La virtualisation PAGE 8 - IT
Transcription
La virtualisation PAGE 8 - IT
LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE La virtualisation Bimestriel - mars/avril 2008 - 16e Vers une professionnalisation des tests au service de la rentabilité de l’entreprise PAGE 16 n°72 Sécuriser les environnements applicatifs sous Citrix PAGE 42 SOA et la déverticalisation de l’industrie du logiciel PAGE 8 PAGE 29 Cartographie des SI : Observez le présent et vivez l’avenir PAGE 35 ZOOM OUTSOURCING L’AVIS DES DIRECTIONS INFORMATIQUES Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI « Les solutions d’Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d’indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d’ouvrage. » Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité « La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu’ils savent que nous pouvons facilement les auditer » Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP « CAST fournit des critères objectifs d’appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l’évolution des applications et constitue au sein de Framatome un outil de progrès partagé. » EN SAVOIR PLUS Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : « Information Series on Application Management » : www.castsoftware.com/outsourcing Découvrez l’expérience de plusieurs sociétés utilisatrices de solutions d’Application Intelligence : www.castsoftware.com/customers www.castsoftware.com La maîtrise des applications et des prestataires dans une opération d’outsourcing De la valeur ajoutée de l’Application Intelligence pour piloter efficacement un parc applicatif sous-traité Dans l’externalisation des applications métier, c’est surtout la volonté d’accroître l’efficacité opérationnelle de l’informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. C’est là que le bât blesse : l’externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L’externalisation réussie d’applications métier est donc le fruit d’une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d’Application Intelligence, basées sur une technologie avancée d’analyse de code source. Publi-Reportage La valeur ajoutée de ce type de solutions d’Application Intelligence est visible à chaque étape d’une opération d’outsourcing, comme décrit ci-après. trat con de Fin Appe ls d 'off res Cycle de vie d'une opération d'Outsourcing Co ntr ôle des coûts i de Suiv connaissance s sfert de Tran Comme dans n’importe quelle opération d’outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. En fournissant des indicateurs techniques aux donneurs d’ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d’ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. technique Recette L es entreprises, devenues plus mûres vis-à-vis de l’outsourcing, sont désormais capables d’opérer des externalisations plus stratégiques. On l’a récemment observé dans l’automobile avec Renault ou dans la grande distribution avec Carrefour. jet pro Audit de l’existant et préparation des appels d’offres • Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter • Disposer d’informations de référence pour évaluer les propositions des sous-traitants • Obtenir une image à l’instant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire • Réduire la phase d’acquisition de la connaissance pour entreprendre plus vite des tâches productives • Diminuer le coût lié à la production d’une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet • Suivre l’évolution de la maintenabilité et de la qualité pour éviter toute dérive • Etre capable de valider la quantité et la qualité du travail facturé • Etre en mesure de challenger le sous-traitant lors des négociations d’avenants • Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation • Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés • Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d’ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d’Application Intelligence dans le monde. Edito édito Vers un monde informatique virtuel ? Dans ce numéro, nous avons décidé d’aborder la virtualisation. Certes, il semblerait - une fois encore ? - que la presse fasse plus de bruit que le tiroir-caisse des éditeurs concernés. Toutefois, des entreprises commencent déjà à témoigner de projets de virtualisation générant un retour en investissement si rapide qu’il fait blêmir certains vendeurs matériels… Et pourtant, elle tourne ! Réduction des coûts et des surfaces, sous-utilisation des ressources matérielles du parc informatique, explosion des volumes de données… Bref, un terrain très fécond pour les technologies de virtualisation aujourd’hui rôdées, efficaces pour les datacenters, et à portée de bourse pour les PME/PMI. Certains objecteront que les serveurs-blade apportent une partie de la réponse. Néanmoins, la limite est vite atteinte, et les constructeurs coopèrent fortement avec les éditeurs d’outils de virtualisation, quand ils ne les rachètent pas ! Des démarches qui confirment cette orientation inévitable. Et si le frein majeur des décideurs informatiques était surtout psychologique ? De même que les responsables financiers à une époque, ou des ressources humaines à une autre, tenaient fortement à préserver leurs écritures sur du papier, certains DSI seraient-ils effrayés par la virtualisation ? Seraient-ils finalement satisfaits de la règle « une application = un serveur » ? Pourtant, la virtualisation n’empêche nullement -bien au contraire- le stockage physique. Mieux encore, ces technologies permettent de déployer des infrastructures à très haute disponibilité (et même réplication en temps réel) à des coûts jusqu’alors inégalés. Éditeurs : peut mieux faire… Deux arguments devraient pourtant atteindre les éditeurs. En premier lieu, l’incompatibilité entre les diverses solutions ne simplifie pas les échanges et la coopération étroite entre serveurs virtuels, et même physiques. Aujourd’hui, les éditeurs publient de plus en plus leurs formats, et la collaboration devrait s’accentuer puisque des acteurs comme Citrix, Microsoft et même Sun sont devenus « amis »… Seconde pierre dans leur jardin, l’administration et la supervision en temps réel des serveurs physiques et virtuels ne sont encore totalement possibles. Mais les choses seraient en cours de négociation entre éditeurs. À suivre. Pour les DSI et responsables d’architecture, la virtualisation offre de si nombreuses possibilités, qu’il serait totalement irresponsable de ne pas s’essayer à ce type de technologies, que les plus importants hébergeurs d’applications critiques déploient déjà en masse. N’oublions pas qu’elles incarnent depuis des décennies l’un des arguments majeurs des mainframes qui assurent encore la plus grande part des transactions financières du globe. Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot 92190 Meudon - FRANCE Tél. : 01 46 90 21 21 Fax. : 01 46 90 21 20 http ://www.it-expertise.com Email : [email protected] Rédacteur en chef José Diz Email : [email protected] Directeur de publication Aurélie Magniez Email : [email protected] Abonnements/Publicité Email : [email protected] Conception Graphique C. Grande Email : [email protected] Parution IT-expert - (ISSN 1270-4881) est un journal édité 6 fois par an, par P & C France, sarl de presse au capital de 60 976,61 e. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l’autorisation écrite de l’éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars 1957. © 1996 P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n’engagent pas la responsabilité de Press & Communication. Abonnement 01 46 90 21 21 Prix pour 6 numéros téléchargeables sur le site www.it-expertise.com : 70 € TTC (TVA : 19,6%) Un bulletin d’abonnement se trouve en pages 33/34 de ce numéro. Vous pouvez vous abonner sur http://www.it-expertise.com/ Abonnements/Default.aspx ou nous écrire à [email protected] José Diz Rédacteur en Chef IT-expert n°72 - mars/avril 2008 5 IT-expert n°72 - mars/avril 2008 Sommaire 8 Dossier La virtualisation Clients légers, fermes de serveurs, stockage, serveurs et systèmes d’exploitation, la virtualisation explose dans de multiples secteurs informatiques. Ce dossier montre les avantages et les bénéfices de ces technologies, issues des grands systèmes. L’auteur souligne également le problème toujours posé de l’administration des ressources virtuelles. 16 Technique Vers une professionnalisation des tests au service de la rentabilité de l’entreprise Comment et pourquoi les tests deviennent-ils incontournables dans l’alignement stratégique et la réduction des coûts ? Outre les éléments de réponse à ces questions, l’article explique l’industrialisation du processus, détaille les principales familles de tests, et les normes les plus usitées. 24 Actualités Internationales Les informations marquantes d’éditeurs, de marchés, d’organisme de standardisation, de débats en cours et de tendances. 29 Quoi de Neuf Docteur ? SOA et la déverticalisation de l’industrie du logiciel Un regard intéressant sur une orientation du marché informatique : l’émergence « d’éditeurs-constructeurs » et de « développeurs-équipementiers ». En reprenant l’exemple de l’automobile, l’auteur explique pourquoi ce mouvement irréversible est essentiel pour les choix des DSI. 35 Comment ça marche ? Cartographie des SI : Observez le présent et vivez l’avenir La complexification de l’informatique d’entreprise amène les DSI ou urbanistes à utiliser des solutions de cartographie des systèmes d’information. L’auteur explique comment est organisé ce marché dynamique, et quelles seront les nouveautés des outils de seconde et troisième génération. 39 Livres Virtualization for Dummies par Bernard Golden, Visibilité sur le web par Shari Thurow 40 Fenêtre sur cour Interview de Philippe Ottin, responsable système et réseaux de la société Weishardt « Bien que ne disposant d’aucun informaticien sur nos sites distants, nous avons besoin d’une disponibilité maximale des applications du SI et d’une grande réactivité en cas de problème. » Philippe Ottin rapporte comment la virtualisation a permis à Weishardt d’obtenir une architecture IT fiable et disponible, avec un excellent taux de disponibilité du SI. La satisfaction des utilisateurs est au rendez-vous, et peut se mesurer par des indicateurs précis entrant dans la politique d’Assurance Qualité du groupe. 42 Rubrique à brac Sécuriser les environnements applicatifs sous Citrix La virtualisation accélère le déploiement de la solution phare de Citrix. L’auteur explique pourquoi de nouvelles failles sont à considérer, et explique comment les cloisonnements physique et logique peuvent apporter des réponses efficaces. IT-expert n°72 - mars/avril 2008 7 Dossier & Interviews LA VIRTUALISATION La virtualisation existe depuis longtemps sur les grands systèmes IBM et consorts. À l’époque, il est vrai, les systèmes propriétaires et le matériel propriétaire régnaient en maître sur des budgets considérables, liés aux coûts des Mainframes. Cet aspect « propriétaire » facilitait néanmoins l’interaction entre le matériel et les systèmes d’exploitation, et facilitait la démarche de virtualisation, également appelée partitionnement. Ce concept de virtualisation a été remis au goût du jour il y a quelques années par VMWare notamment, dans le monde des architectures matérielles de type X86 (Intel, AMD…). Alors, la règle était « un serveur par application », ce qui entrainait une inflation galopante du nombre de serveurs dans la salle informatique, avec tous ces corollaires : occupation de la salle machine, consommation électrique, charge de climatisation, charge d’exploitation, volume de sauvegarde. Au début des années 2000, les machines n’atteignaient pas le niveau de puissance actuel, et les coûts de la mémoire restaient prohibitifs. En outre, les capacités des machines étaient plus limitées en terme de taille mémoire, d’espace disque et de performances des processeurs. VMWare était alors une startup, et ses produits surtout utilisés par les formateurs pour optimiser le temps de création des postes dans les salles de formation. Le succès n’arrivera que plus tard, avec la fulgurance que l’on sait… La virtualisation s’est aujourd’hui aventurée au-delà des frontières du seul système d’exploitation pour s’immiscer dans de multiples parties du système d’information. Il existe plusieurs types de virtualisation : • virtualisation des machines, qui virtualise le système d’exploitation ; • virtualisation d’application, aussi connue sous le nom de « streaming » ou encapsulation ; • virtualisation par déport d’affichage proposé par les solutions de client léger ; • virtualisation réseau ; • virtualisation stockage • ... 8 IT-expert n°72 - mars/avril 2008 Le client léger et ses fermes de serveur La virtualisation proposée par les solutions de type client léger permet d’utiliser une application sans en disposer sur son poste de travail, ou sans disposer d’un réel poste de travail, mais seulement d’un terminal. ment une gestion physique simplifiée des postes utilisateurs déportés, le déploiement des applications uniquement sur les fermes de serveurs, l’accès rapide à une nouvelle application, ou encore la continuité d’activité en cas de panne ou d’incident d’un serveur. Les prérequis restent aussi contraignants qu’avec des postes sous forme de PC, mais s’amenuisent au fil du temps. Et il faut être en mode connecté pour accéder aux services et disposer d’une application qui supporte le mode multi-utilisateur. Un inconvénient majeur demeure, malgré ce transfert des applications du poste client vers la ferme de serveur. En effet, l’application est bel et bien installée physiquement sur le serveur ; et les incompatibilités en tout genre s’y manifestent joyeusement, depuis l’incompatibilité des librairies de fonctions (DLL) jusqu’à l’incapacité d’une même application à être publiée en plusieurs langues sur le même serveur. Jusqu’à présent, il n’existait qu’une seule parade réellement efficace à ces problèmes : multiplier le nombre de serveurs de publication avec le risque de revenir à la situation de départ « une application = un serveur ». En ceci le fonctionnement est virtuel du côté poste de travail qui se comporte comme si l’application et les actions de l’utilisateur étaient traitées en local sur le terminal. De plus, il est possible d’exécuter deux applications strictement incompatibles entre elles sur ce même poste. Cela présente plusieurs avantages, notam- Les applications dans leur bulle Également appelée streaming ou encapsulation, la virtualisation des applications permet à un logiciel de s’exécuter dans une « bulle » sans impact sur le poste sur lequel elle s’exécute. Ce IT-expert n°72 - mars/avril 2008 9 poste pouvant être un simple PC ou une ferme de serveurs de publication type Citrix ou Terminal Server (TSE). La démarche d’utilisation est la suivante : chaque application doit être encapsulée (packagée) au préalable par un administrateur, puis déposée sur un serveur de référence sur lequel le client d’encapsulation viendra la chercher à la demande. Cette plateforme gère généralement aussi les licences disponibles et assure le suivi du nombre d’instances applicatives exécutées simultanément sur le réseau. Bien utile au moment d’établir ses besoins en nouvelles licences ou en période de renouvellement ! Cette solution présente de nombreux atouts : • Cohabitation d’applications incompatibles entre elles. • Déploiement facilité, car les « bulles » applicatives sont hébergées sur des serveurs, et le client d’encapsulation installé sur chaque poste vérifie à chaque démarrage de l’application le niveau de version dont il dispose. En cas de retard de version, la nouvelle est immédiatement téléchargée et exécutée sur le poste client. • Gestion de la charge réseau. Et, ici le mot « streaming » prend tout son sens, car de la même façon qu’un film téléchargé à partir d’Internet peut être visionné dès qu’un faible pourcentage du fichier est arrivé sur le poste, l’application peut se lancer dès qu’une partie du code est téléchargée, le reste du code arrivant ensuite au fil de l’eau. Les nombreux avantages de cette solution n’empêchent pas un inconvénient majeur : si les « bulles » isolent les applications, les communications entre les applications s’en trouvent affectées (cas d’une application métier qui envoie un mail par exemple…). Les avantages sont nombreux et les grands éditeurs ne s’y trompent pas, car les rachats se multiplient. Microsoft a racheté Softricity, VMWare a repris Thinstall, Citrix a acquis Ardence et développé son propre outil d’encapsulation pour Presentation Server 4.5. Si les différences techniques vont s’estomper peu à peu, le mode de licences va évoluer et, dans un premier temps, différencier les acteurs. Chez Microsoft, cette solution n’est disponible qu’au travers du software assurance du système d’exploitation Vista, ce qui malheureusement risque d’en atténuer le déploiement. En effet, peu de sociétés acceptent ce surcoût lié au mode de licence avec mise à jour intégrée de Microsoft. Il faut de plus acquérir le Microsoft Desktop Optimization Package (MDOP) pour chaque utilisateur. Chez Citrix cet outil est lié à Presentation Server 4.5 Entreprise au minimum, ce qui nécessite un fonctionnement en mode publication d’application. Là aussi, l’investissement financier et technique risque d’en effrayer plus d’un. Reste à savoir ce que fera VMWare du rachat de Thinstall. Il est encore trop tôt pour le dire. Toutefois, Thinstall commercialisait jusque-là son offre sous la forme d’un packager pour encapsuler les applications puis d’une licence par client utilisateur. Virtualisation du système • Gestion d’un cache disque local sur le poste : l’administrateur peut dédier une partie du disque dur du PC au stockage des lots applicatifs encapsulés pour accélérer les prochains démarrages et permettre cerise sur le gâteau- le fonctionnement de l’application en mode déconnecté. La gestion du cache est suffisamment fine pour que l’administrateur puisse définir si une application « stratégique » peut ou non être éjectée du cache en fonction des besoins selon la règle « first in, first out ». 