Forem: Yann Schepens

TNT 2026

Yann Schepens — Tue, 24 Feb 2026 08:01:36 +0000

On ne le dira jamais assez, Touraine Tech, c’est un peu la madeleine de Proust de pas mal de conférenciers et conférencières. Il y a un côté "retour sur les bancs de l’école", ce qui est littéralement le cas, l’événement se déroulant dans les locaux de la Faculté des Sciences et Techniques de Tours.

3ème édition pour moi cette année. Après avoir parlé d’ESI et d’Infra as Code, j’ai discuté de veille techno avec un nouveau format pour moi : le Quickie.

Cette année, comme l’année dernière, nous débarquons avec une délégation onepoint. Trois Bordelais et trois Nantais. Un peu moins que les années précédentes, mais disons que ce sont les meilleurs…

Petit rappel sur TNT

Cette conférence généraliste de l’IT, se déroulant sur deux jours, est un très bon endroit pour les primo-speakers comme pour les plus expérimentés. La plupart des speakers connaissent TNT ou, du moins, des membres de l’équipe d’organisation. C’est un point de rendez-vous annuel pour nombre d’entre eux, dans une ambiance toujours très bon enfant, mais très studieuse. Ici, on parle, on rigole et on apprend.

Trêve de bavardages, allons découvrir ces deux jours.

L'évènement

TNT en est à sa 8ème édition. Il s’est déroulé pendant quelques années dans les locaux de Polytech’Tours mais, vu son succès, il investit maintenant la Faculté des Sciences. Les étudiants aident l’équipe organisatrice tout au long de l’événement, une particularité plutôt cool. Que ce soit pour l’installation, la logistique ou la gestion de la captation, ils sont partout. Bravo à eux, ce n’est pas facile de gérer tout un tas de développeurs en vadrouille.

L’équipe organisatrice est composée de beaucoup de speakers et d’habitués des conférences et meetups, et ça se voit. Que ce soit au niveau de la planification, de la communication ou de la réactivité, l’événement est cadré, efficace et très professionnel, avec un accent important mis sur la bonne humeur et la bienveillance. C’est un confort incroyable pour tout le monde : speakers, sponsors et public.

500 participants
260 soumissions au CFP
Diffusion en direct sur YouTube
Atelier d’initiation aux premiers secours pendant l’événement

Le lieu

La Faculté des Sciences de Tours n’est plus toute jeune, et ça se voit. Par contre, elle a l’avantage de pouvoir accueillir sans problème cinq tracks dans cinq amphithéâtres. C’est une école, elle est donc bien équipée pour les conférences.

Les lieux de passage peuvent être un peu étroits, surtout avec les stands, mais cela donne une petite impression de "retour à l’école" particulièrement drôle. Un barnum est aussi installé à l’extérieur pour les repas et le café. Cet endroit, un peu à l’écart, se prête bien au papotage sans gêner le passage entre les conférences.

Les soirées

Autour de TNT, trois soirées : une "avant", une pour les speakers entre les deux jours, et une "après". Je ne peux pas aller à celle d'après (il faut bien rentrer à la maison !), mais je ne raterais pour rien au monde les deux premières.

Cette année, comme l’an dernier, la première soirée s’est faite au Delirium Café. On ne va pas se mentir, le monde de l’IT et les brasseries ont une affinité particulière. Encore une occasion de revoir les connaissances avant de plonger dans le bain.

Pour l’entre-deux, direction le Cubrik, dans le centre de Tours. Excellente soirée en très bonne compagnie. Cela faisait longtemps que je n'étais pas parti en conférence et ça m’a fait plaisir de revoir des têtes connues.

C’est bien de faire la fête, mais l’important, ce sont les conférences !

Conférences

Keynote d'ouverture "Tech vs bots, débuggons la démocratie"

Clément Hammel-Cazenave CEO d'Agoratlas

Qui de mieux pour ouvrir une conférence d'IT que le boss d'une entreprise spécialisée dans l'analyse de ce qu'il se passe dans les réseaux sociaux ; et plus précisement sur la notion de l'influence des réseaux sociaux et de manipulation des informations que l'on trouve dessus sur nos démocraties.

Clément nous explique comment, techniquement et visuellement, ils font leur analyse et la génération des graphs (Méthode de Louvain). Je vous passe les détails, mais on constate très clairement la notion de récupération politique dans les communications sur les réseaux. Il appuie ces analyses avec des exemples assez importants, tel que les échanges entre Trump et Zelensky ou la crise des agriculteurs. On constate assez rapidement la création de faux comptes, la duplication de contenu et les différentes stratégies d'influences.

En partant de ces états de fait, Clément prend de la hauteur et amène la notion de guerre de l'information et des usages par les différents états.

Bref, le sujet est passionnant, autant techniquement que sur l'importance que ça a dans nos quotidiens.

Pour conclure, quelques éléments que je souhaite mettre en avant : Viginum, Gephi, D3lta pour la tech et les organismes. Et enfin, Cadrer, Detecter, Réagir, Collaborer et SORTEZ DE X (Twitter).

Merci beaucoup Clément.

Onboarding 2.0 : Réinventer l'intégration des devs

Hafsa ELMAIZI

Pourquoi j'y vais : Avec 15ans d'expérience derrière-moi, je suis généralement côté intégration des équipes, ma vision est donc biaisée sur la façon dont son vécu les onboarding, surtout avec les plus juniors d'entre nous. Une piqure de rappel, et peut-être une nouvelle approche, me fera du bien.

Mon avis : Hafsa fait un constat que je partage : la plupart des onboarding sont nuls et mal faits. Il manque le materiel, les accès, une personne vous accueille pendant 1 heure et retourne à ces occupations, vous laissant là, au milieu du bureau, comme une ame en peine.

Elle propose donc une structure, un plan, sur plusieurs mois permettant d'améliorer ce process, qui n'est pas qu'une formalité.

Au travers différentes scénettes, Hafsa décrit chacune de ces étapes et les granularités et objectifs attendus. De l'intégration, la découverte de la culture d'entreprise, la création de lien et comment devenir performant, tout y passe.

Que ce soit par les outils ou les intervenants, l'objectif de cette intégration est d'avoir un nouveau collaborateur en confiance, autonome et évidemment performant.

Je vous conseille vivement d'aller voir cette conférence, qui au-delà de son côté "plein de bons sens", est très "terrain" et rapidement applicable.

Merci Hafsa

Redécouvrir PHP : pratiques modernes au-delà de l’héritage

Horacio Gonzalez (LostInBrittany)

Pourquoi j'y vais : Parce que PHP, j'aime ce langage et même si je n'en fais plus régulièrement, ça reste mon langage de prédilection. Je veux connaitre les évolutions.

Mon avis : Ouuuuuuuuuuuuuuiiiiiiiiiiiii, enfin, merci ! Ce sujet était dans mon backlog de conférence depuis quelques années, mais je n'ai jamais pris de temps de l'aborder. Et Horacio le fait extrêmement bien.

Il reprend toutes les horreurs encore évoquées sur PHP aujourd'hui, se basant sur un PHP de... 2004. Il va falloir grandir un peu et se renseigner. Il évoque le fait qu'à de "se faire bully" par les autres développeurs, les développeurs PHP ont créé leur propre écosystème de conférence, de plateforme, etc. Clairement aussi qualitive que les plateformes généralistes.

Il revoit toutes les évolutions du langage pour arriver aujourd'hui, et depuis quelques années en réalité, à un langage, des frameworks et des pratiques qui ressemblent peu ou prou à ce que propose l'ensemble des langages dit moderne.

Il passe aussi sur l'omniprésence de ce langage et de son ecosystème sur Internet et les plateformes que nous utilisons au quotidien. Tout en montrant les évolutions présentes et à venir autour du langage.

Et merci Horacio de bien faire la distinction entre Wordpress et le reste de l'écosystème PHP, on a pas la même démarche, car pas les mêmes besoins et/ou envies.

J'en entends certains se dire : "impossible, c'est du PHP", ces gens sont nulles et incompétents pour un langage nul et inutile. Vous savez quoi, restez dans vos dogmes ou allez vous renseigner un minimum (d'ailleurs, faites attention, on utilise plus le franc maintenant, on est passé à l'euro).

Ca fait du bien de voir ce genre de sujet arrivé dans des conférénces généralistes.

Bravo !

Title, ce faux ami de l'accessibilité

François-Xavier Lair

Pourquoi j'y vais : Parce que FX déjà, ensuite le HTML, c'est juste la base de ce que nous développons et qui est visible par les utilisateurs, TOUS les utilisateurs.

Mon avis : FX que je vois sortir en courant de la salle, oubli de télécommande, puis qui se rend compte, au bout de 3 min (sur un quickie), qu'il n'est pas sur les bons slides et le son qui ne fonctionne pas, ca n'a pas de prix.

Sinon, bonne (re)mise au point sûr d'usage de l'attribut title, les impacts sur l'accessibilité et surtout les alternatives à title pour les tooltips et les fonctionnalités de title. Découverte pour moi de l'attribut popover qui est vraiment intéressant.

FX est toujours un très bon speaker, précis et efficace, d'autant plus qu'il imite hyyyyper bien le lecteur d'écran (et oui pas de son).

Merci FX !

J'ai packagé mon application en image Docker, et maintenant ?

Aurélie Vache

Pourquoi j'y vais : Parce que Aurélie. Et surtout comment assurer la sécurité dans notre chaine de fabrication.

Mon avis : Tiens ?! Aurélie sur un sujet tech, mais oui !

Puis pas n'importe quel sujet : la mise en place de la norme SLSA dans le cas des réglementations CRA, NIS2, etc.

Via cette conférence, Aurélie nous réexplique les failles potentielles sur une chaine de fabrication et la raison d'être du SLSA, et son côté très obscur d'ailleurs. Les notions de SBOM, VEX, In-toto, PURL nous sont expliqués ainsi que leur usage, mais le plus intéressant est la mise en pratique.

En effet, elle met en œuvre, en live, les mécanismes de sécurisation de la chaine de fabrication de son image docker. Elle nous montre comment utilisez chacun des outils (et il y en a beaucoup), en nous conseillant sur les usages, et ce, de bout en bout de la chaine de fabrication.

A son habitude, l'explication est claire et efficace. Pour m'être confronté au sujet, j'aurais préféré avoir vu cette conférence (ou avoir une petite Aurélie sur l'épaule) avant de m'y lancer.

Au-delà d'être une excellente approche 360 autour du sujet, on repart avec une nouvelle boite à outils en sachant comment et à quoi sert chacun de ces outils.

Merci Aurélie !

Fatigués de la POO ? Passer à la DOP !

Jérôme Tama

Pourquoi j'y vais : Parce que Jérôme (oui, je choisis aussi en fonction de mes connaissances), En tant qu'adepte de la conception logicielle sous toutes ses coutures, forcement, la notion de DOP m'intrigue.

Mon avis : Jérôme et les démos live, on voit qu'il aime ça. Comme à son habitude, il prend un bout de code déjà existant et le reprend pour apporter les concepts.

Il nous remontre comment utiliser correctement la POO, en cherchant à modéliser le réel. Là où sa conférence est particulièrement intéressante, c'est qu'il va s'appuyer sur les capacités avancées, ou non, de son langage pour arriver à ses fins.

On arrive à un code élégant et efficace, il nous emmène à l'état de l'art de la conception et du langage, c'est un exemple.

Merci Jérôme.

Un jardin sur sol vivant connecté, pourquoi et comment ?

Alexandre Delegue

Pourquoi j'y vais : L'informatique est censé aider les gens, quoi de plus utile qu'un jardin ?.

Mon avis : Un talk sur le jardinage, sérieusement. Alexandre reprend les différents types d'agriculture, les mécanismes artificiels ou naturels pour faire pousser des plantes, l'impact de l'homme de manière très concrète sur la terre (avec un t minuscule).

On parle de sol vivant, de grandes cultures, de serres tropicales et on finit avec un peu de domotique dans le jardin d'Alexandre qui nous explique comment il compte faire son jardin en s'appuyant sur ce qu'il a lu et un peu de tech.

C'était ... rafraichissant :)

Plus sérieusement, j'ai beaucoup aimé, de part à ma curiosité naturelle, ça ne parle vraiment pas de tech, hormis un peu à la fin. Et encore.

Merci Alexandre :)

Open-source : Pourquoi ? Comment ?

Julien Deniau

Pourquoi j'y vais : Le titre. Sans l'opensource, notre métier serait bien différent. Il est important de contribuer, je veux découvrir cette approche.

Mon avis : Première fois que je vois Julien, et j'ai apprécié le personnage et l'approche. Il rappelle que tout le monde de l'IT tient sur le travail de quelques personnes... Que même nous, nous ne connaissons pas.

Il nous coince avec un quizz sur les maintainer/créateurs de Curl, PHP, Java. On ne connait personne. Tristesse.

Ensuite, s'envient la discussion sur les motivations à faire de l'opensource. L'argent, la notoriété, tester des trucs, pas vraiment. Par contre, développer de la connaissance oui ! Et quelques trucs cools, comme le fait de recevoir des remerciements, mais c'est réellement rare.

Il nous donne quelques conseils pour se lancer dans l'opensource et rappelle, à juste titre, que l'opensource, ce n'est pas que produire du code. C'est aussi rapporter des bugs, proposer des évolutions, écrire des articles, etc.

Deux choses importantes à ce sujet : l'IA pompe tout l'opensource, à vous d'en tirer vos conclusions. Et surtout, 1,5% de femmes dans l'opensource.

Merci Julien pour tous ces messages !

Keynote de fermeture

Jean-François Garreau

Speechless : Extra

La confrontation entre 4 speakers chevronné(e)s, qui ne connaissent pas le sujet, ni les slides et qui n'en sont clairement pas aidé. C'est toujours exceptionnels. Je ne sais pas si ce sera capté, mais si vous voulez voir du talent à l'état pur et passer un bon moment de rigolade, allez-y.

Et toujours aussi malicieusement animé par Jean-François, qui manipule diaboliquement le public et les speakers.

Keynote ouverture : Gray hat, Black Hat, Users, Employés

Mikael Robert, Yohann Boyer, Benjamin Chouraqui (pas là, mais un peu là)

Mon avis : Découverte pour moi d'un nouveau réseau social : Yubo. Encore un truc de jeune. Et surtout, encore un endroit où la cybersécurité est importante. Mais pas de la façon dont on l'aborde généralement.

Mikaël et Yohann nous expliquent qu'aujourd'hui, le hacker, ce n'est pas seulement la personne hypercalé en tech. C'est aussi l'ado qui sait se servir de son téléphone et comprend le fonctionnement d'une appli pour en contourner l'usage. Et l'IA lui permet d'aller vite et plus loin.

Ils reprennent les notions de Black/White/Grey hat et le fait qu'aujourd'hui, ces termes sont beaucoup plus flous. Ils présentent différents types d'attaque, inédites pour la plupart, et comment ils arrivent à les contrer. Au passage, il nous redonne les bonnes pratiques pour gérer efficacement les failles de sécurité, sans se précipiter et pour trouver les bonnes solutions.

Cette keynote est une excellente keynote, elle remet les pieds sur Terre, est très pratique et, je pense, lucide la réalité.

Merci, j'ai hate d'avoir le replay pour le diffuser.

Serveurs MCP au-delà des bases : bonnes pratiques, choix de conception et leurs conséquences

Horacio Gonzalez

Pourquoi j'y vais : J'ai suivi Jérôme. Et de toute façon, va falloir que je me renseigne un peu sur les MCP

Mon avis : Avec beaucoup de slides, Horacio revient sur les problématiques liés à la communication entre une IA et nos API plus classique. Il développe donc le principe des serveurs MCP et leur fonctionnement. Son idée, avec laquelle je suis en phase, est que nous fait de l'API first, et maintenant, il faudra aussi avec un serveur MCP automatiquement pour pouvoir interconnecter l'ensemble du monde de l'IT.

Nous ne sommes plus à l'étape de la découverte pour les MCP, mais à l'étape des bonnes pratiques. Il en liste d'ailleurs une bonne quantité qu'il met à disposition sur son dépôt Github (je vous laisse aller les chercher sur github, son pseudonyme est LostInBrittany).

Merci Horacio, c'était très clair. Dès que la vidéo sort, jetez-vous dessus, il vous apprendra des choses.

Tricher pour apprendre : 30 minutes par jour pour rester curieux dans nos métiers de la tech

Yann Schepens

Pourquoi j'y vais : Ai-je besoin de répondre à cette question ?

Mon avis : MON PREMIER QUICKIE ! Ben ça s'est bien passé, je suis assez content. Mais c'est vrai que le format est vraiment particulier. Passer d'un deepdive à un quicky, ça fait bizarre.

Un passage à 13h avec pas mal de monde (merci à Estelle Landry d'ailleurs qui a poussé les gens à venir me voir), dont quelques guests stars :)

Pas mal de bons retours, juste après ou dans les couloirs. Pour un sujet hors tech, c'est toujours agréable.

Local-first et sync-engines, l'architecture du futur ?

Benjamin Legrand

Pourquoi j'y vais : Parce que Benjamin. Même si je ne comprends pas tout, j'apprends toujours des super trucs

Mon avis : Je n'ai pas pris de note. Mais c'était bien. Plus sérieusement, Benjamin nous ramène un peu sur une logique qui devrait être standard, pourquoi dépendre d'un système moins stable que notre propre système de stockage ? Et d'un point de performance, ce n'est quand même pas la même chose non plus.

Il amène aussi un second point qui en découle, le stockage de données décentralisé qui modifie grandement la façon d'aborder la persistance des infos.

Il propose plusieurs solutions existantes, notamment sur les aspects synchronisations et pose l'ensemble des avantages et inconvénients liés à ces mécaniques.

Merci Benjamin, j'adore tes conférences, elles n'ont jamais l'air vraiment fini :P

Le mot de la fin : Une édition "Grand Cru" (Par Gemini)

(J'ai relu et je suis d'accord quand même)

On repart de cette 8ème édition de Touraine Tech avec la tête bien pleine et le sourire aux lèvres. Si la faculté des sciences de Tours nous offre ce petit côté "nostalgie des bancs de l'école", le contenu, lui, était résolument tourné vers l'avenir.

Cette année 2026 marque un tournant dans nos préoccupations de développeurs et de tech leads :

La sécurité n'est plus une option : Entre la sécurisation des chaînes de fabrication (SLSA) d'Aurélie, les enjeux de modération sur les réseaux sociaux et la lutte contre les bots, nous sommes les nouveaux gardiens de la confiance numérique.
L'humain au cœur du code : Que ce soit par un onboarding soigné, la redécouverte de la noblesse de langages comme PHP ou l'investissement dans l'open-source, notre métier est avant tout une affaire de transmission et de passion.
L'IA devient concrète : Avec les serveurs MCP, nous sortons du gadget pour entrer dans l'ère de l'industrialisation des agents intelligents.

Un immense bravo à toute l'équipe d'organisation et aux étudiants pour la logistique impeccable. C'est toujours un plaisir de croiser les copains, de refaire le monde au Delirium ou au Cubrik, et de voir la délégation Onepoint porter haut nos couleurs.

Une pensée particulière pour ceux qui ont fait vibrer ces deux jours par leur expertise ou leur grain de folie : Aurélie, Estelle, Jean-François, Nathan, Ambre, Jérôme, Benjamin, FX, Thierry, Stéphane et Fanny. C'est grâce à des speakers et des organisateurs de cette trempe que la communauté tech reste aussi soudée et bienveillante.

