L’informatique en Nouvelle-Calédonie est, comme partout, un secteur très dynamique et en constante recherche de nouveaux talents.
Ce qui est dommage, c’est que ce territoire est encore à ce jour assez méconnu, et que beaucoup de personnes passent encore à côté de ce choix de vie pourtant fantastique !
C’est donc avec beaucoup de plaisir que nous avons concocté et animé ce webinar avec Céline Quevilly (Tealforge), Elodie Luz (Atlas Management), Laurent Rivaton (Addo).
L’idée était de faciliter la prise de décision en donnant un maximum d’informations concrètes sur le territoire et son tissu numérique. Nous avons parlé sans tabou aussi bien des bons moments que des éventuelles galères que l’on peut rencontrer en découvrant le territoire.
Vous souhaitez provoquer des discussions de fond sur le thème de la qualité logicielle, entre des personnes qui travaillent ensemble mais n’ont peut-être jamais eu l’occasion d’en parler directement ? Cet atelier est fait pour vous !
Lors de cet atelier, les personnes vont :
Exprimer des représentations, besoins, ressentis et autres visions subjectives de la qualité logicielle
Apprendre à mieux se connaître les unes les autres
Prendre conscience des différences de points de vue, pour mieux travailler ensemble au quotidien
Eventuellement corriger des idées reçues, en bonne intelligence
Avertissement important : c’est un atelier qui est là avant tout pour que les membres d’une équipe se connaissent mieux professionnellement, pas pour juger dans l’absolu “qui a raison” !
Cet atelier n’est pas forcément recommandé aux équipes qui traversent de fortes tensions. Dans tous les cas, sa facilitation nécessite un soin particulier. Votre équipe en ressortira grandie.
Préparation de l’atelier
Pour mener à bien cet atelier en présentiel, il vous faudra :
3 personnes + 1 guide de jeu. S’il y a plus de 3 personnes, compter 3 équipes de N personnes + 1 guide de jeu.
Des cartes “Visions de la qualité”, faites maison c’est mieux ! Le principe : chaque carte contient une phrase plus ou moins clivante sur le thème de la qualité logicielle.
Une salle avec une table centrale, pour y poser les cartes “Visions de la qualité”
La posture de guide de jeu
La personne qui endosse le rôle de guide de jeu se prépare à :
Faciliter les échanges en établissant un cadre d’ouverture et de respect
Faire en sorte que la parole soit équitablement répartie
Prendre des notes pendant l’atelier
Faire une synthèse de ce qui a été exprimé pendant l’atelier
Déroulement de l’atelier
Les cartes “Visions de la qualité” sont réparties en tas thématiques au milieu de la table, face cachée.
Lors de la première session, l’équipe 1 pioche une carte sur la pile de son choix et la lit à voix haute. L’équipe se concerte rapidement pour choisir de défendre ou contredire ce qui est écrit, puis se lance. En fonction du temps dont vous disposez, cette prise de parole peut être limitée, à 2 minutes par exemple.
A la fin de ce “plaidoyer”, l’équipe 2 doit tenter de défendre l’avis contraire à l’équipe 1.
L’équipe 3 doit ensuite synthétiser le débat et attribuer le point à l’équipe qui, selon elle, a été la plus convaincante.
Pendant tout cet échange, la personne qui endosse le rôle de guide de jeu prend des notes. Elle pourra ensuite envoyer une synthèse des résultats de l’atelier.
Ensuite, ça tourne ! Ainsi, lors de la deuxième session, l’équipe 2 tire une carte et fait son plaidoyer, l’équipe 3 contredit et l’équipe 1 arbitre.
Autant de sessions que de cartes peuvent avoir lieu, mais en pratique les débats peuvent prendre un peu de temps et ce n’est pas forcément possible de tout parcourir en une fois. Pas grave : conservez les paquets de cartes et proposez un nouvel atelier quelques mois plus tard !
Exemples de cartes
Pour confectionner vos carte “Visions de la qualité”, vous pouvez noter des phrases que vous avez entendues au fil du temps ; des phrases auxquelles vous adhérez mais aussi des phrases avec lesquelles vous n’êtes pas d’accord. Vous pouvez bien sûr créer d’autres catégories ou remanier celles présentes ci-dessous.
Gestion de projet
« Le test représente souvent un goulet d’étranglement dans un projet. »
« Pour un projet donné, on ira plus vite avec 5 personnes qui développent, plutôt que 4 qui développent et une qui teste. »
« Le test est à un projet ce qu’un complément alimentaire est à un corps humain : sympa, mais pas essentiel. »
« Le nombre de cas de test joués est un bon indicateur de performances. »
« La véritable mission des tests est de prévenir les bugs, plutôt que simplement les trouver. »
Pratiques de test
« Les tests d’une fonctionnalité commencent quand elle a été développée. »
« Il est important de suivre strictement les scénarios de test sans dévier. »
« Les tests sont déduits logiquement des spécifications fonctionnelles. »
« Vérifier et valider, c’est la même chose, ce sont des synonymes. »
« Le test ne peut avoir lieu que si les spécifications sont complètes. »
Rôles et responsabilités
« Comme les devs connaissent bien le produit, ce sont ces personnes qui sont les plus à même de trouver des tests pertinents à faire. »
« Dans un projet agile, c’est à l’équipe de test de rédiger les tests d’acceptation d’une User Story. »
« Dans un esprit d’agilité, c’est plutôt l’équipe de développement qui fait les tests. »
« Les tests fonctionnels sont du ressort du métier, et les tests techniques sont du ressort des profils techniques. »
« L’équipe de test est garante de la qualité logicielle. »
« Pour bien tester, il faut avoir accès à la base de données de l’appli. »
Tech
« Les tests à automatiser sont ceux qui couvrent les fonctionnalités les plus critiques. »
« L’automatisation des tests doit démarrer juste après la première mise en production d’une application donnée. »
« L’objectif premier des tests automatisés est de réduire la durée des campagnes de test. »
« C’est à la fin du projet qu’il est le plus pertinent de procéder à des tests de charge. »
« Les tests manuels deviennent peu à peu obsolètes à l’ère de l’automatisation. »
« Les tests de sécurité constituent un domaine à part et ne concernent pas les profils de test lambda. »
« Une bonne qualité de code suffit à éliminer la plupart des bugs. »
Bonne session de jeu ! Envoyez-nous votre feedback, et aussi si vous le souhaitez, les phrases que vous avez rajoutées !
