existe pas dans la liste. La grenade n’est-elle pas le fruit idéal pour faire péter un test ? (Poudoum tssss 🥁)
Test en erreur : comment réagit Lynqa ?
Lançons ce test et observons le comportement de Lynqa face à cette valeur inattendue.
Le test est bien en échec, mais pas pour la bonne raison… Il faudrait que le test échoue dès le moment où il ne trouve pas la valeur “Grenade”, mais ce n’est pas le cas.
Essayons en découpant le test en deux étapes :
Désormais, le test échoue au bon endroit (et avec un message d’erreur clair !)
Conclusion
Ces exemples très simples illustrent le fait que Lynqa ne se comporte donc pas comme une personne (par définition !), mais pas non plus comme un test automatisé classique, dont les capacités d’adaptation sont faibles et qui aurait échoué immédiatement en cherchant le mot “Grenade”.
Malgré le “quasi-faux-négatif”, ce premier aperçu est tout de même impressionnant et prometteur. L’outil est simple à prendre en main et ouvre de nombreuses potentialités. Avec un tarif compétitif (basé sur l’utilisation réelle), Lynqa pourrait devenir une brique incontournable de l’exécution des tests et se faire une place entre l’exécution humaine et l’exécution scriptée en interne.
Quelles conséquences alors sur nos façons de travailler ?
Utiliser efficacement ce type d’outil demandera de nouvelles compétences et une approche spécifique. Si les faux positifs sont monnaie courante dans le monde des tests auto, il apparaît que pour les tests avec des outils comme Lynqa, il faudra surveiller les faux négatifs avec autant de vigilance et apprendre à implémenter des tests qui favorisent un haut degré de reproductibilité, et des variations mineures et maîtrisées. Cela impliquera de revoir la manière dont on rédige les tests. De même qu’on n’écrit pas exactement de la même façon des tests pour un public interne ou pour le crowdtesting, il sera nécessaire d’apprendre à s’adresser de manière efficace aux agents IA qui “voient” l’application d’une manière qui leur est spécifique. Toutefois, ces modifications seront peut-être à terme marginales, en fonction du perfectionnement des outils. Lynqa vise à ce qu’il y ait, à terme, le moins d’adaptations possibles nécessaires sur les tests déjà rédigés.
Plus globalement, repenser la manière dont on construit nos stratégies de test sera une étape indispensable. Le ROI sera tout naturellement au cœur de la réflexion, afin d’arbitrer ce qu’il est plus rentable d’automatiser et ce qu’il est plus pertinent de déléguer à un outil comme Lynqa, pour dégager toujours plus de temps pour réaliser manuellement des tests à haute valeur ajoutée.
Vous pouvez découvrir Lynqa à votre tour à cette adresse !
Mettre en place une politique de test est une étape importante dans la vie d’une entreprise concernée par la qualité logicielle. Toutefois, il existe peu de ressources qui expliquent concrètement comment procéder. Au travers de ce retour d’expérience, nous souhaitons proposer un exemple, à reprendre et adapter.
Mais pour commencer, faisons un rappel de vocabulaire !
Qu’est-ce qu’une politique de test ?
La politique de test est un document qui vise à orchestrer la gestion des tests d’une organisation. Le glossaire CFTL/ISTQB (dont vous pouvez retrouver le contenu ici) la définit ainsi :
Un document de haut niveau décrivant les principes, l’approche et les principaux objectifs de l’organisation en matière de tests.
C’est un document qui peut être très concis, tant qu’il répond correctement à ces questions élémentaires :
« Pourquoi teste-t-on ? »
« Qu’est-ce qui est important quand on teste ? »
À l’inverse, ce document ne contient d’éléments temporels ou de bas niveau. Par exemple, si vous voulez lister les outils de test préconisés par l’entreprise, ce n’est pas dans la politique de test qu’il convient de le faire !
De la politique de test vont découler les autres documents importants qui concernent les tests :
La politique de test est en général unique au sein d’une entreprise.
La mise en œuvre d’une politique de test est préconisée par TMMi aussi bien que par l’ISTQB.
Une ressource méconnue
Cela étant dit, regardons les choses en face : quelle minime pourcentage d’organisations possède effectivement une politique de test ? Et celles qui en ont une l’utilisent-elles vraiment ?
Je vais être honnête, je n’ai jamais connu, dans aucune de mes missions à ce jour, de politique de test.
Chez Hightest, nous avons pu faire le même constat. Se pose alors la question…
Pourquoi réhabiliter la politique de test ?
Car en effet, on peut faire de très bons tests dans une organisation qui n’a pas de politique de test.
Toutefois, la politique de test est un symbole fort. Elle atteste du fait que la direction de l’organisation se soucie de la qualité logicielle et la traite comme un levier de performance à part entière. Elle permet de faire de lien entre la raison d’être de l’organisation, et la pratique (parfois inconnue des hautes couches de la hiérarchie) des tests logiciels. Bref, de mettre en lumière ce qui est souvent invisible !
En découlent deux effets.
La politique de test symbolise un engagement
Si une organisation déclare faire du test un sujet important, alors elle doit aligner les moyens nécessaires à leur bonne mise en œuvre.
Mettons qu’une entreprise ait un comité de direction très sensible aux tests. Des moyens sont fournis année après année. Mais un jour, le comité de direction change du tout au tout, et compte désormais des personnes peu renseignées sur le test. La politique de test est la porte d’entrée qui permet de comprendre la logique de ce qui se pratique concrètement. Elle fait le lien entre ce qui intéresse vraiment la nouvelle direction, et les pratiques concrètes de test que l’on va retrouver dans d’autres documents (stratégie de test, plans de test maître, plans de test de niveau…) En l’absence de politique de test, le sujet restera peut-être trop obscur au yeux du nouveau comité. Les moyens qui seront alloués au test déclineront peut-être.
La politique de test aide à mieux tester
Toutes les activités de test doivent découler de la politique de test : il y a une recherche de cohérence, ce qui est déjà un début d’harmonisation des pratiques.
