DISFE/DIS/POBM - FRÉDÉRIC DUMAS
Document Interne
Postes de travail en entreprise sous Android Retour d’expérience
2
40 000 Terminaux mobiles 20 000 positions de travail fixe
PROGRAMME NOBP – NUMÉRISATION DES OPÉRATIONS EN BP ACCÉLÉRER LA DIGITALISATION DES POINTS DE CONTACT LA POSTE
Accompagner la transition de 40 000 positions de travail fixe
01 02 03 04
Digitalisation de la relation client
Nouvelles pratiques et savoir-faire
Transformer le dialogue et l’interaction client
par le digital
Mettre en œuvre des méthodes de travail
novatrices
Poste de travail mobile
Faire du terminal mobile l’outil du
collaborateur
Filière mobilité
Doter les points de contacts de
services mobiles innovants
Le programme prend en charge la filière mobilité pour la Banque et le Reseau
UNE EXPÉRIENCE ÉTAYÉE PAR DE NOMBREUX PROJETS
Smarteo BP Un smartphone par position de travail en remplacement d’un PC. Réalisation d’acte métiers par les postiers à partir d’applicatifs dédiés depuis un lanceur personnalisé. Plus de 3500 terminaux en production
Smarteo LPR Un smartphone par commerçant partenaire. Réalisation d’acte métiers à partir d’un applicatif dédié. Plus de 1600 terminaux en production
Terminaux ETG Tablette numérique kiosquée permettant le passage du code de la route offline Plus de 4200 terminaux en production
Smarteo LPAC Tablette numérique en consultation libre sur 2 univers : Services Web La Poste, Services Web Public Une tablette par agence postale communale à destination des clients Plus de 3100 terminaux en production
Dans le cadre du programme NOBP, la DISFE déploie des terminaux mobiles (smartphones et tablettes) dans ses différents points de contacts (Bureau de Poste, Agence Postale Communale, Relais Poste Commerçant, Maison de Service Au Public) afin de proposer de nouveaux services aux clients
3
Smarteo MSAP Tablette numérique en consultation libre sur 2 univers : Services Web La Poste, Services Web Public Une tablette par MSAP à destination des clients Plus de 450 terminaux en production
Fully m
anaged
CO
PE
Tablette iPad manager Tablettes numérique managées non kiosquées à destination du COMEX DAST RLP Plusieurs tablettes sécurisées à destination des directeurs financier Possibilité d’installer des applications Client de messagerie sécurisé Good pour certains utilisateurs Plus de 100 terminaux en production
UNE OFFRE ANDROID ET IOS AVANT TOUT « FULLY MANAGED » UN TRANSFERT PROGRESSIF DU CENTRE DE GRAVITÉ VERS LES USAGES « COPE »
A terme
Situation actuelle
Corporate Owned Business Only
COBO COSU Corporate Owned Single -use
APC
MSAP
LPR
ETG Smarteo
BP
Western Union
…
DFI RLP
DFI DS
.COM1
… Opérationnel
Cadrage
A venir
POC
CAP CLIENT
EBR Manager
Sensible
…
95 % Fully managed 5 % COPE
60 % Fully managed 30 %COPE
EBR Classes virtuelles
Corporate Owned, Personally Enabled
COPE
4
Le choix d’un terminal sous Android peu onéreux
L’ambition de faire de ces terminaux de véritables postes de travail (70 % de
couverture fonctionnelle SIBP et nouveaux usages)
La nécessité de bâtir en priorité des solutions 100% maitrisées « fully managed »
Exigences de départ Contraintes immédiates
Un matériel géré comme consommable
La volonté de construire une filière de 40000 terminaux pour différents usages
Un OS encore jeune et mouvant,
orienté Grand Public
Un volet sécurité en pleine évolution
Un manque potentiel de maturité des
outils professionnels et une
dimension industrielle mal intégrée
par le marché
Une stratégie d’approvisionnement au fil des besoins
Une qualification de nouveaux
matériels en continu
5
Domaine « Socles »
Choix de matériel et système Définition de configurations
Domaine « Déploiement »
Domaine « Exploitation »
Sécurisation au niveau requis
Masterisation centralisée en configuration finale Déploiement et logistique Mise en place des connectivités
Maitrise d’un parc mobile Inventaire et diagnostic Services mutualisés
MISE EN ŒUVRE DE POSTES DE TRAVAIL SOUS ANDROID
UNE NÉCESSITÉ DE COUVRIR DIFFÉRENTS DOMAINES AFIN DE RÉPONDRE DE FAÇON INDUSTRIALISÉE :
6
MISE EN ŒUVRE DE POSTES DE TRAVAIL SOUS ANDROID
DES EFFORTS CONCENTRÉS SUR DEUX AXES :
Industrialisation (classique)
Spécificités liées à la technologie mobile sous Android Des sujets autour de l’EMM et son interfaçage sur Android,
un système d’exploitation conçu pour le grand public
Des usages professionnels et personnels et donc des besoins de sécurité différents suivant la configuration
Certains usages natifs Android difficile à concilier avec le monde de l’entreprise (compte Gmail, mises à jour d’OS, etc.)