10 IT-expert n°72 - mars/avril 2008 Les acteurs majeurs de l’informatique consacrent actuellement beaucoup d’énergie à la virtualisation du système d’exploitation. Cette démarche intègre dans la machine virtuelle l’ensemble des éléments constituant un ordinateur (entrées-sorties –bios-, pilotes matériels, système d’exploitation, applications). L’architecture supportant ces machines virtuelles se décompose en trois typologies de solutions : l’émulation, la traduction binaire directe et la paravirtualisation. Quelle que soit l’architecture, l‘objectif commun consiste à transférer les appels systèmes de la machine vir- tuelle vers la machine hôte pour que ces appels soient exécutés et que le résultat soit remonté à la machine virtuelle. La couche d’interprétation ajoutée impactera forcément les performances perçues. Le rôle des concepteurs de ces architectures est donc de minimiser cet impact et d’apporter de nombreux avantages dans tous les autres domaines. L’émulation est le système permettant le plus de souplesse puisque les machines virtuelles sont complètement émulées sur les machines hôtes. C’est-à-dire que chaque appel système de la machine virtuelle est capturé, puis interprété par la machine hôte. C’est l’architecture choisie par VMWare pour construire sa solution. L’inconvénient sur les performances est qu’il ne devrait pas être nécessaire de capturé-interprété chaque instruction. En effet, un certain nombre d’instructions devrait pouvoir être exécuté directement sans passer par la phase interprétation. L’idée est prometteuse pour les performances, mais nécessite quelques aménagements sur l’architecture des processeurs. La traduction binaire directe consiste à trier les instructions provenant du système virtuel pour n’interpréter que celles qui pourraient rendre instable le système virtuel. La para-virtualisation privilégie la modification du système d’exploitation virtuel pour que celui-ci utilise au minimum des instructions devant être traduites par le système hôte. Cette approche limite considérablement la souplesse de la solution puisqu’il est nécessaire d’avoir des versions spécifiques des systèmes d’exploitation à virtualiser. conteste en arguant que la différence n’est pas si sensible. La jeunesse de ces architectures et les performances déjà obtenues permettent de leur prédire un avenir profitable pour aborder de manière plus mature l’approche de la virtualisation. Mémoire et pilotes : peut mieux faire La virtualisation de la mémoire et des entrées/sorties est bien avancée, mais n’est pas encore en production chez ces constructeurs. Pour la mémoire, le but est d’intégrer au niveau de la machine hôte pour chaque machine virtuelle une table de correspondance de la mémoire (entre l’adressage du système d’exploitation virtuelle et l’adressage du système d’exploitation hôte). Cette opération permettrait d’adresser directement la mémoire sans faire intervenir l’hyperviseur. Pour les périphériques, plutôt que d’utiliser le pilote de périphérique générique pour toutes les machines virtuelles quelque soit le matériel réellement présent, il semble intéressant de pouvoir monter directement le pilote du véritable périphérique dans la machine virtuelle et ainsi améliorer les performances et la simplicité du système. Les évolutions des deux principaux constructeurs semblent fondamentales pour faire évoluer la virtualisation. Il se posera alors un problème : lequel choisir ? En fonction du choix, il faudra vérifier l’adhérence au constructeur de processeur pour pouvoir choisir ses évolutions. Les fondeurs de puces adaptent leurs technologies Le problème principal de la virtualisation provient du fait que le jeu d’instruction des architectures de nos ordinateurs (x86) n’est pas conçu pour supporter cette virtualisation à la base. En effet, les instructions doivent être toutes capturées et interprétées. Outre la problématique du jeu d’instruction, les appels mémoire sur l’ensemble du spectre d’un ordinateur virtuel doivent aussi être interprétés pour pointer sur la bonne adresse physique de l’ordinateur hôte. Enfin, les périphériques physiques générant des appels mémoire et des interruptions doivent aussi être pilotés par l’hyperviseur. L’ensemble de ces interprétations impacte non seulement la complexité des outils de virtualisation et donc leur fiabilité, mais aussi la performance globale de ces systèmes (même si l’augmentation de performance des machines hôtes peut cacher ce point). L’approche des constructeurs de processeurs (INTEL et AMD principalement) consiste à proposer un complément dans le jeu d’instruction initial des architectures x86 pour tenir compte des nouveaux enjeux de la virtualisation. Avec Intel-VT et AMD-V (ex-Pacifica), les deux constructeurs proposent d’ajouter une structure de contrôle et de nouvelles instructions. Cet ensemble permet de basculer la machine virtuelle du mode virtuel au mode hôte pour exécuter les instructions sensibles. Intel et AMD prétendent ainsi augmenter considérablement la vitesse de fonctionnement des hyperviseurs, ce que VMWare Des avantages et atouts déjà reconnus L’approche à long terme semble très prometteuse, alors que les avantages sur les architectures actuelles sont déjà connus et reconnus : • Meilleure utilisation des serveurs. Sans virtualisation, la charge CPU moyenne est de 10 % environ, alors autant l’employer à faire plus ; • Reconstruction rapide d’une nouvelle machine, par copie d’une machine existante ; • Capacité à faire tourner des systèmes d’exploitation obsolètes sur du matériel récent. Microsoft supporte ainsi encore Windows NT4 dans des machines virtuelles ; • Cohabitation de plusieurs serveurs sur une seule machine physique ; IT-expert n°72 - mars/avril 2008 11 • Augmentation simple et dynamique des ressources (mémoire, ressources processeurs) d’une machine en cas de besoin ; • En cas d’application d’un correctif, il est très simple de faire une copie (snapshot) de la machine virtuelle, d’appliquer le correctif, puis si le correctif pose problème, de revenir à la version originale ; • Idem avec une évolution applicative. À ces bénéfices, il convient d’ajouter la facilité de transfert d’une machine virtuelle d’un système physique à un autre, sans contrainte matérielle identique puisque chaque machine virtuelle embarque son propre « hardware ». Ainsi, les contraintes de maintenance et de reprise sur incident (PRA et PRI) sont fortement simplifiées. On le voit les avantages sont nombreux. Le revers de la médaille Un certain nombre de voix s’élèvent pour mettre en garde les responsables de Systèmes d’information sur les travers de la virtualisation dans certains domaines. I La sécurité Que se passe-t-il si la machine hôte est corrompue, ou si un hacker peut en prendre le contrôle ? Il peut alors verrouiller l’accès aux machines virtuelles ou en détourner les données ! La gestion des sauvegardes se complexifie elle aussi, car les schémas traditionnels sont difficiles à appliquer : l’utilisation d’un agent par machine virtuelle peut se révéler onéreuse et pénalisante pour les performances. Les snapshots de machines complètes (VCB de VMWare par exemple) sont certes rapides, mais peu souples et peu granulaires dans le cadre de la restauration. Deux pistes se développent actuellement : le snapshot interne à la machine virtuelle, qui permet une granularité de restauration intéressante, et la sauvegarde continue avec une éventuelle déduplication des données sauvegardées. L’avenir semble être à mi-chemin de ces solutions selon la disponibilité demandée par les critères métiers. I La disponibilité Si ma machine hôte a une faiblesse, c’est l’ensemble des machines virtuelles qui souffrent ou s’écroulent. Pour pouvoir profiter du déplacement à chaud des machines virtuelles (Vmotion chez VMWare par exemple) il est indispensable de mettre en place un espace SAN. Et si le SAN trébuche, ce sont toutes les machines virtuelles qui tombent. I L’administration La simplicité de création de nouvelles machines virtuelles incite parfois les administrateurs à multiplier l’exercice ! Et on assiste encore au retour du concept « une application = un serveur » ! Attention au coût des licences, car si une machine virtuelle n’a pas d’existence physique, elle existe logiquement et réclame donc une licence et pour le système d’exploitation et pour les applications pour services déployés. D’autre part, les outils de déplacement à chaud de machines virtuelles brouillent parfois les cartes : où se trouve mon serveur de production ? Hier soir il était sur le serveur A, ce matin je le retrouve sur le serveur C, par la grâce du déplacement à chaud… On le voit la plupart de ces limitations sont contournables grâce à du bon sens et un peu d’organisation. La disponibilité, qualité tant vantée de la virtualisation, peut se retourner contre elle. Pourtant si l’on prend soin d’estimer sérieusement son besoin de disponibilité selon des critères métiers (Quelles applications sont indispensables à l’entreprise ? Quels délais de reprise sont tolérables ? Quelle perte de données est acceptable sans entraîner de ressaisie fastidieuse ?) plusieurs solutions s’offrent à l’administrateur : • Sauvegarde à intervalles réguliers des machines virtuelles ou de leur contenu (si le délai de reprise se compte en heures…), • Sauvegarde continue des données, • Duplication permanente des machines virtuelles sur deux serveurs hôtes différents bénéficiant chacun de leur stockage, • Mise en place de deux SAN redondants avec duplication en temps réel des volumes. Concernant le stockage, l’idée maîtresse impliquait jusqu’à présent la mise en place d’un SAN, gage de « sérieux » et… de gros budgets pour les intégrateurs. Si le SAN est indiscutablement une bonne solution pour des volumes importants (plusieurs Téraoctets) nécessitant des entrées-sorties élevées, elle n’est pas toujours la panacée. Et le bon vieux DAS (Disk attached Storage) reprend du poil de la bête. Il permet en effet de bâtir des solutions efficaces à moindre coût tout en permettant la réplication sur une deuxième machine hôte des machines virtuelles, même si la distance est importante. Dans le cas de machines hôtes sous Windows, un produit comme Double Take peut rendre de grands services, en permettant la recopie des fichiers de machines virtuelles sur un serveur de secours. Un enjeu majeur : L’administration des architectures virtuelles La question de l’administration des architectures virtuelles est plus complexe et encore jeune. Si les principes de la virtualisation sont connus depuis longtemps, ils ne concernaient jusqu’alors que quelques machines hôtes par client. Or aujourd’hui, et plus encore demain, le nombre de machines hôtes va exploser. Il suffit de suivre les projets de PC virtuels qui fleurissent ici ou là pour imaginer un parc de PC embarquant chacun plusieurs machines virtuelles ou des fermes de serveurs faisant tourner de très nombreux PC virtuels. Et là le rêve virtuel pourrait bien tourner au cauchemar ! 12 IT-expert n°72 - mars/avril 2008 N’oublions pas que l’une des contraintes majeures de la virtualisation sera d’implémenter et maîtriser des environnements puissants, redondés et haut de gamme. La virtualisation supportera mal l’économie. Il faut donc investir dans des serveurs puissants et des SAN que l’on doublera et que l’on supervisera. I Les outils d’administration L’avenir de la virtualisation passera donc par son administration. Les outils d’administration nécessaires au bon fonctionnement de ces multiples machines virtuelles restent à inventer. Ils devront répondre à plusieurs critères. Sécuriser le fonctionnement de « l’édifice virtuel » Il est nécessaire de : • Faciliter l’application des correctifs sur les hôtes et les clients, • Contrôler les accès à l’hyperviseur pour éviter l’utilisation des failles de sécurité, • Alerter sur les accroissements importants de ressources (disques, réseau, mémoire) sans lien avec les règles métiers définies, • Suivre au plus près les déplacements « à chaud » des machines virtuelles et tracer tous les mouvements, • Former les équipes techniques, car gérer une architecture virtuelle est plus complexe qu’une architecture traditionnelle, • Améliorer l’organisation surtout sur le centre de service et la gestion des changements lors de la mise en production. La démarche ITIL est plutôt un bon atout dans cette approche. Optimiser le fonctionnement de « l’édifice virtuel » en : • Affectant les bonnes ressources aux bonnes machines selon les règles métiers et l’échelle temporelle (la paye a besoin de tel niveau de ressources en fin de mois et d’une valeur plus faible le reste du temps par exemple), • Gérant les ressources nécessaires au bon fonctionnement du système sous contrôle des règles métiers, • Fournissant un relevé simple et clair du nombre de sessions virtuelles, de leur utilisation. Virtualisation du réseau La virtualisation du réseau, aussi connue sous l’acronyme VLAN, consiste à créer sur un réseau physique plusieurs réseaux logiques dont on contrôlera les liens et interactions par des routeurs. Cette solution élégante permet de séparer différentes populations sur un même LAN. Appliquée aux machines virtuelles elle permet de séparer logiquement différents serveurs virtuels sur un même hôte. Virtualisation du stockage La virtualisation du stockage gomme la relation entre le matériel physique de stockage (les disques) et les volumes accessibles par les serveurs (physiques ou virtuels). Cette démarche est très intéres- sante, car elle coupe le lien entre le volume de stockage visible par l’utilisateur et le stockage des données proprement dit. Elle libère donc l’affectation des ressources et en simplifie grandement l’exploitation au quotidien. Un exemple parlant est la solution DFS (Distributed File System) de Microsoft, qui permet à l’administrateur de déplacer les partages de fichiers d’un serveur à un autre sans modifier la connexion des utilisateurs. Mais cette démarche s’intègre aussi au sein des SAN grâce aux solutions d’IBM, d’EMC, etc. Et demain, une organisation plus efficace ? La virtualisation est partout ! Elle permet fondamentalement de mieux utiliser le matériel en le partageant sur plusieurs usages en fonction du temps, des performances attendues, des pointes d’utilisation… Nous sommes au début de la maturité de ce genre d’approche. Les évolutions des constructeurs de processeur promettent bien des avantages futurs. Ces avantages ne doivent pas nous faire oublier nos fondamentaux sur la sécurité des systèmes et sur l’exploitabilité des solutions. L’arrivée des systèmes virtuels dans notre système d’information est aussi un accélérateur pour la mise en place d’organisations basées sur ITIL. En effet les contraintes de ces systèmes, les enjeux mis en oeuvre ne souffriront ni d’une solution technique basée sur l’économie, ni d’une organisation du SI chaotique. I Olivier Thomas directeur de l'ingénierie chez TIBCO Serge Le Vaillant Responsable Avant Vente Privé-Public chez TIBCO À propos de TIBCO Créateur de services, Tibco s’engage sur l’évolution