Votre éthique professionnelle vous pousse à réfléchir à des solutions qui soient à la fois inclusives et durables. Et vous n’avez aucune raison de choisir entre green IT et accessibilité ! Dans cet article, nous vous proposons 4 points concrets à passer en revue pour conjuguer ces deux exigences.
NB : cet article ne s’adresse pas spécifiquement aux QA, mais aussi à toute personne impliquée dans la conception et la création de produits numériques !
1. Parlez-en à un stade précoce des projets
L’accessibilité et la performance énergétique partagent un point commun : elles ne concernent pas les fonctionnalités de ce que vous allez offrir (le “quoi”), mais plutôt les caractéristiques de la manière dont votre solution est conçue et fonctionne (le “comment”).
Afin de maximiser vos chances de succès, intégrez ces problématiques dès le cadrage de vos projets, pour établir clairement les objectifs et identifier les ressources nécessaires.
Lors de la conception du produit, faites en sorte que ces sujets soient incontournables. Par exemple, lors de la définition des objectifs initiaux du projet, vous pouvez spécifier des critères d’accessibilité mesurables, tels que la conformité aux WCAG (Web Content Accessibility Guidelines). Pour la performance énergétique, cela peut être un score Ecoindex à viser.
Y penser dès le début est susceptible d’orienter les choix de certaines solutions technologiques, mais aussi de vous faire gagner du temps.
2. Pensez “Less is more”
L’utilisation de produits numériques peut être pénible pour une personne porteuse d’un handicap. Proposer un nombre restreint de fonctionnalités, avec un contenu qui va droit au but et sans fioritures inutiles, représente une réelle valeur ajoutée. D’ailleurs, comme presque tout ce que vous proposerez pour favoriser l’accessibilité, cela profitera également aux populations non porteuses de handicap ! Une expérience plus fluide est un atout pour l’ensemble de votre cible.
Moins de fonctionnalités signifie moins de requêtes envoyées aux serveurs, moins de code à maintenir… Et cela représente donc également un gain en termes de performance environnementale.
Faites l’expérience pour vous entraîner. Consultez vos sites web préférés et demandez-vous : qu’y a-t-il en trop ? Qu’est-ce qui m’est réellement utile ? Vous en ferez vous-mêmes le constat : au quotidien, vous nagez dans les images inutiles (non informatives) et dans des animations qui ne font rien d’autre que vous ralentir. Et aussi, dans les features qui ont pris un temps fou à développer, mais qui ne correspondent tout simplement pas à votre usage.
3. Texte > Image > Vidéo
On dit qu’une image vaut mille mots. Cela signifie communément qu’une image peut transmettre une information beaucoup plus facilement qu’un texte. C’est, en effet, parfois vrai.
Mais d’un point de vue green IT, on pourrait dire aussi qu’une image “coûte” mille mots… ou beaucoup plus, en fonction de la taille de l’image et de sa résolution !
Et c’est sans parler des vidéos, particulièrement énergivores.
Un simple texte est le support qui est à la fois le plus accessible et le plus performant d’un point de vue environnemental.
Un texte peut être lu “tel quel”, ou bien être agrandi d’un simple clic, ou encore être lu par synthèse vocale ou même en braille.
Il peut être rapidement mis à jour, ce qui réduit à la fois l’empreinte énergétique et le budget de maintenance.
Il se charge beaucoup plus rapidement que toute autre ressource.
Cela ne veut pas dire que les images et les vidéos sont à bannir, mais il faudra veiller à ne conserver que celles qui apportent le plus de valeur ajoutée, et à optimiser leur compression.
4. Les valeurs d’abord, les actions ensuite
La performance énergétique et l’accessibilité ne sont pas des sujets anodins. Loin d’être de simples concepts techniques, ce sont des engagements envers un avenir meilleur. Affirmer leur importance au sein d’une organisation, en les portant au rang de valeurs, donne une signification décuplée à la démarche… et certainement aussi, beaucoup plus d’enthousiasme aux équipes, à l’heure où une grande part de la population souffre d’éco-anxiété et d’un sentiment général de perte de sens.
Cet article a été écrit dans le cadre de notre participation à la commission NID (Numérique Inclusif et Durable) de l’organisation OPEN NC. Il bénéficie de la précieuse contribution de Xavier Liénart (MSI), dont la relecture a permis d’enrichir le fond de l’article.
Vous testez un logiciel contenant un formulaire qui demande de saisir un RIB ? Voici quelques éléments pour vous aider !
Les différentes parties d’un RIB
Un RIB se compose de 23 caractères répartis en 4 éléments :
Le code banque (5 chiffres)
Le code guichet (5 chiffres)
Le numéro de compte (11 chiffres et/ou lettres)
La clé RIB (2 chiffres)
Peut-on “inventer” un RIB ?
Oui et non.
Non, parce qu’on ne peut pas “imaginer” un RIB de tête, parce que la clé RIB doit être le résultat d’un calcul que vous ne ferez pas facilement de tête !
Oui, parce qu’il n’y a pas besoin que le RIB existe “dans la vraie vie” pour valider le formulaire de saisie.
Tout est donc dans la clé RIB.