Professionnalisation d’Android
Problématiques liées à des déploiements industriels
Un volume important
Un travail de qualification de l’OS et des machines continu
Des sujets autour de la gestion du matériel, de la masterisation et du support
7
Un OS encore jeune et mouvant
Google développe son OS et les constructeurs l’intègrent ensuite
Une compatibilité ascendante pensée par Android mais des problèmes d’obsolescence avec les webviews
Des évolutions/régression subies régulièrement (évolutions mode d’appairage bluetooth, usage UUID...)
Une qualification de l’OS difficile et dans un timing court à chaque nouvelle version
Une veille impérative Montage d’un processus de qualification de Nexus (Google) pour tester les OS au plus tôt Une fenêtre de temps serrée pour qualifier les terminaux Samsung A5 à chaque montée de version
Domaine « Socles »
Choix de matériel et système Définition de configurations Sécurisation au niveau requis
Une qualification de nouveaux matériels en continu
Un cycle de vie matériel court (2/3 ans de maintenance de l’OS qui démarre à la sortie de la gamme, gammes à durée variable)
Des évolutions perturbantes au sein d’une gamme (TAB 4/A passant en mode paysage/portrait)
Une gestion complexifiée par un approvisionnement par petits volumes
8
ZOOM SOCLE - ILLUSTRATION LA QUALIFICATION DES MACHINES ET DES VERSIONS D’ANDROID RESTE SENSIBLE
La qualification doit être anticipée mais nous sommes toujours sur des délais tendus
9
QUALIFICATION ANDROID
2017 2017
Aujourd'hui
févr. mars avr. mai juin juil.
Nexus 6 - BPmars 30, 2017
Nexus - LPRavr. 28, 2017
Samsung S7 - LPRmai 26, 2017
Samsung TAB S2 - LPACjuin 16, 2017
Samsung TAB S2 - MSAPjuil. 7, 2017
Samsung TAB A -Livraison Android 77/19/2017
Samsung A5 -Livraison Android 77/31/2017
Samsung S7 - BP
mai 12, 2017
févr. 27, 2017 - mars 30, 2017Qualification BP sur Nexus 6
mars 20, 2017 - avr. 28, 2017Qualification LPR sur Nexus 6
avr. 10, 2017 - mai 12, 2017Qualification BP sur Samsung S7
avr. 10, 2017 - mai 26, 2017Qualification LPR sur Samsung S7
mai 24, 2017 - juin 16, 2017Qualification LPAC sur TAB S2
mai 29, 2017 - juil. 7, 2017Qualification MSAP sur TAB S2
Ingénierie(Dev & PIC)
Constructeurs
OS
Applications par usages(Smarteo BP, RPCAPC, MSAP …)
Services techniques
FMK, Socle, Drivers …
Matériel
EMM
Masterisation
Nouvelles versions Android Vn Preview
Developer
Release Android Vnsur Nexus
Release Android Vnsur Autres constructeurs
Gouvernance :
Analyse Impacts
Liste impactsOpportunités (MOE & MOA)Dispositif
Veille Préqualification Qualification
Adaptation Masterisation
Impacts installation
Analyse EMM
Impacts configuration
Analyse FMK
Détails des impactsPackages Beta
Analyse Services techniques
Librairies & API Beta
Analyse applications
Détails des impacts
Kickoff
Analyse Impacts
Adaptations et validation FMK
Packages
Adaptation Services techniques
Librairies & API
Adaptations applications
Validation Masterisation
VNR Appli – MOE
VNR Services techniques
Validation FMK (incl. Sample)
Packages
GO/NO GO
Version
VA Appli - MOA
Pilotes
Analyse Ingénierie
Nelles règles, impacts PIC, tests à faire
Liste impactsOpportunités (MOE & MOA)Dispositif
Adaptation Ingénierie
Documentation, PIC, tests
ValidationImpacts
+ COSUI + COSUI
GODéploiement
COSUI
Rapport de veille global
Rapport de préqualification
PV de qualificationAnalyse
Impacts
Qualification Ingénierie
Réalisation & tests
Analyse Matériel
Gammes candidatesGestion obsolescence
APKs
VNR Matériel et performances
Gammes candidates
Librairies & API
APKs
GOPilote
Liste impactsOpportunités (MOE & MOA)Dispositif
POBM/SEIPOBM/TAB
DPI/IGCDTA/IDEV
Evolutions EMM
Montées de version console, agent et modifications de configuration
SUIVI QUALIFICATION ANDROID 7Présérie
Android Vnsur Autres
constructeurs
Qualification EMM
Réception Présérie
ICI
Processus de qualification
Domaine « Déploiement »
Masterisation centralisée en configuration finale Déploiement et logistique Mise en place des connectivités / Sécurité
Un manque potentiel de maturité des outils professionnels et un volet sécurité en pleine évolution
Un besoin Fully managed mal servi par le marché, avec des niveaux de sécurisation différents suivant les constructeurs.