Mettons qu’une autre entreprise possède une stratégie de test et un respectable troupeau de plans de test en tous genres. En l’absence d’une politique de test qui récapitule les véritables enjeux du test, une nouvelle recrue pourrait se sentir un peu perdue, et tester sans vraiment comprendre ce qu’on attend d’elle, l’intention du test dans cette entreprise. C’est un peu comme si on enlevait les nuances d’une partition !
On comprend donc bien pourquoi TMMi insiste sur l’importance de mettre en place, en tout premier lieu, une politique de test. Celle-ci doit être validée par la direction de l’organisation, être dûment diffusée, et périodiquement révisée.
When an organization wants to improve its test process, it should first clearly define a test policy.
(TMMi v 1.3, p. 24. C’est nous qui mettons en italique.)
Mais alors, comment faire une politique de test ?
C’est le moment de faire notre REX !
Dernièrement, nous avons animé une démarche de création de politique de test avec l’une de nos sociétés clientes. Voici comment nous avons procédé.
Sensibilisation du personnel
Tout d’abord, il est à noter que cet atelier s’inscrivait dans une démarche globale visant à améliorer les pratiques de test de l’entreprise. En amont de la planification de la réunion, nous avions en effet mené un état des lieux des pratiques de test de cette société. Lors de la restitution, nous avions notamment expliqué la nécessité de partager une même vision, et pour ce faire, que la société se dote d’une politique de test.
Il est essentiel de donner du sens à cet exercice, sous peine de se retrouver avec un document qui sonne creux.
Mobilisation de personnel concerné par les tests
Afin de réaliser cette politique de test, nous avons identifié des personnes clés, fortement impliquées dans les tests. Nous avons ajusté la forme de l’atelier en fonction du nombre d’individus ayant accepté l’invitation, afin de garantir des échanges à la fois fluides et riches.
Collecte des valeurs de la société
En amont de la réunion, nous avons demandé à ce qu’on nous transmette des documents résumant les valeurs de la société. Nous avons « ratissé large » afin d’avoir le plus de matière possible. Ceci pouvant inclure :
Des livrets d’accueil distribués aux nouvelles recrues
Des publicités orientées vers la clientèle
Des présentations globales de l’entreprise
Tout autre document de haut niveau reflétant l’entreprise et ses valeurs
Cette étape nous paraissait indispensable. Nous avons d’ailleurs décalé une première fois l’atelier, ayant collecté trop peu de documents pour avoir une vision suffisamment précise des valeurs de l’organisation.
Pour un peu plus de contexte, cette organisation étant complexe, plusieurs « systèmes de valeurs » y coexistent, ce qui a conduit à une liste d’une dizaine de valeurs.
Préparation de l’atelier
Une partie du groupe de travail se situant dans une autre zone géographique, il était important d’inclure tout le monde en proposant un atelier au format numérique. C’est ainsi que nous avons prévu, au lieu de traditionnels post-its, un atelier sur l’outil Draft.io.
À noter que cet outil est gratuit pour une utilisation légère ; au-delà d’un certain nombre d’éléments créés, il est nécessaire de prendre un abonnement.
En amont de la session, nous avons créé un tableau blanc dans Draft.io. Dans ce tableau, chacune des valeurs identifiées possède une colonne.
Nous avons également prévu (en bleu sur le schéma) des postits vierges, à disposition des membres de l’équipe le jour J.
Animation de l’atelier
Le jour de l’atelier, nous avons eu soin de réexpliquer les enjeux de la politique de test, et avons utilisé une variante du Bingo des Recettes à la Noix pour briser la glace et aider les personnes à rassembler des souvenirs, bons ou mauvais, relatifs à la qualité logicielle.
Après cela, le tableau blanc a été passé en revu et rempli d’idées. Il était initialement prévu de laisser les personnes remplir les post-its elles-mêmes sur leur PC ; l’ambiance étant plutôt à l’échange à bâtons rompus, nous avons proposé de plutôt prendre le rôle de scribe tandis que les personnes discutaient ensemble à l’oral au sujet des différentes colonnes.
Le résultat de l’atelier
Cet atelier a duré une heure et demie.
Synthèse suite à l’atelier
Pour la suite, nous avons proposé deux choix aux personnes ayant participé à l’atelier :
Organiser un autre atelier pour synthétiser les idées
Organiser une réunion de revue de la politique de test, proposée par nous suite à un travail de synthèse de notre côté.
C’est la deuxième solution qui a été retenue.
Nous avons donc passé en revue toutes les idées et créé un document très concis (une page A4) les regroupant.
Les idées non retenues pour le document :
Les idées d’applications très spécifiques (exemple : l’utilisation de tel ou tel outil)
Celles qui nécessiteraient des décisions nouvelles (exemple : organiser un recueil systématique des opinions de la population utilisatrice)
Celles qui coulaient de source (exemple : tenir compte du décalage horaire quand on s’adresse à des personnes d’autres zones géographiques)
Nous avons également procédé à une synthèse des valeurs, afin de n’en conserver que 3 : ambition, solidarité et efficacité. Elles permettent de classer les idées ayant émergé, tout en fournissant un rappel des valeurs initiales.
Réunion de revue de la politique de test
Une fois ce travail de synthèse terminé, une nouvelle réunion a eu lieu afin de revoir ensemble le brouillon. Nous avons réalisé quelques changements et ajouté 2 items. La politique de test est désormais prête, mais l’aventure n’est pas finie !
La politique de test… et après ?
La prochaine étape est de faire valider officiellement la politique de test par la direction de l’entreprise.
NB : idéalement, il aurait fallu que la direction prenne part directement aux ateliers, mais cela n’était pas envisageable pour des raisons d’organisation.
L’étape finale, et non des moindres : la diffusion ! Divers canaux sont envisageables, tous étant cumulables :
Diffusion initiale par mail
Mise à disposition pérenne via l’intranet de l’entreprise
Distribution à chaque nouvelle recrue impliquée dans les activités de test
Affichage physique dans des lieux appropriés
Il faudra également songer à revoir périodiquement cette politique de test. Il est important que ce document évolue au rythme de l’organisation. Ainsi, il continuera de donner du sens aux activités de test au fil du temps.