Quelques exemples de RIB et IBAN fictifs et bien formés
Ces RIB sont destinés à réaliser des tests passants de validation de RIB. N’effectuez pas de transactions en utilisant ces RIB et IBAN. Si vous devez effectuer des tests de virements réels, constituez votre propre jeu de données en bonne intelligence avec le reste de votre équipe.
Faux RIB avec le code banque de la BCI (Banque Calédonienne d’Investissement) : 17499 12345 12345678901 53
En 1987, David Gelperin et Bill Hetzel publiaient l’article scientifique The growth of software testing dans la revue Communications of the ACM. Un article dans lequel, regardant en arrière, ils définissaient différents seuils où le métier du test a évolué.
Un article de référence
Quel est donc ce découpage temporel ?
Première époque, orientée débogage
Les processus de test ne sont pas traités en tant que tels ; les tests sont effectués de manière ad hoc essentiellement, et les succès ne sont guère reproductibles puisqu’ils dépendent avant tout du bon vouloir et du talent d’individus isolés.
Deuxième époque, orientée démonstration
Pour résumer, on teste pour prouver que le logiciel fonctionne.
Troisième époque, orientée destruction
Ca fait peur, non ? Cela veut dire tout simplement que cette période est marquée par le cliché (toujours vivant) des QA qui sont là pour “tout casser” ! Même si, on le sait, le test logiciel met plutôt en lumière ce qui est déjà cassé.
Quatrième époque, orientée évaluation
L’activité de test donne lieu à des métriques. On la suit de manière formelle.
Cinquième époque, orientée prévention
L’objectif principal des tests est d’éviter en premier lieu l’apparition des anomalies, et ce grâce à des méthodes statistiques.
Les suites de cet article
Ce découpage en périodes historiques a fait date ; il est toujours mentionné notamment dans les documents relatifs au modèle TMMi. En effet, les 5 niveaux de maturité TMMi font écho aux 5 époques mentionnées par les auteurs de l’article.
Mais, bien que ce soit fort intéressant, ce n’est pas le sujet le plus croustillant de cet article ! 😃
En pratique, comment testait-on jadis ?
Une partie un peu moins connue de cet article fait en effet référence à un sondage diffusé à l’occasion de la 4ème conférence internationale sur le test logiciel, qui s’est tenue à Washington en 1987. Préparez-vous à un voyage dans le temps !
Résultats du sondage en anglais
Traduction du sondage en français
Un historique des défauts trouvés pendant les tests est maintenu : 73 % oui / 16 % parfois
Une personne est désignée en tant que responsable du processus de test : 65 % oui / 13 % parfois
Un plan de test décrivant les objectifs / l’approche est requis : 61 % oui / 29 % parfois
Le test est une activité systématique et organisée : 61 % oui / 30 % parfois
Des profils de test réalisent des tests système à temps plein : 62 % oui / 19 % parfois
Le test est séparé du développement : 60 % oui / 20 % parfois
Les tests doivent être rejoués lorsque le logiciel change : 51 % oui / 35 % parfois
Les tests sont conservés et maintenus en vue d’une utilisation ultérieure : 51 % oui / 28 % parfois
Les spécifications et la conception des tests est documentée : 48 % oui / 36 % parfois
La procédure de test est documentée dans le manuel des standards : 45 % oui / 15 % parfois
Un historique des tests joués est maintenu : 42 % oui / 35 % parfois
Le temps consacré aux test est suivi : 40 % oui / 30 % parfois
Les documents de test font l’objet d’une revue par les pairs formelle : 31 % oui / 29 % parfois
Des profils de test réalisent des tests d’intégration à temps plein : 24 % oui / 24 % parfois
Les coûts des tests sont mesurés et suivis : 24 % oui / 19 % parfois
Des formations en test sont fournies périodiquement : 22 % oui / 26 % parfois
Les résultats des tests font l’objet d’une revue par les pairs formelle : 20 % oui / 31 % parfois
Les utilisateurs et utilisatrices ont une forte implication dans les activités de test : 8 % oui / 39 % parfois
Les tests sont créés avant le développement : 8 % oui / 29 % parfois
Une mesure de la couverture de code est requise : 5 % oui / 16 % parfois
Il faut garder à l’esprit que les personnes ayant répondu au sondage participaient à un congrès sur le test logiciel. Elles avaient donc a minima un intérêt pour le sujet. Cet état des lieux représente donc certainement les pratiques des entreprises les plus à la pointe dans le domaine à l’époque !
Tout en reconnaissant que les pratiques de 1987 avaient aussi, potentiellement, des atouts que nous avons peut-être perdu en cours de route, ces résultats de sondage ne sont-ils pas rafraîchissants ?
De retour au XXIème siècle, comment vous sentez-vous après avoir fait ce petit saut dans le passé ?
Et surtout, d’après vous, lesquelles de nos pratiques sembleront désuètes aux QA de 2059, dans 36 ans ?
Le voyage dans le temps n’est pas fini et nous devons continuer de perfectionner nos pratiques ! 😃
Venir travailler en Nouvelle-Calédonie, quand on vit à l’autre bout du monde, ce n’est pas une petite décision.
Chez Hightest, la majorité d’entre nous vivait en France hexagonale avant d’intégrer l’équipe. Nous connaissons donc les différentes questions et dilemmes qui s’imposent quand on se projette dans cette nouvelle vie. Et c’est pour cette raison que nous créons des contenus pour aider à mieux appréhender le quotidien dans ce bel archipel !
Nous vous proposons un webinar tout neuf, daté de juillet 2023, qui vous permettra d’en savoir davantage sur notre quotidien de QA. Sous forme de questions/réponses avec Jean-François Fresi, cette intervention a permis également de répondre à des questions posées en live.
Merci à Werin Group qui nous a offert cette opportunité !
Webinar 2020
Un peu plus vintage, nous vous proposons également de visionner ce webinar plus généraliste que nous avons proposé en 2020 avec Laurent Marchois (Atlas Management) et Vincent Lavergne (Tealforge). Nous y évoquions en détails pas mal d’aspects de la vie calédonienne et du monde de l’IT calédonien. Certains passages ne sont plus d’actualité (nous parlions notamment du Covid !), mais la plupart des éléments restent valides.