Touraine Tech reste, année après année, ce rendez-vous incontournable où l'on parle, on rigole et, surtout, on apprend énormément.

À l'année prochaine, Tours !

La sécurité simplement : une approche haut-niveau

Yann Schepens — Mon, 15 Dec 2025 15:04:08 +0000

La sécurité, dans le monde de l'informatique, représente beaucoup de disciplines différentes. De l'infrastructure, aux réglementations en passant par l'outillage, les termes techniques et obscurs rendent ce domaine assez complexe à appréhender. Avec mon parcours de développeur puis tech lead, donc de non-spécialiste, je vous propose un tour d'horizon de ce qu'on peut entendre dans le terme sécurité des SIs.

Nous allons aborder ici principalement ce que qui gravite autour du système d'informations, nous n'aborderons pas la cybercriminalité par exemple. Restons dans le technique et dans nos capacités à faire.

Avant de rentrer dans le vif du sujet, un point de vocabulaire. Dans le monde de la sécurité informatique, on peut adopter deux approches distinctes, correspondant à deux équipes (teams). La première consiste à chercher les failles, à attaquer ou à pirater un système : dans ce cas, on parle de Red Team ; la seconde vise à protéger le système : on parlera alors de Blue Team.

Bien que partageant quelques pratiques et outils, ce sont deux univers différents. Il est intéressant, pour les deux parties, de connaitre les pratiques de l'autre. La sécurité, c'est un jeu du chat et de la souris : il vaut donc mieux connaitre les habitudes de son adversaire pour être efficace.

Ce n'est pas pour rien que l'on compare et utilise le vocabulaire de la médecine et militaire : la protection des SI comme défense et les attaques et malwares en tout genre comme virus.

Nous nous positionnerons d'un point de vue Blue team ici et nous parcourrons ce sous-ensemble des couches hautes vers les couches basses. J'en profiterai pour définir quelques termes obscurs que vous avez déjà probablement déjà rencontrés.

Commençons par le domaine que je maîtrise le moins : la gouvernance cyber.

La gouvernance cyber : spécialiste de la sécurité d'un point de vue générale

Quand nous parlons de sécurité d'un point de vue entreprise, un des premiers points qui me vient en tête est la réglementation. Il existe plusieurs textes auxquels sont soumis les organisations et entreprise. Que ce soient des réglementations, DORA par exemple, des directives ou des lois, elles ont des impacts techniques sur le SI d'une entreprise mais pas uniquement.

Globalement, ces textes vont surtout imposer des process, de rendre des comptes à des organismes de contrôle et donner des principes à appliquer. Ils sont rarement clairs d'un point de vue technique et vont surtout demander de justifier de pratiques pour respecter ces règles.

Par exemple, ils peuvent exiger la protection des chaines fabrications. Cette expression reste floue, mais les organisations, au travers de leurs experts cyber, devront pousser/vérifier/justifier des pratiques mise en place pour répondre à cette exigence. Pour ce faire, ils échangeront avec les différentes directions pour s'assurer que les projets en réalisation la respectent bien. Et ce sont souvent les directions qui feront appel aux profils techniques pour mettre en place les outils techniques permettant d'y répondre.

Un autre exemple, non technique au premier abord : la gestion des assets physiques. Quelles sont les règles concernant le recyclage du matériel d'un point de vue sécurité ? Comment assure-t-on que seules les personnes autorisées puissent accéder au réseau de l'entreprise ?

Les équipes traitant de la gouvernance de la cyber ne sont pas des "techniques" : en tout cas, pas au sens développement. Ce sont des spécialistes des réglementations et process autour de l'ensemble de problématique de sécurité d'un SI. Ils agissent principalement auprès des RSSI et de la direction.

Pour la blague, j'ai connu un excellent cyber qui ne connaissait pas l'OWASP.

DICT : la clé de voûte de la sécurité

L'acronyme DICT ou CIA, pour son homologue anglo-saxon, définit le "niveau" sécurité nécessaire à un système/une fonctionnalité. Il est indispensable de le définir et de le retrouver dans les dossiers d'architecture. Il va permettre aux équipes de savoir quels outils, process et mécanismes il est nécessaire de mettre en place pour garantir le bon niveau de sécurisation ce qu'ils réalisent.

Le DICT est généralement représenté par 4 notes, pour chaque item, de 0 à 4. Il n'y a pas de standard, certaines entreprises ont leur propre système de quotation, mais l'idée est toujours la même. Une petite recherche dans Google image vous donnera des exemples.

Cet acronyme signifie Disponibilité, Integrité, Confidentialité, Traçabilité.

Disponibilité

L'accès aux ressources du système d'information doit être permanent et sans faille durant les plages d'utilisation prévues. Les services et ressources sont accessibles rapidement et régulièrement. (https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information)

Souvent, on va le retrouver dans les SLA de nos systèmes : ce fameux 99,9999% de disponibilité. Autant pour certains systèmes, une rupture de service n'est pas très important, par exemple pour un site institutionnel ; autant pour une centrale nucléaire, c'est indispensable. On va préférer avoir un système qui fonctionne à une protection contre un vol de données.

C'est avec des contraintes de disponibilité forte qu'on va entendre parler de mode dégradé. On va trier entre les fonctionnalités vitales, critiques et les autres pour assurer le fonctionnement de ces premières, que ce soit en terme de répartition de ressources techniques que de ressources humaines.

Intégrité

Les données doivent être celles que l'on attend, et ne doivent pas être altérées de façon fortuite, illicite ou malveillante. En clair, les éléments considérés doivent être exacts et complets. Cet objectif utilise généralement des méthodes de calcul de checksum ou de hachage.(https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information)

L'intégrité, ou autrement dit la non-corruption des données, est un élement vital pour certains domaines. Le premier exemple est le domaine bancaire, mais on peut aussi penser aux communications militaires. Une négation oubliée ou un ordre corrompu peut avoir des conséquences désastreuses ; alors que l'intégrité des données indexées du moteur de recherche d'un site de e-commerce ont une importance moindre, la priorité étant la performance et pertinence de la recherche.

Typiquement, la mise en place de checksum, les blockchains, les systèmes de contrôles de données, etc. sont des mécanismes permettant de s'assurer que les données sont correctes. On va aussi retrouver les signatures et tiers de confiance, pour s'assurer que les données que l'on reçoit sont légitimes et proviennent bien de la bonne source d'information. Le fonctionnement des certificats dans le cadre du HTTPS en est un parfait exemple.

Dans les cas où l'intégrité des données est très importante, on va privilégier les contrôles à la performance d'accès ou d'écriture.

Confidentialité

Seules les personnes autorisées peuvent avoir accès aux informations qui leur sont destinées (notions de droits ou permissions). Tout accès indésirable doit être empêché. (https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information)

Le contrôle d'accès ne se limite pas qu'aux données. Il va aussi considérer les accès à certains systèmes, que ce soit physiquement ou numériquement. C'est dans ce cadre en particulier que l'on va parler de sécurité défense et données médicales : au-delà de l'aspect technique du contrôle d'accès, les agrégations et les criblages pour accéder à ces informations et systèmes permettent de restreindre les accès à ces éléments aux profils de "confiance".

Les réseaux fermés, techniques d'authentification et d'identification sont un exemple des techniques permettant d'assurer la confidentialité des systèmes.

Traçabilité

Garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables. (https://fr.wikipedia.org/wiki/S%C3%A9curit%C3%A9_des_syst%C3%A8mes_d%27information)

Les logs, l’identification des utilisateurs, les identifiants de corrélation, au-delà des intérêts de monitoring, permettent de savoir qui fait quoi et à quel moment sur un système. Il existe beaucoup de réglementations autour de la traçabilité ; une partie du RGPD traite de ces sujets. Dans certaines situations, la justice peut demander l’accès à ces informations, en particulier dans des cas d’enquête.

Les logs et la traçabilité ne concernent pas seulement les applications web, mais aussi les accès physiques, les connexions d’administration et toute autre interaction avec le système. Au-delà de contrôler des actes malveillants, ils permettent également de vérifier que les permissions et les actions des utilisateurs sont légitimes, afin de se prémunir contre de mauvaises manipulations non volontaires.

Contrairement à ce que l'on pense, la gestion correcte de la traçabilité peut être complexe. L'un des buts des pirates étant d'effacer leurs traces, la façon dont on traite ces informations doit être mûrement réfléchie et surtout en lecture seule (Read-Only).

Une règle d'or sur les logs est l'externalisation : on ne stocke pas les logs sur les systèmes qui les émettent. Un exemple classique mais efficace : si votre système est inaccessible, vous aurez besoin des logs pour en connaitre la raison, mais le système est inaccessible.

Où retrouver ces informations

Les dossiers d'architecture peuvent avoir une partie spécifiquement liée à la sécurité, le DAS: Dossier d'Architecture de Securité. Vous trouverez peut-être d'autres façons d'aborder ces items, CAID, DICP, etc. Le principe restera le même avec quelques variantes et ajouts.

A vous de voir l'acronyme qui vous parle le plus.

Dans tous les cas, l'aspect sécurité et la mise en place des mécanismes de protection découleront de ces quelques éléments de très haut niveau.

La définition du DICT se fait généralement sur un système complet, mais dans l'idéal, il devrait se faire sur les fonctionnalités. Cette approche permet d'identifier réellement les fonctionnalités critiques de ce dernier et de pouvoir mettre en oeuvre des modes dégradés et prioriser les ressources sur les sous fonctionnalités essentielles auxquelles doit répondre ce système.

Conclusion

Le premier article de cette série permet d'entrevoir la sécurité informatique d'un point de vue gouvernance et architecture. Ces aspects sont indispensables pour comprendre et apprendre les mécanismes techniques et procéduraux que nous verrons dans les articles suivants.

Le prochain sujet que nous aborderons sera l'approche multi-niveaux de la sécurité, des pratiques courantes dans les SI à la sécurité physique en passant par la sécurité applicative.

Devoxx 2025

Yann Schepens — Wed, 14 May 2025 06:49:58 +0000

Encore une belle édition du Devoxx sur le thème du retour à la source.

Ils nous en ont mis plein les yeux au Palais de congrès de Paris. Des animations très tribales, mêlant organique et technique, dans une ambiance solar/nature punk.

Cette année, l'IA est au cœur de la conférence, de manière bien plus affichée et prédominante que les années précédentes. Que ce soit au travers des keynotes d'ouverture, des projets présentés aux différents stands ou tout simplement des sujets de conférences, tout respire l'IA gen et les LLM.

D'ailleurs, Nicolas et Thomas ne sont pas contents car tout le visuel du Devoxx est généré par IA. En parlant de mes cospeakers, gros défi pour nous cette année, un talk de 3 heures, un deep-dive, sur la clean archi, sponsorisé par Paracetamol™ !

Devoxx reste la plus grande conférence généraliste IT française avec environ 315 speakers, +4000 personnes, +1000 propositions de conf.

Je vous propose de revoir ces trois jours avec nos regards de speakers et de participants. Mais avant tout, une page de pub.

L'équipe Onepoint

Une belle délégation Onepoint était présente avec pas moins de 12 speakers bordelais et nantais :
@arcanneero, @tblaisot, @imrick, @ibethus, @jtama, Véronique Sermage, @guillaumebenoot, @dlucasd, Sébastien Buchoux, Henri Gauffriau, François-Xavier Lair et votre serviteur, @yannschepens.

Nous sommes à deux doigts d'avoir notre propre track. Entre les sujets humains et techs pointus, nous sommes encore une fois fiers de pouvoir montrer nos savoir-faire, faire-savoir et en profiter pour se voir autour d'un ... café :).

Les stands

Comme d'habitude, beaucoup de stands à Devoxx, mais quelques-uns ont retenu mon attention. En particulier ceux qui proposaient des LEGO en guise de cadeau, et oui, on n'attire pas les gens avec des panneaux publicitaires.

Déjà, WeScale, mais quelle idée extra le jeu de cartes à collectionner ! On a passé un moment à papoter à leur stand, surtout avec la présence de Stéphane Trebel que nous avions fait venir chez Onepoint Atlantique pour ouvrir notre journée de conférence interne.

Deux découvertes sympathiques, CastIA qui s'appuie sur l'IA pour optimiser le scaling et la configuration de vos kubernetes, pour optimiser vos coûts et par conséquent réduire la quantité de ressources que vous utilisez (mon côté Green qui ressort).

Et Packmind, un "plugin" IntelliJ/Copilot qui va manger vos documentations et habitudes de développement pour accompagner de manière plus personnalisée vos développeurs. Pour avoir testé rapidement le générateur automatique de contrôle, à base d'une ligne d'instruction, c'est impressionnant. Maintenant, il ne reste plus qu'à confronter cet outil au réel.

Tout un tas d'autres discussions sur quelques stands, et globalement, une très bonne ambiance.

Les moments speakers et les soirées

Mardi soir, salon de thé/resto avec les collègues de Onepoint. Nous ne nous étions pas vus depuis TNT et quelques nouveaux collègues à rencontrer. Toujours très sympa, mais avec toujours le même problème : on ressort toujours avec plus d'idées de conférences et d'articles que notre temps disponible ne nous le permet.

Mercredi soir, soirée speaker. Comme d'habitude, Devoxx nous a régalé. Discuter avec des intervenants de divers horizons et expériences, autour d'un verre et d'un buffet, est vraiment le moment que je préfère lors des conférences.

Jeudi soir, post-conférence, donc un peu fatigué, mais Meet and Greet. Soirée avec tout le monde, conférenciers et spectateurs. C'est toujours un très bon moment lors desquels nous pouvons aller discuter directement avec les speakers des conférences que nous avons vues de manière un peu plus informelle et voir les copains qui sont là aussi.

Clin d'oeil à Guillaume Mazollier, un ami de Polytech'Nantes qui a organisé une table ronde autour du métier de Staff Engineer.

L'installation speaker et the magical transcriptor

Côté speaker, nous sommes toujours très bien installés à Devoxx, micro à l'oreille, vidéo d'intro, de l'eau et un bénévole ou deux pour nous installer et répondre à nos questions.

Nouveauté pour nous, nous avions besoin de deux ordinateurs. Donc petite anxiété sur le fait de switcher de câble HDMI, mais que nenni, plusieurs d'entre eux avec un switch. Merci Devoxx !

Trève de bavardages, parlons un peu des conférences que nous avons vues.

Conférences

Mercredi

Keynote ouverture : "L'IA n'existe pas"

Par Luc Julia, commentée par Thomas Blaisot

Ancien Directeur de Siri chez Apple, après avoir rappelé rapidement l'historique de l'IA depuis les débuts en 1956, Luc nous dit que l'IA telle que Hollywood la décrit, c'est-à-dire l'IA générale et générique n'existe pas et n'existera jamais.
Il fait le parallèle de l'IA avec une boite à outils où chaque outil est une IA spécialisée et/ou chaque outil est meilleur que l'humain, mais dans un domaine particulier (exemple du marteau pour enfoncer les clous mais qui n'est pas adapté pour serrer un boulon).
Il nous a ensuite décrit pourquoi l'IA générative est pour lui une évolution plutôt qu'une révolution, mais il rappelle que les données restent un problème.
En revanche le prompt en langage naturel représente une révolution.
Luc nous rappelle aussi que l'IA est contrôlée par un humain et reste donc le véritable créatif : l'IA n'invente rien, ne crée rien, n'innove en rien, mais il insiste sur l'importance de s'éduquer sur l'outil pour ne pas être largué.
Il a abordé le calcul de la pertinence d'une IA qui met en valeur la spécialisation pour améliorer les résultats.
Il nous a ensuite expliqué les principaux soucis de l'IA : les hallucinations et erreurs, car l'IA cherche à faire plaisir à son humain et va générer des datas pour combler, les soucis de propriété intellectuelle sur les données d'entrainement, mais aussi la course au filtrage des réponses de l'IA non acceptable vs Jailbreaking.
Enfin, il a rappelé l'impact des IA qui utilisent de l'énergie à la fois à l'ingestion et à l'inférence (exemple de l'utilisation d'eau pour refroidissement des machines).
Conclusion : l'IA générique est MORTE, le futur surement une hybridation d'IA et de logique classique, mais c'est encore compliqué.

L'API Gatherer : l'outil qui manquait à vos Streams

Par Jose Paumard, commentée par Yann Schepens

Une conférence technique, en Java, alors que je n'ai qu'un an d'expérience avec ce langage, c'est fait.

José nous explique, via des exemples de code et une maitrise parfaite du sujet (José en fait), l'usage de Gatherer et l'ensemble de problématiques auxquelles répond ce composant de Java. Il repasse rapidement sur l'API stream en reprenant les différents types d'operator et les problématiques/incapacités associées à leur usage.

On voit ensemble les différents moyens de développer un Gatherer afin de bien comprendre les mécanismes sous-jacents et ne pas tomber dans certains pièges. Au hasard, les return true/false des Integrator.

La problématique des streams parallèles vs séquentiels est aussi abordée assez largement, afin d'éviter de se tromper d'approche mais aussi de montrer les opportunités des Gatherer dans ce contexte.

Bref, un nouveau jouet pour les javaïstes, qui a l'air plutôt chouette à utiliser même s'il faut y aller avec précaution.

Si vous comptez les utiliser ou juste découvrir le concept, allez voir le replay de cette conférence.

Arcane: Quand la technologie n’est pas le produit: une série d’animation

Par Philippe Llerena, commentée par Yann Schepens

Lien vers l'abstract

Un talk qui parle d'Arcane, il était évident que je comptais aller voir ça. J'aime la série, mais c'est davantage l'aspect "pas de côté" que nous propose le sujet. Le monde de l'IT est vaste, et il est vrai que les contraintes dans le monde du cinéma sont réellement différentes de celles que je rencontre tous les jours.

Philippe, CTO de Fortiche, nous raconte un peu l'histoire de ce studio d'animation français et particulièrement le deal avec Riot pour Arcane, qui a complètement changé les enjeux de cette entreprise.
Il fait un zoom sur leur pipeline de fabrication et les outils qu'ils ont eux-mêmes créés pour réussir la réalisation de cette série. Des créateurs de contenu numérique, à la connexion aux outils 3D comme Maya, en passant par le stockage des artefacts et intégration et compilation des scènes, nous redécouvrons le principe de pipeline. De nouveaux outils à faire communiquer les uns et les autres, des étapes et équipes projets très différentes des nôtres, ce talk était très enrichissant et rafraichissant.

Il termine en discutant un peu d'IA et des risques autour de la propriété intellectuelle. Comme il le dit : générer des images, comme ça pour du perso, c'est rigolo de jouer avec ces outils. Mais pour le monde professionnel : un peu de respect pour les artistes.

Merci Philippe de nous montrer un peu l'envers du décor de cet univers.

D'officier de l'Armée de Terre à dév : RETEX d'une autiste en quête d'inclusion

Par Véronique Sermage, commentée par Yann Schepens

Véronique retrace sa carrière, de ses études à son métier de développeuse avec un prisme un peu particulier, celui d'autiste. Elle explique ce qu'est l'autisme, son histoire et les découvertes associées pour nous confronter à la réalité de cette différence de perception du monde que nous pouvons avoir.
En repassant sur ce qu'engendre ce handicap, elle nous conseille sur la manière d'aider cette partie importante de la population à s'intégrer correctement dans notre société, pour que nous puissions vivre tous ensemble.
La réalité de cette différence fait que les autistes font un effort constant et continu pour s'adapter à notre façon de communiquer et de vivre. Et cet effort ne sera jamais toujours là et nécessaire. Ce n'est pas une maladie, ça ne soigne pas. Nous avons "juste" un cerveau qui fonctionne différemment, donc essayons de leur rendre la vie plus simple, pour bénéficier et avoir le plaisir de travailler avec des personnes géniales comme Véronique. Génial, autant sur le plan pro que perso.