Conclusion
La politique de test n’est pas un document qui s’improvise. Comme il engage l’organisation dans une démarche de qualité logicielle, il est essentiel qu’il soit coécrit par des personnes à la fois représentatives, impliquées et influentes.
Sa forme finale n’a pas besoin d’être imposante : inutile d’écrire un épais document. Bien au contraire, une politique de test concise a beaucoup plus de chances d’être bien assimilée par toutes les parties prenantes.
Encore une fois, notre retour d’expérience n’est pas un exemple « parfait », mais une possibilité dont vous pouvez vous inspirer.
Et vous, avez-vous des expériences de mise en place de politique de test à partager ?
Nous vous conseillons de compléter cette lecture avec celle d’un autre article de la Taverne du Testeur. Vous y trouverez quelques exemples de politiques de test actionnables et qui ne prendront pas la poussière !
Ce mois-ci, on poursuit notre série d’interviews de pros de la qualité et nous avons la chance de recueillir le témoignage de Fanny Velsin. On lui doit le livre « Testez votre application web avec Cypress », ainsi que « Le Mag du testeur ». Actuellement, elle vit et travaille à Montpellier.
L’origine d’une vocation
Hightest : Qu’est-ce qui t’a amenée au métier du test ?
Fanny Velsin : J’ai fait mes études pour travailler dans l’informatique, j’avais cette vocation très tôt. Mon père m’a montré comment démonter les ordinateurs. Petite touche geek : ma chambre était décorée de barrettes de RAM récupérées de cet ordi. Mon objectif à l’époque était de travailler comme développeuse. Après mes différents stages dans le développement web, j’ai intégré une entreprise d’édition de logiciel en contrat de professionnalisation. Durant cette période, j’ai vu beaucoup de choses : développement Java, rapport BI avec BIRT, tout ce qui est requêtage SQL, bien chercher les logs … à la fin de mon alternance, je suis restée dans cette société qui m’a donné l’opportunité énorme d’apprendre (réellement !), de comprendre ce que je faisais et pourquoi je le faisais de cette manière. L’équipe était exclusivement composée de développeurs. Après quelques mois, pendant un daily, j’ai appris que l’équipe de QA était sous l’eau. J’étais en avance sur mes tâches dont j’ai proposé à mon manager de l’époque de rejoindre cette équipe pour les soutenir. C’était du Selenium écrit avec du Java. Tout était dans mes compétences. Cependant, très rapidement j’ai vu que les tests étaient flaky. J’en ai référé à notre manager en proposant des solutions techniques. J’ai alors pris le lead technique sur la partie tests. Je suis restée quelques années et ce métier que je découvrais me plaisait énormément. Pour des raisons stratégies, la société m’a remis quelques mois sur le poste de développeur. Était-ce dû à la période du Covid, au management qui ne me convenait pas ou à une technologie qui ne me parlait pas ? Quoi qu’il en soit, je ne m’y retrouvais plus. Nous avons tous été licencié pour raison économique, ça a été une aubaine pour moi : j’ai repris le métier de testeur que j’apprécie tellement.
Le goût du partage de connaissances
Hightest : Tu as aussi de l’expérience en tant que responsable communication et en tant que formatrice, tu as écrit un livre, et il y a quelques mois tu as également lancé le Mag du Testeur. La transmission a une place importante dans ta carrière. Comment vois-tu cet aspect de ton travail ?
Fanny Velsin : Responsable communication, oui ça remonte à l’école, durant la junior entreprise et l’association (mais je crois ne pas y avoir fait mention – association d’histoire qui a malheureusement fermé depuis longtemps). J’ai fait quelques évènements avec la junior entreprise mais je préfère nettement le partage de connaissance en tant que formatrice. C’est très enrichissant d’avoir des apprenants. Je viens d’ailleurs d’apprendre que le module qualité n’existe plus dans ce parcours. Je me félicitais justement de ce changement par rapport à mon époque où on ne parlait pas de qualité à part le TDD. La transmission a plusieurs avantages : partager ma passion, transmettre un métier qui emploie actuellement partout dans le monde, et être confrontée à des questions ou des certitudes qui me mettent à l’épreuve.
L’écriture de ce livre est un peu un hommage à Cypress en un sens. Je me questionnais beaucoup à cette époque sur mes compétences. Je venais de me faire licencier, même si la raison était économique et que nous étions plus d’une quinzaine. Je me suis remise en question sur mon avenir, sur mes compétences et sur mes envies. Je suis arrivée dans une entreprise très ouverte à la discussion sur les technologies, j’avais carte blanche à partir du moment où je pouvais prouver la nécessité ou l’avantage de cet outil par rapport à un autre. Cypress m’a permis de reprendre cette confiance qui m’avait quittée. J’ai dû faire des démonstrations devant plusieurs personnes alors que j’étais à l’époque tétanisée si je devais prendre la parole même devant 2 personnes.
J’ai commencé par la brique Cypress, puis j’ai monté les tests que j’ai fait dans une pipeline Jenkins avec un collègue et finalement je l’ai fait seule avec la migration Gitlab.
Notre métier, je parle de la qualité d’une manière générale, est tellement riche. Si on est curieux, on peut voir beaucoup d’aspect de l’informatique : le réseau, le front, le back, la sécurité, …
Le mag m’est venu en tête peu après avoir donné les cours, les apprenants ne voyant pas forcément les avantages du test. En discutant avec eux, je me suis aussi rendu compte que finalement les décideurs des entreprises avaient cette même vision : le coût ; les apprenants voient le coût d’apprentissage, l’envie et la maintenance alors que les décideurs voient le coût financier. Le mag est venu pour essayer de convaincre. Ajouter de la qualité dans vos processus, dans vos codes, dans vos critères d’acceptation…
La consultance comme formule de liberté
Hightest : Tu as à la fois travaillé en tant que consultante et chez un client final. Ces dernières années, c’est plutôt la consultance qui l’emporte dans tes expériences. Pour quelles raisons préfères-tu cette modalité ?