et la disponibilité des systèmes d’information. Banques, assurances, retail, organismes publics, sociétés privées: pour chacun, Tibco dispose des compétences pour apporter les services adaptés aux métiers, aux usages et aux utilisateurs. Basée sur un large spectre technologique, son offre de services est globale et positionne Tibco comme un acteur notable de l’infogérance modulaire. Ses 1200 collaborateurs,son centre d’appel et d’assistance et ses 68 points techniques en France garantissent la réactivité nécessaire pour assurer les SLA, 24H/24, 7J/7. www.tibco.fr IT-expert n°72 - mars/avril 2008 13 LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Pour compléter votre bibliothèque de référence technique, commandez vite les anciens numéros* d’IT-expert à tarif préférentiel ! IT-expert n°60 Mars/Avril 2006 DOSSIER : La qualité des applications développées en technologies objet • L’industrialisation des développements au secours des échecs projets • Environnements de Développement Intégrés • Urbanisme des Systèmes d’Information versus Architecture d’Entreprise * Dans la limite des stocks disponibles • Contrôle d’accès au réseau IT-expert n°62 IT-expert n°63 IT-expert n°64 IT-expert n°65 Juillet/Août 2006 Septembre/Octobre 2006 Novembre/Décembre 2006 Janvier/Février 2007 DOSSIER : Panorama sur les techniques Agiles • PHP5, une alternative à .NET et J2EE ? • Eclipse : le Big Bang Callisto • Test Driven Development • Qui arrêtera Google ? DOSSIER : La géolocalisation • Géolocalisation, les techniques alternatives DOSSIER : Capital Immateriel • Windows Vista : le nouveau système • Le positionnement par GPS • Géolocalisation, tout n’est pas permis… • Recyclage des e-déchets • Les curseurs sous SQL Server • Wimax DOSSIER : Web 2.0 entreprise, quelles réalités ? • ITIL et ISO20000 • Logiciel libre • Les wikis : définitions fonctionnelles et techniques • Une approche structurée de la certification du IT-expert n°67 IT-expert n°68 IT-expert n°69 IT-expert n°70 Mai/juin 2007 Juillet/Août 2007 Septembre/Octobre 2007 Novembre/Décembre 2007 DOSSIER : SOA, l’état de l’art DOSSIER : Le décisionnel • Du décisionnel à la gestion de la performance • La visualisation de l’information à des fins d’aide à la décision • Les grandes étapes d’une chaîne d’ETL • ITIL : entre meilleures pratiques et référentiel holistique DOSSIER : Que peut-on offshorer dans une DSI ? DOSSIER : Management de la sécurité • SOA : Architectures & outils • Imprimez moins, maîtrisez vos coûts ! • Qualité interne de ses logiciels : mythes et réalités • L’univers étrange des unités d’œuvre au GPS d’exploitation de Microsoft réseau : l’audit automatique du réseau et la validation des changements des configurations • La qualité intrinsèque des applications dans les contrats de service • Le « backsourcing » : lorsque l’externalisation n’est pas utilisée avec précaution… • Assurer le succès des projets avec la Tierce Recette Applicative • Etat de l’art de la convergence : lien entre informatique et téléphonie • Comment lutter efficacement contre les intrusions informatiques • Microsoft Office SharePoint Serveur 2007 : les raisons-clés d’un succès • Les multiples facettes du contrôle d’accès au réseau d’entreprise • Interview d’Alain Bouillé, RSSI au sein du Groupe Caisse des Dépôts • Sécurité de la téléphonie sur IP Offre Spéciale Je souhaite acheter les numéros suivants Tarifs TTC (TVA : 5,5 %) 1 exemplaire : 8e 5 exemplaires : 35e IT-expert n°61 Mai/Juin 2006 DOSSIER : Optimiser innovations et transformations en gérant le portefeuille de projets et d’applications • Subversion : le grand départ ? • L’accessibilité numérique • Wi-Fi Année 2006 N° 60 N° 61 N° 62 N° 63 N° 64 Année 2007 N°65 N°66 N°67 N°68 N°69 N°70 10 exemplaires : 60e Autre quantité : Année 2008 N°71 Pour commander les anciens numéros d’IT-expert, il vous suffit de nous renvoyer ce document à l’adresse suivante : IT-Expert 3, rue Marcel Allégot - 92190 Meudon - France Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20 Adresse d’expédition & de facturation IT-expert n°66 Mars/Avril 2007 DOSSIER : Sécurité : Les applications, le talon d’Achille des entreprises • RIA (Rich Internet Application) : définitions et panorama des solutions • Gestion des droits numériques en entreprise avec RMS • Un observatoire pour mesurer l’urba • Les DRM : une introduction Mme Mlle M. Nom Prénom Société Fonction Adresse CP Ville E-mail Tél Fax IT-expert n°71 Chèque joint à l’ordre de Press & Communication France Règlement à réception de facture Janvier/Février 2008 DOSSIER : La gestion prévisionnelle des ressources humaines informatiques • • • • Date : Signature obligatoire : Logiciel libre : état de l’art Les mashups débarquent en entreprise Comment le text-mining donne du sens Liberté surveillée pour l’utilisation à des fins privées de l’informatique de l’entreprise http://www.it-expertise.com/Abonnements/Unite.aspx Technique Vers une professionnalisation des tests au service de la rentabilité de l’entreprise L’adéquation des Systèmes d’Information aux métiers des entreprises suppose l’alignement des processus IT (Information Technology) pour assurer le respect des délais de mise sur le marché (Time To Market) permettant le développement du chiffre d’affaires, le maintien de l’avantage concurrentiel, et la satisfaction des Maîtrise d’Ouvrage. Cela signifie également le bon fonctionnement en production des applications mises à disposition des utilisateurs, ainsi que la réduction des coûts de support et d’évolution de ces applications. 16 IT-expert n°72 - mars/avril 2008 Les tests ne sont plus la dernière roue du carrosse ! L’enjeu majeur des DSI est la mise à disposition des applications en production en respectant des délais de plus en plus courts, dans la limite des budgets définis préalablement et avec la qualité escomptée : c'est-à-dire le respect des exigences en terme de conformité et de disponibilité fonctionnelle, d’absence de bug, de stabilité en fonctionnement et de performance. environmental factors, hardware, operating system, power, disasters operator errors 20% 40% 40% 40% Application Failure application failure » Gartner : Application failures including bugs, performance issues or changes to applications that cause problems cause 40% of unplanned application downtime La vérification de l’atteinte de ces objectifs est du ressort des activités de Qualification, de Recette et de préparation des Mises en Production (Q, R et MeP). Malheureusement, ces activités sont souvent positionnées dans une « zone d’ombre » qui ne permet pas une vérification tout au long du cycle de vie des applications. En effet, un nombre important d’entreprises appréhendent encore les activités de tests comme une étape ponctuelle compressée entre la fin de la phase de développement et le début de la phase de mise en production. Dans un tel contexte, la garantie des objectifs fixés devient illusoire. En témoigne l’analyse du Gartner qui montre que 40 % des incidents survenant sur les patrimoines applicatifs sont dus à des défauts sur les applications elles-mêmes, les 60 % autres sources de pannes provenant des opérateurs ou du matériel. Pour améliorer la qualité des applications mises en production, il est indispensable de repenser les responsabilités tout au long du cycle de vie. La mise en place d’un processus transversal de tests1 allant de la gestion des exigences à la mise en production apporte cette clarté dans les rôles et les responsabilités. 1 Par abus de langage, le processus de tests englobe aussi le processus de mise en production, ainsi que les processus de support (gestion de configuration, gestion des livraisons, gestion des anomalies, pilotage, etc.) Par ailleurs, les DSI sont face à des enjeux d’optimisation de leurs coûts. L’industrialisation de la fonction informatique a d’abord touché les phases amont et aval du cycle de mise en œuvre d’une application (Développement et Production), les activités de qualification, recette et mise en production doivent évoluer à leur tour rapidement. En France, l’industrialisation et l’externalisation de ces activités sont restées longtemps en retrait. On note d’ailleurs un certain retard accumulé en comparaison avec d’autres pays européens, qui ont d’ores et déjà professionnalisé le métier du test. Malgré une certaine effervescence récente sur le marché français, la situation est très diversifiée au sein des entreprises. Les entreprises les plus matures en la matière ont pris conscience de l’importance de l’industrialisation des processus de tests et de mise en production. Elles l’ont même positionnée en priorité dans les investissements informatiques, avec un engagement stratégique à tous les niveaux de l’entreprise (DG, MOA, DSI, etc.). On constate par exemple les retours d’investissement lors de la mise en place des solutions industrielles sous forme de Tierce Recette Applicative ou de Centre d’Intégration et de Qualification à l’occasion d’un programme de transformation ou d’une Cellule Transverse, généralement au niveau de l’entité « Qualité, Normes & Méthodes ». L’industrialisation permet non seulement la réduction des coûts, mais participe également à l’acquisition d’avantages compétitifs en contribuant à la création de la valeur. Pourquoi l’industrialisation des tests devient-elle prioritaire ? Les délais de mise à disposition des applications devenant de plus en plus critiques, les entreprises doivent mettre en place une stratégie d’industrialisation des activités de qualification, de recette et de préparation à la mise en production. Deux types d’enjeux s’imposent aux entreprises. D’une part, les enjeux au niveau DSI, à savoir le respect / réduction des délais, la maîtrise budgétaire, la réduction des coûts, la ré-affectation des ressources internes sur des projets à plus forte valeur ajoutée et la prise en compte rapide des demandes d’évolutions du SI (Agilité). Les activités représentent entre 30 à 40 % du Coût Total des Projets, et constituent un gisement de réduction des coûts. D’autre part, les enjeux pour le Système d’Information, c'est-à-dire assurer la qualité des livrables par la mise en œuvre de développements orientés tests ou Development Test Driven : tester dès les phases amont (exigences), définir pour chaque application une stratégie de tests permettant la mise en œuvre de tests pertinents et complémentaires adaptés + Vite + Qualité - Cher IT-expert n°72 - mars/avril 2008 17 Parallèlement, sont mis en œuvre l’outillage des processus, ainsi que les méthodologies et les meilleures pratiques (R2BT2 Requirement and Risk Based Testing, conformité par rapport à un standard). Enfin, un modèle opérationnel de type Front Office - Back Office est implémenté permettant d’adapter progressivement la localisation des services (sans rupture dans la fourniture de ces services). Dans le Front Office sont localisés les services nécessitant la proximité du client, les autres services sont en Back Office. Gestion des Infrastructures de Tests Gestion des Packagings Industrialisation du Processus de Tests Gestion des Livraisons Gestion des Outils de Tests aux différentes phases et la vérification aval. La garantie de la disponibilité et du bon fonctionnement des applications en production sur des plages horaires étendues, ainsi que l’automatisation et la capitalisation (amont et aval) complètent les enjeux pour le SI. L’industrialisation consiste à mettre en œuvre une organisation au confluent de la MOA, de la MOE Développement et de la Production, c'est-à-dire la mise en œuvre des relations de type Client / Fournisseur avec toutes parties concernées et un Guichet Unique pour le traitement des demandes. Les activités sont modélisées à travers la définition d’un catalogue de service. Ce Catalogue est associé à une convention de services (SLA permettant la mesure de la qualité), ainsi qu’à un catalogue d’unités d’œuvres (les UO valorisées initialement permettant la mesure de la Productivité dans le temps). La garantie des mises en production ne peut être assurée que si l’environnement de tests est représentatif de l’environnement de production (représentativité démontrée). La représentativité de l’infrastructure de tests impose une gestion rigoureuse de ces infrastructures (Architecture, Capacity Planning, Rationalisation, Mutualisation), • Organisation, Processus et Outillage • Gestion de la demande • Optimisation des Ressources Cette garantie implique également la traçabilité de la signature des packages livrés en production. Cette problématique de la gestion des livraisons impose la mise en place d’une gestion de configuration transverse permettant une cohérence entre le packaging testé et le packaging livré en production. Réduction des Coûts • Localisation en Centres de Tests (France), • Processus Certifiés CMMi 3 • Efficacité de la Gestion de la demande, • Capitalisation • Localisation en Centres de Tests (NearShore et Offshore) • Processus Certifiés CMMi5 • Capitalisation • Boucle d’Amélioration Continue Leviers 1 Leviers 2 Leviers 3 L’essor de l’industrialisation et l’adoption de l’outillage des processus s’effectuent en même rythme que l’externalisation des activités et des patrimoines applicatifs. Leviers 4 Quel cadre normatif choisir ? Industrialiser le seul processus de tests ne suffit pas ! Pour que l’industrialisation des processus de tests et de mise en production ait lieu, il faut qu’elle s’accompagne aussi de l’industrialisation des processus de support (gestion de configuration, des livraisons, des infrastructures de tests et des outils de tests). L’outillage des processus de tests (gestion de campagnes de tests fonctionnels, automatisation des tests, tests de montée en charge et de performances) n’est pas encore généralisé. L’utilisation massive d’outils est freinée par les coûts, et par le positionnement transverse au sein des entreprises qui ne favorise pas le partage des enjeux et la compréhension des problématiques au niveau décisionnel. Pour mener à bien un projet d’industrialisation, il est préférable qu’il soit partagé par tous les acteurs concernés et sponsorisé au plus haut dans l’organisation. 