Fundamentum — Capacité clé

L’incident à 37,5 M$
qui n’arrive jamais.

Dans un système non gouverné, une mise à jour de micrologiciel est une opération de publication. Quiconque a des identifiants peut pousser n’importe quoi vers n’importe quel appareil. Dans Fundamentum, c’est un flux d’autorisation en quatre étapes — où le système peut dire non, et le prouver.

Discuter de vos besoins de gouvernance → ← Retour à Fundamentum

37,5 M$

Incident OTA médian (Forrester)

34e

Percentile — pas une exception

300–600 $

Coût d’intervention par appareil

Auto

Retour arrière sur échec de santé

Pourquoi l’OTA est l’opération de routine la plus risquée

La mise à jour de micrologiciel par voie hertzienne est l’opération de routine la plus lourde de conséquences dans une flotte d’appareils connectés. Une mise à jour défectueuse déployée simultanément sur 10 000 appareils peut tous les briquer — exigeant une intervention terrain à 300–600 $ l’unité, soit 3–6 M$ pour une flotte modeste, avant même de compter les arrêts opérationnels, les pénalités SLA et l’atteinte à la réputation.

Le chiffre de 37,5 M$ de Forrester n’est pas un maximum — c’est un résultat au 34e percentile. Plus des deux tiers des incidents OTA majeurs coûtent davantage. Les incidents qui atteignent cette ampleur n’impliquent généralement pas un code défectueux mais un processus défectueux : une mise à jour autorisée par un identifiant qui aurait dû être révoqué, déployée vers des appareils dans un état où la mise à jour était contre-indiquée, sans mécanisme de retour arrière.

Le flux gouverné en quatre étapes

01 · PRÉPARER

Empaqueter & signer

Micrologiciel signé, intégrité vérifiée. Portée cible, paramètres de déploiement et seuils de santé définis.

02 · AUTORISER

Contrôle d’identité

Identité demandeuse vérifiée. État de cycle de vie validé par appareil. Second approbateur engagé si la politique l’exige.

03 · LIVRER

Déploiement progressif

Canari → livraison par cohortes. Métriques de santé validées à chaque étape avant expansion.

04 · VÉRIFIER

Auditer & confirmer

Retour arrière automatique sur échec. Preuve cryptographique : qui a autorisé, quand, quelle version de politique.

Étape 2 en détail : l’autorisation

L’étape d’autorisation est celle où les processus OTA non gouvernés échouent le plus souvent. Le flux d’autorisation de Fundamentum vérifie :

Identité demandeuse : L’identité qui demande ce déploiement est-elle autorisée à déployer un micrologiciel vers cette catégorie d’appareils ? Son identifiant est-il à jour et non révoqué ?
État de cycle de vie cible : Chaque appareil ciblé est-il dans un état qui permet une mise à jour ? Les appareils en maintenance, en attente d’une mise à jour non confirmée, ou dans un état restreint défini par le client sont automatiquement exclus.
Conformité aux politiques : Le déploiement respecte-t-il la version de politique courante ? Exige-t-il un second approbateur ? La portée cible est-elle dans le rayon d’impact autorisé pour cette identité ?
Preuve cryptographique : Chaque décision d’autorisation — accordée ou refusée — est inscrite dans la piste d’audit inviolable, avec le contexte complet de la décision.

Étape 3 en détail : le déploiement progressif

Déploiement canari : 1 à 5 % de la flotte reçoit la mise à jour en premier. Métriques de santé collectées sur une fenêtre définie avant expansion.
Taille de cohorte configurable : 10 %, 25 %, 50 %, 100 % — ou un pourcentage personnalisé avec des points d’approbation manuels entre les étapes.
Seuils de contrôle de santé : Métriques définies par l’opérateur (connectivité, taux d’erreur, lectures de capteurs). Une cohorte qui échoue arrête le déploiement automatiquement — sans intervention.
Retour arrière automatique : Les appareils qui échouent à leur fenêtre de santé reviennent à la version précédente. Le retour arrière est lui-même une opération gouvernée avec un enregistrement d’autorisation.