Fanny Velsin : Comme on le dit, la liberté n’a pas de prix. Non, en réalité, je me suis mise consultante après le licenciement. Comme dit auparavant, j’ai eu une grosse remise en question à ce moment-là. J’ai eu un doute. Je voulais reprendre ce que je faisais de mieux à ce moment-là : du test et du reporting. J’ai quitté ma région natale et je me suis lancée consultante. Ça m’a permis de me positionner sur plusieurs missions : chez un client tout en donnant des cours et tout en écrivant un livre et un cours en ligne pour Open Classroom.
Je préfère cette modalité pour cette liberté d’avoir des missions de différents types : mission longue chez un client et des missions courtes pour délivrer des cours.
Prise de recul
Hightest : Ta carrière dans l’informatique a commencé il y a plus de 10 ans. Qu’est-ce qui était vrai à ce moment et qui ne l’est plus maintenant ?
Fanny Velsin : Eh oui plus de 10 ans, je ne serai probablement plus jamais la plus jeune du bureau !
C’est une question vaste, mais voici ce que j’en retiens : il y a dix ans, on voulait des tests, point. Maintenant, on parle de retour sur investissement, de couverture, de stratégie. On demande aux testeurs de justifier les choix, de prioriser, de proposer des outils. Le rôle est bien plus stratégique qu’avant. On n’attend plus juste une validation, on attend une vision.
Il y a plus de 10 ans, je pensais qu’il suffisait de bien faire son travail pour que tout roule. Aujourd’hui, je sais que la communication, la posture, et parfois même la diplomatie, sont aussi importants que les compétences techniques. J’ai appris à prendre ma place, à défendre mes choix, et à ne plus m’écraser – chose que je faisais souvent au début.
Le métier du test est plus reconnu au niveau des entreprises. À mes débuts, le test était souvent vu comme une obligation ou une étape de validation finale. Il était rare que les testeurs soient invités dès le début d’un projet, et encore plus rare qu’ils aient un mot à dire sur les choix techniques ou fonctionnels. Aujourd’hui, on voit une évolution : l’approche Shift Left se démocratise, les équipes qualité sont plus intégrées, plus respectées aussi.
L’intérêt de la découverte
Hightest : Quel domaine métier t’a le plus passionnée jusqu’à présent ?
Fanny Velsin : Le milieu médical ! Cette mission dans le domaine médical m’a beaucoup appris. On ne suivait pas vraiment de normes spécifiques au secteur, mais j’en ai découvert quelques-unes au fil du temps, ce qui m’a permis de prendre du recul et de progresser. J’ai aussi appris ce que sont les rayons X et d’autres notions propres à ce milieu, que je ne connaissais pas du tout avant.
C’était aussi une super opportunité pour développer mes compétences en agile et mieux comprendre comment adapter ma façon de travailler dans un contexte aussi particulier.
Cette mission est celle qui m’a ouvert les yeux sur notre métier et la complexité qu’il peut en découdre au niveau technique et « diplomatique ». Si on veut apprendre et s’impliquer, notre métier est riche.
L’image du test
Hightest : Si tu pouvais changer un préjugé sur notre métier, quel serait-il ?
Fanny Velsin : Je veux discuter pour qu’on trouve le meilleur compromis pour la qualité, pour nos utilisateurs. Nous travaillons pour nos utilisateurs, je ne souhaite pas vous embêter avec un bug ou trouver le coupable du développement ou pointer qui que se soit du doigt. Dans tous les cas, nous sommes une équipe, alors travaillons ensemble pour faire évoluer le produit pour nos utilisateurs. Mettons-nous à la place des utilisateurs.
Zoom avant
Hightest : Quels projets aimerais-tu concrétiser dans les prochaines années ?
Fanny Velsin : J’aimerai passer la certification TMMi mais j’aimerais aussi reprendre la transmission de connaissances avec des apprenants et que le mag soit lu par les décideurs !
____________________
Merci à Fanny d’avoir répondu à nos questions ! Nous vous invitons à découvrir le Mag du testeur, un contenu d’excellente qualité.
Il y a peu, la société calédonienne AdDo, spécialisée en cybersécurité, a publié un rapport faisant l’état des lieux des fuites de données avérées sur le territoire calédonien : le rapport d’étude OSINT 2025.
OSINT signifie “Open Source INTelligence” : ce rapport se base donc “seulement” sur des informations publiquement accessibles. Cela signifie que les chiffres qu’on y trouve, et qui sont déjà préoccupants, illustrent une réalité certainement beaucoup plus inquiétante.
En Nouvelle-Calédonie, on a souvent l’impression d’être “loin de tout”, et d’une certaine façon protégé·es de ce “tout”. On pourrait même se demander, “Qui pourrait bien s’intéresser à nous, qu’on peine souvent même à trouver sur une carte ?”
Mais le rapport d’étude d’AdDo montre bien que la perception du risque en cybersécurité est bien différente du risque physique, et que ce risque est difficile à évaluer avec les outils cognitifs que nous possédons naturellement.
Parole à Laurent Rivaton, fondateur d’AdDo et auteur de ce rapport.
Ce qu’il faut retenir du rapport
Hightest : Bonjour Laurent ! Nous avons lu attentivement le rapport et recommandons vivement de le découvrir dans son intégralité. Toutefois, pour les personnes qui n’auront pas le temps de tout lire, quelle sont les informations les plus importantes que tu souhaites voir circuler au maximum ?
Laurent Rivaton : La première, qui fait directement écho à l’étude et à ses conclusions est que la cybersécurité pose un problème qui est global et collectif, et que la solution est également globale et collective. Pour illustrer le fait qu’on soit tous concernés, j’aime prendre l’exemple de la sécurité routière. Quand je prends ma voiture, pour que je sois en sécurité, il faut que je conduise avec prudence, mais il faut aussi que tous ceux qui sont sur la route en même temps que moi conduisent avec prudence. 1 seul chauffard et tout le monde est en danger !