2 © Atos Origin 18 IT-expert n°72 - mars/avril 2008 Pour accroître l’efficacité opérationnelle des activités de tests, il est conseillé de regrouper et de formaliser les meilleures pratiques du marché comme CMMi, ITIL et ISTQB/CFTL. En allant du plus général au plus orienté vers les métiers du test : • Information Technology Infrastructure Library (ITIL) : cadre de référence regroupant les meilleures pratiques en matière de gestion des services informatiques, dont on retiendra plus particulièrement les processus de gestion des changements, gestion des problèmes. Ainsi que le processus de gestion des niveaux de services qui va aider à fixer les critères d’arrêt des campagnes. • Capability Maturity Model Integration (CMMi) : modèle général de bonnes pratiques dont on retiendra plus particulièrement les processus « VER » et « VAL » inclus dans le niveau 3. • Information Software Testing Qualifications Board (ISTQB) a mis en place un processus de certification de testeurs composé de trois niveaux (fondation, avancé et expert). Le Comité Français des Tests Logiciels (CFTL) est le représentant de l’ISTQB en France. Il certifie les formations ISTQB/CFTL. L’ISTQB/CFTL est le seul élément normatif spécifique au métier du test. Il met en relief les limites de la démarche de tests. Il s’appuie sur des principes décrits dans le tableau ci-dessous. Les tests montrent la présence de défauts, mais ne démontrent pas l’absence de défaut, Les processus sont outillés par la mise en place de solutions de tests (définition du nombre de licences, analyse et choix des outils de tests, implémentation, etc.). Les principaux acteurs du marché des outils de tests sont HP/Mercury, IBM, Compuware, Borland. Dans certains cas, des outils Open Source peuvent être utilisés (Junit, Open STA, Selenium, etc.). Le déroulement des projets de tests est basé sur une approche par phases permettant les validations séquentielles de ce qui est produit. On distingue deux principales phases. Les tests exhaustifs sont impossibles, Il faut tester le plutôt possible, Les tests dépendent du contexte, L’illusion de l’absence d’erreurs : trouver et corriger des défauts n’aide pas si le système conçu est inutilisable et ne satisfait pas les besoins et les attentes des utilisateurs, Le Paradoxe du pesticide : si les mêmes tests sont répétés de nombreuses fois, il arrivera que le même ensemble de cas de tests ne trouve plus de nouveaux défauts. Pour prévenir ce « paradoxe du pesticide », les cas de tests doivent être régulièrement revus et révisés, et de nouveaux tests, différents, doivent être écrits pour couvrir d’autres chemins dans le logiciel ou le système de façon à permettre la découverte de nouveaux défauts. La phase de préparation a pour objectifs d’élaborer pour chaque projet de tests la stratégie et le plan de tests associé, de déterminer la couverture de tests et le périmètre des tests à automatiser, de calibrer l’effort de tests et de définir les besoins en infrastructures de tests. Cette phase consiste également à concevoir et à réaliser les cas de tests prévus en fonction des exigences. La phase de réalisation a pour objectifs de réaliser les activités de tests prévus (exécution, analyse, anomalies), de gérer les Infrastructures et les outils de tests (Capacity Planning, Installation, Exploitation, etc.) Initialisation du Projet Tests Gestion des Exigences et des Risques (Impacts) Référentiels (Stratégie de référence, Capitalisation) Définition Stratégie Applicable D’autres modèles peuvent être utilisés pour l’amélioration des processus de tests : TMM (Test Maturity Model), TPI (Test Process Improvment) et TMap (Test Management Approach). Calibrage du Projet Mise en œuvre de l’industrialisation des processus de tests L’industrialisation des tests suppose la mise en place d’un processus de tests tout au long du cycle de vie d’une application. Ce processus doit s’inscrire dans le cadre de la méthodologie générale de développement des applications. Cette approche permet l’optimisation du retour sur investissement (ROI) des développements applicatifs. Elle permet aussi la gestion transverse des différents types de tests (tests unitaires, tests d’intégration, tests système, recette utilisateurs, etc.) et des responsabilités associées. Elle permet également la combinaison des tests en fonction des phases des projets pour réaliser un effet de tamis et éviter, ainsi, de réaliser les mêmes tests. La réalisation des campagnes de tests nécessite la mise en œuvre des processus de gestion des services (gestion du contrat dans le cas d’une externalisation) et des processus de gestion opérationnelle (gestion des exigences, gestion des anomalies, gestion de configuration, etc.). Structuration & Formalisation des Exigences Métiers Modélisation UML Plan Projet Tests La mise en œuvre de la méthodologie R2BT a pour objectif l’optimisation et le calibrage des projets de tests. Cette méthodologie est basée sur une approche par les exigences et les risques (Requirement and Risk Based Testing). La mise en œuvre d’un référentiel de tests pour les applications facilite la capitalisation. En fonction d’éléments structurants tels que la criticité de l’application ou le nombre et la fréquence des changements, il est alors préférable de mettre en œuvre une « automatisation amont des tests fonctionnels » permettant la Référentiel Métier (Processus Métier & Fonctionnel) Référentiel Cas de Tests IT-expert n°72 - mars/avril 2008 19 création rapide des cas de tests correspondants et la réalisation de l’analyse d’impact au niveau des exigences, des processus métiers. Leirios est un des acteurs de ce segment de marché. La mise en œuvre de l’automatisation des tests aval porte généralement sur des applications appelées à connaître de multiples changements. Cette automatisation concerne essentiellement les Tests de non-Régression (TNR). La mise en œuvre de l’automatisation peut se justifier, dans certains cas pour étendre la couverture de tests d’une application multiplateformes. Famille de Tests La réalisation des campagnes de tests nécessite la mise à disposition de jeux de données en cohérence. Ces données peuvent être soit définies lors de la création du script de tests, soit générées à l’aide de l’outil ad hoc, soit extraites à partir de base de données de production. Les principaux acteurs de ce segment de marché sont IBM/Princeton, Compuware, Genielog. Les principales familles de tests Type de Test Description Tests fonctionnels Tester les fonctionnalités au niveau du composant Tests des flux & des interfaces (2 à 2) Tester les flux et les liens (2 à 2) avec d'autres systèmes « Tests fonctionnels » « Bout en Bout » Tester les fonctionnalités de bout en bout avec les systèmes connexes Non régression Ensemble de tests permettant de vérifier la non dégradation fonctionnelle Tests de sécurité des accès Tester les procédures et architecture de sécurité (accès logiques) Tests d'installation/désinstallation Vérification Procédures d'installation / désinstallation Tests de robustesse Tests de robustesse aux pannes et aux limites Tests de montée en charge Tests de la montée en charge en nombre, en quantité et dans la durée Tests de performance (env. de production) Tirs de performance et montée en charge en environnement de production Tests de conformité aux normes d'exploitation Vérification de la conformité des procédures d'exploitation Validation des procédures d'administration/supervision Test et validation des procédures de gestion d'habilitation (droits, profils…) et vérification des remontée d'indicateurs et de logs Revue / validation de production Tester les procédures de production Sauvegarde / restauration / purge Tester les procédures de sauvegarde et des reprises Recette utilisateur Vérification de la capacité à exercer le métier (assistance aux utilisateurs) Recette technique Tests techniques, d’exploitabilité et de performance Fonctionnel Technique Performance Exploitabilité Recette 20 IT-expert n°72 - mars/avril 2008 Localisation des services de tests en Near / Off - Shore Un des leviers importants pour la réduction des coûts est la localisation des services de tests en Centre de Tests spécialisés (CloseShore, Near / Offshore). Pour cela, un modèle opérationnel distribué et utilisé par des utilisateurs répartis géographiquement est nécessaire: la mise en place d’une solution technique centralisée pour les outils de tests permet une utilisation partagée et mutualisée des moyens. Ce modèle repose sur une répartition claire des activités à réaliser à distance et des activités à réaliser au plus près des acteurs concernés (MOA, MOE, etc.). Profitant de l’expérience acquise pour la délocalisation des activités de développement, l’utilisation du Near / Off - Shore pour les activités de tests se généralisera plus rapidement. Comment le marché doit-il répondre ? La réponse habituelle du marché pour les processus de qualification, recette et mise en production reste partielle et se résume à des offres Tierce Recette Applicative. Il est évident que la réponse à la problématique des DSI se doit d’être globale. Elle doit couvrir l’ensemble du spectre entre le développement et la production pour apporter de réels bénéfices. Ces bénéfices resposent sur un engagement global, depuis le recueil des exigences jusqu’à la mise en production, tout en maîtrisant précisément l’exposition au risque à chaque étape du processus. Cette réponse doit industrialiser et sécuriser le passage des développements à la production et répondre aux principaux enjeux des entreprises tels que l’optimisation des coûts et des délais, la maîtrise des changements, la garantie de la conformité et de la mise à disposition des applications en production. La solution doit être fondée sur une approche par les processus et positionnée dans un rôle pivot entre la MOA, la MOE Développement et la Production. Elle permet de structurer les relations et de prendre en compte l’ensemble des acteurs intervenants dans le cycle de vie. Elle gére de façon industrielle l’ensemble des qualifications (fonctionnelle, technique, utilisateur et exploitabilité), ainsi que les activités d’intégration pour la production et la mise IT-expert n°72 - mars/avril 2008 21 en exploitation. Elle fournit les éléments essentiels (bilan des tests, analyse des risques avant mise en production, etc.) nécessaires à la prise de décision pour le passage en production. Pour réaliser l’industrialisation des tests, à un coût compétitif, la solution doit reposer sur des outils centralisés avec un fonctionnement 24/24 et 7J/7 et profilter des bénéfices Near/Offshore. L’importance de la représentativité des infrastructures de tests impose des investissements en infrastructures, ainsi qu’une exploitation et une gestion par des professionnels (typiquement dans un Data Center). L’externalisation des services de tests vers un acteur disposant déjà de toute l’infrastructure nécessaire (Service Centers Industrialisés et mutualisés, Testing Centers Closes-shore et Near/Offshore, Data Center pour l’hébergement, voire pour la mise à disposition des infrastructures de tests) s’impose d’emblée comme une opportunité à prendre en considération.I Mohamed Bedouani TAM & AM Business Solutions Manager Thierry Lallemand Architecte Shared Service Center A propos d’Atos Origin Atos Origin est l’un des principaux acteurs internationaux du secteur des services informatiques. Sa mission est de traduire la vision stratégique de ses clients en résultats par une meilleure utilisation de solutions de Conseil, Intégration de Systèmes et Infogérance. Atos Origin réalise un chiffre d’affaires annuel de 5,8 milliards d’euros et emploie 50 000 personnes dans le monde. Atos Origin est le partenaire informatique mondial des Jeux Olympiques et le Groupe compte parmi ses clients de grands comptes internationaux dans tous les secteurs d’activité. 22 IT-expert n°72 - mars/avril 2008 Pascal Cogoluègnes Directeur de l’Industrialisation SI France Actualités internationales Actualités internationales Microsoft -Yahoo : bientôt en fusion ? Après près d’un mois de silence, nouveau rebondissement dans l’affaire du rachat de Yahoo! par Microsoft : une rencontre aurait eu lieu le 10 mars dernier, selon le Wall Street Journal. Microsoft aurait sollicité cette rencontre pour démontrer à Yahoo! l’intérêt de cette mégafusion. On notera que les dirigeants de Yahoo! ont accepté la rencontre… Le 10 février dernier, Yahoo rejetait officiellement l’offre publique d’achat de Microsoft de 44,6 milliards de dollars (30 milliards d’euros), jugée insuffisante. Une saga qui aura duré 10 jours, pour l’OPA la plus chère jamais réalisée dans le secteur. En effet, le prix de 31 dollars par action représentait un bonus de 62% du cours au premier février ! Une proie affaiblie pour se renforcer Tout avait commencé lors de discussion fin 2006, et une première démarche avait avorté en février 2007. Puis, Yahoo! a enregistré une mauvaise année 2007, en faisant une proie idéale pour Microsoft qui attendait dans la pénombre. Au quatrième trimestre 2007, le moteur de recherche a perdu 23,5% de son bénéfice (205,7 millions de dollars), malgré une progression de son chiffre d’affaires de 7,6% (1,83 milliard). Sur l’année le bénéfice a fondu de 12.1% à 660 millions d’euros, malgré une hausse de 8,4% du chiffre d’affaires annuel à 7 milliards de dollars. Pour rester dans une course accélérée avec Google, Yahoo a supprimé 7% la masse salariale, soit un millier d'emplois sur quatorze mille. En réunissant ses sites avec Yahoo!, Microsoft prendrait plus de poids face à Google et sur la recherche, et sur la publicité en ligne. Des sauveteurs peu convaincants Une analyse et un risque évidents que Google a entérinés le 4 février 2008 « par la petite porte », via le blog de David Drummond, l’un de ses dirigeants. Et en le faisant savoir… Le propos consistait à poser des questions sur l’éventualité d’un monopole sur le Web et sur la messagerie instantanée (Yahoo Mail et LiveMail).Selon la presse américaine, les dirigeants se seraient même contactés dans le but de contrer l’OPA. Finalement, aucune action concrète. Le 14 février (après le refus), le groupe du magnat australo-américain Rupert Murdoch (News Corp.) aurait proposé d’apporter du cash avec échange d’action, et une valorisation à près de 50 milliards de dollars de Yahoo! En parallèle, début mars, Time Warner entrait dans la danse proposant une entrée minoritaire dans le capital contre un rachat d’AOL par Yahoo! Rappelons que Google est actionnaire d’AOL à 5%... Bien entendu, Yahoo! devait poursuivre ses négociations avec News Corp. qui céderait MySpace. Finalement, Rupert Murdoch a abandonné ce projet affirmant : « Nous n'allons pas entamer une bagarre avec Microsoft, qui dispose de beaucoup plus d'argent que nous ! » Et ça repart ? Après ces multiples discussions et retournements de situation, Microsoft et Yahoo! auraient donc repris les discussions. Mais la firme de Bill Gates, et le marché attendent les résultats trimestriels de Yahoo! en avril pour confirmer leurs positions. Si la baisse des résultats se confirme, les dirigeants de Yahoo! auront bien du mal à convaincre les investisseurs de leurs estimations très optimistes sur 2008. 24 IT-expert n°72 - mars/avril 2008 Actualités internationales Acer devient le troisième fabricant mondial de PC La concentration du marché des PC portables se poursuit. Après le rachat de l’américain Gateway en août 2007 pour 710 millions de dollars, le taïwanais Acer se paie Packard-Bell. Suite à une liquidation d’actifs et de diverses participations, le constructeur avait réuni un trésor de guerre de plus de 650 millions de dollars américains. Avec Gateway, Acer redevenait troisième constructeur mondial de PC après HP et Dell, et devant Lenovo, et doublait ses parts de marché sur le continent américain. Le nouveau groupe constitué afficherait un chiffre d'affaires de plus de 15 milliards de dollars (10 milliards d'euros), et produirait environ 20 millions d'ordinateurs chaque année. Coup double et podium ! Fin février 2008, le rachat de Packard Bell pour 48.5 millions de dollars était validé par la Commission européenne. L’institution a estime que l’absence de menace pour la concurrence était respectée face aux autres constructeurs « établis tels que Hewlett-Packard, Dell, Fujitsu-Siemens, Toshiba, Sony et Lenovo. » Résultats de ces acquisitions : Acer est crédité de 5,25 millions de portables vendus au quatrième trimestre 2007, et passe devant Dell (4,64 millions d’unités vendues) selon le cabinet d’études DisplaySearch. Ce dernier estime d’ailleurs que les consommateurs devraient acheter plus de portables que d’ordinateurs de bureau dès 2009. De son côté, Acer vise les 13,7 milliards d’euros de chiffre d’affaires pour son exercice 2008. Les antimalwares enfin testés objectivement L’antimalware testing standards organization (ou AMSTO) est née à l’initiative des 40 principaux éditeurs de solutions de sécurité réunis à Bilbao en Espagne. Objectif : normaliser les comparatifs entre des logiciels de sécurité afin d’éviter les résultats hasardeux de ces solutions de plus en plus complexes. En effet, de nombreux « tests sont incapables d’évaluer correctement l’efficacité de ces solutions, ce qui se traduit par des évaluations incomplètes, inexactes et trompeuses ». Des conséquences négatives pour tous les vendeurs de ce marché qui prennent donc l’initiative pour proposer des procédures et des normes objectives. Pour commencer, un forum de discussions sera disponible pour discuter des antimalwares et outils relatifs à ces sujets et faire avancer les choses en partageant avec les intéressés. Et au plus vite, des normes et un guide des meilleures pratiques verront, avec une documentation riche et fournie. Enfin, des outils seront même mis à disposition, ainsi que diverses ressources et des tests et essais. L’organisation s’engage également à assurer la promotion et les problèmes sur les tests réalisés. Espérons que cette initiative (www.amtso.org) à saluer sur un domaine devenu primordial avec l’ouverture d’Internet et de la messagerie instantanée résistera aux enjeux commerciaux, qui poussent parfois les éditeurs à défendre leurs propres technologies au détriment d’une avancée commune. Le téléphone portable toujours et partout La compagnie aérienne américaine (vols intérieurs) Virgin America, filiale de Virgin, s’est associée au spécialiste d’accès internet par réseau cellulaire Aircell pour proposer un accès Internet pendant toute la durée du vol. Un atout concurrentiel évident pour la clientèle d’affaires annoncé en septembre dernier, rendu possible via une liaison maintenue en continu entre l’avion et le sol. Un avion équipé d'une borne Wi-Fi permettant aux passagers d'utiliser librement leur portable ou leur PDA. Deuxième initiative, la compagnie Emirates a proposé l’utilisation des téléphones portables en plein vol entre Dubaï et Casablanca, fin mars. Aujourd’hui, certains appareils Airbus aux installations protégées intègrent un relais de