Merci Véronique :)

Kubernetes en 2025

Par Alain Reigner, commentée par Yann Schepens

Vous voulez vous tenir à jour sur Kubernetes, cette conférence est faite pour vous.

Alain, CTO de Kubo Labs, repasse sur les nouveautés (ou pas) de K8s en 2025. Sur chacun des points, il nous présente l'aspect théorique avec un exemple à l'appui pour bien comprendre le principe.

Outre la repasse sur la CRD, les Operator, l'API Gateway et l'avenir incertain des Ingress, quelques éléments qui méritent un peu plus de détails.

Pour commencer, le

kubectl debug

... Comment ai-je pu rater ça ? Cet outil va vous permettre de débugguer vos pods et vos nodes comme jamais. Concernant les pods, il va monter un sidekick complètement équipé pour faire de l'exploration de filesystem ou des tests réseaux. Et pour les nodes, à peu près la même chose, mais avec un accès privilégié au system. Quelques petits points d'attention, mais je vous laisserai voir le replay par vous-même.

Ensuite, le CSI : pensez bien à ne plus utiliser celui de K8s par défaut, il n'est plus supporté.

Des choses très intéressantes autour des Volumes Snapshot, pour pouvoir faire des captures de volumes, idéal pour les environnements de tests. Sans parler des Images volumes, qui permettront de monter le contenu d'une image dans une autre image.

Côté sécurité/rationalisation, l'usage du CEL (Common Expression Language) dans les ValidatingAdmissionPolicy simplifiera énormément le contrôle de ce qui rentre dans K8s.

eBPF, Cilium, ConfigMap dynamic update, Dynamic Ressources Allocation, Request/limit au niveau pod, Kueue, ... bref, plein de nouveaux jouets à venir. Allez voir le replay de la conférence !

Coder avec peu: les bons tuyaux de Mario

Par Clément de Tastes, commentée par Thomas Blaisot

Cette conférence était un petit retour en 1985 sur les faibles capacités hardware de la NES à l'époque.
Le speaker a présenté les différentes techniques d'optimisation mises en place à l'époque par les développeurs de jeux pour arriver à créer des contenus aussi riches malgré les faibles capacités mémoire de la console. Le speaker nous a parlé de sprites, de palettes de couleurs, de scrolling ou encore "bourrage" de l'OAM pour donner l'impression de disparaître dans l'eau.
Il est aussi revenu sur le peu d'opérations disponibles dans le CPU de la console et les méthodes de contournement (discrétisation, faux random).
Enfin, il a abordé les différentes solutions de "backup" qui n'existaient pas sur les cartouches à l'époque.
Quelques bonus à voir dans la vidéo de la conf.

Sous le capot des LLMs : toutes ces questions que vous n’avez jamais osé poser

Par Guillaume Laforge et Didier Girard, commentée par Thomas Blaisot

Cette présentation a commencé par constater un changement de paradigme avec l'IA Gen : on est passé d'un développeur qui pilotait l'IA à une IA qui l'accompagne via l'usage du chat.
Après une petite explication du fonctionnement de la tokenisation, les speakers nous ont rappelé l'importance du "fine tunning" notamment de la tokenisation pour adresser les éléments de languages spécifiques. Ils nous ont aussi expliqué l'ajout de tokens spécifiques pour contrer la tendance de l'IA à faire des réponses infinies.
Ils nous ont aussi expliqué les hyperparameters et comment influencer la réponse du LLM (température, top-K, top-P), tout en rappelant pourquoi il était quasiment impossible d'avoir une réponse déterministe.
Ils nous ont ensuite présenté quelques défauts des LLM particulièrement l'hallucination et la confabulation, l'importance du contexte, l'absence de réciprocité, l'absence de temporalité sans système externe, avant de rappeler la plus grande difficulté de sécurité que présentent les LLMs puisqu'il n'existe pas de contrôle d'accès intégré, ni d'oubli.
Enfin ils nous ont montré que les LLMs semblent arriver à extraire le sens commun de différentes langues (zones identiques utilisées) ce qui permet de travailler sur des langages aujourd'hui incompréhensibles pour l'humain même si on ne comprend pas le résultat donné.

Kotlin - the new and noteworthy

Par Anton Arhipov Conférence en Anglais, commentée par Thomas Blaisot

Pendant cette heure le speaker nous a expliqué pourquoi le compilateur Kotlin était réécrit et quelles features allaient pouvoir être implémentées, notamment grâce à l'utilisation d'une Représentation Intermédiaire Frontend (FIR).
Il nous en a présenté 5 dans le désordre :

Guards: pour avoir une meilleure vérification de la couverture complète des when
Context Parameters : pour éviter la pollution du scope global lors de l'enrichissement des receiver functions
Check Return Value : pour que les librairies (dont la std lib de kotlin) expriment que l'utilisation du retour d'une fonction est obligatoire afin d'éviter les erreurs comme List.sorted() vs List.sort()
Name based Destructuring : pour éviter des mauvaises surprises lors de refactoring
Rich Error : pour garantir l'exhaustivité des checks d'erreur sans perte d'information, ni lourdeur syntaxique (comparé à Optional ou checked exception)

Petit rappel : Error != Exception (l'exception représente une erreur inattendue)

Racine carrée, bit-shifting et paracétamol

Par Audren Burlot, commentée par Thomas Blaisot

Après un retour sur l'histoire de Quake et le passage en open source de son moteur graphique, le speaker nous parle de quelques lignes de code ayant retenu son attention (et celle de certains curieux).
Une courte explication du contexte d'utilisation de ce code, à une époque ou l'opération sqrt n'est pas supportée par les processeurs et on plonge avec lui dans des explications, tantôt mathématiques et géométriques (Pythagore...), tantôt informatiques (IEEE754 et représentation numérique des long et float), pour décortiquer cette implémentation de l’algorithme "Fast Inverse Square Root".
Le speaker finit par nous présenter l’enquête menée par un journaliste pour retrouver l'auteur de ce code.
Une heure qui donne mal à la tête mais qui montre une fois de plus l'ingéniosité déployée pour contourner les limitations de l'époque pour le divertissement.

Jeudi

Keynote ouverture : "Langage, IA et propagande : la guerre des récits a déjà commencé"

Par Elodie Mielczareck, commentée par Thomas Blaisot

Une keynote plutôt linguistique et philosophique autour des étapes du passage de la vérité au mensonge.
Quelques parallèles avec l'actualité géopolitique.
Très technique du point de vue linguistique, complexe mais des réflexions intéressantes.

Keynote ouverture 2 : "La territorialisation des infrastructures comme levier de pouvoir"

Par Ophélie Coelho, commentée par Thomas Blaisot

La speakeuse réalise une thèse sur le sujet de la keynote.
Après un retour historique sur le télégraphe, elle nous a présenté une corrélation entre géopolitique et organisation technique des réseaux internet physiques. Elle a aussi, via l'exemple de l’Afrique, présenté l'impact du déploiement de ces réseaux à la fois sur les ressources mais aussi sur le déploiement d'autres infrastructures autour des nœuds réseau/data.
J'ai trouvé particulièrement intéressant ses travaux pour illustrer la présence et les capacités d'influence des big tech companies sur les couches technologiques.
Elle a terminé sur une présentation des leviers d'actions autour de ces dépendances.

Kubernetes : 5 façons créatives de flinguer sa prod

Par Denis Germain, commentée par Thomas Blaisot

Le speaker nous propose cinq retours d'expérience d'incidents majeurs en prod pour en déduire des recommandations.
En conclusion, k8s c'est compliqué, mais quelques pistes pour éviter de retomber dans les mêmes pièges :

L'observabilité est obligatoire.
Les opérations manuelles sont source d'incidents. #GitOPS
Mettre en place des garde-fous via l'utilisation des admissions webhook.
Kubernetes est assez compliqué comme ça : éviter absolument "The Hard Way".
Avoir une gestion "cattle" de nodes plutôt que "pet" pour plus de résilience.

Les effets indésirables de nos Clean Archis

Par Yann Schepens, Nicolas Giraud, Thomas Blaisot, commentée par Yann Schepens

3 heures à préparer en 2 mois, avec Nicolas et Thomas, mes compères avec qui nous sommes capables de passer 2 heures de débat pour savoir s'il faut mettre un point devant un répertoire ou non. Ce n'était plus un défi, c'était une épreuve. Habitué des conférences de 45 minutes, je vous avoue que ce format me faisait un peu peur. Cependant, au-delà du marathon que ça a été, il est plutôt agréable de pouvoir "faire des pas de côté" ou d'approfondir les parties du sujet les plus intéressantes. Mais nous partions dans l'inconnu, sur un sujet de niveau avancé, propice au débat d'expert et on s'attendait à se faire huer ou prendre des retours particulièrement virulents.

A Devoxx, on peut présélectionner en amont les conférences que l'on veut aller voir via un système de favoris. Et là, 522 favoris à une heure de notre passage. Pression. D'autant plus pour une salle de 100 places. Grosse surprise. Une file d'attente à l'entrée de la salle, pour une conférence de 3 heures, c'est top.

Nous avons déroulé notre sujet sans problème, et nous n'avons pas perdu grand monde, merci. Beaucoup de discussions très intéressantes en fin de conférence, avec des personnes qui travaillent dans des domaines différents des nôtres et beaucoup d'approbations de nos conclusions sur le sujet.

Nous sommes contents de notre prestation et je pense que le public a apprécié de descendre aussi profondément dans les principes de cette clean architecture, aussi complexe qu'intéressante.

Merci pour les nombreux feedbacks, environ un tiers du public nous a fait un retour, c'est rare et précieux.

Merci à tous d'être venus et hâte de lire les commentaires sous la vidéo.

Vendredi

Keynote : "Plongez dans l’Ère Quantique : décryptez et anticipez la révolution à venir"

Par Fanny Bouton, commentée par Thomas Blaisot

Cette keynote était un rappel que le monde de l'informatique quantique est en plein essor et que c'est un marché qui recrute énormément. Et sur ce sujet l'Europe est leader pour le moment donc il faut en profiter.

Keynote : "Les LLM rêvent-ils de cavaliers électriques" ?

Par Thibaut Giraud aka. Monsieur Phi, commentée par Thomas Blaisot

Un speaker plutôt philosophe qui nous amenait à réfléchir si les LLM étaient vraiment toujours des "perroquets stochastiques" et complètement incapables de compréhension.
Au travers de l'exemple des échecs auxquels certains modèles récents sont capables de très bien jouer, le speaker tente de démontrer que les LLMs ont un mécanisme qui s'apparente à de la compréhension.
Mais qu'est-ce que la compréhension... Personnellement le speaker ne m'a pas convaincu de l'intelligence des IA... pour le moment !

Astro GitOps - Press ⓧ to start

Par Kevin DAVIN, commentée par Thomas Blaisot

Un rapide rappel des origines du DevOps et du GitOps puis le speaker enchaine sur les caractéristiques essentielles du GitOps :

Déclaratif (c'est presque une documentation)
Versionné et Immutable (git remplit justement ces objectifs)
Pull only (le cluster ne doit pas dépendre d'une application extérieure de la configuration)
Réconciliation en continu

Au cours de la présentation, le speaker nous donne un ensemble de recommandations "opinionated" autour du GitOps (KISS, MonoRepo OPS, 1 seul langage, organisation app centric, stockage des secrets chiffrés, renovate).

Même si je ne suis d'accord qu'avec 90% de ses recommandation, beaucoup de pistes de réflexions dans ce talk.

Platform Engineering : DevOps est maintenant majeur

Par Alexis Morelle, Henri Gomez, commentée par Thomas Blaisot

Un retour sur l'histoire du DevOps et du chemin qui a mené de DevOps à Platform Engineering. Les 2 speakers rappellent que les transitions n'ont pas été sans douleur pour tout le monde et que l'univers des Devs et des Ops présente des challenges très différents.
On nous explique aussi le challenge du DevOps qui a multiplié les compétences attendues, ce qui a mené au développement de "plateformes" self-service, pour soulager les devs d'un ensemble de compétences qui pourraient "polluer" leur quotidien.
Les speakers nous donnent au passage quelques bons conseils pour réussir son DevOPS ou son PI, notamment "une bonne plateforme est celle que les devs utilisent sans râler et qu'ils recommandent sans que tu leur demandes, pas celle que tu présentes en conf".
Et surtout : "Ne jetez pas les Ops"

Guide de survie pour créer son authentification à l’intention des développeurs

Par Marine du Mesnil, Paul Molin, commentée par Thomas Blaisot

Un talk qui reprend quelques bases de l'authentification et au travers d'expériences, nous fournit un certain nombre de recommandations sur l'implémentation de l'authentification allant de la protection des tokens et des cookies, aux flow OpenIDConnect en passant par le CSRF.
On est vendredi après midi, il fait très chaud dans la salle, j'avoue que j'ai décroché plus facilement sur celle-là…
Mais beaucoup de bons petits tips pour des développeurs qui ne seraient pas déjà sensibilisés à ces erreurs trop courantes.

The DDD Horror Picture Show

Par Thomas Pierrain, Pauline Jamin, commentée par Thomas Blaisot

Même si le titre laisse penser qu'on va parler de DDD, en fait ce n'est qu'un des exemples de la conférence qui aborde plutôt le fléau du "Cargo Cult" (ou "Silver Bullet" comme vous préférez).
Sous format d'une discussion "debug", les 2 speakers nous présentent un certain nombre d'exemples d'application trop systématique de "patterns", avant de nous proposer des tips pour contrer nos tendances naturelles.

Changer, expérimenter : se tromper c'est apprendre (toute réutilisation de cette excuse pour justifier un plantage de production ne sera pas assumée par l'auteur !)
Se rendre compte qu'on se trompe (donc: mesurer)
Capitaliser (les Post Mortem sont une excellente source d'apprentissage)

En conclusion, les deux speakers nous ont introduit à la théorie de la "résidualité" et à la création de logiciels "antifragile"...
Un talk qui pousse à toujours remettre en question nos choix à la sortie des conférences comme le devoxx !!

Conclusion

Devoxx, comme d'habitude, très enrichissant. Les sujets de conférences, les discussions, le staff, toujours au top.

Merci à tous, merci à l'orga, aux différentes personnes avec qui on a pu échanger et aux différents speakers qui ont, encore une fois, fait un travail extraordinaire et de grande qualité.

A l'année prochaine Devoxx, j'espère.

Donnez-vous 30 minutes par jour

Yann Schepens — Tue, 04 Mar 2025 08:37:46 +0000

Dans nos métiers de constructeurs de l'univers numérique, le temps est un gros mot. Et pourtant, à côté de nos emplois, il y a tout un tas de choses à faire. Que ce soit pour apprendre de nouvelles choses, écrire un article, préparer une conférence, faire du mentorat, construire un réseau pro... Ce "temps" nous manque. Ou plus précisément, n'est jamais pris.

... Je vais plutôt vous proposer de tricher un peu pour vous faire plaisir et vous donner un peu de liberté pour tout ça.

Et en profiter pour maintenir le feu de cette passion pour ce métier autant humain que technique.

La veille technologique

Il s'agit d'un indispensable dans nos métiers de la tech'. Vous maintenir à jour et, malgré tout, faire plaisir à vos employeurs et clients.

"Faire sa veille", une expression assez ambigüe. Entre lire des articles, faire des tests de nouvelles technos, tester les mises à jour, suivre des flux RSS et j'en passe, chacun fait ou essaye de faire, comme il a l'habitude. Malgré tout, le monde de l'IT est très vaste. Il est impossible de tout suivre. Donc en plus de devoir trier les sujets, il faut trouver un moyen d'être efficient dans nos actions de veille.

Pas simple.

Mon point de vue est qu'une veille efficace permet plusieurs choses. En suivant les actualités générales, elle permet de connaitre l'état du monde de l'IT. En suivant les actualités de vos préférences, elle vous tient à jour sur vos sujets de prédilection. Mais surtout, une veille efficace vous permet d'apprendre de nouvelles choses de manière pérenne. Et pour ça, pas de secret, il faut essayer.

Choisissez vos sujets

Que faire durant ces 30 minutes quotidiennes ? Soit vous avez déjà des tonnes d'idées et dans ce cas jetez-vous dessus, dans le cas contraire prenez ce temps pour aller vers les sources d'informations qui vous plaisent le plus. Peu importe le temps que cela peut prendre.

Il m'arrive régulièrement de passer une semaine à base de 30 minutes par jour pour nettoyer mes canaux de veille, essayer de trouver d'autres sources d'information.

Parfois, j'ai juste envie de lire des articles, donc je vais prendre ce temps pour ça. Généralement, cela me permet surtout de savoir sur quel prochain sujet je vais jeter mon dévolu. Je n'ai pas de contrainte de techno, ni de contexte, je peux choisir ce que je veux.

Par exemple dernièrement, je me suis demandé comment faire de l'intégration continue avec de l'IA. J'ai donc monté un projet Gitlab avec une CI. Puis, je me suis rendu compte que je ne savais même pas ce qu'était un projet en IA. Donc, j'ai pris un tuto en Python et lu des articles sur le mode de fonctionnement, etc.

Autre exemple, j'ai entendu parler d'event storming : je suis allé jeter un coup d'oeil. Ou encore il y a quelques années maintenant: les hooks React; j'ai lu deux trois trucs et je n'ai pas aimé. Donc j'ai laissé de côté.

Bref, si un sujet me plaît : j'en fais un projet.

Faites des tonnes de sides projects

Nous avons tous des projets commencés mais non finis, sur lesquels il y a 3 commits et demi. Autant vous dire que c'est une bonne chose. Quand j'ai commencé à en faire puis à les laisser de côté, j'avais un peu de regret. Mes pauvres petits projets abandonnés, seuls et triste sur leur dépôt git, oubliés de tous.

Tant pis.

Je me suis demandé pourquoi je n'arrivais pas à les continuer. La réponse est relativement simple : leur raison d'être était, pour moi, de tester un truc. Et une fois que j'avais fait le tour du sujet, je n'avais plus envie. Et en réalité, on s'en contre-fiche.

Un super exemple sur ça : à la sortie de frankenPHP, un serveur d'app pour PHP, je me suis demandé si je pouvais fabriquer une application en PHP avec une conservation d'état et des SSE (Server-Sent Events). Pour tester ça, je suis parti sur le développement d'un tchat pour valider la techno, afin de faire un moteur de jeu. J'ai monté un environnement de dev complet, mis en place un Symfony, lu des tonnes de trucs sur le SSE, installé un serveur de gestion de SSE, essayé de retourner Symfony dans tous les sens... Bref, je me suis fait un plaisir monumental. Au final, j'ai UN échange SSE et je n'ai pas réussi à faire de la conservation d'état. Bref, l'application ne sert à rien.

MAIS !

Je suis monté en compétence sur la nouvelle version de Symfony, dans les fonctionnalités du core kernel et de la gestion des services, j'ai appris les fonctionnements de base du SSE dans un contexte sans conservation d'état. J'ai aussi compris comment fonctionnait frankenPHP (ce qui me donne envie de faire du Go d'ailleurs). Et tout un tas d'autres choses.

Pour conclure : faites des sides projects. Même si vous ne les finissez jamais, vous apprendrez énormément. Et c'est clairement plus efficace que la lecture de doc.