Et l’autre message qui me tient également hackeur à cœur, c’est que la cybersécurité, ça n’est jamais que de la gestion de risque, et que la gestion de risque on sait tous faire. Nos cerveaux, après des dizaines et des dizaines de milliers d’années d’évolution, sont parfaitement au point pour gérer les risques, question de survie ! Il n’y a donc aucune raison que la cybersécurité soit un domaine accessible uniquement à des petits génies de l’informatique, une sorte de groupe d’élus qui seraient les seuls humains dotés de pouvoirs leur permettant d’appréhender ce sujet.
Former à la cybersécurité en Nouvelle-Calédonie
Hightest : Le rapport souligne l’importance de la formation pour mieux se protéger contre les risques numériques. Mais la cybersécurité est encore à ce jour un domaine mystérieux pour la plupart des gens, et s’y initier peut sembler difficile. As-tu des ressources à conseiller pour débuter ? Des formations en Nouvelle-Calédonie, ou encore des ressources en ligne ?
Laurent Rivaton : Je confirme ! De mon point de vue, la formation permet de comprendre ce qui se cache derrière les technologies numériques, et donc de réaliser qu’en fait, savoir si on doit cliquer ou pas sur un lien qu’on vient de recevoir dans sa messagerie, c’est exactement le même problème à résoudre que de savoir si on doit traverser une rue ou pas alors qu’il y a de la circulation.
On peut aujourd’hui trouver beaucoup de sources d’information et de formation sur le sujet de la cybersécurité. Beaucoup de sources en ligne sont en anglais, ce qui ne facilite pas toujours les choses, mais il y a heureusement beaucoup de matériel intéressant sur le site du Centre Cyber du Pacifique, sur le site de l’ANSSI ou celui de Cybermalveillance. Pour tous ceux qui ont du mal avec l’auto formation, il est également possible de suivre des formations en présentiel destinées aux utilisateurs. J’en dispense une qui dure 6 demi-journées et qui donne de bon résultats !
Pour les professionnels, c’est un peu la même chose, beaucoup de possibilités en ligne, de qualité variable, à des prix allant de gratuit à plusieurs centaines de milliers de francs, avec des parcours qui permettent d’aller jusqu’à des certifications professionnelles y compris les plus connues, les plus reconnues dans notre secteur, les plus difficiles à obtenir. Et pour ceux qui préfèrent des formations en présentiel, c’est également possible sur le territoire avec une offre qui s’étoffe peu à peu (ma prochaine formation aura lieu à la mi juillet !).
Un permis de conduire numérique
Hightest : Dans le rapport est évoqué le “permis de conduire numérique”. Peux-tu nous en dire plus ?
Laurent Rivaton : C’est plus une image ou une analogie qu’autre chose. Le fait est qu’aujourd’hui, pour prendre le volant, il faut apprendre à conduire et il faut même démontrer qu’on en est capable en passant un examen pour obtenir un permis. Pour ce qui est des outils numérique, il suffit de les acheter, et comme c’est facile et intuitif, il n’est même pas nécessaire de lire la documentation. Et pourtant, tous ces nouveaux outils peuvent être mal utilisés, causer des dommages et des préjudice et leur utilisation comporte des risques. Comme ces outils numériques sont de plus en plus sophistiqués, de plus en plus indispensables et qu’en cas de mauvaise utilisation les préjudices sont de plus en plus importants, il me semblerait logique qu’on soit, sinon obligés, mais au moins incités à apprendre quelques notions élémentaires avant de les utiliser.
Que faire quand ses données personnelles fuitent ?
Hightest : Dans le rapport, le site https://haveibeenpwned.com/ est conseillé pour vérifier son adresse e-mail. Par curiosité, j’ai vérifié mon adresse pro (0 occurrence) et perso (4 occurrences !) Ce qui m’a surprise (ndlr : c’est Zoé Thivet qui pose la question :)), c’est de voir apparaître des noms de sites très connus (Gravatar et Canva). Recommandes-tu de vérifier régulièrement ses adresses mail via ce site ? Si une nouvelle fuite apparaît, que conseilles-tu ?
Laurent Rivaton : Ça peut-être une habitude à prendre. Et quand une nouvelle fuite apparait, il faut impérativement changer les mots de passe qui ont été compromis. Mais vérifier régulièrement ses adresses ne remplace pas une bonne pratique élémentaire : le cloisonnement. Le cloisonnement, ça consiste à utiliser des comptes et des mots de passe différents pour tout, ou au minimum sur ses accès importants, par exemple celui à sa banque ! Ainsi, si un mot de passe est volé quelque part sur un site, alors le préjudice est limité à ce site. Je rappelle que les sites comme Have I Been Pwned s’appuient sur des données publiques, par conséquent, si mon adresse est trouvée, ça veut dire que mon compte a été compromis. Par contre, si mon adresse n’est pas trouvée, ça veut seulement dire qu’elle n’a pas été trouvée et j’ai peut être quand même été piraté mais ça n’est pas encore rendu publique.
L’expertise met-elle à l’abri ?
Hightest : Un autre site, IntelligenceX.com, est recommandé pour consulter les fuites de données. J’y ai d’ailleurs retrouvé, pour mon adresse mail, un fichier dont le titre contient le nom “Gravatar”. En tant qu’expert en cybersécurité, es-tu parfaitement protégé, ou as-tu retrouvé des données qui te concernent ?
Laurent Rivaton : Un expert en cybersécurité qui prétendrait être parfaitement protégé, serait, de fait, un mauvais expert en cybersécurité ! En effet, le risque 0 n’existe pas et un expert est forcément parfaitement lucide sur ce point. Je dirai même que plus la compétence et l’expertise augmentent, mieux on mesure l’étendue des risques. Mais parallèlement, plus la compétence et l’expertise augmentent, mieux on sait gérer efficacement le risque.
Et oui, j’ai déjà trouvé des données fuitées concernant le domaine addo.nc. Le dernier cas concernait un site chez lequel j’avais acheté des outils orientés cybersécurité. Mais comme je pratique depuis très longtemps un cloisonnement systématique, cette fuite ne m’a causé aucun préjudice. Elle ne m’a coûté que quelques échanges de courrier électronique avec ce fournisseur pour l’informer !