téléphonie mobile testé et certifié, relié par une liaison satellitaire. Mais les concurrents sont également très avancés sur le sujet, comme le prouvent ces deux expériences. Espérons que la politesse prévaudra, et que les vols ne seront pas sans cesse perturbés par des sonneries désagréables. D’autant qu’avec les décalages horaires… IT-expert n°72 - mars/avril 2008 25 Actualités internationales Un bus à 8 térabits par seconde griffé IBM Marketing, quand tu nous tiens ! « Green Optical Link » : tel est le nom choisi par IBM pour son bus de données de 8 téraoctets par seconde. Évidemment, ce bus peut véhiculer près de 5000 flux vidéo Haute Définition sur le même tuyau en consommant moins de 100 Watts (soit dix fois moins que la fibre optique classique sur 100 mètres). Mais finalement, tous les nouveaux équipements sont verts… Les gros centres de données et fournisseurs de contenus très multimédia apprécieront certainement cette avancée, encore au stade de prototype, mais très prometteuse. Pourtant, la limite ne tient pas forcément au bus lui-même, mais reste bridée par les capacités des autres composants électroniques entrant en jeu qui pourraient chauffer rapidement, ou avoir du mal à absorber autant de données aussi vite. IBM propose déjà des solutions de ce type avec une solution intégrant 24 émetteurs/récepteurs, affichant chacun une vitesse de 12,5 gigabits par seconde. Soit un total théorique de 300 gigabits par seconde ! Et le tout tient dans un espace dix fois moins important que les solutions actuelles pour une consommation comparable malgré des performances dix fois supérieures ! IBM lance un nouveau mainframe Le système z10 : dernier-né des mainframes IBM. Les grands systèmes centraux dont les entreprises refusent les coûts élevés d’exploitation sont souvent des anciens modèles. À l’heure de la recentralisation et de la réduction de coût, une telle plate-forme modernisée peut effectivement présenter de l’intérêt. En tout cas, IBM y croit fermement. Premier argument avancé par le constructeur : « l’amélioration du rapport prix/performance ». Les nouveaux processeurs plus puissants profiteraient en outre d’infrastructures machine plus performantes et évoluées. Le modèle z10 à 64 processeurs le plus puissant (27 000 mips) serait plus performant de 50 % que son équivalent de la gamme z9. Des mastodontes qui ciblent donc les grands comptes, qui devront malgré tout y ajouter des machines de sauvegarde externe. Et si une réplication distante s’impose, la note risque de s’avérer salée avec ces machines proposées à partir d’environ un million de dollars. Le système d'exploitation zOS 1.10 sera disponible dès septembre 2008. Au-delà de la puissance brute, les applications Autre levier, les applications actuelles et sollicitées doivent être au rendez-vous. Si l’offre Cognos 8 BI for Linux on System z et WebSphere ou Infosphere Master Data Management sont déjà disponibles sous Linux dans ces machines, Big Blue annonce aussi des solutions autour de SAP ou de Rational, par exemple. Avec les multiples mécanismes de virtualisation, on peut imaginer des infrastructures variées et puissantes. Enfin, optimisé en consommation électrique, le « z10 peut remplacer 1500 serveurs x-86 et consommer 85 % de courant en moins ». Une façon habile de marteler le message en vogue du « green computing ». Ces arguments suffiront-ils à convaincre les clients traditionnels, ou à en conquérir de nouveau ? Microsoft rachète Kidaro Comme nous l’évoquions dans le dernier numéro d’IT-expert la firme de Windows marque son territoire sur la virtualisation, avec le rachat de la société californienne Calista technologies, puis en signant des accords avec Citrix. L’éditeur confirme cette orientation en s'offrant la start-up israélienne Kidaro, spécialiste des solutions de virtualisation pour postes clients, pour un montant estimé à 100 millions de dollars par la presse israélienne. Créée en 2005, Kidaro emploie 25 salariés. Ses solutions seront intégrées à l'offre Microsoft Desktop Optimization Pack (MDOP) dédiée à l'administration des postes de travail. Selon Ran Oelgiesser, cofondateur de Kidaro, l’un des objectifs consistera à faciliter la migration vers Windows Vista, priorité stratégique pour Microsoft, en autorisant la cohabitation XP/Vista sur le poste client. Pas sûr, et certainement téméraire. Une vision de technicien incompatible avec une logique d’entreprise, et trop complexe pour la majorité des utilisateurs grand public. Une certitude : VMWare est toujours en ligne de mire. 26 IT-expert n°72 - mars/avril 2008 Actualités internationales Le gros appétit d’EMC IBM : SMash et jeu ! Pour 2007, EMC a annoncé 1,6 milliard de bénéfices sur l’année, pour un chiffre d'affaires de 13,2 milliards. Des résultats qui ont dynamisé ses envies d’expansion. Le 10 mars, le leader du stockage mettait la main, sur Infra Corp Pty Ltd, un éditeur spécialisé sur l’automatisation des processus de gestion des services informatiques (intégrant les pratiques de type ITIL ou KCS -Knowledge centered support). En automatisant les datacenters, en améliorant la gestion informatique, et avec un service desk capable de gérer l’ensemble du cycle de vie des services IT, EMC muscle son offre en fournissant une gestion des services du SI de bout en bout. Deuxième axe de renforcement, les PME/PMI. Le 12 mars 2008, EMC a donc lancé une première OPA hostile sur le Californien Iomega, spécialiste de la sauvegarde des données et les périphériques de stockage amovible. Deux jours après, Iomega avait rejeté l'offre de 3,25 dollars par action, soit un montant global de millions de dollars, jugé trop faible face aux ventes de 300 millions de dollars. « Smash » pour « Secure Mashup », dernière née des technologies IBM en matière de mashups, vise à sécuriser ces applications combinant les composants, et surtout à rendre cette sécurité compatible avec les politiques de sécurité globales des entreprises. Selon IBM, la technologie SMash « permet aux informations émanant de différentes sources de partager avec d’autres, tout en les tenant séparées, ce qui empêche les malwares de se glisser dans les systèmes des entreprises. » Bref : une communication protégée et sécurisée permettrait de combiner données et fonctions en toute sécurité, grâce à des mécanismes d’isolation. Le 20 mars, EMC a finalement renouvelé son offre, mais à 3,75 dollars par action, pour près de 205 millions de dollars. Sans se prononcer définitivement, Iomega juge néanmoins l’opération plus intéressante que les deux rachats qu’elle avait envisagés (Excelstor Great Wall et Shenzhen Excelstor Technology). Et comme l’a affirmé Rod Smith, vice-président chez IBM : « Vous ne décidez pas d’acheter une voiture et d’installer plus tard les ceintures de sécurité ou les airbags. Comme pour n’importe quel secteur, nous avons donc appris à intégrer la sécurité dans les opérations dès le départ, et non après coup.» L’éditeur/constructeur a offert cette technologie à l'OpenAjax Alliance, une communauté de développement open source souhaitant faire progresser l'utilisation d'Ajax dans les applications Web et d’entreprise. Un moyen aussi d’offrir à SMash toutes les chances de devenir un standard de fait, puis de droit (ou l’inverse). Un smartphone Palm très attractif Mi-mars, Palm a lancé son nouveau smartphone baptisé Centro, doté du système d'exploitation Palm OS 5.4.9, réduisant les besoins en ressource selon le fabricant. Compact et élégant, le Centro propose un clavier azerty, un écran couleur 320x320, et un appareil photo de 1,3 mégapixel. Côté téléphonie, il allie quadribande (GSM, GPRS et EDGE) et batterie lithium pour une autonomie annoncée de quatre heures en conversation et de trois cents heures en veille. Son processeur Intel PXA270 cadencé à 312 MHz est appuyé par 64 Mo de mémoire et un équipement bluetooth. Bien entendu, une carte micro SD jusqu’à 4 Go pourra compléter l’ensemble. Le connecteur USB relie le Centro à un ordinateur. Le plein de fonctions Outre les classiques (horloge, calendrier, calculatrice, notes écrites et vocales, liste des tâches, gestion des contacts…) le Centro propose un navigateur Internet Blazer 4.5 et de la messagerie VersaMail 4.0, ou encore Mobile Google Maps, ou une messagerie instantanée. De plus, Documents to Go Professional Édition 10 permettra à l’utilisateur de consulter (mais aussi d’éditer ou de concevoir) les documents Word, Excel, PowerPoint et PDF. Enfin, Pocket Tunes et des logiciels d’affichage de photos et de vidéos complètent ce dispositif riche et varié. Et surtout, Palm annonce que 900 applications sont annoncées compatibles par le constructeur. Le coup le plus étonnant de Palm ? Le prix : le Centro est proposé chez Orange pour 49 euros (2 ans d’engagement) et 299 euros sans abonnement. Ce nouveau smartphone apparemment séduisant et efficace pourrait bien contribuer à ramener Palm au cœur de la course menée par RIM, HTC, Nokia, ou l’iPhone sur le marché des PDA communicants. IT-expert n°72 - mars/avril 2008 27 Quoi de neuf Docteur ? SOA et la déverticalisation de l’industrie du logiciel Par « vertical », cet article n’entend pas l’adaptation d’un logiciel ou progiciel à un secteur d’activité, mais bien une manière de produire un logiciel ou plutôt une solution logicielle complète. Une société verticalisée produit toute la solution ou presque, sans intégrer des « briques » de solution fournies par des tiers. Par exemple : Nixdorf au début des années 1980 était une société intégrée verticalement, elle produisait toutes les composantes de ses produits, commençant par les boitiers de ses ordinateurs à partir de la tôle plate, passant par les unités centrales, les systèmes d’exploitation et de communication (même le microcode), jusqu’à son logiciel phare, COMET, un PGI pour PME avant l’heure. La société n’a pas survécu à la désarticulation de cette intégration verticale, qui n’était pas la cause unique de son déclin. Le projet de baser la nouvelle génération de ses ordinateurs sur des puces MIPS, d’utiliser un système d’exploitation standard (UNIX), de réécrire COMET en utilisant des outils et des couches de logiciels indépendantes et standardisées n’a jamais vraiment abouti : trop de chantiers, trop peu de temps. En même temps, Nixdorf ne pouvait pas rester verticalement intégré. Il était impossible d’affronter la concurrence à tous les niveaux, concevoir des microprocesseurs compétitifs et un système d’exploitation à la hauteur de l’innovation tandis que le standard émergent était moins cher, maintenir les fonctions de son progiciel de gestion au pus haut niveau et offrir la meilleure interface utilisateur à ses clients non-informaticiens. Depuis, l’industrie du logiciel s’est partiellement déverticalisée en créant des « strates » : les systèmes d’exploitation et de communication (eux-mêmes encore stratifiés), les bases de données, les serveurs d’applications, etc. Mais le monde des logiciels applicatifs est resté fortement verticalisé, l’intégration – surtout horizontale, mais aussi verticale – étant devenue une clé de sa réussite. Cependant, les recettes et les vertus qui ont fait le succès des entreprises hier deviennent parfois le poison qui les fait péricliter demain. Une autre industrie, plus mature que l’industrie du logiciel a montré la voie : l’automobile. Il y a des « constructeurs » de voitures et des « équipementiers ». Dans certains cas, le constructeur contribue pour moins de 50 % sur des parties qui constituent la voiture. Les équipementiers sont aujourd’hui responsables de « sous-systèmes » plutôt que de « pièces », de la conception jusqu’au montage à la chaîne d’assemblage. La coopération dans cette industrie est très complexe et demande un écosystème très élaboré, couvrant le codesign, la cofabrication et la cogestion de la maintenance. D’ailleurs, les pressions concurrentielles poussent ce système à évoluer en permanence. Certains parallèles avec l’industrie du logiciel sont évidents, quelques différences également. IT-expert n°72 - mars/avril 2008 29 SOA, accélérateur de la déverticalisation de l’industrie du logiciel Les entreprises subissent une forte pression pour se transformer de structures en silos-matrices en structures « cellulaires » malléables et capables de s’adapter rapidement aux changements de leur marché. Elles doivent devenir plus « agiles », et nécessitent des systèmes d’informations qui soutiennent cette agilité. Les architectures orientées services (SOA), par leur granularité et leur facilité de (re-) composer des ensembles, permettent aux entreprises de se doter de systèmes d’information suffisamment flexibles pour les accompagner dans le changement permanent. En même temps, cette facilité de (re-) composition de solutions des SOA « catalysera » la maturation de l’industrie du logiciel vers une plus forte déverticalisation. Elle amènera ainsi cette industrie, depuis (trop ?) longtemps en « état de surfusion » par rapport à son modèle historique, à s’approcher du modèle adopté depuis longtemps par les industries plus matures, comme l’automobile. Une des différences essentielles entre constructeurs d’automobiles et équipementiers tient dans la possession ou non d’un canal de distribution vers le client final1 et donc d’un accès direct aux clients communs. Les constructeurs possèdent le canal (et doivent le financer), alors que les équipementiers n’ont pas un accès direct aux clients communs (et n’en supportent pas directement les frais). Seconde différence : la possession de la « plate-forme de production ». Un corollaire de la possession du canal est la responsabilité pour le produit assemblé face au client final, également une lourde tâche, périlleuse en cas de défaillance d’un équipementier. L’écosystème d’un constructeur doit donc être bâti avec le plus grand soin. La déverticalisation de l’industrie du logiciel créera donc des « éditeurs constructeurs » et des « développeurs équipementiers ». Même si le logiciel est « soft », et les exigences de conception sont moins drastiques que pour l’automobile ou d’autres industries lourdes, la distribution des rôles dans la nouvelle industrie du logiciel deviendra plus nette dans un proche avenir. Les éditeurs de logiciel d’aujourd’hui, mais aussi leurs partenaires (revendeurs à valeur ajoutée, consultants et SSII), et les investisseurs doivent se poser ces questions : • Qui seront les grands « éditeurs constructeurs » de demain ? • Qui seront les « développeurs équipementiers » du premier, deuxième, troisième rang ? • Quelles sont les conditions de réussite dans un rôle et dans l’autre ? • Peut-on échapper à ce choix existentiel ? • Quelles conséquences pour les écosystèmes existants ? Et bien sûr, chacun doit se poser la question « quel rôle dois-je endosser » ? 1 - La notion de « client final » suscite des réactions de protestation chez les clients qui se considèrent comme le point de départ ou le centre d’une action commerciale. Comme le client « direct » d’un équipementier est le constructeur, cette expression est utilisée pour mieux distinguer les différents types de clients. 