Astuce : utiliser les timestamps (présents dans le premier commentaire) afin de naviguer vers les passages qui vous intéressent le plus !
Article de 2020
Nous vous proposons également de vous plonger dans cet article de 2020, où nous racontions notre quotidien de QA un peu plus en détail.
Bon visionnage, bonne lecture… et bonne réflexion ! 🙂🌴
Et si vous souhaitez obtenir davantage d’informations, nous vous invitons à laisser un commentaire ou à nous contacter directement sur LinkedIn.
Cette année 2023, la plateforme de crowdtesting Testeum, dont Hightest a posé les fondations, offre une campagne par mois à un projet calédonien innovant !
Vous trouverez dans cet article un nouveau témoignage, de la part des personnes en charge du site web Agripedia.
Pour rappel, un premier témoignage a été produit concernant une application mobile, celle de Domaine NC.
Qui êtes-vous ?
Je suis Estelle Bonnet-Vidal, consultante en communication scientifique (Lincks), prestataire pour l’institut agronomique néo-calédonien (IAC), AMO et rédactrice scientifique pour le site internet Agripedia depuis 2018. Je suis accompagnée de Christina Do, rédactrice scientifique pour Agripedia et assistante de communication à l’IAC. Nous sommes mandatées par Laurent L’Huillier, le directeur de l’IAC, qui est à la tête de la création d’Agripedia.
À quoi sert le site Agripedia et à qui s’adresse-t-il ?
Agripedia met à disposition des fiches techniques sur l’agriculture locale au sens large. Le site compte actuellement plus de 220 fiches techniques dans des domaines très variés : les plantes utiles (alimentaires, ornementales, médicinales, revégétalisation), les animaux d’élevage, la lutte contre les ravageurs, les auxiliaires de culture…
Notre volonté est d’en faire un site de référence régional, une encyclopédie qui permet aux agriculteurs, aux agricultrices et à tous ceux qui jardinent de trouver des informations précises, utiles, faciles à trouver, faciles à lire pour qu’ils puissent cultiver et mener à bien leurs productions et gagner un temps précieux. C’est un enjeu important de sécurité alimentaire dans un contexte de dérèglements globaux et de transition agroécologique.
Crédit : Midjourney
À quelle(s) question(s) vouliez-vous que la campagne de crowdtesting réponde ?
Nous voulions savoir si les contenus mis en ligne étaient agréables et faciles à lire et si les internautes naviguaient agréablement dans le site et trouvaient facilement certaines fonctionnalités innovantes, telles que les filtres et les PDF.
Je vous mets les questions que nous avons posées (nldr : ci-dessous sont les objectifs de test saisis dans Testeum) :
Vérifiez que la navigation est intuitive et agréable
Vérifiez que vous trouvez comment faire une recherche multicritères avec plus de 5 critères et que les résultats vous paraissent cohérents
Vérifiez que vous trouvez facilement quelles sont les plantes ornementales en fleurs pour le mois d’avril
Vérifiez que vous arrivez à générer et télécharger le PDF d’une fiche sur plusieurs thématiques différentes
Vérifiez la clarté du contenu, à savoir si les fiches sont faciles à lire et à comprendre
Qu’avez-vous pensé des retours des crowdtesters ?
J’ai été étonnée par la rapidité des réponses, moins de 24 h. Les crowdtesteurs nous ont signalé plusieurs bugs (à 75 % mineurs) que nous n’avions pas vus et ils le font avec sérieux. Cela nous a permis de nous conforter dans les pistes d’amélioration que nous avions en tête.
Qu’avez-vous pensé de la plateforme elle-même ?
Tout d’abord, je tiens à remercier toute l’équipe Testeum de nous avoir offert cette campagne. J’ai vraiment apprécié de découvrir cette plateforme que je ne connaissais pas. Je l’ai trouvée facile à prendre en main et on peut aisément interagir avec les crowdtesteurs.
Tiens, c’est quoi qui brille par terre ? Une lampe ? HA, voici le génie de Testeum, vous pouvez faire 3 vœux de nouvelles fonctionnalités sur la plateforme !
Selon moi, je pense que pour tout achat de la première campagne, vous devriez offrir une campagne-test, par exemple avec trois crowdtesteurs. Cela permettrait de découvrir la plateforme, la prendre en main, et surtout de voir comment il faut formuler correctement nos questions aux internautes. C’est très stratégique et cela demande de comprendre comment l’outil marche pour ensuite formuler nos questions avec précision.
Je pense également qu’il faudrait offrir la possibilité d’interagir en visio, via une petite fenêtre vidéo avec un ou deux crowdtesteurs. Les rapports des crowdtesteurs sont pertinents mais ils sont courts et on aimerait creuser un peu pour aller plus dans les détails. Les échanges humains par messagerie se concentrent sur les bugs et ne permettent pas de détecter la palette d’émotions qui accompagnent la découverte d’un site. Est-ce qu’il est agacé de ne pas trouver certaines infos ? est-ce qu’il est heureux d’avoir appris des choses ?
Avoir la possibilité de poser plus de questions avec le forfait proposé.
Dernier point, je pense qu’un PDF qui résume l’ensemble des bugs trouvés par les crowdtesteurs et que l’on peut ensuite archiver serait pertinent.
Quel conseil donneriez-vous à une personne qui envisagerait une démarche de crowdtesting pour tester son produit ?
De bien réfléchir aux questions à poser. C’est la clé pour avoir des réponses pertinentes et améliorer ensuite son site.
Crédit : Midjourney
_________________________
Merci à Estelle et Christina d’avoir misé sur la qualité logicielle, et d’avoir pris le temps pour ce témoignage ! Vous voulez jeter un oeil à la campagne Testeum d’Agripedia ? En voici l’adresse !