Hightest : Est-ce via ce site (IntelligenceX.com) que tu as pu découvrir les machines physiques compromises ?
Laurent Rivaton : Oui. Les données qui sont proposées par IntelligenceX permettent d’aller très loin dans les recherches, et de trouver suffisamment d’éléments pour identifier un équipement compromis avec certitude. Ces accès « pro » sont d’ailleurs payants et pas vraiment bon marché !
Hightest : Beaucoup de personnes te consultent-elles pour savoir si leurs propres données ont été exposées ? Si oui, que leur réponds-tu ?
Laurent Rivaton : À la suite de cette étude, très peu. Et comme l’étude a été menée globalement, je n’ai pas de détail sur les postes compromis, seulement leur nombre. Cependant, au début de l’étude, je m’étais fixé comme règle de prévenir les tiers que j’allais reconnaître dans les phases d’échantillonnage qui seraient faites tout au long de l’étude pour vérifier la qualité des résultats des recherches. J’ai donc été amené à contacter un nombre très réduit de personnes…
Une palette de solutions
Hightest : Quels sont les services proposés par AdDo pour aider à se préparer aux risques en cybersécurité ?
Laurent Rivaton : Le travail d’AdDo, c’est d’aider les entreprises et les organisations publiques ou privées à améliorer leur cybersécurité en les accompagnant. Ce sont donc des missions de conseil, avec aussi de l’audit et de la formation. Il m’arrive aussi d’aider en cas d’attaque, dans ce cas, il s’agit aussi d’accompagner les victimes dans la gestion de crise, dans la priorisation des tâches de diagnostic, de remédiation, etc.
Hightest : Comment procèdes-tu pour rendre les risques liés à la cybersécurité plus tangibles auprès de personnes qui découvrent le sujet et ne se sentent pas concernées ?
Laurent Rivaton : Il n’y a pas de recette magique, mais généralement, faire l’exercice théorique de regarder ce qui se passerait, si, un matin, en arrivant au bureau, il n’y avait plus aucun outil numérique de disponible suite à un piratage, peut-être un moyen de prendre conscience de l’importance du sujet.
Hightest : Quelles sont les résistances que tu rencontres le plus souvent de la part des personnes lors des sensibilisations ?
Laurent Rivaton : La plupart des gens d’une part ne se rendent pas compte à quel point ils sont devenus dépendants, et d’autre part estiment qu’ils sont incapable de comprendre quoi que ce soit à la cybersécurité. Dans ce cas, il est très naturel de faire une forme de déni. Mais il suffit donc de contredire ces 2 certitudes avec des exemples simples en fonction du contexte et en général, les résistances s’estompent.
Le point sur les antivirus
Hightest : “Les antivirus en 2025 ça ne sert plus à rien, les OS en disposent déjà de solides.” Cette phrase qu’on entend souvent est-elle justifiée, ou est-ce une idée reçue sans fondement ? Le cas échéant, quel antivirus recommandes-tu ?
Laurent Rivaton : Il y a bien longtemps, les antivirus étaient nécessaires et suffisants. Dans les échantillonnages réalisés pendant l’étude, 100% des postes piratés avaient un antivirus, qui, le plus souvent, était celui fourni avec l’OS. Les antivirus ne sont plus suffisant depuis un moment déjà, mais ils sont toujours nécessaires : sans antivirus, c’est pire ! On peut refaire une analogie avec la sécurité routière. Considérer que les antivirus sont inutiles car ils ne garantissent pas une protection totale, c’est comme se dispenser de mettre sa ceinture de sécurité au motif quelle ne garanti pas la survie en cas d’accident. Conclusion : l’antivirus fourni avec l’OS, c’est tant mieux qu’il soit fourni, en ajouter un plus complet, c’est mieux, et en entreprise, ajouter encore une couche supplémentaire avec des outils de détection avancés, c’est encore mieux. Mais attention, le risque persistera de toutes les façons.
Pour la question sur le choix d’un antivirus, et de toute solution de sécurité, mon conseil est simple : il y a des critères de qualité technique et fonctionnelle à prendre en compte et il faut en tester plusieurs pour voir quel produit nous convient le mieux.
La cybersécurité sur le territoire
Hightest : À ce jour, penses-tu que la population calédonienne soit plus vulnérable aux attaques “techniques” ou à l’ingénierie sociale ?
Laurent Rivaton : Les 2 mon capitaine. Mais de fait, les cybercriminels exploitent davantage les vulnérabilité humaines. Le risque est donc supérieur de ce côté là.
Hightest : Une recrudescence d’attaques a eu lieu lors des émeutes de 2024. As-tu envie d’en dire un mot ?
Laurent Rivaton : Il n’y a pas forcément grand chose à dire à mon sens. Il me semble qu’il y a eu à la fois une pression en terme de désinformation, ce qui est logique dans un tel contexte, et également une augmentation des tentatives d’arnaques de tous genres, ce qui est également « normal » : quand une population est fragilisée économiquement et psychologiquement, elle est plus vulnérable et donc devient une cible de choix pour les cybercriminels.
Hightest : L’édition 2025 de HacKagou se tiendra le 1er octobre prochain. Quel est le rôle d’AdDo dans la mise en œuvre de cet événement ? Par rapport aux éditions précédentes, que souhaiterais-tu pour cette année en particulier ?
Laurent Rivaton : AdDo fait partie des partenaires, des soutiens inconditionnels depuis le début de l’aventure HacKagou. À titre personnel, mon rôle est d’emmener l’évènement et la super équipe d’organisation toujours plus haut et toujours plus loin. Pour 2025, nous sortons de Nouméa. C’est la commune de Païta qui nous accueille avec beaucoup d’enthousiasme dans l’Arène du Sud. Nous attendons beaucoup plus de joueurs, beaucoup plus de public, du contenu encore plus riche autour du CTF (ndlr : Capture The Flag, un type de challenge de cybersécurité), avec des ateliers, des conférences, des animations, l’escape game que nous n’avons pas pu faire en 2024, une décoration et une mise en situation pour que les participants et le public soient complètement immergés dans le thème de l’année qui est : Apocalypse. Une IA devenue folle menace l’humanité.