30 IT-expert n°72 - mars/avril 2008 Cet article ne se penchera pas sur le rôle des revendeurs, consultants et intégrateurs dans l’industrie du logiciel déverticalisée. Les DSI doivent observer, et en partie anticiper, l’évolution des acteurs et des écosystèmes pour faire les bons choix de fournisseurs et d’architecture de leur système d’information. Pourquoi devenir « éditeur constructeur » ou « développeur équipementier » ? De prime abord, le rôle de l’éditeur-constructeur semble le plus « noble », celui qui offre la plus grande indépendance et la meilleure maîtrise de son destin. De plus, les sociétés de logiciel y sont déjà habituées. Mais ce rôle a une lourde contrepartie : l’obligation de financer le marketing et la vente, et d’établir et maintenir un canal de distribution directe ou indirecte. Et il faut presque toujours financer ou pouvoir facturer l’intégration de son logiciel dans le système d’information hétéroclite du client, souvent dans l’infrastructure imposée par son ERP. Une lourde charge pour les « petits éditeurs » d’aujourd’hui. Beaucoup investissent d’ailleurs fortement pour être intégrés dans le catalogue d’un éditeur leader comme SAP, Oracle, Microsoft, par ailleurs grands « consolidateurs » du marché. On pourrait en déduire que le nouvel ordre de l’industrie du logiciel est déjà en train de s’établir. Mais figurer dans la liste de prix d’un « grand » n’implique pas des rentrées d’argent « automatiques ». D’ailleurs, ceux qui sont vite partis aux Bahamas après avoir réussi à figurer dans une de ces précieuses listes, pour y couler des journées douces, ont dû revenir à la rame… Où est le problème ? En fait, les éditeurs d’aujourd’hui ne sont pas encore des « constructeurs », et leurs équipes ne savent pas encore vendre un produit composé/assemblé. Pour eux, les « produits complémentaires » s’apparentent à un aveu d’échec, à une faille qu’il faut combler avec un pansement acheté ailleurs. Pourquoi les éditeurs de solutions intégrées doivent-ils à terme assumer le rôle de constructeur ? Tout simplement à cause de la pression du marché. Les architectures SOApermettront plus facilement que par le passé la substitution des granules fonctionnels (services Web) de leurs produits. Ainsi, un petit éditeur pourra imposer son offre novatrice et compétitive en « échange standard » contre un service Web moins performant d’un progiciel intégré. Il crée alors des précédents, une demande, un marché… qui bousculent le grand éditeur, pour lequel l’investissement dans ce service Web, trop souvent remplacé par ses clients, devient de moins en moins rentable. Cette « intégration sauvage » de briques dans une offre intégrée est une vue négative des choses. Un regard positif amènera l’éditeur d’une solution intégrée au constat qu’il sera moins cher d’intégrer une bonne brique d’un spécialiste dans son offre que de continuer à développer la même fonction en interne. D’autant que l’investissement pour le client final sera moindre, puisque l’éditeur externe cesse de financer son canal de vente et peut baisser sensiblement ses prix. Pourquoi les éditeurs de « briques » de solution deviendront-ils équipementiers ? Si l’intégration devient si facile, pourquoi les « petits éditeurs » se lieraient-ils à des éditeurs-constructeurs, plutôt que de continuer avec leur modèle économique actuel ? excellence, etc. Néanmoins, des approches plus radicales voient aussi le jour : s’acheter une plate-forme populaire (comme Oracle l’a fait avec BEA), ou s’offrir des briques applicatives, soit pour empêcher leur présence sur d’autres plateformes soit pour empêcher les concurrents de se les procurer en exclusivité. Sur le moyen - long terme, la logique du rachat des équipementiers par les constructeurs est cependant contraire au nouveau modèle : elle ne permet pas de sortir du modèle vertical qui est trop coûteux et trop rigide. Pour reprendre le parallèle avec l’automobile, le marché de la « deuxième monte » (où l’équipementier vend ses produits aux clients finaux pour remplacer un équipement standard de sa voiture, souvent après usure) pourrait être très important dans l’industrie du logiciel grâce à la facilité d’intégration. Et après tout, les canaux de distribution des petits éditeurs sont bien établis, et l’investissement pour les maintenir reste plus modeste que celui nécessaire pour les créer. Les petits éditeurs peuvent ainsi nouer des partenariats ad hoc avec les grands, sans rien changer en profondeur. Ne pas confondre industrie déverticalisée et marché ouvert de composants Par conséquent, l’évolution vers le nouveau modèle de l’industrie du logiciel ne passera pas par une révolution brutale, mais s’étalera dans le temps. Tant que les petits éditeurs dégageront une marge suffisante pour rester indépendants et pour financer leur R&D et leurs activités commerciales, ils resteront indépendants. Ce sera le cas pour les éditeurs aux produits fortement différenciés et à forte valeur ajoutée. Toutefois, la concurrence s’installera, et si ses concurrents peuvent adresser un grand marché rapidement en s’alliant avec un éditeur–constructeur (ou plusieurs), les marges de l’éditeur « ancien modèle » s’éroderont l’obligeant à évoluer vers le nouveau modèle. Un exemple lié à l’automobile illustre la difficulté : l’autoradio. Dans le passé, il était simple de changer la radio de votre voiture si un nouveau modèle vous donnait envie de transformer votre voiture en salle de concert. Aujourd’hui, mieux vaut se décider à l’achat de la voiture, comme la radio est décomposée en plusieurs sousmodules, placés à différents endroits de la voiture et intégrés avec d’autres équipements : amplificateur et haut-parleur servent également à votre téléphone, votre GPS et peut-être même aux annonces de sécurité (« mettre la ceinture de sécurité », « changer les plaquettes de frein », etc.). Vous avez le choix à l’achat de votre voiture pour l’équipement de « première monte », mais les choses se compliquent pour l’installation d’un équipement de « deuxième monte ». Un enjeu majeur pour les éditeursconstructeurs : la plateforme gagnante Pour déverticaliser avec succès, les éditeurs-constructeurs devront attirer les meilleurs développeurs et les meilleures solutions sur leur plateforme. Pour cela, des approches traditionnelles ont déjà fait leurs preuves, comme : créer des réseaux de développeurs, les courtiser avec des licences gratuites pour accéder à la plate-forme et à des outils de développement de plus en plus sophistiqués, les choyer dans des « Developer Days » qui attirent les foules et offrent une tribune aux meilleurs pour montrer leur Le nouvel ordre dans l’industrie du logiciel est-il le monde rêvé du DSI ? Est-ce que le DSI peut tout simplement opter pour un éditeur-constructeur avec une bonne plate-forme SOA, pour ensuite choisir les meilleures briques de solution pour chaque tâche sur un marché ouvert ? Et s’il se trompe dans ses choix ou si ses besoins changent, il échangera simplement quelques briques par d’autres ? Pas si sûr ! On peut penser que le problème ne se pose pas dans le monde du logiciel, car le processus de « fabrication » est moins lourd et l’intégration de « pièces de rechange » moins complexe. Un vrai marché de composant pourrait donc se développer, non bridé par les constructeurs et leurs choix de composants pour « la première monte ». Une vision du monde merveilleux de la cohabitation paisible entre le monde de l’Open Source et les logiciels propriétaire ? Peut-être… IT-expert n°72 - mars/avril 2008 31 Supposons que l’installation d’une nouvelle radio (chaine HIFI) dans votre voiture soit parfaitement simple. Vous faites monter l’équipement de vos rêves – et vous êtes désagréablement surpris en constatant que cet équipement ne comprend pas les signaux qui lui parviennent de votre téléphone ou de votre GPS. Traduit dans le monde du logiciel : vos composants doivent comprendre le langage de votre système d’information et de ses autres composants. Comprendre le sens (la sémantique) et non seulement la syntaxe et la grammaire. Or cette compréhension demande une standardisation largement au-delà de tout ce que nous voyons dans les architectures SOA d’aujourd’hui. Si les DSI, et plus généralement les entreprises utilisatrices, souhaitent un marché ouvert de composants logiciels (de Web Services), ils doivent s’engager à faire naître les standards nécessaires. Dans le passé, cet engagement a toujours fait défaut. En partie par l’incompréhension des enjeux de la part des entreprises (« l’informatique n’est pas notre métier ; a fortiori, le lobbying pour des standards informatiques ne l’est pas non plus, et encore moins l’engagement dans le processus de standardisation. ») C’est pourquoi on peut donc s’attendre à l’émergence d’un marché de composants par plate-forme (par éditeur-constructeur), où la sémantique des échanges entre composants supportant un processus de gestion sera imposée par l’éditeur-constructeur. Le modèle SaaS change-t-il la donne ? Les adeptes du modèle « Software as a Service » (SaaS) prétendent parfois que tous les problèmes des entreprises s’arrêtent si elles stoppent l’achat des logiciels, et commencent à les « consommer » et à les payer à la demande. Demandez et vous recevez. Cela semble divin – un peu trop peut-être. Le succès du modèle SaaS s’est principalement fait autour d’applications simples (comme la bureautique) ou autour de solutions CRM peu intégrées avec le reste du système d’information des entreprises. Aujourd’hui, le marché connaît une phase de consolidation de ce modèle – avec les mêmes enjeux que dans le monde « classique » du logiciel : l’intégration, mais aussi la lutte des plates-formes pour attirer les meilleures briques de solution. Le SaaS perdra un peu de sa légèreté dans ce processus. Les nouvelles générations de progiciels, en SOA, seront toutes « pure Web » et pourront donc être livrées en mode SaaS ou installées dans les locaux des entreprises. Finis les mondes séparés : « SaaS ou pas SaaS ? » ne sera plus la question. Un progiciel reste un progiciel, et l’entreprise aura le choix du « mode de livraison » : installé chez elle, livré « as a Service » ou acheté et hébergé chez un prestataire sélectionné par elle. Il faudra donc toujours faire le bon choix d’un éditeur constructeur (sa plate-forme et son écosystème d’équipementiers). De plus, le DSI aura le choix de la « livraison » (dans le sens de « delivery » en anglais) et différentes options de financement. I 32 IT-expert n°72 - mars/avril 2008 Hans-Josef Jeanrond Analyste, Stratégies Logiciels Applicatifs, Environnement SAP, Culture et Objectifs d’entreprise [email protected] i b t Inventer l’entreprise du XXIème siècle Hans-Josef Jeanrond est Analyste au BIT Group pour les stratégies Logiciels Applicatifs et l’environnement SAP, et intervient aussi comme expert pour le domaine de l’innovation et de l’adaptation de la culture aux objectifs de l’entreprise. Ingénieur en informatique diplômé de Saarbrücken (Allemagne), ayant poursuivi des recherches à Oxford et Edimbourg, Hans-Josef combine une importante expérience du monde de la technique et de celui des utilisateurs de technologies dans différents pays, cultures, langues et mentalités. Il a plus de 15 ans d’expérience dans la recherche et le développement informatique et autant dans le marketing et la communication. Il est expert dans la « médiation Business & IT » pour la traduction de l’innovation en bénéfices utilisateurs et avantages métier. Fondateur de Jeanrond CMC, société spécialisée dans le conseil en marketing et communication pour l’industrie High Tech, Hans-Josef s’est associé à la création de bizcat, cabinet suisse positionné comme catalyseur du business dans les « écosystèmes » constitués autour de certains grands acteurs IT. De 1992 à 1998 il a été Directeur Marketing et Communication de SAP France. Le Business & Information Technology (BIT) Group a été fondé par Bernard Dubs sur le paradigme de convergence Métiers / IT à l’origine de la création du Meta Group en 1989 (« Gartner + Ernst&Young »). Sur le plan international,il occupe de fait la place laissée vacante par le Meta Group, auquel Bernard Dubs a collaboré de 1995 à 1998. Sa mission est (1) d’accompagner les Comités Exécutifs dans leurs actions de transformation continue faisant levier des TIC pour une croissance profitable et durable basée sur la différenciation et l’innovation; (2) de faciliter les dialogues entre les organisations et les offreurs IT&T. Le BIT Group se différencie (1) par l’approche "Entreprise Cap 2020": une vision stratégique pour l’entreprise, la fonction SI et le système d’information, qui garantit la cohérence des analyses et recommandations du cabinet dans une logique de création de valeur; (2) par l’expertise de ses analystes, tous dédiés B2B, nativement européens et ayant au moins 20 d’expérience polyvalente "Business & IT", (3) par la proximité européenne. Avec 14 analystes de 3 nationalités sur Paris et Londres, le BIT Group est le seul à pouvoir servir ses clients entreprises et administrations sans faire appel à des américains sur les 3 pôles du Métier Intelligence de la fonction DSI : - Transformation et pilotage de la fonction SI, - Le SI au service de l’innovation et du Comité Exécutif - La performance durable et l’excellence opérationnelle du SI IT-expert, le « e-magazine » pour les IT pros IT-expert, la référence technique des professionnels de l’informatique Bimestriel de conseil et d’expertise technique, IT-expert vous offre l’information essentielle pour vous former et décider. LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Venez télécharger IT-expert sur le site : http://www.it-expertise.com www.it-expertise.com Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected] Abonnez-vous à IT-expert Je m’abonne 1 an à IT-expert pour 70 ¤ TTC par an (TVA 19,6%) c’est-à-dire pour l’accès aux 6 N° de l’année téléchargeables sur le site http://www.it-expertise.com ainsi que pour l’accès aux anciens numéros Dès parution du nouveau numéro sur le site http://www.it-expertise.com, un e-mail vous sera envoyé. Si vous ne souhaitez pas recevoir cet e-mail, cocher la case Mme Mlle M. Nom Prénom Société Fonction Bon d’abonnement à faxer au +33 (0)1 46 90 21 20 Adresse CP ou renvoyer au Service Abonnements 3, rue Marcel Allégot 92190 Meudon France Ville E-mail Tél Fax Chèque joint à l’ordre de Press & Communication France Règlement à réception de facture LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE Date : Signature obligatoire : Abonnez-vous sur www.it-expertise.com/Abonnement Comment ça marche ? Cartographie des SI : Observez le présent et vivez l’avenir Les projets de référentiels de cartographie en entreprise ont vu le jour au milieu des années 90 et se sont multipliés au fur et à mesure des années (avec comme catalyseurs l’an 2000, l’euro, les fusions, l’externalisation, l’internationalisation…). Les progiciels spécialisés ont évolué proposant davantage de types de cartes, de fonctionnalités liées à la navigation et aux restitutions… Ils ont permis d’outiller les démarches d’urbanisation ainsi que les différentes approches processus qui se sont progressivement installées dans la gouvernance des DSI. Ainsi aujourd’hui, toutes les grandes structures privées ou publiques françaises ont déjà expérimenté ou mis en œuvre, avec plus ou moins de succès, une démarche de cartographie de leur système d’information. Malgré un bilan mitigé selon les dimensions décrites du SI (processus, systèmes, données, fonctions/services, infrastructure technique…), la cartographie s’est ancrée au cœur des démarches de conception de SI. Pour s’en convaincre, il suffit de parcourir les documents de référence produits lors des études préalables et dans les phases de conception générale. Si on les compare aux mêmes documents datant du début des années 2000, on apprécie avantageusement tout le chemin parcouru. Même si, pour certains, disposer d’un référentiel de cartes à jour, fiable et exhaustif… n’est pas pour demain. Certes, la tâche est ingrate car manuelle, répétitive parfois, et surtout soumise à l’interprétation du modélisateur. IT-expert n°72 - mars/avril 2008 35 Un marché dynamique… La cartographie en entreprise aborde aujourd’hui un nouveau cycle. En effet, la courbe de maturité des projets de cartographie laisse apparaitre la fin de la première vague des projets (cf. schéma ci-dessous). De plus, l’offre évolue fortement ces deux dernières années et les projets se multiplient. D'ailleurs, de nouveaux outils, solutions, et techniques voient le jour. Les éditeurs de ce marché de niche font aujourd’hui l’actualité (rachat de Telelogic par IBM annoncé en juin 2007 et validé par la commission européenne en mars 2008) et les acteurs historiques précurseurs voient arriver une concurrence plus large (issue d’acteurs plus généralistes ou de start-up de seconde génération). En outre, la refonte de l’offre Mega en 2007 montre l’ampleur du repositionnement général des produits et des projets à venir. Plus que jamais, la cartographie reste d’actualité, car le problème reste que ces 10 dernières années, le nombre des applications a littéralement explosé (nouvelles technologies, complexité accrue des systèmes et des échanges pour l’internationalisation des activités et l’ouverture des SI…). Au-delà d’une certaine taille, lorsque le SI dépasse par exemple des centaines d’applications, il n’existe aujourd’hui pas d’autre alternative pour disposer d’une vision plus « accessible » et exhaustive pour l’ensemble des parties prenantes. Quand on se rend compte que le nombre de serveurs de Google est estimé à près de 500 000, cela nous donne une vision prospective de la réalité des SI dans les prochaines années. Échelle du nombre d’applications (complexité du SI) par type de structures (estimation 2007) : Types de structures Nombre d’applications Grandes structures privées/publiques nationales Entre 100 et 1000 applications Grandes structures privées/publiques internationales Entre 1000 et 5000 applications Très grandes structures privées/publiques