Parmi les constructeurs, seul Samsung a investi sur ce volet avec la mise à disposition de KNOX (et SAFE avant)
Un volet COPE facilité par Android For Work et moins contraignant en matière de matériels
Le volet sécurité et l’intégration avec les outils professionnel sont en pleine évolution :
Google veut développer le segment PRO
La sortie d’Android For Entreprise (successeur de A.F.Work) plus orienté PRO (Fully Managed), pourrait nous permettre de piloter des constructeurs autres que Samsung
10
UN MARCHÉ GRAND PUBLIC DOMINÉ PAR GOOGLE ANDROID DEPUIS 2014 … MAIS UN MARCHÉ PROFESSIONNEL ENCORE DOMINE PAR APPLE
ET MORCELÉ EN FONCTION DES USAGES
3 grandes tendances d’usages à titre professionnel
A terme
Situation actuelle
Un terminal fully managed
nécessaire à la mise à
disposition d’un véritable
poste de travail de
production
95 % Fully managed 5 % COPE
60 % Fully managed 30 % COPE
Apple
70 %
BYOD Bring Your Own
Device
COPE Corporate Owned, Personally Enabled
Fully managed sécurisé et dédié à un usage professionnel
Apple iOS
Pour des usages BYOD et COPE avec une
sécurisation du terminal intégrée propre à
iOS + mot de passe
Android for Work Imbriqué avec
l’écosystème Google
Andro
id 3
0 %
SAFE Knox Solution propriétaire Samsung
Solutions sur mesure Construite autour d’un EMM
Sans dispositif
Besoins actuels DISFE et projections
Postes de production Managers
pro/perso
En dehors des solution Samsung, Le besoin Fully managed est peu traité par le marché ! Android For Entreprise devrait apporter des solutions à moyen terme
Android 65% Apple 35%
11
Une dimension industrielle mal intégrée par le marché
Le paramétrage manuel a vite montré ses limites. Un dispositif de masterisation est devenu indispensable :
Une logique de terminal embarqué nécessitant une maitrise des configurations afin d’éviter tout écart de paramétrage une fois les terminaux déployés sur site
Avec un matériel considéré comme consommable avec une durée de vie courte, il est pertinent d’assurer un SAV en échange rapide plutôt que de déplacer un support de proximité
Des actions menées :
Collaboration avec le CNAP pour l’industrialisation du processus,
Usage opérationnel sur ETG, BP, APC
Des solution en travaux en cours : Prise de main à distance (PMAD), Mise à jour des OS
12
Domaine « Déploiement »
Masterisation centralisée en configuration finale Déploiement et logistique Mise en place des connectivités / Sécurité
Domaine « Exploitation »
Maitrise d’un parc mobile Inventaire et diagnostic Services mutualisés
Une gestion du parc et des configurations intégrée à l’EMM avec un contrôle continu des terminaux privilégié (VS solution antivirus)
Des enjeux/risques différents suivant les cibles
BP où l’on contrôle tout et où l’on est sur intranet
Les machines COPE Pro/perso
Une vérification minutieuse des nouveaux entrants sur les terminaux (installation d’applications, modification de paramètres) est déterminante pour maintenir le niveau de sécurité requis
Supervision en continue et détection de comportements suspects ou vulnérabilités (fuite de données, flux inhabituels, actions non autorisées) Pradéo
Des solutions en travaux en cours : Fluidifier la mise à jour des OS
L’EMM est complété par un outil de diagnostic
13
Domaine « Exploitation »
Maitrise d’un parc mobile Inventaire et diagnostic Services mutualisés
Développer le recours à des services techniques mutualisés et l’utilisation d’un framework commun afin de garantir la cohérence et la compatibilité
Un développement modulaire offrant un potentiel de réutilisabilité fort (VS développement monolithique)
… mais de manière raisonnée Doser le curseur afin de ne pas mettre en péril les performances et la simplicité des déploiement applicatifs
Un dispositif industriel d’ingénierie est indispensable
Mise en place d’une PIC, de standards…
La gestion des retours arrière étant délicate (perte des données et blocage potentiel) :
On doit plutôt s’organiser pour faire des « retours en avant »
On doit isoler les données locales sensibles
14
Services Centraux
ILLUSTRATION - UNE GAMME DE SERVICES TECHNIQUES MUTUALISÉS LOCAUX / CENTRAUX