Nous devrions annoncer bientôt l’ouverture des inscriptions, mais notre vrai challenge cette année, est de trouver les financements nécessaires pour que le HacKagou soit la grande fête que nous imaginons.
___________________________________________
Merci à Laurent Rivaton d’avoir répondu à nos questions ! Nous nous retenons d’en poser d’autres encore, tellement un sujet en amène un autre. Nous espérons en tous cas que cet article vous aura donné envie d’en apprendre plus sur la cybersécurité. Et si vous avez la chance de vivre en Nouvelle-Calédonie, rendez-vous au HacKagou !
Le test logiciel est un véritable carrefour. Julien Escots le prouve avec un parcours qui traverse le développement, l’automatisation, le management… et même l’immobilier ! Découvrez son témoignage qui sort des cases.
Développeur ou testeur ? Un peu des deux !
Hightest : Bonjour Julien ! Parlons d’abord de ton parcours purement informatique, qui présente une particularité intéressante. Tes études supérieures ont été centrées sur le développement, mais dès le début pour tes stages et tes alternances tu as fait du test. Tu as ensuite enchaîné 2 alternances en tant que dev… pour finalement te spécialiser de nouveau dans la qualité ! Un profil comme le tien illustre bien la porosité entre ces deux expertises, et va à l’encontre des stéréotypes. Comment est-ce que tu vois les choses aujourd’hui ?
Julien Escots : Effectivement, mon parcours reflète bien cette porosité entre le développement et la qualité. J’ai commencé par le test, ce qui m’a permis de développer une forte sensibilité aux problématiques de fiabilité, de robustesse et d’expérience utilisateur. Ensuite, mes deux alternances en tant que développeur m’ont apporté une vraie compréhension technique des produits, du code, et des contraintes que peuvent rencontrer les équipes de dev.
Aujourd’hui, je vois la qualité comme une extension naturelle du développement. Ce ne sont pas deux mondes opposés, mais complémentaires. Un bon testeur comprend le code, et un bon développeur gagne à intégrer une logique qualité dès la conception. Mon profil me permet justement de faire le lien entre ces deux univers, de parler le même langage que les devs tout en apportant un regard critique sur la qualité produit. Je pense que c’est cette double casquette qui me permet aujourd’hui d’avoir un rôle à plus forte valeur ajoutée dans une équipe agile.
La troisième casquette
Hightest : C’est très probable ! Ce genre de profil joue souvent un rôle « émulsifiant » dans une équipe (un émulsifiant étant un élément qui aide deux substances à se mélanger…) Et depuis peu, tu as même une troisième corde à ton arc ! Tu peux nous en parler un peu ?
Julien Escots : Depuis quelque temps, je me suis lancé dans l’immobilier en parallèle de mon poste de Lead Test. C’est une activité que j’avais en tête depuis un moment, par envie d’entreprendre, de découvrir un univers totalement différent et aussi d’avoir un impact plus direct dans la vie des gens. Je suis aujourd’hui mandataire immobilier, et j’accompagne des clients dans leurs projets d’achat ou de vente, de l’estimation jusqu’à la signature chez le notaire. C’est très enrichissant, à la fois humainement et professionnellement.
Je consacre toujours la majorité de mon temps à mon rôle de Lead Test (environ 90 %) mais je profite de mes temps libres, soirs et week-ends pour développer mon activité immobilière.
Les deux domaines peuvent paraître éloignés, mais je trouve qu’ils sont étonnamment complémentaires. Mon expérience dans la tech m’a donné une vraie rigueur, une capacité à structurer, à analyser des données, à anticiper les problèmes, et tout cela me sert énormément dans la gestion de mon activité immobilière. À l’inverse, l’immobilier me pousse à sortir de ma zone de confort, à renforcer mes compétences relationnelles, à apprendre à gérer le stress d’une négociation ou d’un accompagnement client dans un moment de vie important. Finalement, c’est un équilibre que je trouve stimulant, et qui me permet de progresser dans les deux domaines.
Le quotidien d’un lead test
Hightest : C’est drôle, il y a quelques temps on avait interviewé des profils issus de reconversions et on en avait conclu que tous les chemins mènent au test. On pourrait se dire que l’inverse est peut-être vrai aussi ! Cette diversité de parcours notamment fait que chaque QA a son propre style de test. Et toi, c’est quoi ta marque de fabrique ?
Julien Escots : Ma marque de fabrique, c’est ma curiosité et mon instinct de testeur. J’adore explorer les cas limites, traquer les comportements inattendus, parfois même farfelus. Ce qui me motive, c’est de comprendre comment un utilisateur (ou un bug) peut sortir du cadre.
J’aime aussi être au cœur des mises en production : valider, accepter, assurer la qualité jusqu’au dernier moment, c’est là que je me sens le plus utile.
En tant que Lead Test, je veille à ce que mes équipes aient une vision claire de la stratégie de test, avec un bon équilibre entre manuel et automatisation. Je pousse pour une automatisation intelligente : ciblée, fiable, et qui donne un feedback rapide. Mon rôle, c’est aussi d’aligner tout le monde autour de la qualité, sans jamais perdre de vue la valeur.
Hightest : Lead Test, c’est un rôle exigeant. Raconte-nous ton plus gros challenge !
Julien Escots : Mon plus gros challenge, ça a été de mettre en place une vraie stratégie de test pour une équipe de 10 testeurs, mêlant profils fonctionnels et automaticiens. Il a fallu trouvé le bon équilibre entre cadrage, autonomie et cohérence d’ensemble.
Ce qui m’a demandé le plus d’effort, c’est de jouer le rôle de chef d’orchestre : comprendre les forces de chacun, aligner les pratiques, définir des priorités claires et des objectifs communs. La cohésion et la création d’une communauté entre nous a été l’un de mes principaux grand challenge.