internationales Supérieur à 5000 (voire à 10 000) applications © Oresys … et prometteur Dans les années à venir, la tendance va se poursuivre, et la pratique, les démarches et les outils vont continuer à progresser, 36 IT-expert n°72 - mars/avril 2008 s’industrialiser et se répandre dans les modes de gestion du système d’information. Et ceci, pour plusieurs raisons : • les acteurs internes et externes chargés du contrôle et des audits se sont particulièrement habitués à travailler sur la base de ces référentiels. Ils auront davantage d’exigences en la matière. • une culture de la modélisation, de la 3D et de la cartographie en plein essor… la maturité des acteurs intervenant sur les SI progresse et certains d’entre eux (en Maitrise d’ouvrage ou Maitrise d’œuvre) accumulent des années de pratiques dans les projets. Ils diffusent eux-même, sans les consultants, ces bonnes pratiques. • la complexité des SI va continuer à croitre, certains projets laissent entrevoir une sur-complexité (en nombre d’acteurs, en termes d’architecture…) et de gigantesques quantités d’information (des milliards de tickets de caisse, des dizaines de millions de clients ou d’administrés, des milliers d’applications et/ou de serveurs…) qui imposeront toujours plus d’outillage, d’analyse, de pédagogie et de représentation cartographique. • la traçabilité des liens entre les couches informatiques et métier s’impose pour une meilleure maîtrise des changements. • le capital « immatériel » que constituent les systèmes d’information va être de plus en plus pris en compte dans le bilan des entreprises. Cette valorisation en tant qu’actifs entraine un besoin toujours plus important d’outiller le recensement et la maitrise de ce patrimoine. Le modèle de Google Maps Le doux rêve de Google Maps ! Et si les entreprises disposaient d’un outil pour l’entreprise qui se caractériserait par l’ergonomie, la puissance, la personnalisation, la navigation intuitive, la performance de la génération automatique… Et si quelqu’un se chargeait de répertorier et de peupler la vision de notre patrimoine existant (comme l’IGN le fait en faisant survoler un avion à une fréquence pluriannuelle)… nous n’aurions qu’à extraire des itinéraires pour chefs de projets et managers des informations 100 % utiles et opérationnelles pour des retours sur investissements directs. Les « mashups » du web 2.0 laissent entrevoir des possibilités variées : cartographie des atterrissages de soucoupes volantes ou des pubs offrant la bière la moins chère du pays, cartographie mondiale des alertes majeures de sécurité (cf. http://globalincidentmap.com/home.php ) ou des risques-pays (cf.www.globalriskrating.net). Affichage cartographie de données - GlobalIncidentMap.com Le GPS des SI ne sera plus en option dans la boite à outils du chef de projet. C’est déjà le cas chez les leaders, les entreprises en croissance qui investissent, convaincues que la cartographie donne du « sens » et peut constituer aussi une arme de conquête en cas de fusion, de rapprochement, de partenariat, d’internationalisation et/ou d’externalisation. Et pourquoi pas la 3D ? Qui s’impose peu à peu dans l’industrie… Une vingtaine d’éditeurs sur un marché qui se concentre Le marché au niveau mondial est dynamique selon Forrester et le Gartner. Mais pas d’outil magique qui s’imposeLe GPS du chef de projet SI : maitriser les enjeux de l’entreprise rait dans le paysage à venir. et la complexité du SI Les grands acteurs en présence sont en plein repositionnement : • Mega, le leader en France, souhaite étendre la couverture de sa suite logicielle au-delà d’une plate-forme de modélisation pour être davantage « incontournable » dans le paysage, • Aris est de plus en plus « embarqué » (embedded en anglais) dans les projets de mise en œuvre d’ERP (SAP, Oracle…), et s’impose de fait, • IBM avec sa plate-forme de conception et d’ingénierie logicielle, vise l’équipement large et pérenne des DSI en tentant d’imposer sa suite Rational-Telelogic, • Troux et Corporate Modeler, editeurs anglosaxons « pure players » (sans activités de services) adoptent un marketing plus agressif et multiplient les promesses (cf. Troux sur la stratégie © Oresys et la gouvernance), IT-expert n°72 - mars/avril 2008 37 • Soluqiq vise à répondre aux faiblesses actuelles du marché par la génération automatique des cartes dans son offre, • Microsoft étend l’utilisation de Visio (notamment avec sa version 2007) sur tous les sujets de représentation visuelle de données dans l’entreprise, • De nouveaux outils arrivent également liés à la mouvance « open source » (initiatives prises dans le secteur public et dans le secteur privé)… • Une offre plus orientée « low cost » existe et certains outils s’avèrent intéressants selon les besoins (cf.WinDesign, C-Log). Au vu du nombre d’acteurs présents (une vingtaine sur le marché français), et le fait que ce marché constitue toujours encore une niche en croissance (marché français licenses + services estimé entre 50 et 80 millions d’euros, cf. étude 2007 Oresys), des acquisitions sont à prévoir dans les deux prochaines années. L’heure des superacquisitions est terminée et les grands acteurs dans le domaine du logiciel vont chercher à consolider leur portfolio avec de petits éditeurs plutôt que des mégaacquisitions. La tendance « open source » et l’adoption de logiciels libres se rencontrent aujourd’hui davantage dans le secteur public que privé. De nombreuses initiatives sont actuellement en cours avec un modèle de revenus générés par l’intégration du produit. Les principales barrières au développement sont généralement le manque de support, la complexité et le manque de maturité des produits. de plate-forme de conception collaborative 3D ou virtuelle (Dassault, PTC…). Il n’y a aucune raison de ne pas voir ce mouvement arriver sur les prototypes et le cycle de développement des SI. D’ailleurs, le spiral development, RUP, les approches incrémentales ou itératives font la part belle aux plateformes de développements et de modélisation. Les principales fonctionnalités attendues dans l’offre ces prochaines années sont les suivantes : • La génération automatique de cartes (cf. philosophie SOLUQIQ) : Ne pas avoir à modéliser toutes les cartes à la main ! • Le reporting et l’aide à la décision : utiliser la puissance du modèle, mais pas uniquement pour la navigation graphique, évoluer vers une exploitation BI du référentiel (cf. matrice d’arbitrage), l’affichage cartographique de résultats de recherche (cf. Google Labs, « Map View » permet un affichage cartographique des résultats d'une recherche : tous les résultats sur un même fond de carte). • La simulation, la gestion de scénarios, le versionning : apporter plus de valeur ajoutée sur l’analyse, les prévisions… • La représentation 3D (cf. offre OnMap). • Les liens « facilités » avec les autres outils de la DSI (CMDB, MDM…), avec des workflows… • Le portage technologique sur des ergonomies plus avancées (rich interface). • L’émergence de solutions pérennes low cost/open source…I Perspectives 2010 : seconde et troisième générations Le reproche de la modélisation actuelle insiste sur le manque d’assistance ou d’automatisation : une carte n’est consultable qu’à partir du moment où elle a été dessinée. La conception dans l’industrie est aujourd’hui soumise à une transformation très importante du fait de l’arrivée massive d’offre De plus en plus d’exemples de cartographies dans la vie professionnelle et dans la vie quotidienne : • Cartographie des liens entre individus (réseaux sociaux, dirigeants, parties prenantes d’une affaire…), • Carte stratégique, • Carte du bruit des agglomérations, • Représentations graphiques 3D (+imprimantes et scanneurs 3D) dans la conception assistée par ordinateur dans le développement de nouveaux avions, de nouvelles voitures, dans la recherche pharmaceutique… • Cartographie de la blogosphère, • Cartes géographiques interactives (la géolocalisation), par exemple sur internet : cadastre, Google Maps & Google Earth, nouveau site IGN… • Carte des risques opérationnels, • Carte des flux logistiques, • Postes de supervision et de commandement (« tour de contrôle »), • Cartes heuristiques… © Oresys 38 IT-expert n°72 - mars/avril 2008 Nicolas GRZECZKOWICZ Responsable du pôle de compétences cartographie Oresys - http://www.oresys.eu [email protected] A propos d’Oresys Société de conseil indépendante de 200 consultants, ORESYS aide ses clients à • piloter leurs activités, • améliorer leur performance, • mettre en œuvre leurs projets de transformation. Oresys intervient sur toutes les dimensions : métier, organisation, processus, système d’information, accompagnement du changement, risques. Pour mieux accompagner nos clients DSI confrontés à la mise en ouvre volontaire ou imposée de l’offshore, ORESYS a complété et adapté les méthodologies de conduite de projet. Un ensemble d’outils pratiques ont été élaborés pour accélérer et sécuriser le cadrage, la conduite du projet. http://www.oresys.eu Livres La virtualisation pour les nuls Certes, nous présentons ici un livre en anglais, mais très complet et très pédagogique. Daté de décembre 2007, espérons qu’il sera traduit dans quelques semaines. En attendant, seul un autre ouvrage français est annoncé sur le sujet, et sa publication prévue en mars 2008 a été repoussée. L’auteur présente les avantages de la virtualisation à travers quatre leviers favorisant l’émergence de ces technologies : les matériels sous-exploités, le manque de place dans les datacenters, les coûts en consommation énergétique, et les coûts d’administration. Puis, de façon très pédagogique, le livre explique les notions fondamentales : virtualisation de système d’exploitation, émulation matérielle, paravirtualisation, applications virtualisées, consolidation de serveurs, haute disponibilité et load-balancing, clustering, reprise sur incident… Le lecteur appréciera les visuels (Attention, remarque, truc et astuces…) qui facilitent la lecture et les schémas et tableaux bien pensés, bien qu’en noir et blanc. Virtualization for Dummies Bernard Golden Éditions For Dummies 362 pages – environ 22 euros Visibilité sur le web Spécialiste de terrain mondialement reconnue et conférencière, Shari Thurow propose un livre simple et didactique. Elle fait profiter le lecteur de son expérience Web bâtie auprès d’illustres clients (AOL, Microsoft, HSBC, ABC News…). Outre une analyse très pertinente des mécanismes de référencement utilisés par les grands moteurs de recherche, l’auteur expose sa méthodologie éprouvée pour optimiser son site et son référencement. Choix des outils existants sur Internet, capture d’écrans, listes généreuses de mots… Shari Thurow ne se prive pas d’exemple et de conseils sans langue de bois et sans approche idéaliste. Et bien entendu, aucun aspect n’est oublié dans cet ouvrage de 314 pages : règles de webdesign, générateurs de mots-clés, placement des mots, texte/image, balises, langues étrangères, caractères spéciaux… Bref, un condensé incontournable qui s’impose comme un ouvrage de référence. Visibilité sur le web Shari Thurow Éditions Pearson 314 pages – environ 28 euros IT-expert n°72 - mars/avril 2008 39 Fenêtre sur cour Interview de Philippe OTTIN, Responsable système et réseaux de la société Weishardt Le groupe Weishardt, créé en 1839, spécialisé dans la fabrication de gélatines alimentaires, pharmaceutiques et techniques est le 4ème producteur mondial dans ce domaine. Il compte 500 employés répartis sur 9 sites en France et à l’étranger. Monsieur Ottin, responsable système et réseaux du groupe, a accepté de nous parler de la mise en œuvre de la virtualisation de son infrastructure d’entreprise. I Pourriez-vous nous présenter le service informatique de votre société et nous expliquer vos problématiques ? Philippe Ottin : Nous sommes un Groupe international, mais avant tout une PME. Nos problématiques sont les mêmes que celles des grands groupes mais nous n'avons malheureusement pas les mêmes ressources ni les mêmes moyens. I Dans quels buts avez-vous mis en place un projet de virtualisation ? Philippe Ottin : La mise en place d’un ERP (JD Edwards, devenu depuis Oracle Enterprise One) au sein du groupe en 2001 nous a naturellement amenés à repenser la manière dont nous gérions le SI. En effet, l’ERP touche tous les sites du groupe et représente une application vitale pour notre activité. Sa mise en œuvre a nécessité une refonte quasi-totale de notre architecture auparavant basée sur des machines IBM AS/400 répartis dans les filiales avec des postes utilisateurs sous PC « lourds ». De plus, nous souhaitions également normaliser les processus métier, réaliser des économies, gagner en réactivité, partager en temps réel les mêmes données et les mêmes applicatifs... et enfin d’obtenir une disponibilité et une fiabilité maximales. La seule possibilité nous permettant d’atteindre facilement et efficacement ces objectifs reposaient sur une architecture totalement centralisée basée sur la solution Citrix Metaframe en ce qui concerne les accès clients. I Quelles étaient vos contraintes en terme de fiabilité, sécurité, coûts, délais… ? Philippe Ottin : Bien que ne disposant d’aucun informaticien sur nos sites distants, nous avons besoin d’une disponibilité maximale des applications du SI et d’une grande réactivité en cas de problème. D’autre part, les coûts exorbitants des liaisons réseau à l'international obligent à être vigilant sur les débits. En outre, nous envisagions de mettre en place un incontournable Plan de Reprise d'Activité. Enfin, nous désirions conserver la possibilité de faire évoluer facilement nos outils logiciels ou matériels. 40 IT-expert n°72 - mars/avril 2008 I Quels outils avez-vous utilisé ? Philippe Ottin : Nous avons initié le déploiement de Citrix Metaframe en même temps que notre ERP en 2001. Tous les utilisateurs du groupe travaillent donc sur un bureau Windows partagé sous Citrix sur les serveurs situés en France. Nous avons mis en place un accès à Citrix Metaframe via une passerelle Citrix Secure Gateway pour nos employés nomades et télétravailleurs. Par la suite, nous avons décidé de mettre en place la solution XenSource associé au logiciel Datacore San Melody (solution de virtualisation de stockage iSCSI en haute disponibilité) pour les applications/services Linux afin de faciliter la gestion de ceux-ci en terme de gestion du parc de serveurs (hard, maintenance), de disponibilité, de Plan de Reprise d’Activité (PRA) et enfin de gestion des sauvegardes. I Pourquoi Citrix et XenSource ? Philippe Ottin : Citrix s’imposait, et cela semble toujours d’actualité, comme LA solution de publication d'applications offrant tout un panel de possibilités (load balancing, publication d'application/bureau, gestion du trafic réseau...) correspondant à notre besoin et permettant de faire évoluer très simplement notre SI. Concernant XenSource, nous utilisons la partie libre de Xen. Ce choix s’est imposé. En effet, Xen est LA solution du monde du libre en ce qui concerne la virtualisation, et le projet est supporté par de grands contributeurs. Il faut d’ailleurs noter que le rachat de Xen par Citrix nous a conforté dans notre choix. Au départ, nous avons commencé à utiliser XenSource uniquement pour des questions de consolidation de serveurs. Lorsque nous avons acquis le logiciel Datacore San/Melody, nous avons naturellement accéléré ce processus de migration sous Xen. Tous nos services Linux sont désormais sous Xen. I Avez-vous envisagé des solutions alternatives ? Philippe Ottin : Dès 2001, nous avons rapidement étudié les solutions TSE/RDP de Microsoft que nous avons jugées trop peu évoluées. Concernant XenSource, nous sommes partis sur ce produit sans aucune hésitation. I Quels sont les principaux bénéfices de ce projet ? Philippe Ottin : Tous les besoins exposés plus hauts sont très largement adressés par la virtualisation et ont été atteints : l’architecture IT est fiable et disponible, ce qui permet à nos collègues de pouvoir gérer la partie métier qui leur incombe sans encombres. Il est à noter que le taux de disponibilité du SI et la satisfaction des utilisateurs sont des indicateurs que nous mesurons périodiquement et qui font partie de l’Assurance Qualité du groupe. I Pouvez-vous évaluer les gains financiers apportés par les solutions retenues ? Réduction des coûts ? Maîtrise des dépenses ? Retour sur Investissement ?... Philippe Ottin : Impossible à chiffrer tant les solutions que nous avons mises en oeuvre autour des solutions de virtualisation Citrix et Xen sont omniprésentes. Notre architecture