Améliorer vos espaces de travail

Vous avez la flemme de bosser sur un truc ? Prenez le temps de nettoyer votre ordinateur ! Nettoyez vos mails, répertoires, documents, etc. Appliquez la même palette de couleurs sur toutes vos applications thèmables par exemple; ca ne sert à rien mais ça fait un bien fou au moral (suggestion de Benjamin Legrand).

Je fais régulièrement des recherches sur le meilleur outil pour prendre des notes. Donc, je change régulièrement, puis revient sur mes habitudes. Dernièrement, je me suis demandé comment j'allais organiser mes "quarante douze" répertoires de code source.

On peut prendre le temps de régler des problèmes agaçants, comme le casque USB qui se déconnecte tout seul. Ou tout simplement nettoyer clavier, souris, écran(s)...

Bref, prenez ce temps pour améliorer et rendre agréable votre espace de travail. Ça fait du bien !

Rédiger des confs, des articles

Comme indiqué en introduction et comme vous pouvez le constater, je donne des conférences et j'écris des articles. Et bien que dernièrement, nous ayons réussi à négocier du temps avec notre employeur pour travailler sur ces sujets, il en manque malgré tout.

Prendre ces 30 minutes par jour pour écrire, poser ses idées, ça peut être efficace. Par exemple, ma dernière conférence a été réalisée en 3 mois en suivant ce rythme. Ce temps peut paraitre court, mais en découpant son travail, on avance. Cette tâche peut aussi être réalisée durant ce créneau de 30 minutes. Le faire en plusieurs fois permet en plus de laisser son cerveau travailler en arrière-plan. Au final, ces coupures intermittentes obligent à revenir un petit peu sur ce qui a déjà été réalisé et être critique sur son propre travail.

Et tout comme les sides projects, rien de ne vous oblige à aller au bout. Mais c'est regrettable.

Améliorer vos réseaux pro

Répondez sur LinkedIn. Publier des trucs en rapport avec votre métier. Faites le tour des stars de vos sujets favoris. Profitez de ce moment pour découvrir ce qu'il se passe dans le monde professionel de l'IT. Avoir un réseau professionnel peut devenir important. Prenez soin de vos contacts, vous pourriez avoir des connexions et des sujets intéressants.

Personnellement, je passe un peu de temps sur LinkedIn. Je profite de ces 30 minutes pour faire un tour des news de mon entourage professionnel, savoir ce qu'ils deviennent, discuter avec eux. Ça me permet aussi de prendre un peu la "température" du monde de l'IT, ses sujets du moment et évidemment, par pur sadisme, suivre les dramas.

Les urgences n'existent pas

Souvent, quand je propose cette façon de faire de la veille, mes interlocuteurs m'opposent deux arguments. Le grand classico-classique : "Je n'ai pas le temps" et le "Je suis sûr que je déborderai sur mon boulot". Je traiterai le deuxième point dans un second temps.

"Je n'ai pas le temps"... Quelle phrase agaçante. A quel niveau d'urgence êtes-vous pour ne pas pouvoir vous libérer 30 minutes dans votre journée de travail ?

Nous n'avons pas un métier, hors exception bien entendu, qui nécessitent une réactivité à la demi-heure. Les urgences dans nos métiers sont en réalité extrêmement rare. De mon point de vue, il y a deux motifs que je considère comme "urgent" :

Une urgence personnelle
Une prod qui tombe (et encore)

Tout le reste peut être "important", "pressé" mais en aucun cas "urgent". D'autant que dans les situations stressantes, faire le vide en faisant autre chose est généralement bénéfique.

La rigueur est nécessaire

Prendre 30 minutes pour travailler sur des sujets qui vous intéressent va souvent être plus sympathique que votre travail du quotidien. Il y a un risque de débordement. Soyez rigoureux avec ça. Mettez un timer, imposez-vous des règles.

Personnellement, je me donne un créneau le matin. Je me donne le temps entre le moment où j'allume mon ordinateur jusqu'à mon premier daily meeting. Et c'est tout.

Le respect de cette durée (30 minutes) est, à l'instar d'une sieste de 20 minutes, important. Si vous passez 2 heures de veille, ce n'est plus de la veille, c'est une étude. Votre approche sera différente et votre cerveau ne traitera pas l'information de la même manière.

Éteignez vos ordinateurs en fin de journée

Au-delà des bienfaits pour votre matériel et votre consommation électrique. J'ai certains collègues qui n'éteignent jamais leur ordinateur. Le problème avec cette pratique, c'est que dès que vous vous remettez devant votre poste, vous retombez tout de suite dans votre quotidien. En réalité, vous ne faites pas 5 jours de 8h mais une semaine d'affilée avec 4 grandes pauses.

Éteignez votre ordinateur le soir vous permet, le matin, de relancer votre journée tranquillement. Ouvrez votre boite mail, pour voir s'il n'y a pas de VRAIE urgence. Si ce n'est pas le cas, prenez ces 30 minutes avant de lancer les tchats, outils, navigateurs, etc.

Prenez ce temps pour vous qui deviendra, au final, un bénéfice pour tout le monde.

TNT 2025

Yann Schepens — Mon, 17 Feb 2025 09:24:59 +0000

Comment ne pas aller à Touraine Tech, alors que c'est en partie grâce à Fanny Klauk qu'aujourd'hui je donne des conférences.

Cette année, comme l'année dernière, nous débarquons avec une délégation Onepoint. Quatre bordelais, deux nantais et trois collègues sur leur temps libre. On va finir par demander une track Onepoint.

Cette conférence généraliste de l'IT, se déroulant sur deux jours, est un très bon endroit pour les primo-speakers et les plus expérimentés. La plupart des speakers connaissent TNT, ou du moins, des membres de l'équipe d'organisation. C'est un point de rendez-vous annuels pour nombre d'entre eux, dans une ambiance toujours très bonne enfant, mais très studieuse. Ici, on parle, on rigole et on apprend.

Trêve de bavardages, allons découvrir ces deux jours.

L'évènement

TNT en est à sa 7 ème édition. Il s'est déroulé, pendant quelques années, dans les locaux de Polytech'Tours mais vu son succès, est maintenant dans les locaux de la faculté des sciences et technique de Tours. Les étudiants aident l'équipe organisatrice tout au long de l'évènement, une particularité plutôt cool de TNT. Que ce soit pour l'installation, la logistique, la gestion de la captation, ils sont partout. Bravo à eux, ce n'est facile de gérer tout un tas de développeurs en vadrouille.

L'équipe organisatrice de TNT est composée de beaucoup de speakers et d'habitués des conférences et meetup, et ça se voit. Que ce soit niveau planification, communication, réactivité, installation et j'en passe, l'événement est cadré, efficace et très professionnel avec un accent important sur la bonne humeur et la bienveillance. C'est un confort incroyable pour tout le monde : speakers, sponsors, public.

Le lieu

La faculté des sciences de Tours n'est plus toute jeune. Ça se voit. Par contre, elle a l'avantage de pouvoir accueillir sans problème cinq tracks dans cinq amphithéâtres. C'est une école, elle est donc bien équipée pour donner des conférences.

Les lieux de passage peuvent être un peu étroits surtout avec les stands, mais ça donne une petite impression de retour à l'école particulièrement drôle. Un barnum est aussi installé à l'extérieur pour tout ce qui est repas, petit dej et café. Cet endroit un peu à l'écart se prête bien au papotage sans géner le passage entre les conférénces.

Les soirées

Autour de TNT, trois soirées. Une avant, une pour les speakers entre les deux jours et une après. Je ne peux pas aller à celle d'après, il faut bien rentrer à la maison. Mais jamais je ne raterais celle d'avant et celle pour les speakers.

Cette année, la première soirée s'est faite au Delirium Café. Il ne faut pas se mentir, le monde de l'IT et des brasseries ont quand même une affinité particulière. Nous sommes arrivés un peu tard, nous n'avons donc pas croisé beaucoup de monde. Cela dit, ça fait toujours plaisir de revoir des visages connus et de se mettre tranquillement dans l'ambiance conférence autour d'un verre.

Pour la soirée speaker, TNT a reservé un lieu magnifique, l'Hôtel Gouin. Apéro dinatoire réalisé par un traiteur du coin : excellent. Tireuse à bière : parfait. Et deux DJs aux platines. Mais pas n'importe qui : Julien Briault accompagné par David Pilato. Oui, Julien, le speaker de la keynote d'ouverture du lendemain matin... Cet homme est fou.

C'est bien de faire la fête, mais l'important, ce sont les conférences.

Conférences

Keynote d'ouverture "Les robots de l'espace"

Astro Pierre (Pierre Henriquet)

Pour ouvrir cette édition de TNT, Astro Pierre nous emmène dans l'espace. Plus particulièrement, sur l'usage des robots dans l'histoire de la conquête spatiale. Ces robots nous ont permis de découvrir des éléments incroyables : des volcans de 27 km de haut aux canyons aussi profonds que l'Everest.

Pierre nous raconte l'informatique et les problématiques de ces robots. Viking 1 et sa mise à jour malheureuse qui mis fin à sa mission, les problèmes de communication entre équipes qui transformera le Mars Climate Orbiter en feu d'artifice dans l'atmosphère de Mars.

Toutes ces erreurs et tests qui font qu'aujourd'hui, nous avons un hélicoptère miniature sur Mars et une ISS qui fête ses 25 ans. Et le futur envisageable d'une installation pérenne sur la Lune.

La conclusion de sa conférence nous ramène sur un cas concret de mise à jour sur un appareil qui voyage depuis 1970 dans l'espace. Deux ans de débogage pour Voyager 1 à cause de rayonnement cosmique, pour un système qui fonctionne avec 70ko sur du cuivre. Et, surtout, comment corriger une erreur sur un appareil qui a un ping de 45 heures !

Merci Pierre pour cette entrée en matière dans TNT 2025.

CI/CD : Correct implementation or continous deception

Marine du Mesnil

Marine, avec son regard sécu, vient nous parler des surfaces d'attaque possibles sur nos chaines d'intégration continue. Elle passe sur plusieurs erreurs de sécurité liées au CI en s'appuyant sur des attaques réelles importantes, telles que des failles chez CircleCI et chez Travis. Failles et exploit' qui ont eu un impact important.

Elle rappelle les principes de bases de la sécurité et nous emmène aussi sur une problématique et des contre-mesures que l'on peut mettre, plus ou moins facilement, en place. Sa conférence nous montre comment signer nos commits, protéger nos projets open source, éviter le direct et indirect poisoned pipeline execution.

Merci Marine pour tous ces conseils.

Pour conclure, nos CIs sont mal sécurisées, alors qu'elles sont le centre névralgique de l'ensemble de nos constructions logicielles. Allez, au boulot !

Introduction à la programmation réactive, de zéro à Super Mario

Damien Rouxel

C'est un primo-speaker que nous avons devant nous, déjà bravo !

Damien aborde la problématique de la programmation réactive, en passant de la théorie du pattern Observateur aux bonnes pratiques, pour finir sur un zoom sur des éléments précis de RxJs.

Cette conférence est très orientée front et ses exemples sont appuyés un projet Reels, donc les démos, même si intéressantes, sont parfois un peu floues. Malgré ça, le message passe bien et les précieux conseils qu'il nous apporte sont clairs.

Merci Damien et continue de venir nous parler :)

OpenRewrite : Refactoring as code

Jérôme Tama

Cette année, la malédiction a encore frappé. Après TNT 2024 et Snowcamp 2024, nous sommes encore sur le même créneau avec Jérôme. Mais comme il a deux talks, j'ai pu venir voir son quickie sur OpenRewrite.

Jérôme nous présente une version courte de sa conférence autour de ce sujet. Il nous présente l'outil et les différents cas d'usage. Un passage sur la doc et l'ensemble des recettes nous permet de voir que c'est un outil complet et vraiment efficace pour faire du refacto. Que ce soit pour de la migration ou refacto globale, c'est l'outil idéal.

Il termine son quickie en créant une grosse frustration. Je ne vous spoile pas, allez voir la vidéo quand elle sortira.

Merci Jérôme, mais maintenant, il va falloir que je vienne voir la conférence.

De l'infra à la config, as code en 3 temps

Yann Schepens

Ma conférence s'est plutôt bien passée, c'était la deuxième fois que je la donnais. Le public était top, et clairement les blagues sur les chefs de projets, ça marche toujours aussi bien. J'ai quelques questions assez intéressantes et de jolies discussions en fin de talk. Donc pour moi, la mission est réussie.

Merci à TNT de m'avoir permis de venir parler de mon quotidien.

Du rêve à la réalité, coder un jeu sur Super Nintendo

Alekmaul (Jean Michel Girard)

Attention : Cette conférence est un pousse-au-crime. Quand vous l'aurez vu, vous n'aurez plus de temps libre !

J'avais hâte de voir cette conférence, pour deux raisons. Un dev, qui par passion, développe un jeu vidéo pour SuperNes et fait imprimer de vraies cartouches de jeu, c'est un rêve de gosse. Et la seconde raison, c'est que les équipes de Touraine Tech m'ont demandé d'accompagner cette personne incroyable qu'est Jean-Michel (Alekmaul).

Il nous explique, avec une passion qui se transmet à tout l'auditoire, comment il a réalisé son rêve d'enfant en créant son propre jeu vidéo pour SuperNES. Il parcourt rapidement l'histoire des consoles de son enfance et comment elles sont restées dans sa vie. Au tel point qu'il crée une librairie qui permet de créer des jeux pour SuperNES, rien que ça. Il raconte et présente l'ensemble des étapes, techniques et logiciels qu'il a utilisés pour créer SON jeu vidéo. On passe rapidement sur la musique, des images, des animations, la structure interne de la console pour arriver sur une démo live. UNE DEMO LIVE POUR ÉCRIRE UN JEU VIDEO SUR SUPERNES ! L'auditoire avait retrouvé ses huit ans et avait les yeux qui brillaient.

Et pour couronner le tout, il a ramené sa console avec la cartouche qui permet de lire les cartes SD. C'était extraordinaire.

Si vous trouvez que vous avez trop de temps libre, regardez cette conférence, vous n'aurez qu'une idée à la suite : fabriquer votre propre jeu vidéo, avec la même passion qui anime Alekmaul.

Merci !

Keynote fermeture

Stéphane Trebel

La pauvre Laurie ...

Stéphane parcours au fil de cette masterclass, les différentes méta-lois qui régissent nos vies, nos sociétés, nos emplois en utilisant l'histoire de Laurie. Laurie qui se confronte à tout un tas de problème lors de son arrivée dans le monde de l'entreprise.

Il nous explique les différentes théories humaines, les fameuses méta-lois, qui mettent des bâtons dans les roues dans la vie de Laurie.

Cette conférence est extraordinaire. Toutes les 5 minutes, on se dit : "mais oui", "mais c'est ça", "il raconte ma vie en fait". On se retrouve dans quasiment toutes les situations. Stéphane le dit et répète : on ne peut pas empêcher ces méta-lois d'exister, on ne peut pas les "corriger", elles sont dans la nature humaine. Par contre, il nous propose des axes pour les mitiger, limiter leurs impacts.

C'est la deuxième fois que je vois cette conférence, je vous conseille de la voir au moins autant de fois. Elle nous ouvre les yeux sur des comportements qu'on voit tous les jours.

Merci beaucoup Stéphane.

Keynote ouverture

Julien Briault

Deuxième fois que je vois cette conférence. Toujours un plaisir, elle a eu quelques mises à jour depuis ^^. Mais je vous renvoie vers l'article que j'avais écrit sur le sujet : https://dev.to/onepoint/volcamp-2024-897.

Et malgré tout, je vais quand même en remettre une couche. Merci Julien, merci pour tout ce que tu fais pour les personnes qui dépendent des Restos du Coeur pour vivre !

Réinventer les masculinités, un chemin vers plus d'inclusion dans la tech

Nathan Castelein

Cette conférence, je l'attendais. Enfin plus précisément, une conférence autour de l'inclusion et du féminisme mais avec un regard d'homme et sur la question de la masculinité, car c'est très lié.

Nathan pose les bases : "Une femme sur deux quitte la tech avant ses 35 ans. 46% des femmes ont subi des comportements sexistes.".

Nous sommes, au sein de l'IT, dans un milieu majoritairement masculin et on se demande pourquoi nous n'arrivons pas à féminiser un peu plus notre monde.

Nathan reprend les grands principes de la théorie de la masculinité. En passant par l'explication et les petits exemples et impacts du quotidien. C'est tout simplement passionnant.

Cette ouverture des yeux nous permet de mieux percevoir les éléments et les actions sur lesquels nous avons à travailler, en tant qu'homme, pour laisser plus de place et être actif dans les démarches d'inclusion et de remise à égalité entre les genres.

Un grand merci Nathan, ta conférence devrait être obligatoirement vue dans notre domaine.

Vol au dessus d’un nid de vulnérabilités

Damien Lucas

Damien part d'un exemple d'une demande cliente pour commencer à nous parler de Software Bills of Materials. À partir de là, il nous fait découvrir l'importance de conserver et analyser les composants de nos logiciels. En particulier quand une faille, qui aurait pu être évitée, a couté des millions de dollars.

Il passe sur les standards et outils du moment, tout en nous indiquant comment les utiliser et les intégrer dans nos infrastructures et habitudes de travail. Il met bien l'accent sur l'importance de suivre les éléments qui composent nos logiciels. Mais, en présentant le reste des xBOM, il indique qu'il y a aussi tout un tas d'autres composants de nos systèmes d'information à suivre, des algorithmes cryptographiques à nos OS de bases.

Sa démonstration des dashboards de suivi est malheureusement tombée à plat, de sombres problèmes de connexion. Il a quand même réussi le défi de nous expliquer les différents éléments que Dependencies Track nous expose pour le suivi des SBOM.

De par mes activités autour du DevSecOps, je suis le parfait public pour ce sujet. Mais je pense clairement que Damien réussit avec brio la vulgarisation des problématiques et des approches autour de la gestion des dépendances.

J'ai adoré cette conférence, et ce n'est pas seulement parce que c'est un collègue qui l'a donnée.

Allez la voir, elle vaut le coup.

Merci Damien :)

Delta Lake : le recalcul sans fracas ni tracas

Julie Galia

Alors, je suis tombé dans une situation qui m'arrive rarement : je ne connaissais ABSOLUMENT PAS l'outil, ni même le métier associé. Donc évidemment, je n'ai pas pu saisir la totalité des messages passés lors de ce quickie.

Cependant, Julie nous présente des problématiques liées au calcul et au traitement de grandes quantités de données qu'elle manipule avec Spark. Elle nous explique comment DeltaLake lui a permis des actions correctives sur ces données sans avoir à tout refaire et de manière bien plus efficace que le fonctionnement précédent.

Le talk est très bien présenté et les exemples sont vraiment parlant (j'ai réussi à bien comprendre la problématique, c'est un exploit).

Merci Julie pour la découverte.

Quand le terminal dévore la UI : TUI pour tout le monde

Thierry Chantier

On ne présente plus Thierry, c'est un speaker génial, avec toujours beaucoup d'humour. Avec cette conférence, il vient nous présenter un moyen de ne plus quitter notre terminal. Mais hors de question de rester sur une simple cli. Il nous propose des solutions pour construire de vraies interfaces utilisateur dessus. Pouvoir avoir une UI dans le terminal.

Après être passé sur un ou deux exemples tels que k9s, qui est une interface dans le terminal permettant de gérer un k8s, il nous présente les librairies qui nous permettent de développer nous-même nos TUI. C'est juste génial. Et comme Thierry est quelqu'un qui aime partager, il ne nous le présente dans un langage, ni même deux langages mais dans TROIS LANGAGES DIFFÉRENTS ! De son chouchou avec Python, on passe aussi sur les possibilités et outils disponibles sous Rust et enfin Go pour pouvoir faire de vraies interfaces utilisateur dans le terminal.

