Ce billet est la suite de celui-ci.
Cette série de billets commence avec celui-ci.
Me voici de nouveau présent dans l’entreprise ARRAKIS. Quinze jours ont passé, je suis en présence de Monsieur Léto, le DSI de l’entreprise, et d’un de ses ingénieurs. Nous allons enfin pouvoir aborder la partie technique du problème.
Tout d’abord, je lui rappelle les conditions de l’exercice que nous nous apprêtons à faire: je dois réaliser moi-même toutes les opérations, avec son aide bien entendu, mais moi-même.
« Ah bon? Mais nous avons déjà installé le serveur de test et procédé à l’installation de PGI et d’une première sauvegarde… »
« Et bien, cela montre que c’est possible, vous avez certainement résolu tous les petits désagréments que l’on rencontre dans ce genre d’installation, ce qui va nous faire gagner beaucoup de temps, mais je dois procéder moi-même à l’installation pour pouvoir remplir ma mission. »
Nous voici donc à recommencer l’installation d’un deuxième serveur de test (je préfère que l’on garde le 1er pour permettre à l’informaticien d’aller vérifier le paramétrage qu’il-a-mis-en-place-mais-pas-noté-sur-une-fiche-de-procédure-parce-que-bon-hein-on-a-autre-chose-à-faire). Je pousse les cédéroms, je suis les procédures, je prends des copies d’écran pour mon rapport. Comme je m’y attendais, tout cela prend quand même du temps, c’est-à-dire une bonne partie de la matinée.
Vient ensuite la restauration de la plus vieille sauvegarde, datant d’un an, et en particulier des dumps de la base. Mon objectif n’est pas de peaufiner un serveur de pré-production, ni de convaincre Monsieur Léto de l’utilité des exercices de restauration.
Je lui glisse quand même un petit avis personnel sur le fait de procéder à une sauvegarde complète du système AVANT installation du logiciel PGI, puis à une sauvegarde juste APRÈS recettage, sauvegardes qu’il est judicieux de conserver INDÉFINIMENT en cas de litige ultérieur. Il me répond assez classiquement, qu’on n’est pas en permanence à penser à une situation de litige avec ses partenaires. C’est une erreur, il faut toujours prévoir le pire.
Nous prélevons le contenu de la table contenant les droits des utilisateurs, selon la procédure indiquée par l’éditeur dans le fameux courrier à l’origine de l’affaire. J’utilise les outils de l’éditeur, avec lesquels je suis peu familier, sous la commande de l’ingénieur qui lui les connaît bien et manque plusieurs fois de m’arracher le clavier des mains tant il est exaspéré de ne pouvoir taper lui même les commandes. Pour me racheter un peu à ses yeux, je joue avec Toad sur mon PC pour examiner les entrailles du logiciel PGI.
Nous procédons ainsi pour toutes les sauvegardes encore actives dans la société ARRAKIS. Nous mangeons un sandwich sur place, entre deux restaurations de dump de la base. A chaque fois, je prélève une copie du contenu de la table des droits des utilisateurs que j’imprime aussitôt avec une mise en page basique.
A chaque fois, je constate invariablement que tous les utilisateurs sont au niveau 1, alors qu’ils devraient être uniquement au niveau 2.
A partir d’un certain moment, le contenu de la table change, juste après la réception du courrier de l’éditeur informant de l’anomalie constatée.
Je demande alors à Monsieur Léto s’il peut m’expliquer la différence entre le niveau 1 et le niveau 2 et quelles sont les opérations permises uniquement par le niveau 1. Il sort le manuel du logiciel PGI, me trouve la page répondant à mes questions. Je note que le niveau 1 permet d’utiliser des outils réservés aux administrateurs de la base. Je constate sur le système de production que ces outils ne sont pas installés sur les postes des utilisateurs, mais uniquement sur le poste de Monsieur Léto et de son ingénieur système. Je constate que la société ARRAKIS a payé pour avoir le droit niveau 1 pour deux utilisateurs dits « avancés ». Je constate également (grâce à mon petit outil « Toad ») que le logiciel PGI historise les accès privilégiés de niveau 1. Je peux ainsi constater que l’historique du système de production nous montre que les accès niveau 1 ont été limités dans le temps à la période du projet de déploiement initial et à quelques accès (probablement lors d’opérations de maintenance effectuées par la société CORRINO). Tous les accès ont été effectués à partir des deux postes affectés aux deux utilisateurs et toujours sous leurs identifiants personnels.
Je demande les bons d’interventions de la société CORRINO signés par Monsieur Léto à la fin de chaque intervention, ce qu’il me fournit assez facilement (c’est rare). Je note de les demander également à la société CORRINO.
Je demande enfin le fonctionnement des synchronisations horaires des systèmes informatiques (serveurs et postes utilisateurs). Monsieur Léto me montre que tous ses systèmes se synchronisent sur un groupe de serveurs de temps indépendants de l’entreprise et garantissant l’heure exacte sur tous les postes. Il souligne l’importance de cette exigence par la présence d’un logiciel de pointage horaire pour tous les salariés qui ne sont pas au forfait jour.
Il est 20h30, j’ai tous les éléments techniques pour rédiger mon pré-rapport.
Il me manque les documents de chaque avocat contenant leurs arguments au sujet de leur estimation des préjudices. Il me faudra ensuite relancer l’un des avocats qui tarde à m’adresser ce document.
Il me reste à rédiger mon pré-rapport, puis à le soumettre aux parties[1] pour qu’elles m’adressent leurs dires.
La suite de ce billet est à lire ici.
——————–
Crédit images darkroastedblend.com
[1] A chaque entreprise ET à son avocat, en recommandé avec avis de réception. Il arrive que l’entreprise se fâche avec son avocat et que celui-ci soit déchargé du dossier. N’envoyer qu’aux avocats est donc risqué. N’envoyer qu’aux entreprises fait perdre du temps, en particulier aux avocats. De plus, c’est mettre ceux-ci dans une situation de découvrir mon travail après leur cliente, ce que je trouve particulièrement impoli. Je recommande donc de toujours adresser les documents à la fois aux entreprises ET à leurs avocats.