Et si vous voulez vous inscrire sur Testeum pour réaliser des tests et obtenir un revenu complémentaire, c’est par ici !
L’image mise en avant contient des photos générées par Midjourney.
En 2023, ChatGPT est un nom qui revient sur toutes les lèvres ! Depuis peu, Bard vient un peu lui voler la vedette. Ces IA surpuissantes vont-elles remplacer les QA, les devs, le monde entier, personne ?
Cet article n’est pas là pour répondre à cette question, mais pour présenter quelques réponses erronées et amusantes des robots conversationnels les plus affolants de ce début d’année ! De quoi dédramatiser un peu.
Les IA font leur cinéma
Le cinéma du coin propose les offres promotionnelles suivantes :
Gratuit le jour de l’anniversaire de la personne (valable uniquement pour la personne et pas pour celles qui l’accompagnent)
-50 % pour les personnes de moins de 18 ans
-25 % pour les 18-25 ans et pour les plus de 60 ans
Ce cinéma ouvre sa billetterie en ligne où le tarif s’adapte en fonction de l’âge de la personne inscrite.
La question que l’on se pose, et que même un enfant trouverait très simple, est la suivant : Regina fête ses 54 ans aujourd’hui ; aura-t-elle droit à une réduction ?
Réponse courte : bien sûr, une réduction de 100 %, puisque c’est son anniversaire !
Une réponse plus longue préciserait que cette réduction (ou plutôt, exonération) ne s’applique que sur sa place.
ChatGPT : la règle de gestion de trop
ChatGPT n’est pas de cet avis.
Bard : « et » au lieu de « ou »
Fun fact, Bard aussi se trompe ! (Nous lui avons posé la question en anglais vu que le français n’était pas encore supporté lors de l’expérience)
Bard comprend que la gratuité le jour de l’anniversaire n’est valable que si la personne se trouve dans l’une des tranches d’âge sujettes à des promotions. Ce qui est évidemment erroné.
Dates : l’ambiguïté classique
« Jusqu’à » est une expression qui met la communauté du test en émoi.
Est-ce que cela veut dire qu’on inclut ce qui suit, ou qu’on l’exclut ?
ChatGPT ne veut pas que j’aille à la plage
ChatGPT ne partage pas cette anxiété et répond comme s’il n’y avait pas d’ambiguïté.
Bard m’incite à sécher le travail
Après avoir posé la même question à Bard (en anglais toujours), force est de constater que cette IA comprend l’inverse de ChatGPT et ne voit pas de problème à ce que j’aille à la plage. Une fois encore, l’ambiguïté du terme n’est pas relevée !
Le défi des trous de paille
« Combien de trous a une paille ? » est une question simple qui permet de se rendre compte de la diversité des points de vue. Il n’y a pas de bonne réponse, ou plutôt, toutes les réponses ci-dessous sont bonnes.
2 trous : une entrée et une sortie !
1 trou : car il n’y a qu’un « chemin » dans cette paille
0 trou : sinon la paille aurait des fuites !
ChatGPT tombe dans le piège
ChatGPT ne se trompe pas vraiment dans sa réponse, mais elle ne détecte pas le piège que constitue l’ambiguïté de la question.
On ne la fait pas à Bard
En revanche, Bard a su détecter la feinte, puisant dans les innombrables ressources accessibles via Google et évoquant cette question épineuse.
Compte les QA
Une liste de 26 prénoms féminins est fournie, et les IA doivent les compter. Facile ou pas ?
ChatGPT ne sait pas compter.
Hélas, ChatGPT n’en compte que 25. Ce n’était même pas cela le piège envisagé 😀
Bard débloque
Le même exercice traduit en anglais est fourni à Bard. Pourquoi compte-t-il 18 prénoms au lieu de 25 ? Et surtout, quelle est la logique derrière « The names you provided are all female names, so we can assume that they are all testers. » ? Un sentiment d’étrangeté émane de cette réponse.
Deuxième chance : testeuse ou testeur
Une autre liste est fournie, et cette fois-ci le compte est bon. Toutefois, le raisonnement qui suit a de quoi semer la confusion !
Le même exercice ne peut pas être fourni à Bard, étant donné que le mot anglais « tester » peut se traduire aussi bien par « testeuse » ou « testeur ».
Conclusion
Les IA sont impressionnantes. Ce sont d’excellents outils qui permettent de nous accompagner dans nos tâches les plus diverses, mais ils contiennent, comme tout logiciel, des défauts. C’est aussi en prenant conscience de ces défauts que nous devenons capables de les utiliser au mieux !
(On leur repose les mêmes questions d’ici un an ? Il est bien possible que leurs réponses soient plus pertinentes quelques mois !)
_________________________
L’image de couverture a été générée avec Midjourney.
La gestion des anomalies, c’est tout un art ! Ci-dessous sont listées 16 situations courantes dans la vie d’un projet, qui touchent à cette activité. Des situations qui ne sont ni confortables, ni productives, et qui soulèvent aussi bien fausses questions que réponses fallacieuses. Combien d’entre elles avez-vous déjà vécues ? (Une idée d’atelier serait de présenter ces situations sous forme de bingo des bugs !)
1) Le bug controversé
Deux personnes de l’équipe se chamaillent car l’une a trouvé un bug et l’autre considère que ce n’est pas un bug. On ne sait donc plus quoi faire du ticket. Remarquez qu’il n’y a jamais ce genre de controverse pour les US, personne ne dit « Non, c’est pas une US ! », « Si, c’en est une ! » Cela révèle la nature complexe de ce qu’on appelle « bug ».
2) La spécification déguisée en bug
Quelqu’un a ouvert un rapport de bug, mais c’est en fait une demande de modification déguisée. La notion de bug est utilisée comme une sorte de coupe-file. De fois ça marche, et d’autres fois, on ne sait pas trop quoi faire du ticket, et cela peut même donner lieu à une controverse (cf point 1).