Honnêtement, je ne suis pas du genre à m'amuser avec ce genre d'outil, même si je passe un temps non négligeable dans mon terminal. Cette conférence me donne envie de voir si je ne peux pas me passer de certaines plateformes, que je trouve lentes et peu pratiques, pour utiliser ou créer une TUI qui me donnerait les mêmes infos, plus rapidement et sans bouger de mon terminal.

Merci Thierry, toujours un plaisir de te voir toi ainsi que tes conférences. Un vrai bon moment à chaque fois, même si ça me donne toujours 40 000 idées de trucs à faire sur mon temps libre.

On a 34% de femmes, venez chez nous, on fait des trucs pour vous.

Anaïs Moulin

Je suis complètement biaisé sur cette conférence, étant une des personnes ayant poussé un peu Anaïs sur scène chez Onepoint et l'ayant vu la développer. Mais, en tant que mentor sur ces aspects, je voulais absolument la revoir sur une scène publique. Anaïs est une excellente speakeuse avec un rythme bien à elle qui emmène à l'écoute et au calme, d'autant sur ce sujet qui lui tient particulièrement à cœur.

Anaïs prend le temps, dans cette conférence, de nous parler des effets néfastes, mais aussi positifs de la discrimination positive, en particulier sur les aspects homme-femme dans la tech. Elle nous expose des exemples de la vie réelle, qu'elle a vécu et qui sont représentatifs des effets actuels de cette pratique. Elle revient sur l'histoire et l'origine de cette forme de discrimination, qui a été créée pour de bonnes raisons. Mais cela reste une discrimination et a donc des contreparties négatives.

Pour renforcer ses propos, elle s'appuie sur les chiffres de l'INSEE sur les différences homme / femme et sur l'état de cette lutte indispensable sur l'égalité et l'inclusion.

Elle conclut sur sa vision de l'avenir de cette pratique, et nous pose les questions sur ce qu'on doit en faire, ses intentions louables, son application et ses impacts.

J'adore cette conférence, que ce soit sur le fond ou sur la forme. Elle fait passer un message important, sans jugement, avec du recul et en toute intelligence.

Bravo Anaïs et merci !

Conclusion

Encore une superbe édition de TNT, des speakers géniaux, des papotages d'exception. J'ai fait mon premier mentorat pour une conférence publique, j'ai vu Anaïs qu'on a coaché chez Onepoint, on a encore passé des heures à discuter avec nos collègues de Bordeaux et avec l'équipe de TNT, et on a appris encore énormement de choses qu'on s'empressera d'aller raconter à nos collègues et proposer à nos clients. J'y retourne quand vous voulez :)

Merci TNT.

Pour finir, tous ces événements sont actuellement en danger. Les financements, le sponsoring ont beaucoup diminué et certains d'entre eux ont même été annulés. Parlez-en à vos entreprises, filez des coups de mains si vous le pouvez. Ces lieux de rencontres sont importants pour la communauté de l'IT.

Simplifiez-vous la documentation

Yann Schepens — Thu, 23 Jan 2025 08:04:22 +0000

Notre quotidien de créateur de l'univers numérique, dans toute sa complexité, nous amène à expliquer et décrire ce que nous allons faire, faisons et avons fait.

Que l'on soit développeur, architecte, fonctionnel ou autres, un des moyens de communiquer est la documentation. Partir d'une page blanche peut paraître impressionnant devant la multitude des possibilités autour de ces pratiques. Des outils et des approches nous permettent de simplifier cette tâche tout en restant efficace et pertinent.

Du choix de ces outils aux stratégies d'organisation, nous vous proposons une série d'articles qui pourrait simplifier vos quotidiens de rédacteur.

Se lancer dans la documentation as code

Parmis ces outils, la documentation as code (ou avec le code) est un de ceux qui nous est cher.

Beaucoup d'entre nous, connaissons ce terme. En particulier à travers une de ses syntaxe, le markdown.
Ce format s'est plus ou moins imposé comme un standard, ou du moins, comme une habitude.
Il existe cependant des alternatives avec des écosystèmes bien plus fournis et aussi bien supportées que MD.

@arcanneero vous propose de faire un tour de ces alternatives, donc une en particulier. Au travers un ensemble d'articles vous aidant à en place, petit à petit, votre doc as code.

La doc as code, ça commence par écrire de la doc.
Sonnant comme une évidence, cette petite phrase est pourtant un adage important pour vous inviter à vous lancer dans la production de documentation.

Suivez les étapes pour aborder ces concepts avec l'article : "Doc as code, petit guide illustré pour mieux se lancer".

Ecrire de la doc, c'est bien. La mettre à disposition, c'est mieux.
Souvent un des points durs dans le parcours de mise en œuvre des documentations as Code, la publication est souvent prise comme une montagne infranchissable.

Deuxième article de la série, l'article "Doc as code, un parcours initiatique pour publier !" vous invite à mettre en place l'outillage nécessaire pour vous permettre de vous concentrer sur le contenu et laissez le contenant se mettre en place (presque) tout seul.

Écrire et publier sont deux composantes essentielles de la documentation, mais on arrive rapidement à une problématique de rangement, d'organisation, etc...
La question de la documentation utile devient alors indispensable à la suivie de vos projets !

La doc utile

L'outillage est prêt, le process de publication aussi. Maintenant, il faut s'attaquer au contenu.

Combien de fois sommes-nous tombés sur une documentation mal organisée ou incompréhensible ?
@yannschepens nous propose une série d'article sur le sujet, vous invitant à vous interroger sur ce qui peut rendre votre contenu utile.

Elle est où la doc ?
Cette question raisonnement tellement souvent dans nos oreilles que vous ne pouvez y être insensible.

Pour essayer de rendre nos documentations accessibles et utiles, un premier article vous propose de commencer par réfléchir à comment "écrire une doc technique utile".
Vous trouverez quelques conseils et une approche pour vous aider à y répondre

Donnez aux lecteurs ce qu'ils veulent
Facile à dire, et encore plus lorsque l'utilisateur lui même ne sais pas ce qu'il cherche !

Pour autant, une documentation ne se lit pas comme un livre.
Il ne faut pas avoir besoin de tout lire pour trouver l'information recherchée. Il existe pour cela des stratégies d'organisation qui sont abordées dans le second article Structurer votre doc pour la rendre utile.

Vous avez rédigé votre documentation, puis vous l'avez publiée, avant de la structurer pour la rendre utile et adaptée à vos lecteurs.
Reste à la rendre plus agréable visuellement.

Rendre la lecture agréable

Lire une doc c'est plus sympa quand elle est jolie
Au delà du fait que le joli est très personnel, vous pouvez être contraint à cause de charte graphique, ou autres règles internes à votre structure.

Il vous faut alors styliser vos publications, ce que les générateurs peuvent faire. Même si certains aspects peuvent être obscurs voir clairement étrange, c'est faisable ! Pour vous mettre le pied à l'étrier, "Doc as code, personnaliser vos rendus pour répondre à vos contraintes ou à votre esprit créatif !" vous donnera des pistes et quelques exemples de configuration pour vous simplifier la vie.

Conclusion

Rédiger de la doc demande de répondre aux : Comment ? Quand ? Qui ? Où ? Quoi ? La documentation as code présentée par @arcanneero et la façon de l'organiser peuvent vous permettre en partie de répondre à ces questions.

Inspirez-vous, testez les approches, critiquez-les, et profitez-en pour rédiger un petit article ou une documentation sur la documentation.

A vos claviers !

Les deux séries d'articles :

Documentation as code par @arcanneero : https://dev.to/arcanneero/series/26267
Écrire une doc technique utile par @yannschepens : https://dev.to/yannschepens/series/26510

Volcamp 2024

Yann Schepens — Tue, 05 Nov 2024 08:37:36 +0000

Volcamp, j'adore cette conférence ! Voilà maintenant 3 ans que j'y vais en tant que speaker et c'est à chaque fois avec beaucoup de plaisir. L'équipe organisatrice est top, le lieu est génial et les conférences sont d'un très bon niveau. Mais surtout, qu'est ce qu'on mange bien !

Volcamp fait partie de ces conférences qui se permettent encore d'aller dans des sujets très techniques avec un niveau avancé.

Mais trêve de papotage, voyons ensemble comment s'est déroulé cette édition 2024.

L'évènement

Déjà, Volcamp est organisé par une association qui porte le nom alléchant de Geek&Terroir, ça ne peut que bien se passer.

Nous en sommes officiellement à la 5ème édition, mais la première édition a été annulée dû aux confinements (souvenirs, souvenirs).

C'est un évènement sur 2 jours qui se situe au Hall32 à Clermont-Ferrand, juste à côté du stade Marcel Michelin.

Le lieu : Hall32

Le Hall 32 est un lieu de formation et un espace permettant d'accueillir des évènements autour de l'industrie. Entre les salles de conférences, les salles de réunion et les ateliers, c'est un endroit parfait pour ce genre d'évènement. On sent toute l'industrie Michelin qui baigne dans cet endroit.

Même si l'accès aux ateliers nous est refusé, les voir au travers des grandes baies vitrés me laissent toujours admiratifs, tel un enfant qui voit tout un tas de nouveaux jouets.

Concernant l'espace qui nous est réservé, il y a un auditorium, deux très grandes salles pour les conférences ainsi que des espaces plus petits pour les ateliers. Le tout entre le rez-de-chaussée et la mezzanine.

Les stands se positionnent sur les couloirs centraux qui sont assez larges, ainsi la circulation se fait bien et il est assez facile de passer sur tous les stands.

La veille : la soirée speaker au Salvation Jane

Quoi de mieux que de faire connaissance avec les autres speakers et l'équipe organisatrice autour d'un verre dans un bar à bière avec tout un tas de spécialités locales. Autant vous dire que ça annonce la couleur. Des discussions intéressantes avec des personnes intéressantes dans un super cadre où on mange bien !

Nous avons pu revoir et passer une bonne partie de la soirée avec les équipes d'OVH Cloud et l'équipe habituelle, dont la keynoteuse d'exception qui se préparait psychologiquement pour le lendemain. Comme d'habitude, nous sommes restés sobres et nous n'avons pas ~~beaucoup~~ ~~trop~~ manger... sarcasme ... L'ambiance était géniale et ça fait toujours très plaisir de revoir l'orga de Volcamp et les speakers habitués. On finit par se connaitre et raconter nos frasques respectives depuis nos dernières confs en commun.

Les deux jours à Volcamp

Volcamp se déroule sur 2 jours, petits déjs à base de café, de croissants, de pain au chocolat. Ce que j'aime dans cette conférence, c'est qu'on a le temps. Il y a toujours une bonne pause entre les conférences pour aller prendre un café, manger un morceau de fromage, faire un tour sur les stands et papoter avec de parfait inconnus.

L'ambiance est toujours très bonne là-bas. On voit que ce sont des passionnées et des techs qui sont là. Il n'y a pas de pollution business ou de gros égos, on reste entre techs.

Les salles de conférences

Cette année, trois salles, comme d'habitude mais avec quelques différences. Côté Auditorium, toujours aussi chouette. On est bien installé, on voit bien et on entend bien.

Côté Showroom, la disposition a été changé depuis l'année dernière et c'est bien mieux comme ça. Côté technique, sur ces deux salles, toujours au top.

Et côté fablab, cette salle a encore bougé et elle est maintenant dans une salle de cours, c'est assez drôle et original d'être un peu plus dans les locaux du Hall32. Par contre, pas hyper pratique pour les confs, c'est assez plat, et donc on ne voit pas très bien les slides.

L'installation speaker

Côté speaker, l'encadrement est toujours bon : pupitre, casque Madonna, avec un membre de l'orga qui assure le timing. On a de la place, on est à l'aise.

L'auditorium offre en plus un retour direct de ce que l'on partage sur l'écran et un timer.

Les conférences que j'ai vues

Keynote d'ouverture

Fanny Klauk

Je connais Fanny depuis un petit moment maintenant, donc je me doutais que sa keynote allait être un super moment.

Pas manqué.

Prendre le temps : cette keynote nous emmène à être moins pressé pour faire notre travail. Prendre le temps de faire et bien faire les choses. Mais le plus important, c'est surtout de communiquer. Fanny repasse sur une bonne partie des problèmes et erreurs de communication, en partie dû à notre empressement mais aussi à cause des profils toxiques.

Elle nous pousse à parler de nous, de nos contextes afin de simplifier et fluidifier les échanges. L'être humain est un être complexe, nous devons donc faire l'effort de le comprendre et de le communiquer. Notre métier aussi est complexe. Nous ne sommes pas que des développeurs. Nos quotidiens sont emplis d'autres sujets : la compréhension des besoins, les tests, la communication, sans compter nos quotidiens personnels. Il est impossible de passer à côté de tout ça pour communiquer correctement.

Merci Fanny de nous rappeler tout ça et de nous proposer de prendre le temps.

Il était une faille

Paul Molin

La cybersec, c'est difficile, c'est tordu, c'est compliqué à prioriser et à apprendre. De plus, nos biais humains, tel que le biais d'optimisme, nous entraine à parfois mettre de côté ces sujets : "Mais non, ça n'arrivera pas".

Paul a bien compris tout ça. Pour remédier à ce problème, il nous propose d'utiliser une technique de l'âge de pierre. Parler, raconter des histoires vraies d'attaques ou de failles de sécurité. Plus autour du feu, mais via une newsletter. Digression : cela dit, certaines attaques dignes de films d'horreur mériteraient d'être raconté au milieu d'une forêt, juste pour l'ambiance. C'est une méthode qui fonctionnait déjà avant et qui continue de fonctionner.

Il en profite, au travers de différents exemples de failles de sécurité, de nous rappeler l'importance de parler de sécurité et des avantages de le faire. Que ce soit pour trancher un débat, ou mieux comprendre comment les attaques fonctionnent, c'est efficace. Pas forcément en gain direct, mais sur le long terme.

Il nous rappelle aussi le principe de "Mort kilométrique", qui est un biais qui consiste à dire que plus un évènement est loin, plus il doit être grave pour que ça nous impacte. En partant de ce principe, il nous conseille plutôt d'utiliser nos propres histoires d'attaque, afin d'avoir un impact plus important.

Merci Paul de nous donner de nouvelles pistes pour rendre un peu moins faillible ce monde du numérique qui est aujourd'hui une passoire.

Abonnez-vous à leur newsletter : https://www.theodo.fr/#footer-newsletter (case sécurité), personnellement, j'y vais de ce pas.

Enseigner l'algorithmique et la programmation aux petits et tout petits

Marc Chevaldonné

Qui de mieux qu'un enseignant chercheur pour former des enfants et surtout nous former nous ! Ce talk et REX à base de sarcasmes et d'un humour à faire passer des messages est une masterclass.

Je suis allé voir cette conférence car je sais qu'il va falloir que je m'y colle un jour avec ma progéniture. J'ai bien fait. La démarche pédagogique, les ateliers, les études autour de l'apprentissage de l'algorithmie, tout y était. Ce genre de talk fait du bien à suivre, on voit l'intelligence intrinsèque, autant individuelle que collective des enfants. Et en même, elle pique un peu. Nos modes d'éducations et de formation très cadrés, le sont peut-être trop. Nous perdons cette flexibilité avec le temps. Les enfants sont clairement bien plus créatifs que nous dans la résolution de problème.

Le dernier point qu'aborde Marc est probablement celui sur lequel nous devrions le plus nous concentrer : l'apprentissage de l'informatique dans le primaire et le secondaire. C'est un scandale. Depuis le rapport de 2013 rien à bouger. La situation a même empiré.

4,7% des terminales qui suivent les cours d'IT, ce n'est pas suffisant. D'autant plus qu'on passe ~10 heures jours devant les écrans, sans savoir s'en servir et comment ça marche.

Je ne sais pas ce que l'on doit faire, mais si certains d'entre vous ont des idées, allez-y.

Une lecture à vous conseiller : "Robot, meilleur ami de l'homme"

Comment nous avons transformé les Restos du Coeur en Cloud Provider

Julien Briault

Avant de commencer, juste un mot : Merci Julien, merci pour tout ce que tu fais.

Je suis les conférences de Julien depuis un moment maintenant et j'attendais impatiemment celle-ci. Julien nous présente tout le travail qui a été fait et son évolution au sein des Restos des coeurs avec ... du coeur ! Des dons de matériels, à l'installation en passant par la partie logicielle, on y voit tout le talent d'un passionné. Le choix des outils, la conception sont hyper qualitatif, l'infra est au-delà de l'état de l'art. Cette infra est un objectif à atteindre pour tous les OPS !

Derrière le côté technique qui nous mets des étoiles dans les yeux, on voit le grand cœur de Julien qui, comme l'ensemble des Restos du cœur, ne compte pas en euros mais en repas gratuit. Tous les outils et techniques que Julien met en place a pour objectif d'avoir une infra la moins consommatrice possible afin de réserver l'argent pour les personnes qui en ont besoin.

Bravo Julien pour cette masterclass, ces gifs, cette abnégation et cet étalage de technologie qui nous fait rêver.

Le choix d’une organisation par l’échec avec la Team Rocket

Pierre Tibulle, Estelle Landry

L'avis d'Henri Gauffriau : Une conférence rafraîchissante, un pas de côté agréable sur les raisons des erreurs potentielles

L'UX en entreprise - guide pratique

Crystal Blad

Crystal repasse sur les différents métiers de l'UX pour nous présenter les rôles de chaque UX et leurs responsabilités dans la conception d'un produit.

Elle nous rappelle qu'UI et UX sont dans le même camp. C'est une conférence assez intéressante pour découvrir le monde de l'UX d'un point de vue théorique.

Avec force d'étude et d'exemples documentés, Crystal nous rappelle ce qu'est l'UX. On aurait aimé un peu plus d'engagement personnel. Cela dit, Crystal est une jeune UX, à l'aise sur scène, et le temps améliorera son propos (déjà bien organisé). J'ai hâte de revoir sa conférence dans quelques années, avec un peu plus de recul...

Par contre, Crystal : NUMÉRIQUE ! pas digital, je t'en supplie :).

Keynote 2

Yann Lechelle

L'avis d'Henri Gauffriau : Avec un parcours à faire pâlir, Yann nous fait un partage d'expérience (et il en a de l'expérience). Après avoir traversé une petite quarantaine d'année dans la tech, il nous amène à nous poser la question de la place de l'Europe dans les décennies à venir. Vertigineux et enrichissant !

De l’infra à la config', as code en 3 couches

Yann Schepens

Retour de Cécile Hannotte : Conférence très complète, j’ai beaucoup appris sur la mise en place d’une infra et les complexités de sécurité. On pense que les contraintes client sur l’infra sont des bâtons dans les roues des architectes mais Yann nous montre comment il a pu contourner ces contraintes et en faire une force pour son projet. C’était un REX intéressant qui est très utile et très ancré dans les contraintes DevOps que l’on peut rencontrer dans un projet client.

IA-404 : Explication not found

Cécile Hannotte

Je connaissais déjà la conférence de Cécile et je suis venu pour la revoir et surtout en tant que support psychologique, comme on le fait à chaque fois (presque) entre nous. Son sujet est hyper intéressant et nous remet les pieds sur Terre sur l'IA et sa compréhension. Mais malgré ça, elle conclut quand même en nous disant que l'IA peut nous faire rêver et que parfois, ça peut être chouette d'en profiter.