se bâtit et évolue en permanence autour de ces 2 briques fondamentales. Les grands axes de ROI sont : • Coût du réseau international : nous utilisons désormais un réseau international entièrement basé sur Internet et construit autour d’une solution de tolérance de panne. Une caractéristique qui en fait un réseau excessivement fiable, performant, très évolutif mais aussi avec un coût plus que très nettement inférieur à une solution opérateur classique. • Coût de possession des clients légers : les clients légers représentent plus de 85 % de notre parc. Le coût de possession de ce type de poste est très faible (pas de disque dur, faible consommation électrique, OS peu ou pas modifiable). La rotation du parc de postes de travail est supérieure à 5 ans… De plus, peu ou pas de maintenance ou d’intervention sur les postes. • Simplicité d’administration, déploiement : il est plus facile de déployer une application sur une dizaine de serveurs répartis sur 2 salles que 250 postes répartis sur 8 pays… De plus, nous utilisons fréquemment des serveurs de test pour maquetter et procéder à des tests de non-régression sur les solutions que nous souhaitons déployer ou mettre à jour. • Souplesse, flexibilité et évolutivité : l’architecture que nous avons mise en place permet de manière simple et rapide de nous adapter aux besoins du groupe. Par exemple, nous avons pu intégrer notre nouvelle usine canadienne en une semaine seulement… • Disponibilité du SI : une architecture centralisée est bien plus facile à gérer/surveiller qu’une architecture distribuée mais son exploitation nécessite de la rigueur. Nous sommes bien plus réactifs pour anticiper les problèmes qu’auparavant. Le taux de disponibilité du SI et la satisfaction de nos utilisateurs le démontrent. I Quelles difficultés avez-vous eu à résoudre ou à contourner ? très nombreux avantages, mais elle nécessite une rigueur de tous les instants. Ainsi, il a fallu créer une organisation autour de cette architecture afin qu’elle reste homogène, pertinente mais surtout d’une fiabilité à toute épreuve. La moindre erreur peut avoir des conséquences fâcheuses avec un impact non-négligeable. Concernant la mise en place de Citrix Metaframe, nous avons tout d’abord eu à gérer la problématique des langues et des alphabets différents de nos utilisateurs. En effet tous les utilisateurs travaillent sur les mêmes serveurs. Il fallait donc qu’un japonais puisse taper ses mails dans son alphabet pendant qu’un utilisateur slovaque affichait un texte en russe et qu’un espagnol travaillait dans sa langue sur l’ERP. Autre point capital, nous avons choisi de gérer le paramétrage de toutes les applications de nos serveurs via des scripts afin de pouvoir intégrer facilement toute modification. Concernant la mise en place de Xen, l’association Xen et du iSCSI nous a posé le plus de problèmes. Cette architecture peu répandue, nous a obligé à procéder à de nombreux tests et à créer des outils afin de garantir la fiabilité que nous exigeons, tout en conservant une souplesse maximale. I Comment envisagez-vous l'évolution du SI de votre entreprise ? Philippe Ottin : Nous souhaitons pousser la virtualisation le plus possible, notamment en virtualisant sous XenSource un serveur Citrix non redondant mais aussi des services Windows vitaux (service de fichiers, d’impression). Nous sommes en train de maquetter ces solutions. Autre possibilité dans un second temps, mettre en cluster les serveurs Xen pour garantir une disponibilité encore meilleure. Pour l’instant, la reprise, en cas de sinistre majeur est manuelle, mais grandement facilitée par la virtualisation… Nous évaluons également actuellement la convergence voix/données/visio sous Citrix qui est un point stratégique pour nous. En effet, nous souhaitons à moyen terme mettre en place une solution de service de communication sur IP (ToIP, visio, conférences…) pour le groupe. Nous sommes en train de réfléchir aux différentes options qui s’offrent à nous. Il est évident que la capacité de Citrix à supporter ou non cette convergence sera déterminante pour la suite.I Philippe OTTIN Philippe Ottin : Comme dans tout projet de cette ampleur, les difficultés rencontrées ont été nombreuses. La virtualisation a de IT-expert n°72 - mars/avril 2008 41 Rubrique à brac Sécuriser les environnements applicatifs sous Citrix À l’heure de la virtualisation, de nouvelles failles de sécurité émergent, et Citrix rencontre un succès confirmé auprès des entreprises. Toutefois, quelques dispositions s’imposent pour éviter la perméabilité entre applications, et pour sécuriser les fichiers que les attributs par défaut rendent vulnérables. 42 IT-expert n°72 - mars/avril 2008 La virtualisation apporte une réponse pertinente et adaptée aux entreprises confrontées à des problématiques de performances, de sécurité, de maitrise des coûts, de déploiement, ou de mutualisation des ressources. Cet étalage non exhaustif d’avantages proposés par la virtualisation décrit en fait des concepts très différents, bien que représentés sous la même appellation. Ainsi, les serveurs lames (blade) ou les réseaux de stockage (San) sont des systèmes de virtualisation de ressources matérielles. Toutefois, les principales manifestations de la virtualisation sont : • La virtualisation de serveurs dont les deux principaux acteurs sont VMWare et Microsoft propose la mutualisation sur une machine physique de plusieurs machines virtuelles indépendantes les unes des autres et « vues » comme des machines physiques distinctes. Elle couvre une problématique de mutualisation de ressources généralement sous-exploitées, associée à la nécessité d’isoler des machines assumant des fonctions différentes au sein de l’entreprise. Enfin, elles représentent une réponse peu onéreuse pour assurer l’obligation de continuité de l’activité. La somme de ces avantages explique que la virtualisation rencontre un succès croissant auprès de nombreuses directions informatiques. • La virtualisation d’applications, évoquée dans cet article, répond à de tout autres contraintes au premier rang desquelles on trouvera le déploiement des applications métiers utilisées au sein de l’entreprise. Nouvelles versions des applications, runtimes, et couches middleware représentent autant de briques indispensables au bon fonctionnement d’une application et très sensibles au changement. L’émergence des utilisateurs nomades de ces applications accroit la difficulté en y apportant une contrainte supplémentaire de performances et de sécurité des applications. Souplesse et disponibilité de la virtualisation d’applications Actuellement, on distingue sur le marché deux types de virtualisation d’applications. La plus courante au sein des entreprises met en œuvre le déport d’affichage via les technologies ICA de Citrix et RDP de Microsoft (Independent Computing Architecture et Remote Desktop Protocol). On trouve également le streaming d’applications de Citrix, correspondant à l’offre SoftGrid chez Microsoft. Cette technologie encore peu implémentée permet de charger des applications sous forme de services applicatifs à la demande. Cet article s’attache à la première technologie, la plus aboutie et la plus déployée. Quelle est la problématique liée aux applications installées sur le poste de travail d’un utilisateur ? Ces applications dites « lourdes » sont pour la plupart consommatrices de charge processeur et réseau, et d’accès disque. Les temps de traitement d’une application utilisée localement sur le poste de travail sont directement liés à la connectique de la machine, qui se trouve généralement sur un site différent de celui du Datacenter, mais aussi à la puissance de la machine cliente en elle-même. L’administration de l’ensemble du parc applicatif (installation, patch, versionning) devient problématique du fait de la multiplication des points de distribution. Pour remédier à ce problème, la virtualisation d’application confère aux applications une indépendance vis-à-vis du poste de travail. Ainsi, l’application qui était déployée sur les postes clients est désormais installée directement sur un serveur de type Citrix Presentation Server ou Terminal Server de Microsoft. Ce serveur prend en charge le déport d’affichage des différentes applications vers de simples postes banalisés. L’utilisateur quant à lui gardera son environnement (montage des disques locaux et réseaux, imprimantes et profils applicatifs). La centralisation d’application sur des serveurs de présentation apporte : • rapidité de déploiement du fait du nombre réduit de serveurs, • performance au niveau des temps de traitement, • disponibilité depuis n’importe quel site, • réduction des coûts de gestion, • sécurité centralisée. Fermer la porte aux nouvelles possibilités d’intrusions Cette forme de virtualisation d’application semble résoudre une grande partie des problématiques actuelles. Néanmoins, l’exécution d’une application depuis un serveur Citrix pose le problème d’une politique de sécurité satisfaisante. Pour se rendre compte du nombre de failles qui représentent autant de points d ’entrée vers un système d’information via le protocole ICA, il suffit de taper sur Google « ext:ica ». Le nombre de réponses obtenues est édifiant et met en exergue l’envergure du problème. Le cloisonnement physique et logique deviennent indispensables pour limiter au maximum toute tentative d’intrusion. Une première étanchéité avec le cloisonnement physique De façon traditionnelle, le cloisonnement physique est mis en œuvre dans les entreprises qui permettent un accès depuis l’extérieur à certaines de leurs ressources, le plus souvent un serveur Web ou FTP. Le cloisonnement est assuré par les firewalls filtrent le trafic réseau et ne laissent passer que les paquets utilisant des protocoles réseau autorisés. Le niveau de cloisonnement dépend alors du type d’accès aux ressources. Celui-ci doit assurer une étanchéité complète des ressources internes de l’entreprise visà-vis de celles mises à la disposition de l’extérieur. Comme l’illustre le schéma, l’accès du serveur Citrix à des ressources de l’entreprise (serveurs d’application, de base de don- IT-expert n°72 - mars/avril 2008 43 nées…) nécessite l’isolement par un firewall du serveur de présentation (Web Interface Secure Gateway) accessible depuis l’extérieur. Les mécanismes qui permettent la mise en œuvre du cloisonnement logique des applications ne sont pas spécifiques à Citrix ou Microsoft Virtual Server. Ils sont intégrés aux systèmes d’exploitation Microsoft mis en œuvre sur ces serveurs. Citrix étant une sur couche de Terminal Services, il faut opter pour l’option « Full Security » lors de l’installation de Terminal Services, afin d’empêcher les utilisateurs de modifier les fichiers et registres systèmes du serveur. Des applications isolées grâce au cloisonnement logique Moins connu, car fortement lié au concept de virtualisation d’applications, le cloisonnement logique vise à isoler entre elles les diverses applications hébergées par le serveur d’applications. Ces dernières pouvant être de natures différentes (CRM, comptabilité, développement…) ne doivent pas être accessibles à tous les membres de l’entreprise. Le filtrage sera effectué au niveau de la couche utilisateur en gérant son appartenance à un groupe ou un domaine. Ainsi, l’utilisateur habilité à ces applications ne doit en aucun cas sortir de sa zone applicative. 44 IT-expert n°72 - mars/avril 2008 Les stratégies de groupes sont très utiles pour une gestion centralisée des serveurs Citrix. Et l’une des stratégies les plus utilisées est baptisée « User Group Policy loopback processing mode ». Sa spécificité : elle ne prend effet que lorsque le profil de l’utilisateur est chargé sur le serveur Citrix. Donc, les stratégies activées côté utilisateur seront prises en compte lorsque l’utilisateur lancera sa session ICA ou RDP. Ce mode de fonctionnement est un atout pour une bonne gestion de la sécurité des serveurs Citrix. Ci-dessous un exemple classique de stratégie de groupe : • masquer les disques du serveur, • interdire le listing du contenu des disques du serveur, • interdire la connexion des lecteurs disques du poste client, • interdire les scripts batch, • désactiver les aides des applications, • interdire l’accès aux composants du panneau de configuration, • interdire l’accès aux périphériques du serveur, •… Les macros Les logiciels bureautiques sont devenus indispensables dans l’environnement des utilisateurs. La suite Office en est un exemple, et les macros sous Excel ou Word offrent une panoplie d’outils permettant de lancer facilement des commandes systèmes, des requêtes vers des bases de données via des scripts VBA. Des modèles d’administrations sont fournis par Microsoft pour la gestion de la sécurité des Macros sous Office. Il est important d’appréhender la portée des actions pouvant être effectuées via ces macros afin d’appliquer des règles de sécurité adaptées. Ainsi l’exécution d’une commande via une macro se fait par le biais de la librairie système « scrrun.dll ». L’attribution de restrictions des droits NTFS sur cette librairie permet d’en limiter voire empêcher l’usage. Applications fourbes Pour un meilleur filtrage des utilisateurs, le recours aux droits NTFS est fortement recommandé, voire incontournable. Par exemple, si l’on examine les droits par défaut d’un dossier sous Windows Server 2003, le groupe « Users » de la machine locale est autorisé à lire et à exécuter n’importe quel programme dans quasiment tous les lecteurs présents de la machine. Dans ce cas, il faut absolument ré-attribuer les droits en spécifiant pour chaque dossier de l’application le groupe de l’application concernée. L’utilisation d’un script de type KIX, VBS et l’utilisation d’une commande à distance comme « psexec » permettent d’automatiser la tâche. Centralisation, standardisation sont les maitres mots pour une gestion d’une sécurité homogène au sein du parc informatique. La virtualisation d’applications représente pour nombre d’entreprises un atout non négligeable que peu d’entre elles sont prêtes à remettre en question. La grande souplesse qu’elle apporte ne doit pas masquer les nombreux problèmes de sécurité qui accompagnent la mise en œuvre de tels systèmes. Et si la sécurité vis-à-vis de l’extérieur (intrusion) reste un aspect appréhendé à sa juste mesure par les RSI, les risques nouveaux, comme le manque de cloisonnement des applications, sont directement liés au concept de virtualisation et plus rarement anticipés.I Certains applications pour le moins anodines peuvent devenir des collecteurs d’informations voir des backdoors dans votre système d’information. Citrix étant basé sur Windows, sa sécurité est liée à celle du système d’exploitation et donc aux différentes stratégies de groupe ou de droits NTFS qui y sont appliquées. On trouve des applications métiers qui fournissent leurs propres outils de diagnostic assez vastes (Explorateur, Telnet, ping, voir scanner). Depuis l’arrivée de Windows Server 2003, le module « Appsec » présent dans Windows Server 2000 a été implémenté directement dans les stratégies de groupes dans Windows Server 2003 sous le nom de « SRP : Software Restriction Policy ». Cet outil permet d’autoriser ou non l’exécution d’une application. La configuration par défaut étant pour un utilisateur connecté sur le serveur Citrix : lecture/exécution. Alors, un utilisateur peut exécuter un programme autre que celui auquel il a été habilité. C’est justement cette possibilité de bascule depuis une application autorisée vers une autre application non autorisée qu’il faut restreindre au maximum. Dans cet exemple, le programme « Open Office » est autorisé. En revanche, l’exécution de programme dite « système » est prohibée, comme les commandes : FTP, command.com, etc. Guillaume LEANG Ingénieur système chez ITS GROUP À propos d’ITS Group ITS Group propose une offre de services à forte valeur ajoutée dont l'objectif est de garantir aux utilisateurs de plates-formes distribuées et mobiles un haut niveau de disponibilité, de sécurité et d'accessibilité aux informations. En appui sur une expertise reconnue en industrialisation des infrastructures qui représente plus de 70 % de son activité, ITS Group a étendu son savoir-faire pour accompagner les entreprises à maîtriser et à moderniser leur système d’information dans un cadre d’environnements complexes. L'intégration de sociétés a permis à ITS Group de renforcer son expertise autour des infrastructures tout en apportant de nouveaux pôles de compétences complémentaires. IT-expert n°72 - mars/avril 2008 45