3) Le gros tas de bugs
La pile des bugs est très longue, chaque bug a été reconnu comme valide (quelle aubaine !), mais personne ne semble avoir prévu de les corriger. Peut-être sont-ils là pour décorer le backlog. En tous cas, à un moment donné, on ne sait plus quoi en faire.
4) Le bug qui est en fait une remarque
Quelqu’un ouvre un rapport de bug (peut-être vous) mais sans trop savoir « Si c’est un bug ou pas, en tous cas ça vous semble bizarre, mais si ce n’est pas un bug oubliez ce que j’ai dit, faites comme vous voulez ». On ouvre un rapport de bug pour faire une remarque. Et au bout d’un moment on ne sait plus trop quoi faire de ce ticket : cette remarque n’est-elle pas légitime ?
5) Le nettoyage de printemps (à l’acide chlorhydrique)
L’équipe veut faire en sorte de fermer le plus de rapports de bugs possible, voire de n’avoir aucun bug ouvert, et en plus des corrections, ça passe par d’infinies négociations avec les personnes qui ont créé les tickets. Le rapport de bug est vu comme une menace pour l’intégrité de l’équipe.
Chaque personne souhaite en savoir plus sur la qualité de l’applicatif, et chaque rapport de bug contient de l’information sur l’applicatif. Mais si on souhaite se débarrasser de ces rapports uniquement des métriques projet plus agréables… n’est-ce pas un peu contradictoire ?
6) Le fayotage à la noix
Une personne veut montrer à quel point elle est assidue au sujet de la qualité et va ouvrir une farandole de bugs doublonneux. Le rapport de bug est vu comme un trophée par celui qui le crée.
7) Le débat épistémologique
Un bug d’UX est ouvert et ça lance une interminable controverse. Est-ce que c’est un bug, est-ce que ce n’en est pas un, est-ce qu’on peut parler de bug quand il s’agit d’UX, etc. Bref on se lance dans une bataille d’opinions, et on ne sait plus quoi faire du ticket.
8) Le gaspillage de paires d’yeux neufs
Une personne nouvellement arrivée dans l’équipe ouvre un rapport de bug car ce qu’elle voit lui semble déroutant. Quelqu’un clôture le rapport car le comportement est conforme à l’attendu. Le ticket d’anomalie est analysé de manière dogmatique et potentiellement on étouffe dans l’œuf une possibilité d’amélioration.
9) Le ticket « bug et méchant »
Quelqu’un a ouvert un rapport de bug car un comportement constaté contredit ce qui est demandé dans une User Story, mais ce comportement ne ressemble pas à un bug quand on n’a pas connaissance de la User Story. Une approche dogmatique qui ne bénéficie pas au projet.
10) Le débogage comme passe-temps
L’équipe corrige les bugs quand elle a du temps pour le faire. Les bugs tiennent un rôle de bouche-trou quand les devs s’ennuient. Comme c’est dommage !
11) L’heure de la sieste
Lors des revues, le fait que des bugs aient été corrigés n’intéresse pas grand-monde. Ce qu’on veut voir absolument, ce sont les nouvelles fonctionnalités. Et les corrections de bugs ne sont pas considérées comme des nouvelles fonctionnalités, même si elles incorporent des choses qui n’étaient pas là auparavant. Les bugs sont des citoyens de seconde zone.
12) Le bug microscopique
Quelqu’un a ouvert un bug mais l’anomalie est tellement petite que ça ne vaut quasiment pas le coup de la corriger.
13) Le bug marginal
Quelqu’un a ouvert un rapport de bug, mais l’anomalie ne concerne qu’une portion minuscule de la population visée, par exemple les personnes utilisant un appareil mobile avec l’OS Android 5.1.1. Ce type de bug est l’un des écueils des tests de portabilité.
14) Le bug en voie de disparition
Quelqu’un a ouvert un rapport de bug, mais l’anomalie est vouée à disparaître à court terme car la règlementation va changer, ou encore qu’une refonte graphique va être réalisée.
15) Le bug qui pousse le bouchon
Quelqu’un a ouvert un rapport de bug mais l’anomalie est justifiée par des standards que l’équipe n’a pas choisi d’adopter. Par exemple, un bug d’accessibilité qui s’appuie sur le standard WCAG n’est pas nécessairement légitime aux yeux des autres personnes de l’équipe si personne n’a formulé d’exigences sur l’accessibilité en amont du projet.
16) Le bug du roi
Un bug est ouvert par une personne influente (typiquement, la ou le CEO), mais il se trouve que ça concerne une fonctionnalité qui se comporte comme ça par design. Et donc, on ne sait plus quoi faire du ticket.
___
Le constat est posé : en plus d’être tout un art, la gestion des anomalies est un sport qui n’est pas de tout repos ! Que mettez-vous en place dans vos organisations pour fluidifier cette activité ? Avez-vous rencontré d’autres situations où les rapports de bugs font débat, font trop de vagues ou pas assez ?
NB : Cet article reprend par écrit une partie de la conférence « La notion de bug est buggée », présentée par une de nos expertes il y a quelques années à l’occasion de la conférence Frug’Agile France. Cette conférence est à découvrir ou redécouvrir ici !
2023 commence merveilleusement bien pour Hightest ! Nous avons l’honneur d’accueillir une nouvelle personne dans notre dream team, Alexandrine Philip Brutel. Et qui plus est, nous avons le plaisir de vous livrer ce passionnant témoignage issu de son expérience en qualité logicielle.
Bonne lecture !
La cybersécurité est un sujet crucial dans un monde de plus en plus connecté, où la plupart des informations sont exposées sur internet. Il est donc nécessaire de prévenir le risque, se protéger, détecter, alerter, répondre et remédier à la cybermenace.