J'ai aussi regardé sa conf avec un œil de critique, vu qu'elle fait partir des pioupious qu'on a coaché avec Nicolas Giraud. C'était la première fois que je la voyais parler en public. Franchement, elle est très à l'aise et sa façon de s'exprimer est très agréable. On la suit bien, elle ajuste la précision et la vulgarisation de son sujet en fonction de son auditoir. Bravo, ce n'est pas évident et tu le réussis avec brio.

Manifeste pour un artisanat logiciel responsable

Cécilia Bossard

Un mot pour résumer mon avis sur cette conférence : MERCI ! Cécilia repasse sur les problématiques sociales, sociétales, éthique et environnemental du numérique. Elle refait un point sur les bases de l'agilité, dont le manifeste agile. Tout le monde devrait connaitre ce manifeste, surtout les agilistes. Sa démarche de modifier le manifeste agile pour ajouter la notion de responsabilité numérique passent aussi par un retour sur le craftmanship et ses principes. Son talk fait du bien sur ce sujet car elle met en exergue les défauts et des dérives des crafteurs (dont je me considère faisant parti). Cette remise à plat sur ces concepts fait du bien. Il faut les entendre, d'autant plus que le numérique responsable inclus les aspects sociétaux.

Bref, merci Cécilia, d'ailleurs, je veux bien tes slides :) Et au plaisir de se recroiser sur Nantes.

Les papotages

Alors, plus on fait de conférences, plus on connait de monde. Donc les papotages, ça va dans le même sens.

Beaucoup de discussions sur les évènements de l'année, les nouveautés, etc. Des discussions passionnantes avec un jeune développeur qui ne savait pas trop comment s'en sortir avec son équipe de réal'. On voit d'ailleurs qu'il faut que nous continuions à insister sur l'importance de la communication entre les gens et l'humilité qui va avec. Certains jeunes (et moins jeunes) sont encore perdus dans leur positionnement au sein d'une équipe et les droits et devoirs que cela implique. Savoir qu'on a le droit de poser des questions, challenger les solutions, demander de prendre le temps, ce n'est pas encore gagné.

Pas mal de retours sur l'accessibilité, on sent que ça mijote...

De très bonnes discussions avec les orgas qui sont toujours aussi sympa et enjoués de nous voir nous éclater en tant que speaker et spectateurs.

Alors c'était bien ?

Génial, comme tous les ans à Volcamp. 3 ans que j'y vais, et cette édition a encore été une réussite. Bravo l'équipe.

Structurer votre doc pour la rendre utile

Yann Schepens — Tue, 26 Mar 2024 10:36:55 +0000

Dans un précédent article, nous avons défini le périmètre et la cible de notre documentation.

Pour aider les lecteurs à trouver rapidement l'information qu'ils cherchent, nous allons rentrer dans le concret avec une proposition de structure et quelques astuces.

La homepage

Cette page web est probablement la plus grande cause de non-lecture de la doc.
Le développeur, et plus globalement l'être humain, aime les choses simples.
Disons qu'il est fainéant et que s'il faut chercher, il ira demander à Google de le faire à sa place.

Abstenez-vous de mettre le contexte de rédaction de la doc ou l'histoire de l'outil à cet endroit. Évitez les introductions du type : "Bienvenue sur la documentation de X, qui respecte telle et telle contrainte, loi, demandé par Y. Cette documentation vous engage à ...".

Exit le contexte d'écriture de la doc de la page d'accueil, mettez-le dans une page web à part. Personne ne lit les CGV/CGU à ce que je sache !

La page web principale de votre documentation doit permettre aux lecteurs de trouver le plus rapidement possible ce qu'ils cherchent. Donnez-leur ce qu'ils veulent.

Généralement, ça se traduit par une liste de liens vers d'autres documentations. Cette page web sert aussi, d'une certaine manière, de définition du périmètre de la documentation (a.k.a.: si il n'y a pas de lien ici, c'est qu'il n'y a pas la documentation que je recherche).

Exemples.:

Springboot quick start

Symfony documentation homepage

Kubernetes documentation homepage

Les chapitres

Dans les documentations comprenant beaucoup de contenus, on doit découper en chapitres afin d'adresser des sous-parties de la documentation.

Une approche que j'apprécie est le découpage en fonction des dépôts de code pour les documentations techniques ou par Domain (au sens DDD). Pour les aspects fonctionnels, je m'appuie sur le menu principal de l'application (si UI).

Un "chapitre" de la documentation est une documentation à part entière. Elle doit respecter les mêmes règles que la documentation dans sa globalité :

Périmètre précis et défini
Autonome (ne pas dépendre d'autres bouts de la doc)
Public défini

On doit pouvoir l'extraire et la mettre à disposition de façon autonome sans qu'il ne manque quoi que ce soit.

Il y a plusieurs moyens de découper en chapitre.

Par public
Par couche/module
Par grandes fonctionnalités

Un découpage par public correspondrait au rôle des différents lecteurs potentiels : développeurs, fonctionnels, utilisateurs, infra, etc.
Une approche par couche donnera des chapitres "backend", "frontend", "architecture", etc.
La segmentation par fonctionnalité, qu'on retrouvera souvent dans les documentations de framework, proposera des chapitres du style "Persistance", "Front controller", "Traitement des images", etc.
Ou dans une documentation d'outil avec des chapitres sur ses grands aspects : "les méthodes d'authentification", "organiser votre contenu", "les permissions utilisateur", etc.

Contrairement à la homepage générale qui sert d'aiguillage, celle d'un chapitre va rentrer directement dans le sujet.

Homepage d'un chapitre : Introduction

L'introduction d'un chapitre devrait être composée de trois parties :

Le périmètre de la doc
La philosophie/les concepts
L'installation et le use case principal

Elle peut être sur une ou deux pages web, mais pas plus, il faut que le lecteur voit immédiatement ces trois parties sans avoir à chercher.

Le périmètre

La première chose à indiquer dans la documentation est ce que couvre la "fonctionnalité", les cas d'usage et surtout les cas de non-usages. Pour ce dernier point, une ou plusieurs solutions alternatives peuvent être proposées en renvoyant vers d'autres documentations.

Mauvaise introduction :

"Ce package vous permet de sécuriser votre application."

Mieux :

"Ce package vous permet de gérer l'ensemble des stratégies d'authentification et de gestions des droits d'accès de vos utilisateurs ainsi que l'ensemble des outils mis à disposition permettant de sécuriser les échanges HTTP.

Pour vous protéger contre les injections (SQL, XSS, etc.), vous pouvez vous rendre sur ..."

Symfony security :

Explication des concepts

Une fois que le périmètre est défini, une explication des concepts/patterns/philosophie du sujet est nécessaire pour permettre au lecteur de bien comprendre comment les éléments s'imbriquent les uns avec les autres.

C'est d'ailleurs le moment de sortir vos plus beaux schémas.

Personnellement, j'adore UML, mais vos C4, Merise, et autres sont les bienvenues aussi.

NestJs middleware documentation

Installation et usage de base

Un exemple de bout en bout permet de se mettre dans le bain directement.
L'installation, l'utilisation et la configuration de base doivent être présent dans ce bout de code.

Il permettra à une grande partie des utilisateurs de répondre immédiatement à leur besoin, et montre la mise en application des concepts de base sans rentrer dans les détails.

Généralement, si le besoin du lecteur est légèrement différent, il utilisera tout de même ce point de départ.
Il le personnalisera avec les différentes options et stratégies proposées par la suite.

On le voit souvent sous le nom de "Getting started with".

Jest getting started

La documentation en tant que tel

Une fois le périmètre, l'usage de base et les concepts généraux présentés, entrons dans le détail de la documentation.

Ici, vous allez chercher à couvrir l'ensemble des cas d'usages possibles et des capacités de ce que vous documentez.
Attention à partir du cas d'usage de base, pour ne pas perdre le lecteur.

L'approche que je vous préconise comporte trois axes principaux :

À quelle problématique ça répond ? (toujours en partant du cas de base)
Comment ça marche ?
Comment on s'en sert ?

Si votre application est derrière un reverse proxy, elle ne connaitra pas le client IP et le hostname originel.

Pour palier à cette problématique, la plupart des reverse proxy envoie un jeu de header HTTP nommé les https://datatracker.ietf.org/doc/html/rfc7239[X-FORWARDED-HEADERS].

Pour que votre application les prenne en compte, vous devez modifier la configuration suivantes :

...

Dans cette zone de documentation, vous avez le temps et la place d'écrire. Si lecteurs arrivent ici, c'est qu'ils ont besoin de comprendre comment fonctionne votre outil et ils prendront le temps de lire.

D'un point de vue organisation, vous pouvez tout laisser dans la même page web, si un menu est visible et accessible sur les côtés du contenu principal. S'il y a vraiment beaucoup d'informations à fournir, mettez le reste sur une autre page web.

L'intégration avec d'autres outils

Si ce que vous présentez peut s'intégrer avec d'autres outils, faites-en une partie à part entière de votre documentation. N'oubliez pas de bien préciser les versions et les cas dans lesquels ça a été testé.

Les limites et bugs connus

Affichez vos bugs/limites connus avec des explications si elles existent et des workaround si ils existent aussi.

Certains bugs/limites n'ont pas vocation à être corrigés, indiquez-le aussi. Cela évitera des heures de recherche et de la frustration de la part des lecteurs.

Cette partie peut prendre la forme d'une FAQ.

Allez plus loin

Certains bouts de doc, en particulier les aspects sombres, obscurs et/ou très techniques sont difficilement intégrables avec le reste.

Dans ce cas, vous pouvez les mettre "en vrac" dans une partie "allez plus loin".

Ce n'est pas non plus un fourre-tout, restez précis.

Symfony learn more

Les références

La configuration

Toute la documentation que vous avez écrite est orientée usage. Cependant, elle ne permet pas de voir la totalité des configurations.

Cette partie référence sert à ça. Elle vous permet d'afficher la liste exhaustive des configurations disponibles ainsi que leur valeur par défaut.

S'il s'agit de fichiers de configuration, mettez-les tels quels avec des commentaires : ce sera d'autant plus simple pour les lecteurs de s'y retrouver vis-à-vis de ce qu'ils voient dans la vraie vie.

S'il s'agit d'écran de configuration, un screenshot sera le bienvenue.

API Platform configuration reference

Si on parle de code

Concernant l'architecture, un diagramme de classe, et un diagramme de composants au besoin, permettra aux lecteurs de comprendre comment est structuré le code qu'ils utilisent sans l'avoir développé.

De plus, ils pourront mieux utiliser ce que vous proposez, voire le challenger.

Conclusion

Le but d'une documentation est de répondre aux besoins des utilisateurs à plusieurs instants, avec plusieurs niveaux de compétences sur ce que vous documentez. Une documentation bien écrite et organisée leur permettra de trouver rapidement ce dont ils ont besoin avec le niveau de granularité nécessaire.

Et si un format de documentation vous plaît, n'hésitez pas à les copier : c'est que c'est sûrement une bonne approche.

Aller plus loin et un peu sur le côté

Je vous conseille l'excellente série d'articles de @arcanneero (Nicolas Giraud) si vous voulez vous lancer dans la doc as code.

Pour écrire et publier :

Des conseils pour le style d'écriture : Je n'ai toujours rien pour le moment, proposez des trucs

Concernant les chartes graphiques et les visuels :

Memo design RGAA

Un framework pour rédiger des docs techs (que l'on m'a conseillé) : https://diataxis.fr/

Snowcamp 2024

Yann Schepens — Wed, 13 Mar 2024 12:18:01 +0000

( Avec l'aimable participation de @sylvainmetayer et @jtama )

De retour sur mes terres !

Êtant originaire de Grenoble, que j'ai quitté il y a maintenant 23 ans, Snowcamp a une saveur particulière pour moi. Être sélectionné pour venir donner une conférence dans ma ville natale, là où j'ai grandi, représente étrangement une forme d'accomplissement et de fierté.

Bref, trêve de sentimentalisme et de personnification, rentrons dans le vif du sujet !

Oui surtout, Yann, tu n'es pas seul, et dis-toi bien que Sylvain, François-Xavier et moi sommes aussi très heureux d'être ici à Grenoble !
Jérôme Tama

L'événement

Snowcamp a débuté en 2016 avec 200 participants à l'université de Grenoble. C'est maintenant une conférence qui se tient sur 4 jours dans le World Trade Center de Grenoble pour environ 600 participants et 70 speakers.

4 jours, mais seulement deux jours de conférence en tant que tel. L'évènement se découpe en trois parties. Les universités/ateliers, le premier jour, permettent de creuser et pratiquer des sujets pendant 3 heures. Bref, les participants finissent avec le cerveau en bouillie, mais avec de la pratique. Les deux jours suivants sont un peu plus classiques. 4 salles permettent à l'évènement et aux speakers de présenter beaucoup de sujets différents. Ne vous attendez pas à n'avoir que des sujets pour débutant, il y en a pour tout le monde et pour tout niveau. Et ça, j'apprécie.

Le dernier jour est probablement le meilleur incentive pour venir à cette conférence. Cette journée de détente pour tout le monde, permet de discuter et faire connaissance de la manière la plus cool qui soit : sur les pistes de ski.

Malheureusement pour moi, je ne pourrais pas être présent pour cette dernière journée.

Ni nous d'ailleurs, d'autant que cette année, on ne peut pas dire que la neige soit au rendez-vous. Par contre Yann, il faut que tu arrêtes de te la jouer solo !
Jérôme Tama

Afin de laisser leur chance aux plus jeunes, un tremplin a été organisé un peu avant pour réserver des créneaux pour des primo speakers. Bravo l'équipe, c'est vraiment bien ce que vous faites :).

Le lieu

Le World Trade Center de Grenoble qui se situe en face de la gare, est muni d'un hotel. Franchement, c'est confortable. Même si j'avoue que j'aime bien me balader en rejoignant les gares et les lieux de conférence. Ça permet de découvrir la ville d'une manière différente.

(Succès débloqué avec Snowcamp : avoir moins de 20m entre l'hôtel et l'entrée de la conférence, je pense qu'il sera difficile de faire plus près !)

L'évènement en lui-même se déroule au premier étage. Nous arrivons donc dans un atrium avec des coursives ouvertes, un niveau au-dessus, pour accéder aux salles de conférence. Cet atrium n'est pas forcément très grand, mais cette hauteur sous plafond d'au moins deux étages permet de ne pas se sentir étouffé. Deux escaliers permettent donc d'accéder aux salles.

Dans cet espace, nous pouvons nous retrouver pour discuter, boire un café et manger. Les stands des sponsors sont positionnés sous les coursives, tout autour de l'atrium. Cette organisation fait qu'il est assez facile d'y accéder, les stands sont bien visibles, tout en ne gênant pas du tout la circulation. Deux tables avec des serveurs (humains :P), nous mettent à disposition du café et quelques douceurs tout au long de la journée. Des tables pour manger et/ou travailler sont disponibles un peu à l'écart, pour plus de tranquillité.

Les salles

Il y avait 4 salles pour la conférence. Un amphithéatre très agréable qui a accueilli les keynotes et les grandes conférences. Une salle assez large avec deux vidéoprojecteurs, Makalu et deux salles identiques, Kilimanjaro et Mont Blanc. Concernant ces deux dernières, elles sont en réalité le rassemblement de plusieurs petites salles. Cette composition donne des salles très profondes et assez étroites. Plusieurs écrans relais ont permis aux spectateurs de pouvoir suivre les slides des conférences.

Ce qui, dans mon cas, a posé un problème. Mes slides et schémas n'était pas adaptés à des écrans de cette taille. Donc c'était écrit un peu trop petit. Idem pour la démo. J'y penserais pour mes prochains préparation de slides de conférence.

Les 2 jours

Cet évènement s'est bien déroulé. Le choix des conférences était bien équilibré. Il y en avait pour tout niveau, toute sensibilité et globalement de bonne qualité. Je suis assez content car j'ai pu aller voir des conférences que j'avais raté à de multiples reprises. Le rythme des conférences était très bien, 15 minutes entre chaque conférence, c'est confortable. Ça permet de pouvoir déborder légèrement si un problème survient, de pouvoir changer de salles sans courir tout en attrapant un café au passage. La pause repas dure à peu prés 1h30 et est précédée par les quickies.

Concernant les repas, une séparation en deux services a permis d'éviter que ce ne soit la cohut. Très bonne idée de la part de l'orga. Ça a permis à tout le monde d'accéder aux sacs repas que vous aviez prévu sans attendre trop longtemps.

Le seul gros couac a relevé, pour moi, est la communication sur l'accès restreint aux universités. Elle n'a pas été comprise par certains speakers, dont moi. Nous nous sommes retrouvés "sur le carreau" le mercredi matin quand on nous a indiqué qu'il aurait fallu réserver.

Comprenons-nous bien, je n'ai aucun problème avec le fait que le nombre de places soit limité, mais ce n'était pas indiqué sur les mails envoyés aux speakers.

Tant pis, de toute façon, il faisait beau, donc on a été faire une petite rando sur la Bastille.

Le Meet & Greet

Le meet & greet précédant le repas des speakers du Jeudi était excellent. Vous nous avez gâté en fromages/charcuteries. C'était un moment d'entre-deux très chouette. La pression redescendait pour les speakers de la journée et à monter pour les speakers du vendredi (ou restait stable pour François-Xavier qui a donné un talk le jeudi et le vendredi XD). Nous en avons profité pour nous présenter les uns, les autres. J'ai pu faire un peu plus connaissance avec des speakers que je croisais régulièrement mais avec qui je n'avais pris le temps de discuter.

C'était aussi le moment pour les petits groupes de se former et de choisir un bar pour la suite de la soirée et/ou d'aller réviser pour le lendemain.

Il y avait une salle speaker, malheureusement les gens du WTC n'ont pas voulu nous donner la clef.

Le repas de speakers

Le Jeudi soir avec tous les speakers et l'orga, nous nous sommes retrouvés dans un bouchon grenoblois (oui ça existe) très agréable.

Heureusement que le staff nous avait prévenu de ne pas trop manger au Meet & Greet ! C'était bon et copieux. Apéro, entrée, plat, dessert, vin, dans un restaurant réservé entièrement pour nous, au top l'organisation. Je me suis retrouvé à table avec quelques "collègues" de conférence que je croise très (trop ?) souvent.

Ces moments privilégiés sont l'occasion de partager avec des gens que nous n'aurions certainement jamais croisé dans d'autres circonstances. On y parle technique, boulot, mais évidemment pas que.
Et puis soyons totalement honnêtes, c'est aussi souvent l'occasion de discuter avec des speakers dont nous sommes des fans hardcore, et de rentrer avec des autographes (hiiiiiiiiii).

J'ai passé une super soirée, qui, pour une fois, s'est finie avant minuit. Avec des speakers qui parlaient le lendemain, c'était plutôt logique.

Oui, nous aussi Yann, on a bien aimé si tu te poses la question.
Jérôme Tama

Les conférences

À l'heure où j'écris ces lignes, la veille de l'ouverture des universités, je suis en train de préparer mon programme pour ces 3 jours. Je n'avais pas vu le programme. MAIS QUEL PROGRAMME ! C'est assez rare qu'autant de conférence m'intéressent. D'ailleurs, je pense que je vais devoir trahir mes collègues et ne pas aller les soutenir pour leur conférence. Désolé les gars.

T'inquiète on n'ira pas te voir non plus.
Jérôme Tama

Tout ça pour au final venir faire la groupie au premier rang durant nos conférences... 😆
Sylvain Métayer

Pour garder le prix des billets accessible l'organisation a fait le choix de ne pas mettre en place de captation. C'est un choix complètement compréhensible, mais j'avoue être déçu de ne pas pouvoir avoir de séances de rattrapage pour les talks ratés....