FSA
Authentification STCA DataPush
Message
Fichiers **
APK Métier
APK Métier
APK Métier
Lecteur PDF
Impression Navigateur Webview
Scan Bluetooth
Capteur Présence
Scan CodeBarre
Fichiers Stockage
Configuration* Panier de Données
Alertes
ADMIN *
ADMIN *
STCA
Gestion PDF
Configuration
Données communes
Vérif ID
Impression
Diagnostic
Suite Office
Fennec
Gestion des logs
PULSAT
* en développement ** POC
Explorateur de fichier
Scan ** Document
LANCEUR
Pro
visi
on
nin
g
15
16
Gestion des applications Gestion du paramétrages
Gestion de la sécurité Collecte d’informations
Demande d’évolutions
Expression de nouveaux besoins
Remontée d’anomalies
Des offres jeunes, très mouvantes mais déjà solides
Les sujets les plus complexes sont derrière nous
La sécurité et l’ouverture à différents constructeurs restent d’actualité
La DISFE collabore avec les acteurs du marché dans l’objectif de professionnaliser l’écosystème
ANNEXES
USAGES EN COURS OU À VENIR
18
APC Smarteo BP
MSAP
LPR
ETG
Smarteo/Facteo
DFI RLP
Smarteo
GT
CAP CLIENT
Sensible
EBR Classes Virtuelles
Station F Show Room
LPM Ardoiz
Opérationnel
Cadrage
Construction
A venir
POC
DFI DS
Idée
Clients Postiers/ Partenaires Collaborateurs
Western Union
CN23
COMEX, directeurs Guichetiers facteurs
Smarteo Think &Go
COPE
EBR Manager
.COM1
Corporate Owned Personal Enabled Corporate Owned Business Only
COBO
Clients
COSU
Corporate Owned Single -use
NOMAD
18
FOCUS SUR BP : BUREAUX DE POSTE (5000 MACHINES, 2000 SITES FIN 2017)
Périphériques
Couverture fonctionnelle
Dépôt d’objets
Retrait d’objets
Vente de produits et services
Contrôle d’identité
Apports Alertes et
notifications
Déclaration d’incident
Enquêtes
Synchronisation
Informations techniques
Périphériques d’impression accessibles en Wi-Fi
Périphériques de pointage et de paiement
accessibles en blue-tooth
Stratégie d’utilisation
• Un smartphone par position de travail en remplacement d’un PC. • Réalisation d’acte métiers par les postiers à partir d’applicatifs dédiés depuis un
lanceur personnalisé. • Aucune configuration modifiable par le postier ( en dehors de celle faite au sein des
applications métiers, ex: appairage différents TPE suivant localisation dans point de contact )
• 80% off laptop functionalities
Point notables filière
Matériel, EMM, WIFI , Sécu, urba, archi, ingé
• EMM fully managed (Durci) , wifi interne, smartphone >5 • Session liée à la position travail (vs postier) • Notes => A5 avec perte de définition sur le stylet 19
FOCUS SUR LPR : LA POSTE RELAIS (4000 SITES - 25% BURALISTES, GRANDE DISTRIB…)
Périphériques
Couverture fonctionnelle
Connexion Internet et wifi commerçant ou LaPoste
Périphériques d’impression accessibles en blue-tooth
Stratégie d’utilisation
• Un smartphone par commerçant partenaire • Réalisation d’acte métiers à partir d’un applicatif dédié. • En dehors du wifi, aucune configuration n’est modifiable par le
commerçant (en dehors de celle faite au sein des applications métiers, ex: appairage Imprimante)
• Durci, fully managed, 5’, wifi externe sans certificat,
• Evolution Notes vers A5
• Adaptation lié au partenaire lors de l’installation sur site
Point notables filière
Matériel, EMM, WIFI , Sécu, urba, archi, ingé
20
FOCUS LPAC: LA POSTE AGENCE POSTALE COMMUNALE (6000 SITES FIN 2017)
Périphériques
Couverture fonctionnelle
Connexion Internet wifi
Quelques Imprimantes multi-fonctions accessibles en Wi-Fi
Impression possible sur imprimantes adossées au PC fourni aussi
dans le site
Stratégie d’utilisation
• Une tablette par agence postale communale à destination des clients
• Kiosque sur un navigateur internet personnalisé et sécurisé
• Aucune opération d’administration locale.
• Tablette branché en permanence
• Une solution centrale de provisionning pour gérer contenu/fonctions offerts sur
tablette
Tablette numérique en consultation libre sur 2 univers :
Services Web La Poste
Services Web Public
• Kysoque, fully managed, 10’, wifi externe sans certificat,
• Une partie du parc est veillissante (1500 device en Android 4.X) Point notables
filière Matériel, EMM, WIFI , Sécu,
urba, archi, ingé 21