Les entreprises et les particuliers doivent prendre conscience des risques liés à la cybersécurité et prendre les mesures nécessaires pour se protéger.
Pourquoi est-ce que je dis tout ça ? Parce que, pour en avoir fait l’expérience, je sais que ce genre de problème n’arrive pas qu’aux autres.
Etions-nous préparés à une cyberattaque ?
Nous étions informés de l’existence de ces phénomènes malveillants, mais malgré tout, non préparés. Que peut-on faire sans l’accès à nos sessions ? Les premiers instants il y a une sorte d’incompréhension. L’attaque a eu lieu dans la nuit ou au petit matin, pourtant, vers 7h personne ne sait encore ce qu’il s’est passé. Impossible de se connecter, que pouvons-nous faire, nous qui avons heureusement fermé nos sessions et sommes déconnectés du système ? Nous nous sentons démunis, je me sens démunie…
Que s’est-il passé ?
Que se passe-t-il ce 24 janvier 2019 ?
Altran, le groupe dans lequel nous sommes consultants, vient de subir une attaque via un « crypto locker », appelé aussi ransomware. Un ransomware est un type de logiciel malveillant ayant pour but de prendre en otage les fichiers d’un ordinateur ou d’un réseau informatique en les chiffrant. Une rançon est alors demandée pour acheter la clé de chiffrement afin de pouvoir récupérer ses fichiers.
Cette attaque a été exécutée grâce à un « code inédit indétectable[1] » par les moyens mis en œuvre par le groupe pour se protéger.
Les sessions restées ouvertes sont une menace de propagation de ce ransomware.
Image générée à l’aide de l’IA Midjourney symbolisant l’aspiration de données
Des conséquences importantes pour Altran :
La première, l’obligation de déconnecter ses systèmes d’information (SI) pour protéger l’ensemble de ses clients et ses propres applications de la propagation de ce virus.
La création d’un nouveau protocole de restauration spécifique par un fournisseur mondial de services.
Une récupération très lente, beaucoup trop lente de ses données.
Une perte financière sèche, plus de 20 M d’euros, à 1 mois, fin février 2019 [1]
Des rumeurs sur le paiement éventuel d’une partie de la rançon en bitcoins.
Des répercussions importantes sur l’organisation même du groupe (Surcharge de travail pour le SI, modification de l’organisation de la TRA…)
La TRA dans tout ça ?
La TRA (Tierce recette applicative), totalement externalisée, se retrouve brutalement à l’arrêt, nécessitant des adaptations rapides avec tous les problèmes inhérents qui peuvent survenir.
Nous travaillons pour la plupart sur des VM (machines virtuelles) via un accès Altran. La déconnexion du SI bloque tous les accès. Comment honorer les délais de livraison des campagnes de tests, des robots d’automatisation, des stratégies à mettre en place, bref, de toutes les demandes clients sans accès à nos postes de travail ?
En 2019, la pandémie n’étant pas encore passée par là, le télétravail reste minoritaire, exceptionnel, voire inexistant. Et pourtant, il va falloir trouver une solution rapide et adaptée à chaque projet. Ceux pour lesquels le télétravail est possible ont pour consigne de rentrer chez eux, emportant sous le bras le matériel de l’époque, des PC fixes ! Pour tous les autres projets externalisés, la solution est de se rendre chez le client.
L’externalisation, qui est alors une solution formidable, devient une solution à double tranchant. L’éloignement des sites clients accentue la difficulté d’une réaction rapide, avec toute la logistique liée aux déplacements des uns et des autres à mettre en place.
Les projets sur lesquels intervient le reste de la TRA se situent à Paris, soit à 350 km. Il faut alors déplacer les consultants, les loger, mais encore faut-il que les locaux des clients permettent cette arrivée massive ! Nous serons donc répartis sur 2 sites, Paris (logés sur place) et Angers (avec des aller/retour quotidiens de
135 km de distance entre Rennes et Angers).
Nous alternerons ces 2 solutions, et nous ferons tous ces trajets, accompagnés d’une augmentation du volume horaire de nos journées, des multiples difficultés de gestion des éléments personnels (enfants, famille…), mais nous n’abandonnerons pas nos projets.
L’attaque dure, et pendant 4 semaines, nous nous plierons à cette nouvelle organisation.
Et après ?
Des solutions pour que cela ne se reproduise jamais !
Y a-t-il eu paiement ou non ? La création d’un nouveau protocole de restauration spécifique par un fournisseur mondial de services a-t-elle été suffisante ?
Cette réponse restera la réponse officielle annoncée par le groupe : Aucun paiement n’a été fait, seulement des discussions avec les attaquants.
« Concernant la rançon, si nous avions payé nous vous dirions que ce n’est pas le cas, et si nous n’avions pas payé nous vous dirions la même chose » plaisante le dirigeant[2]. « En revanche, nous avons communiqué avec les attaquants. Discuter avec eux, cela permet notamment de comprendre leurs véritables intentions. »[3]
En revanche il a bien été créé un nouveau protocole de restauration.
Quoi qu’il en soit, une réflexion sur le long terme se pose et des solutions adaptées sont à mettre en place.
Des questions essentielles doivent se poser pour Altran comme pour toutes les sociétés, telles que :
Qu’est-ce que la cybersécurité et pourquoi est-elle importante pour les entreprises et les particuliers ?
Quelles sont les principales menaces en matière de cybersécurité auxquelles les entreprises et les particuliers sont confrontés ?
Comment les entreprises et les particuliers peuvent-ils se protéger contre les cyberattaques ?
Quels sont les outils et les technologies les plus efficaces pour la cybersécurité ?
Comment les utilisateurs peuvent-ils se protéger contre les attaques de phishing et les escroqueries en ligne ?
Comment les entreprises peuvent-elles sensibiliser leurs employés à la cybersécurité et promouvoir des pratiques de sécurité ?