L'accueil des speakers

Côté speakers, pas de traitement de faveurs, c'est très bien. Je regrette quand même l'absence d'une salle dédiée pour pouvoir se mettre au calme avant de commencer son talk. D'après ce que j'ai compris, elle était prévue, mais fermée. Tant pis.

L'installation speakers

Côté talk, l'amphi était très bien équipée. Pupitre, retour écran au pied sur scène, c'est très confortable. Dans les autres salles, nous avions des tables équipées d'un timer, très pratique quand tu es en démo et que tu n'as plus le timer de tes speakers notes.

La table à la place du pupitre a quelques avantages, mais aussi des inconvénients. On a beaucoup plus de place et on est un peu plus confortable pour les faire les démos. Mais il est vrai que si on préfère être debout, ce qui est mon cas, on a un peu l'impression de perdre le contact du public, mais ça reste de l'ordre du détail.

Nous avions des micro oreilles (ou micro Madonna), MERCI !. Même si les réglages n'étaient pas terrible pour ma conf', c'est ce qu'il y a de mieux. Avec Jérôme Tama, nous avons inauguré nos salles respectives. Et comme à chaque première, il y a eu des problèmes. Micro qui ne fonctionnait pas pour moi, et vidéoproj' pour Jérôme. Tous ces problèmes ont été réglé très rapidement et tout est rentré dans l'ordre. Et au final, le fait d'avoir eu ces petits soucis, m'a détendu avant de commencer.

Merci pour votre sacrifice, qui a permis aux suivants de passer sans soucis! 😄
Sylvain Métayer

Le staff n'était pas forcément présent au démarrage des talks. Donc comme à DevFest Dijon, quand l'heure est arrivée, j'ai donné moi-même le top départ. Et c'était parti.

Globalement, côté installation speaker, c'était bien. Mais je préfère les pupitres :)

Les conférences

Keynote ouverture

Jeudi 9h00 - Auditorium

La compression Web : comment (re)prendre le contrôle ?

Hubert Sablonnière, Antoine Caron

Jeudi 9h15 - Auditorium

Cette conférence, que j'avais déjà vu à DevFest Nantes, est un plaisir à suivre. Le talent et la pédagogie de ces deux speakers m'impressionnent réellement. Ils reviennent sur les principes de minification et de compression. Les comparaisons d'impacts de ces deux techniques sur le poids des informations, nous montre bien l'importance de les utiliser sur les différentes solutions que nous développons.

La seconde partie de la conférence prend le temps de nous expliquer comment les clients et serveurs utilisent ces outils lors des échanges HTTP. Le fait d'avoir une compression/décompression à la volée permet de commencer à utiliser du contenu avant même que le serveur n'est fini de compresser la fin de la réponse.

La dernière partie de cette conférence, ma préférée, nous fait plonger aux origines des algorithmes de compression. Ce voyage dans le temps marque le fait que les algorithmes de compression proviennent tous d'une même base mathématique, vieille de quelques dizaines d'années.

D'algorithme de compression en algorithme de compression, avec des noms plus où moins barbares, Hubert et Antoine arrivent à nous faire comprendre leur fonctionnement de la plus simple des façons. Et tout ça, à base de chatons et de Scrabble.

Bravo !

Me concernant, Hubert Sablonnière, fait partie de mes modèles en tant que speaker, donc forcément : ❤️. Plus sérieusement, j'aime beaucoup ces conférences back to the basics pour nous rappeler les fondamentaux d'outils que nous utilisons tous les jours sans nous poser de question.
Jérôme Tama

ESI: La cache HTTP en petits bouts

Yann Schepens

Jeudi 10h10 - Kilimanjaro

SALLE COMBLE ! Avec des gens debout ! Snowcamp, tu m'as mis la pression.

Pour une première fois, j'inaugure une salle de conférence, juste après la keynote d'ouverture. Hormis quelques soucis de micro, la conférence s'est bien passée. Les retours openfeedback sont plutôt bons hormis deux commentaires/retours négatifs que je comprends tout à fait. Un sur les micros, pas ma faute, un sur la longueur non justifiée de la conférence et un manque de précision dans ce que je dis.

Je vais en profiter pour répondre aux deux commentaires.

Sur la longueur de la conférence :
Il est vrai que je pourrais présenter les ESI en 15 minutes, mais je passerais sur une conférence de niveau intermédiaire et je n'aurais pas le temps de recontextualiser, ni de reprendre quelques éléments techniques du protocole HTTP qui me paraissent indispensables.

Pour l'autre commentaire : "Des points de détail non maîtrisés (le no-cache met en réalité en cache, avec revalidation). Du coup, je suis parti...". Pour moi, c'est plus une imprécision qu'une erreur car ça ne dessert/n'impacte pas mon propos. Je penserai à indiquer qu'il s'agit d'un équivalent de "max-age=0;must-revalidate;", à peu de chose près. Mais c'est dommage d'être parti pour ça, nous aurions pu en parler.

Globalement, je suis assez content de moi. Je suis maintenant à l'aise avec cette conférence et la démo qui va avec.

Une découverte d'un sujet qui est (presque) aussi vieux que moi ! Malgré le fait que ce concept ne soit pas approuvé par le W3C, on y découvre les façons de gérer son cache finement, après un rappel (ou découverte) du fonctionnement des headers HTTP. La démonstration, osée en live-demo quand on sait que l'invalidation du cache fait partie de l'une des 2 choses les plus compliquées dans notre métier est très bien gérée par Yann !
Sylvain Métayer

Quarkus : Greener, Better, Faster, stronger.

Jérôme Tama

Jeudi 10h10 - Mont Blanc

Salle comble \o/ avec des gens pas debout.

Une partie de l'audience s'attendant certainement à une introduction, la conférence a certainement un peu piqué, mais les retours sont globalement bons, donc je suis content...

Désolé, je n'ai pas pu assister à ce sujet, SnowCamp m'a forcé à choisir entre vos 2 sujets en les plaçant sur le même créneau... Alors, cette standing ovation c'était comment ?
Sylvain Métayer

Code Case : les méthodes de la crim adaptées au code!

Sylvain Coudert

Jeudi 11h10 - Auditorium

Sylvain nous présente, de manière très ludique, quoique très sombre, une autre façon d'analyser le code que nous produisons. Tout ceci basé sur le livre "Your code as a crime scene".
S'appuyer sur Git et la manière dont on commit permet d'avoir une vision assez différente des liaisons entre les éléments de code. Ce qui m'a marqué est la détection des fichiers commités ensemble régulièrement pour comprendre leur relation. Je m'en resservirai.

L'analyse de la fréquence de commit sur un seul et même fichier permet aussi d'avoir un certaine vision sur sa stabilité. En poussant un peu, on peut même constater le respect ou non des règles SOLID.

Sa proposition sur des outils d'analyse agnostique du langage permet aussi d'avoir une vision assez globale de l'ensemble d'un projet. Chose parfois difficile avec des outils plus classiques, même s'ils ne sont pas aussi précis que ces derniers.

Même si on peut regretter qu'elle ne va pas assez loin, entre le storytelling et une nouvelle proposition d'approche de l'analyse du code, c'est une super conf.

10 tests simples pour améliorer l'accessibilité de votre site

François-Xavier Lair

Jeudi 11h10 - Mont Blanc

2 ans de migrations en environnement "cloud native" quand on n'est ni une startup, ni dans le CAC40

Rémi Verchère

Jeudi 11h10 - Kilimanjaro

Travaillant aussi sur des infrastructures Kubernetes, j'étais curieux de voir l'approche et les choix retenus par Rémi. On y découvre la migration de l'Institut de Radioprotection et de Sûreté Nucléaire (IRSN) sur 2 ans, avec les différentes étapes et formations des équipes pour pouvoir leur donner une plus grande autonomie, le tout sur une infra cloud française (petit coucou à nos amis de chez OVH chez qui nous sommes également hébergés pour nombre de nos projets !)

Rémi soulève des points intéressants, comme les tests de PRA sur une infra en constante évolution.

La présentation est bien rythmée, et on suit avec plaisir les aventures (et surprises rencontrées) de Rémi. Au final, c'est plutôt rassurant de constater que l'on est pas les seuls à se heurter à des problématiques similaires, et que comme souvent, il n'y a pas qu'une seule solution pour répondre à un besoin :)

Au-delà des architectures micro-services, découvrez les architectures composables !

Loïc Carbonne

Jeudi 14h00 - Auditorium

Je suis allé voir cette conférence avec un peu de scepticisme, on ne se refait pas. Les (r)évolutions architecturales, ou le fait de forcement théoriser un concept, m'agacent.

Dans cette conférence, Loïc reprend l'historique des modèles d'architecture et explique plutôt clairement ce qui a entrainé les différentes évolutions. Sans rentrer dans les dogmes, il "annonce" qu'aujourd'hui, quasiment tous nos besoins ont déjà une réponse technique existante.

Ce constat, que je partage, permettrait de pouvoir construire une architecture avec des outils sur étagères, par composition, et de n'avoir "qu'à" développer des liaisons entre chacun de ces outils. Il propose de le faire avec du no-code, mais on pourrait le faire avec ce qu'on veut.

Des entreprises, comme Lego, seraient déjà passées par là. Et la plupart des fournisseurs de solutions sont en train de proposer des petits bouts de leur application pour les mettre à disposition comme composants.

Jusqu'ici, je suis assez d'accord avec lui. Mais certains points me gênent.

L'affirmation que les outils deviennent interchangeables me pose question. D'un point de vue technique, ce n'est déjà pas garanti. Mais d'un point de vue utilisateur, j'ai de sérieux doutes.

Je ne vais pas épiloguer sur l'ensemble des avantages/risques de cette approche, ça mériterait un article à part entière.

Concernant la conférence en soit, c'est dommage, ça manque pas mal de structure et il y a beaucoup de mélanges dans les couches d'abstraction. On part d'une vision très haut niveau à des problématiques de développement. Ça dessert malheureusement le propos et ça fait un peu fouilli et non maitrisé (ndlr: je ne parle que de ressenti, pas de vérité). Et pour le coup, on aurait aimé aller plus loin sur les aspects techniques.

Malgré tout ça, bravo, c'est un gros morceau et il fallait aller en parler.

STOP à l’espionnage ! Comment disparaître d’internet ? 🕵🏼‍♂️

Étienne Idoux, Mickaël Alves

Jeudi 15h00 - Mont Blanc

Retour de Yann

Un travail impressionnant sur les "slides", à base de vidéos, d'interruptions, un storytelling très bien travaillé.

On enfonce quelques portes ouvertes sur le fait que les GAFAM nous espionnent. Mais là où ça devient intéressant, c'est qu'Etienne et Mickaël entrent par les portes pour aller voir précisément ce qu'ils collectent.

Ils sont allés chercher les informations personnelles gardées par Google pour les parser et les utiliser dans des applications qu'ils ont eux-mêmes développé.

C'est impressionnant/inquiétant de précision sans parler de la quantité et diversité des informations qui sont collectées grâce à nos smartphones, formulaires et achats en ligne.
Malgré tout ça, il y a quand même quelques avantages à laisser ces informations trainer.

De manière générale, cette conférence donne une très bonne vision sur certains risques associés à cette collecte. Le travail qu'ils ont fait est impressionnant et très intéressant. On peut cependant regretter que les techniques pour "disparaitre d'internet" restent assez générales et on aurait aimé aller un peu plus loin.

Si cela est possible bien sûr.

Retour de Sylvain

Durant cette présentation, avec un excellent storytelling au travers d'un inconnu qui aurait accès à leurs données, Étienne et Mickaël se lancent à la recherche des données qu'ils ont pu laisser sur internet sur les 10 dernières années, espérant ainsi mieux connaître leur ennemi pour pouvoir mieux le combattre.

Un focus est fait sur le service Takeout de Google pour exporter ses données, mais les principes s'appliquent également sur les autres GAFAM. Les outils qu'ils ont développé pour visualiser les données sont intéressants et mettent en lumière les milliers de données récoltées.

Cependant, la deuxième partie pour évoquer comment "disparaître d'internet" est un peu trop légère et aurait mérité un traitement plus approfondi, en abordant plus tôt et plus en détail les alternatives aux GAFAM pour pouvoir se détacher de ces derniers.

Cela reste néanmoins une présentation essentielle pour prendre conscience de l'importance de nos données, ainsi que de leurs valeurs pour ces entreprises.

Une alternative libre à Docker: Podman

Florent Benoit

Jeudi 16h00 - Makalu

Retours de Yann

Je ne connais pas podman. Enfin, de nom. Donc j'étais assez intéressé par cette conférence.

Malgré quelques soucis clairement annoncés dans le talk, Podman se positionne vraiment comme alternative à docker, mais surtout, a des fonctionnalités qui se rapprochent de K8s. Le fait de pouvoir gérer des pods directement avec son outil de gestion de conteneurs est clairement intéressant.

Après être passé sur la grande majorité des fonctionnalités de podman, dont la compatibilité avec le démon docker et les efforts faits pour avoir une migration douce, nous passons rapidement sur Podman Desktop.

Soyons clair, je ne suis pas un fan des UIs pour ce genre d'outil, mais c'est très personnel.

La solution podman desktop a des fonctionnalités intéressantes. Déployer en direct sur K8s, faire des analyses de sécurité en direct, avoir plein de plugins pour faire plein de trucs, nous avons fait un tour assez important de ces fonctionnalités. Et c'est un peu là que là conf a pris une tournure légèrement commerciale, c'est dommage. Même si le sujet est intéressant, ça donne une teinte un peu particulière dont on réceptionne l'information.

Malgré tout, on a pu découvrir des solutions qui promettent d'envisager une autre façon de partir en prod et de gérer notre univers de conteneur.

Retour de Sylvain

L'un des principaux intérêts de podman comparé à son concurrent Docker est qu'il fonctionne sans permissions root et sans démon, en faisant ainsi une alternative intéressante.

On découvre lors de cette présentation, effectuée par un employé Red Hat, éditeur de Podman, les nouveautés de podman et de podman desktop. Malgré un côté un peu trop commercial dans sa forme à mon goût, on voit que l'écosystème RedHat s'enrichit, avec de nombreux outils, tel que Buildah ou Skopeo. La communauté est active, le produit semble évoluer dans le bon sens, il est temps que je retente l'expérience avec podman à nouveau !

Mieux cultiver et mieux manger grâce au logiciel : la tech au service de l'agriculture

Mathieu Passenaud, Bertrand Péchou

Vendredi 09h15 - Makalu

Un agriculteur et un tech (agriculteur à ses heures perdues). J'ai adoré cette keynote, même s'il n'y avait que très peu de tech. Ce qui a fait parti des reproches dans l'openfeedback, chose que je peux comprendre.

On a découvert un métier qu'on ne connaissait que très peu et la précision que ça demande. On repasse sur l'évolution de l'agriculture, son impact, la géographique, la composition de sol, les additifs, etc. c'est incroyable la quantité d'information qu'ils doivent prendre en compte dans leur quotidien.

Donc, oui, l'IT peut, doit et les aide déjà.

Cette keynote fait du bien. Elle nous ramène à du concret, à l'impact de ce qu'on développe sur un métier sans qui nous ne serions plus là.

Merci !

Tout comme Yann, j'ai adoré cette keynote, découvrant au passage la technologie de pointe utilisée dans l'agriculture pour permettre par exemple l'arrosage en optimisant les coûts et augmentant les rendements.
Sylvain Métayer

Vous pouvez venir à ce talk les yeux fermés

François-Xavier Lair

Vendredi 10:10 - Kilimanjaro

Au travers d'une navigation à l'aveugle, François-Xavier nous amène dans le quotidien semé d'embûches d'une personne en situation de handicap pour faire une action pourtant naturelle pour beaucoup d'entre nous : remplir un formulaire, consulter un site web ou encore faire une recherche sur internet.

Il nous présente les outils, qui existent pourtant et utilisent des standards du web, qui peuvent faciliter l'expérience utilisateur de ces personnes, tout en améliorant la qualité de nos sites, et leur référencement. Ces outils et ces pratiques existent, quand est-ce qu'on les met en place ? :)

Digne d'une keynote !
Yann Schepens

SELECT 'amazing_features' FROM "posgresql"

Kevin Davin

Vendredi 11h10 - Malaku

Après la brève histoire de Postgres, dans laquelle j'ai appris l'origine du nom Postgres, Kevin nous informe que même si la spec de SQL date de 1986, nous ne sommes plus obligés de tout écrire en majuscule, merci Kévin.

Avant d'attaquer sur les nouveautés, 2 / 3 rappels sur le fonctionnement de SQL permettent de remettre quelques pendules à l'heure.

Des common table expression aux join latéraux en passant par la déclaration de type custom, on fait un grand tour d'horizon de toutes les fonctionnalités méconnues de postgres et de sql de manière générale.

La troisième partie de la conférence s'oriente un peu plus sur les fonctionnalités avancées de postgres. Arrivé à ce point, on commence à se demander si on a vraiment besoin de back for front tellement on a l'impression d'avoir raté les évolutions de ces outils.

Cette conférence m'a permis de faire un bond dans le temps vers le présent. Même si j'ai plein de questions et de doutes dans la façon d'utiliser tout ça dans nos projets, il est important de suivre l'évolution de ces outils que nous utilisons tous les jours.

Automatisez l'installation de votre poste de travail !

Sylvain Métayer

Vendredi 12h10 - Mont Blanc

J'ai bien fait de venir, je pensais que c'était la conférence sur ASDF, une autre conférence de Sylvain. J'ai mis un petit moment à comprendre mais j'ai eu le déclic.

Réinstaller son poste, retrouver ses identifiants, reconfigurer tous ses outils, pour Sylvain, c'est insupportable. Il nous présente ici une solution, après avoir défini ses besoins, basé sur Ansible pour automatiser tout ça.

Appuyé par une démo, il nous montre tout un tas de trucs et astuces pour pouvoir gérer ça proprement et de manière professionnelle.

Merci pour la découverte de cette façon détournée d'utiliser Ansible pour nous faire gagner du temps.

Présentation devant une salle remplie, on peut dire que la pression était présente, même si j'avais déjà donné ce sujet ! Heureusement, j'avais mes fans au premier rang pour me soutenir 😄. C'était un plaisir de faire cette présentation et je suis ravi des retours que j'ai pu avoir, en espérant que le prochain crash / changement de poste soit moins compliqué à gérer !
Sylvain Métayer

Plongeons au coeur des frameworks frontend modernes pour comprendre leur réactivité🔬⚛️

Sylvain Dedieu

Vendredi 14h00 - Auditorium

Je suis plutôt dev back avec une tendance ops. Donc la réactivité côté front, au-delà des tout ce que j'ai pu lire, est un peu une découverte pour moi.

Cette conférence était top, Sylvain a un vrai talent de speaker. C'était clair, précis et agréable.

Après une explication très juste sur l'origine du besoin de réactivité, Sylvain fait une comparaison des techniques et implémentations dans les frameworks les plus connus du marché. Nous allons explorer directement le code source pour voir le fonctionnement et les avantages/inconvénients de ces derniers.

La dernière partie de la conférence s'oriente sur les évolutions à venir de chaque framework mais surtout côté Angular ^^.

Merci pour cette conférence, c'était très instructif et j'ai clairement envie de mettre les mains dedans maintenant.... Bravo !