Une histoire de bug
Hightest : On voit bien tout l’enjeu managérial et organisationnel qui vient se superposer aux problématiques classiques des tests… Dans ton parcours, tu as dû découvrir pas mal d’anomalies, est-ce qu’il y en a une qui t’a marquée plus que les autres ?
Julien Escots : Un bug qui m’a marqué, c’est lors du déploiement d’un nouveau parcours réservé à une poignée de conseillers bancaires. En principe, seuls quelques profils pilotes devaient y accéder. Sauf qu’à quelques minutes de la mise en production, on a découvert qu’il suffisait qu’un seul conseiller accède au parcours pour qu’il soit activé pour tous les conseillers de France.
Heureusement, on l’a détecté juste à temps, ce qui nous a permis de décaler la MEP et de corriger avant que l’impact ne soit réel. Sur le moment, c’était chaud, mais avec le recul, c’est un super rappel de l’importance des tests d’habilitation et des validations de dernière minute !
Rester à la pointe
Hightest : Outch ! Ces gros bugs de dernière minute servent souvent de leçon et aident à alimenter les checklists de tests incontournables… Mais le temps est long et on n’a pas toujours l’occasion d’apprendre de manière intensive. As-tu déjà eu l’impression de stagner ? Qu’est-ce que tu mets en place pour continuer de progresser ?
Julien Escots : Oui, ça m’est déjà arrivé, surtout d’un point de vue technique. Parfois, tu as l’impression d’avoir bien avancé, d’avoir acquis pas mal de compétences… et puis tu te rends compte que la montagne est encore très haute. C’est un peu déstabilisant, mais aussi motivant.
Pour continuer à progresser, je m’impose une veille régulière, je fais des POC sur mon temps perso, je challenge mes pratiques, et surtout, j’échange beaucoup avec mes pairs. Je pense qu’on apprend énormément en partageant : une bonne discussion avec un collègue ou un développeur peut t’ouvrir des perspectives que t’avais pas envisagées.
Et puis, en tant que Lead, je me dois aussi de rester à jour pour pouvoir guider les autres, ça me pousse à ne pas me reposer sur mes acquis.
Un conseil pour QA qui débutent
Hightest : En parlant de guider les autres, quel conseil donnerais-tu à une personne qui voudrait se lancer dans le test ?
Julien Escots : Le conseil que je donnerais à quelqu’un qui veut se lancer dans le test, c’est : sois curieux, et pose-toi toujours la question “Et si… ?”. Le test, ce n’est pas juste suivre des scénarios, c’est chercher à comprendre comment un produit peut se comporter autrement que prévu.
Je lui dirais aussi que le test, aujourd’hui, c’est loin d’être un métier isolé ou secondaire. Il faut savoir collaborer avec les devs, les PO, les ops, comprendre le produit, et même parfois challenger la conception. Et si en plus tu touches un peu au code, l’automatisation devient un vrai levier pour faire gagner du temps à toute l’équipe.
Merci beaucoup à Julien pour cet échange très intéressant !
L’accessibilité, mieux vaut y penser en amont du projet, lors du cadrage et de la définition des exigences.
D’accord, mais si ce sujet est passé à la trappe, est-ce que c’est trop tard ?
Bien sûr que non 😉
La première chose à faire (temps : 5 minutes)
Si votre site web existe déjà, vous pouvez vous aider d’outils très simples d’utilisation pour effectuer un diagnostic rapide.
Des extensions de navigateur gratuites telles que WAVE vous donneront des informations de base. C’est avec WAVE que nous avons réalisé l’audit de l’accessibilité du web calédonien l’an dernier (lien vers la vidéo) !
Pour creuser un peu plus (temps : une heure)
L’extension de navigateur va vous fournir des informations de base que vous pourrez communiquer à votre équipe.
Mais il est important de se plonger un peu plus dans ce qui sous-tend l’écrasante majorité des outils d’accessibilité : les WCAG.
WCAG veut dire « Web Content Accessibility Guidelines » (en bon français, « Règles pour l’accessibilité des contenus web »). Ces règles ne datent pas d’hier : les premiers pas des WCAG ont eu lieu 1995, il y a donc 30 ans !
Ces règles sont aujourd’hui au nombre de 13, et réparties en 4 principes. Il faut que les services soient :
Perceptibles
Utilisables
Compréhensibles
Robustes
Chaque règle a ses propres critères de réussite, positionnés sur 3 niveaux : A, AA et AAA (AAA étant le niveau le plus exigeant).
Nous vous recommandons de prendre une heure pour explorer ces 13 règles, qui sont résumées ici.
Pour gagner en profondeur (temps : toute une vie)
L’accessibilité est un principe d’apparence simple, mais qui soulève énormément de questions.
Pour gagner en profondeur de réflexion, la meilleure chose à faire est d’aller à la rencontre des personnes qui sont le plus souvent confrontées à ces problématiques.
C’est une démarche que nous avons initiée dès 2018 lorsque nous avons fait la connaissance de Marie-Françoise Pierre, entrepreneuse malvoyante, qui nous a appris beaucoup de choses en nous présentant concrètement sa vie numérique.
Cette année, nous avons également eu la chance d’échanger avec Cyriaque Delaveau, développeur web, dont le handicap moteur l’amène à utiliser ses outils numériques avec les yeux, grâce à une commande oculaire.
Ces deux personnes sont calédoniennes et leurs profils, même s’ils sont individuellement rares, ne sont pas isolés ! L’accessibilité peut être un sujet qui semble lointain au premier abord, mais il faut se souvenir que les handicaps ne sont pas toujours visibles et concernent une partie importante de la population.
Si elles sont ouvertes à la discussion, prenez le temps d’interroger les personnes que vous rencontrez sur leurs problématiques particulières : c’est aussi ainsi que vous développerez un regard plus aiguisé sur l’accessibilité numérique.
En 2025, nous poursuivons la résolution un peu folle de 2024 : vous proposer tous les jours sur LinkedIn un contenu sur le test logiciel et la qualité ! Des posts de fond, des partages d’autres personnes, mais aussi des blagues et des memes.
Voici notre best of, pour ne pas que ces petits billets tombent totalement dans l’oubli 🙂