Comment lacybersécurité a-t-elle évolué au fil des ans et comment est-elle susceptible de changer à l’avenir ?
Quels sont les rôles et les responsabilités des gouvernements, des entreprises et des individus en matière de cybersécurité ?
Toutes ces questions ont abouti au renforcement des protocoles de sécurité accompagnés de grandes campagnes d’information récurrentes. Des tests obligatoires de sécurité sont mis en place avec un taux de réussite supérieur à 75% demandé. Outre ces actions, de nombreux éléments confidentiels sont également exploités et mis en œuvre.
Cette expérience enrichissante, vécue personnellement m’a montrée les dangers réels des cyber attaques. Des attaques insidieuses préparées bien en amont de leur émergence, pour Altran, les attaquants étaient présents dans le système depuis le 27 décembre, avec comme porte d’entrée une application web mal configurée utilisant un mot de passe d’accès par défaut[3]. Cette attaque a, pour ma part, mis en lumière toutes les problématiques engendrées pour le groupe, mais également les difficultés au quotidien pour chacun de nous. Je me dois d’avoir un regard différent sur ces cybermenaces, ce qui m’amène à la conclusion suivante sur la cybersécurité au sens large que nous sous-estimons trop souvent.
Conclusion : la cybersécurité et son avenir
La cybersécurité a connu une évolution rapide au fil des ans, en raison de la croissance exponentielle de la technologie de l’information et de l’utilisation de l’internet dans toutes les sphères de la vie. Les menaces de sécurité ont augmenté en nombre, en sophistication et en impact, et les mesures de cybersécurité ont dû s’adapter pour y faire face.
L’évolution des moyens de protection
Au début de l’ère de l’informatique, la sécurité informatique était largement axée sur la protection physique des systèmes et des réseaux. Les pare-feux et les antivirus étaient les principales solutions de sécurité mises en place. Cependant, à mesure que les réseaux ont augmenté en taille et en complexité, la cybersécurité est devenue plus importante. Les systèmes de détection d’intrusion ont été mis en place pour détecter les activités malveillantes, et les solutions de sécurité basées sur les signatures ont été développées pour identifier les logiciels malveillants connus.
Cependant, ces solutions se sont avérées insuffisantes face aux nouvelles menaces émergentes, telles que les attaques de déni de service distribué (DDoS), les attaques par phishing et les attaques de logiciels malveillants sophistiqués. Les organisations ont donc commencé à adopter des mesures plus avancées, telles que la surveillance des journaux d’activité, la détection des menaces avancées, comme des logiciels capables de détecter les comportements suspects sur un réseau et de les signaler aux administrateurs. Ces logiciels détectent les anomalies pouvant être des signes avant-coureurs d’une attaque de ransomware, permettant ainsi aux administrateurs de réagir rapidement pour limiter les dommages. D’autres mesures sont également mises en place, telles que la cryptographie et la segmentation des réseaux. Cette dernière implique la division du réseau en segments distincts, chacun avec ses propres règles d’accès et de sécurité. Cette approche limite la propagation des attaques de ransomware en isolant les parties infectées du reste du réseau. Les autres moyens techniques sont renforcés et peuvent inclure l’utilisation de solutions de plus en plus sophistiquées d’antivirus (EDR, XDR, …), du patch management[4] des logiciels et des systèmes (à partir d’un centre logiciel par exemple), de la supervision des équipements, en particulier les plus critiques.
Et demain ?
À l’avenir, la cybersécurité continuera à évoluer pour faire face aux menaces toujours plus sophistiquées des cybercriminels. Les entreprises et les gouvernements devront investir davantage dans la cybersécurité pour protéger leurs données et leurs infrastructures critiques. Les pratiques de cybersécurité devront être plus proactives, avec des systèmes de détection précoce et des mesures préventives pour réduire les risques d’attaque. L’automatisation et l’intelligence artificielle joueront un rôle de plus en plus important dans la cybersécurité, en aidant à détecter les menaces plus rapidement et à réagir plus efficacement. La mise en place de systèmes de sécurité adaptatifs et dynamiques sera également essentielle pour faire face aux nouvelles menaces qui émergent constamment.
En outre, la cybersécurité devra également tenir compte de l’évolution des technologies émergentes telles que l’intelligence artificielle, la blockchain et les objets connectés, qui présentent des risques de sécurité potentiels. Il sera donc important d’adopter une approche holistique de la cybersécurité, qui englobe la gouvernance, la gestion des risques et la conformité, ainsi que des stratégies de défense des données. Enfin, la sensibilisation et la formation à la cybersécurité devront être renforcées pour aider les utilisateurs à se protéger contre les menaces en constante évolution.
Les deux domaines impliquant les moyens humains nécessitent une amélioration continue et constante :
Le premier concerne la sensibilisation des utilisateurs aux risques liés à la cybersécurité, impliquant notamment la gestion des mots de passe et l’implémentation d’une authentification à deux facteurs (2-FA). Il est également crucial d’accompagner les utilisateurs dans la prévention des attaques de phishing et d’escroquerie en ligne, en les avertissant contre l’ouverture de courriers électroniques suspects ou frauduleux, en mettant en place par exemple une signature électronique préenregistrée en bas de chaque email envoyé.
Le second concerne la gestion des ressources et des compétences en matière de cybersécurité au sein de l’entreprise, y compris l’allocation de budget pour la sécurité[5], la communication et le leadership de la direction, qui doivent être en adéquation avec l’évolution des menaces.
Merci à Alexandrine pour cet article. La sécurité est l’une des 8 facettes de la qualité logicielle définies par la norme ISO 25010, et elle occupe dans ce puzzle une place très particulière en ce qu’elle se prémunit contre des risques changeants, souvent difficiles à anticiper, et qui se trouvent entre les mains de personnes tierces malveillantes. Pour en savoir plus sur ce sujet, nous vous invitons à redécouvrir les articles que nous avons publiés précédemment sur le sujet :