Mise en place et suivi de la sécurité grâce à l'instauration de la conformité SOC2: SAST, DAST, Penetration Testing

Julien Demazière

Vendredi 14h00 - Makalu

Une présentation du contenu de cette norme, réputée côté US et notamment en finance, axée sur la sécurité, qui est un "équivalent" de notre ISO 27001 européen. On y découvre son application et sa mise en place dans l'entreprise Moody's, et les gains que cela a amené : une détection au plus tôt des failles de sécurités majeures et une traçabilité maximale.

Je ne connaissais pas du tout cette norme, et même si beaucoup de critères semblent à première vue évident (scan de vulnérabilité, tests, analyse statique, ...), il est intéressant d'avoir un rappel et un cadre pour centraliser tout cela.

Adoptez la clean archigonale

Christophe Breheret-Girardin

Vendredi 16h00 - Kilimanjaro

ENFIN ! Raté deux fois, je peux enfin la voir.

Christophe est un excellent speaker. On commence la conférence sur une citation de Martin Fowler qui donne le ton de la conf.

L'histoire de l'architecture depuis les années 2000 jusqu'à aujourd'hui, permet de comprendre l'origine de la clean archi, tout prenant en compte l'inversion de la pyramide des tests au fil de ces années. Et tout ça à base de pates (ravioli, spaghetti, etc.).

Enfin, Christophe nous explique l'architecture hexagonale et la clean architecture de manière très claire, et ce n'est pas simple. C'est sûrement la raison du succès de cette conférence d'ailleurs.

En passant par les avantages de ces façons de développer et d'organiser son code, nous voyons aussi les inconvénients de ces pratiques. Qui font que la conclusion de cette conférence, avec laquelle je suis entièrement d'accord est "N'utilisez les outils et techniques que lorsque c'est nécessaire".

Si je peux me permettre de traduire "Ne soyons pas dogmatiques, mais pragmatiques".

Merci Christophe !

Alors c'était bien ?

C'est un évènement de grande qualité avec des conférences pouvant être relativement techniques et des speakers reconnus.

Il reste quelques points à améliorer niveau communication avec les speakers. Nous avons été quelques-uns à ne pas avoir vu que les universités étaient avec inscription (les infos étaient sur slack suite à la question d'un speaker). Mais ça ne change rien à la qualité de l'évènement.

On voit que c'est une machine plutôt bien rodée malgré quelques petits soucis à la marge.

Comme toujours, un grand merci à @onepoint pour nous permettre de participer à ces événements aux quatre coins de la France !

Les photos

https://www.flickr.com/photos/162459903@N02/

Écrire une doc technique utile

Yann Schepens — Tue, 27 Feb 2024 08:06:17 +0000

L'écriture d'une doc, qu'elle soit technique ou non, est un exercice souvent difficile.
Elle l'est d'autant plus qu'il est naturel de la souhaiter compréhensible, logique, abordable et surtout utile.

Comme tout bon développeur, prenant le temps de concevoir avant de développer, je vous propose ces quelques conseils avant de vous lancer dans vos rédactions.

Nous aborderons seulement les aspects contenus de la doc, pas les aspects visuels, chartes, etc. Pour ça, orientez-vous plutôt sur les documents d'accessibilité.

Qui va lire votre doc ?

La réponse est simple, personne !

En tout cas, pas dans un premier temps : ils regarderont les images et/ou copient/colleront le code.

La plupart des utilisateurs d'un outil ne lira la doc que lorsqu'ils n'arriveront pas à faire ce qu'ils veulent.

Savoir qui va lire votre doc et à qui elle est destinée va vous permettre de savoir quel vocabulaire utiliser et quel niveau de vulgarisation employer (si la doc est technique).

Indiquer dès le début (première page ou home page) qui est la cible de la doc. Si vous adressez plusieurs publics, n'hésitez pas à mettre des quick links vers les zones qui peuvent les intéresser.

Exemple :

En intro de documentation

About documentation

There are several types of documentation available on this website:

* API reference documentation
* ES6 features
* Guides
* Dependencies

De quoi parle votre doc ?

Rien de pire qu'une doc dont on n’identifie pas le périmètre. Entre un tuto et une doc complète, on ne va pas aborder le sujet de la même façon. Le choix du titre doit aussi prendre en compte ce paramètre en compte afin d'indiquer à l'utilisateur dans quelle lecture il se lance. Un quickstart de 20 pages n'ayant pas forcément de sens.

Définissez correctement le périmètre de votre doc, quitte à ce qu'il évolue un peu plus tard. Même si c'est difficile à faire, ce périmètre vous aidera aussi à rester concentré sur l'essentiel et ne pas trop vous éparpiller.

Exemples :

Sur un guide : https://symfony.com/doc/current/deployment.html

How to Deploy a Symfony Application

Deploying a Symfony application can be a complex and varied task depending on the setup and the requirements of your application. This article is not a step-by-step guide, but is a general list of the most common requirements and ideas for deployment.

Sur un mode opératoire : https://spring.io/quickstart

Spring Quickstart Guide

What you'll build
You will build a classic “Hello World!” endpoint which any browser can connect to. You can even tell it your name, and it will respond in a more friendly way.

What you’ll need
An Integrated Developer Environment (IDE)
Popular choices include IntelliJ IDEA, Spring Tools, Visual Studio Code, or Eclipse, and many more.

A Java™ Development Kit (JDK)
We recommend BellSoft Liberica JDK version 17.

Sur une documentation générale : https://nodejs.org/en/docs

API reference documentation

The API reference documentation provides detailed information about a function or object in Node.js. This documentation indicates what arguments a method accepts, the return value of that method, and what errors may be related to that method. It also indicates which methods are available for different versions of Node.js.

Comment structurer votre doc ?

Comme vous devez vous en douter, c'est une mauvaise idée de tout mettre sur la même page.

L'organisation de vos documentations doit permettre aux lecteurs de trouver le plus rapidement possible l'information qu'ils cherchent. Une erreur fréquente est d'organiser la documentation en suivant les étapes de création ou en partant de la définition du besoin.

Personne ne lit les CGU/CGV et histoire de la création de ce que vous documentez.

La structure de votre doc doit donc refléter la façon dont elle va être utilisée en s'appuyant sur des patterns d'organisations connus.

Conclusion

Définir la cible et le périmètre de votre documentation est une première étape pour permettre aux lecteurs de savoir ce qu'ils vont trouver dans vos écrits.

Ce cadre va vous aider sur la façon dont vous allez rédiger et structurer votre documentation.

Dans un prochain article, je vous proposerai une façon d'organiser tout ça pour rendre l'information accessible rapidement et avoir une documentation utile !

Aller plus loin et un peu sur le côté

Je vous conseille l'excellente série d'articles de @arcanneero (Nicolas Giraud) si vous voulez vous lancer dans la doc as code.

Des conseils pour le style d'écriture :

J'ai rien pour le moment, proposez des trucs

Concernant les chartes graphiques et les visuels :

Memo design RGAA

Un framework pour rédiger des docs techs (que l'on m'a conseillé) : https://diataxis.fr/

Devfest Dijon 2023

Yann Schepens — Wed, 20 Dec 2023 08:11:38 +0000

Devfest Dijon seconde édition, c'était très chouette. L'équipe a su choisir un lieu bien adapté pour permettre à des speakers de tout niveau de donner des conférences de qualité. J'ai passé une journée à la fois agréable et enrichissante.

Et pour assaisonner tout ça, la Bourgogne a des arguments gastronomiques assez impressionnants !

Une première pour moi à Devfest Dijon !

Et à Dijon

J'ai été retenu pour donner une conférence sur les "ESI: Le cache HTTP en petits bouts", conférence que j'avais déjà donné à Volcamp 2023 et à l'AFUP Nantes, mais autant profiter des confs qui marchent pour visiter du pays et rencontrer plein de nouveaux visages.

D'ailleurs, merci Onepoint de me donner ces opportunités.

Rentrons dans le vif du sujet.

L'évènement

C'est la seconde édition du Devfest Dijon, qui est hébergée cette fois-ci par l'ESEO et organisée par le GDG Dijon.

2 tracks, dans 2 amphis, donc un peu de pression (les amphis, c'est cool, mais ça fait peur). Tout ça, pour accueillir une quinzaine de speakers de toute la France. L'année dernière, il y avait 150 spectateurs (très honorable pour une première d'ailleurs), nous verrons si le record est battu cette année.

Le lieu

Les bâtiments de l'ESEO sont vraiment bien adaptés pour une conférence de cette taille. Le lieu est assez sympa avec quelques espaces pour discuter, dont des ÉNORMES coussins où se poser tranquillement.

Les deux tracks de la journée se déroulent dans les deux amphis de l'école. Et honnêtement, c'est pas mal, impressionnant en tant que speaker car l'inclinaison des amphis est assez importante, donc on a vraiment cette sensation que tout le monde nous regarde. D'un point de vue spectateur, la siège ne sont pas désagréables et on voit réellement très bien l'écran et le speaker.

La journée

Tout était bien calibré, le timing des confs, les pauses. Même si finir à 17h c'est un peu tôt pour moi qui venais de loin.

Et en plus, on a bien mangé !

L'installation speaker

Côté technique de la présentation, j'ai découvert un truc très chouette : le retour écran directement sur un moniteur sur le pupitre. Comme on est dans un amphi, l'écran de diffusion est très haut et au-dessus de nous. Sur une présentation sans démo, ce n'est pas trop problématique car nous avons les notes et la slide affichée en petit sur notre écran speaker (avec reveal et PPT tout du moins), mais c'est moins pratique pour du coding live.

Ben, ce petit retour direct m'a permis de faire ma démo sans avoir besoin de passer en duplication d'écran ou me tordre le coup. Et le fait de savoir exactement ce que voient les spectateurs est rassurant.

Bon, il est vrai qu'avec tout ça sur le pupitre, il valait mieux ne pas être trop petit.

L'accueil des speakers

Côté speaker, on a été gâté. Après être arrivé, un membre de l'équipe m'a accompagné vers la salle speaker/staff. Et là, nous avions tous un petit sac avec notre badge speaker, des autocollants, un stylo et ... accrochez-vous, des chocolats, de la moutarde, des nonettes de Dijon et une excellente bouteille de vin, un Bourgogne Aligoté.

Vous êtes malades ! Mais merci beaucoup. Et soyons clair, l'équipe a été aux petits soins avec nous, et nous a remercié à plusieurs reprises, MAIS c'est à vous qu'il faut dire merci !

Côté run des confs, format assez classique avec du temps entre celles-ci. Un petit point d'amélioration de ce côté, il n'y avait pas toujours quelqu'un pour donner le top départ de la session ou prévenir du temps écoulé. Ce n'est pas grand-chose, mais du coup, on ne savait pas trop quand se lancer.

Les stands

Je n'ai malheureusement pas eu le temps de faire un tour des stands, qui était positionnés entre le rez-de-chaussée et l'étage des amphis. Désolé.

Les conférences que j'ai vues

Keynote d'ouverture

Ouverture du bal avec le directeur de l'ESEO Dijon qui nous a parlé un de peu de ce que faisaient leurs étudiants. Franchement, les projets de création d'un drone avec ballon et d'un bateau à hélices à partir de zéro étaient assez impressionnants. A base d'impression 3D, de circuits imprimés, de soudure, d'oscilloscope et de développement mobile, c'est un belle réussite. Bravo !

Tips pour combattre le syndrome de l'imposteur

Aurélie Vache

Qui n’a pas un jour prononcé la phrase : J’ai l’impression d’être un imposteur ?
Je ne me sens pas légitime de faire ceci ou de faire cela ?
Dans ce talk, nous ferons un retour sur ce qu'est le syndrome de l'imposteur,
comment il se reflète au quotidien et nous verrons que ce n'est pas une
fatalité.
Faites le plein de tips et astuces pour le combattre, se dépasser et s'améliorer

Aurélie a pris de la hauteur sur ce fameux syndrome de l'imposteur dont nous entendons beaucoup parler dernièrement et qui l'a empêché d'avancer à certains moments. Elle nous propose une liste de tips pour lutter contre ce syndrome. Liste qu'on devrait d'ailleurs sortir en format Cheat Sheet et la coller dans tous les bureaux.

Toutes les astuces qu'elle propose sont appuyées par des expériences personnelles, positives et négatives, et des solutions qui lui ont permis d'avancer et être là où elle en est aujourd'hui.

Comme d'habitude, j'ai passé un excellent moment à suivre cette conf, elle est intelligente et amène des sujets parfois difficiles assez simplement et toujours avec la petite touche d'humour qui fait redescendre un peu la pression.

Si vous n'osez pas, ou ne vous sentez jamais légitime, regardez cette conférence, elle vous donnera de l'envie et de la motivation.

En fait, non : regardez tous cette conférence !

ESI : le cache HTTP en petits bouts

Yann Schepens

"Arf, ma page est cachable pendant deux mois mais il faut que je mette le
nom de l'utilisateur. Bon je vais faire un chargement en AJAX."
"NON mon cher ! Utilise les ESI et ARRÊTE de mettre du JS partout !"
Faites connaissance avec les ESI (Edge Side Include) pour différencier la
durée des caches de chaque partie de votre page HTML et améliorez vos
usages du cache et vos perfs sans faire appel à du javascript.

La meilleure conférence de tous les temps, en plus le gars est beau, il sent bon, il parle bien. Bref, c'était génial !

Plus sérieusement, un peu de stress, comme avant toute conf, mais une fois les quelques premières minutes passées, celle-ci s'est déroulée toute seule.

Comme d'habitude, j'ai galéré avec la démo, switcher entre navigateur, débugguer, terminal, et IDE, ce n'est pas terrible. En plus, dans une fainéantise inqualifiable, je n'avais pas correctement configuré le positionnement des écrans, ce qui m'a fait faire des kilomètres de déplacement de pointeur au touchpad. Ca m'apprendra !

D'ailleurs, je tiens à remercier Aurélie et une jeune femme en reconversion qui m'ont gentillement servi de soutien psy, en se mettant au premier rang (c'est une technique qui permet se rassurer, mais j'en parlerai peut-être plus tard).

Je malmène ta prod en direct avec 15 failles de sécu

Gaetan Eleouet

La sécurité est régulièrement vue comme un problème très éloigné et le lien
avec la phase de développement n'est pas toujours évident.
Notre code est pourtant souvent à l'origine de nombreuses failles que nous
ignorons.
Partez à la découverte de ces failles et leur exploitation en live sur une
application existante.

Gaëtan, via une présentation très bien pensée et très qualitative, rend service à une amie en utilisant des failles classiques d'un site internet pour arriver à ses fins. La conf s'articule entre découverte/exploitation de la faille et un slide théorique. C'est très bien fait et on ne voit pas le temps passer.
A certains moments, on ne se sait pas s'il joue ou si c'est vrai. Franchement, bravo Gaëtan pour cette conf, je n'imagine même pas le nombre d'heures de travail pour avoir un résultat aussi léché.

Même si j'ai un petit background en sécurité, ça m'a fait du bien de revoir certains exploits et j'avais oublié l'existence de CWE qui liste les faiblesses classiques des plateformes. A ne confondre avec les CVE, qui eux sont des failles avérées avec un score CVSS.

L'Open Source comme rempart contre le chaos dans les pipelines CI/CD

Aurélien Coget

Tous les projets de développement sont souvent des vecteurs d’attaques. Pas
seulement sur l’applicatif lui-même, mais aussi sur leurs supply chain !
Oui, ces fameux pipelines CI/CD peuvent être fragiles, inmaintenables et
vulnérables aux cyberattaques.
Découvrez comment l'approche Open Source peut aider à créer, maintenir et
sécuriser vos pipelines CI/CD.

J'étais intrigué par le titre et l'abstract, d'un côté on parle cybersecurité et de l'autre de maintenabilité en passant par l'open source. Pour un quickie, ça fait beaucoup de choses à raconter. Mais bon, toutes ces problématiques me parlent donc go.

Aurélien, après avoir fait un état des lieux, avec lequel je suis d'accord, sur les différentes problématiques énoncées dans l'abstract, nous propose d'utiliser les bonnes pratiques de l'OpenSource et de considérer nos pipelines tels quels. Avec un versioning correct, un partage/réutilisation de l'existant, un découpage en unité autonome pouvant être branché comme des legos pour faire des pipelines complets, etc.

Tout ça, en s'appuyant sur un outil qui a l'air juste génial : https://r2devops.io/.

Faut que je POC ce truc.

Loi de Conway : Lorsque les bonnes pratiques ne suffisent pas

Julien Topçu

Des utilisateurs qui ont toujours du mal à récupérer les informations dont ils
ont besoin, alors que vous avez mis le paquet sur l'expérience utilisateur ?
La frustration de voir qu'une fonctionnalité implémentée est rarement la
solution fonctionnelle idéale que vous aviez définie, car il y a toujours un "mais" ?
Ou plus techniquement, avez-vous des APIs découpées d'une manière qui
semble au final arbitraire et qui ne suit pas le métier ?
La sensation que votre organisation est orthogonale à vos objectifs ?
N'avez-vous jamais remarqué, que bien que vous soyez agile et vous
suivez les bonnes pratiques, le logiciel qu'on construit s'écarte souvent de la
vision produit, technique et parfois même des besoins de l'utilisateur que l'on a
pourtant passé du temps à récolter ?
Et si on vous disait que tout cela est lié, et qu'il existe une force qui a une
influence certaine sur votre produit, votre expérience utilisateur et votre architecture ?
Lors de ce talk venez découvrir la Loi de Conway, cette force méconnue qui a
un pouvoir magique sur ce que vous construisez quel que soit votre métier.
Nous verrons ses impacts sur les différents aspects du logiciel et nous apprendrons comment l'apprivoiser.

Si j'ai une chose à dire au sujet de cette conf, c'est qu'elle est d'utilité publique et devrait être obligatoirement vue par n'importe quel manager, directeur, leader, *eur.

Julien développe différentes reflexions menées par Conway et d'autres, autour de l'organisation d'un projet. Avec pour but de comprendre pourquoi nous rencontrons tous ces problèmes, et quel peut être l'organisation la plus efficace d'une équipe.

Tout ça, à base de termes étranges, mais plutôt drôle comme Homomorphie ou bien même Inverse Conway Maneuver.

Cette conférence, au-delà d'amener des idées géniales tel que le BAPO, l'event storming, le DDD, et de la lecture, nous fait réfléchir sur le fonctionnement de l'être humain pour comprendre pourquoi certaines choses sont plus difficiles que d'autres et remettre cet être humain au centre des décisions lors des choix d'organisation.

Pour aller plus loin :

BAPO : https://www.linkedin.com/pulse/you-doing-bapo-opab-henrik-wahlberg/
Team Topologies : https://teamtopologies.com/ ** Lisez surtout le livre
Accelerate https://oreilly.com/library/view/accelerate/9781457191435/

Les papotages

Comme d'habitude dans ce genre d’événement, ça papote. La plus grande discussion, et probablement une des plus intéressantes de ma journée, a été entre une jeune reconvertie , Aurélie, une super connaissance de Dijon et moi-même autour de la légitimité. Ce sujet fait écho directement à la conférence d'Aurélie sur le syndrome de l'imposteur.

Alors c'était bien ?

C'était une belle édition, surtout pour une deuxième. On a très bien mangé, l'équipe était vraiment sympa. J'ai passé bon un moment à discuter avec un des membres de l'orga de nos vies respectives, c'était cool, je reviendrai.

J'ai encore raté la conf archigonale à force de papotage, ça fait deux fois (je l'ai raté aussi Volcamp, mais c'est qu'il n'y avait plus de place dans la salle).