La virtualisation PAGE 8 - IT

Commentaires

Transcription

La virtualisation PAGE 8 - IT
LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE
La virtualisation
Bimestriel - mars/avril 2008 - 16e
Vers une professionnalisation
des tests au service
de la rentabilité de l’entreprise
PAGE 16
n°72
Sécuriser
les environnements
applicatifs sous Citrix
PAGE 42
SOA et la déverticalisation
de l’industrie du logiciel
PAGE 8
PAGE 29
Cartographie des SI :
Observez le présent et vivez l’avenir
PAGE 35
ZOOM OUTSOURCING
L’AVIS DES DIRECTIONS INFORMATIQUES
Ministère des Finances
Direction Générale des Impôts
Nadine Chauvière
Sous-Directrice des SI de la DGI
« Les solutions d’Application Intelligence
CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de
tableaux de bord composés d’indicateurs
techniques objectifs afin de faciliter le dialogue
avec les équipes et avec nos maîtrises d’ouvrage. »
Groupe SFR Cegetel
Eric Eteve
Directeur Informatique
Centre Ingénierie Mobilité
« La solution CAST de gestion de la soustraitance est un élément clé dans le système
de pilotage mis en place par SFR-Cegetel
sur ses TMA. Nous avons constaté une
attention plus particulière apportée par les
SSII à la qualité des livrables et à la fiabilité
des chiffrages depuis qu’ils savent que nous
pouvons facilement les auditer »
Framatome - Groupe AREVA
Michel Fondeviole
DSI de Framatome-ANP
« CAST fournit des critères objectifs d’appréciation dans le dialogue parfois difficile avec
le sous-traitant ainsi que des indicateurs
nécessaires au suivi de l’évolution des applications et constitue au sein de Framatome
un outil de progrès partagé. »
EN SAVOIR PLUS
Demandez le Livre Blanc rédigé par le
Gartner Group et CAST sur ce thème :
« Information Series on Application
Management » :
www.castsoftware.com/outsourcing
Découvrez l’expérience de plusieurs
sociétés utilisatrices de solutions
d’Application Intelligence :
www.castsoftware.com/customers
www.castsoftware.com
La maîtrise des applications
et des prestataires dans
une opération d’outsourcing
De la valeur ajoutée de l’Application
Intelligence pour piloter efficacement
un parc applicatif sous-traité
Dans l’externalisation des applications métier,
c’est surtout la volonté d’accroître l’efficacité
opérationnelle de l’informatique qui est motrice :
pouvoir fournir plus rapidement un service à
valeur ajoutée aux utilisateurs et aux clients dans
un contexte en perpétuelle évolution.
C’est là que le bât blesse : l’externalisation des
applications métier occasionne un risque de
perte rapide de savoir-faire technologique et
par conséquent critique. Vigilance et suivi sont
de mise pour garder le contrôle de la qualité
de service et éviter les dépendances par nature
dangereuses.
L’externalisation réussie d’applications métier
est donc le fruit d’une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues
des solutions dites d’Application Intelligence,
basées sur une technologie avancée d’analyse
de code source.
Publi-Reportage
La valeur ajoutée de ce type de solutions d’Application Intelligence est visible à chaque étape
d’une opération d’outsourcing, comme décrit
ci-après.
trat
con
de
Fin
Appe
ls d
'off
res
Cycle de vie
d'une opération
d'Outsourcing
Co
ntr
ôle
des
coûts
i de
Suiv
connaissance
s
sfert de
Tran
Comme dans n’importe quelle opération d’outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les
applications métier étant par nature soumises à
de fréquents changements en cours de contrat,
les seuls SLAs se révèlent vite insuffisants pour
garantir la qualité de service et éviter les dérives
de coûts.
En fournissant des indicateurs techniques aux
donneurs d’ordre, ces solutions permettent de
piloter un parc applicatif sous-traité en temps
réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d’ordre
conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec
son sous-traitant.
technique
Recette
L
es entreprises, devenues plus mûres
vis-à-vis de l’outsourcing, sont désormais capables d’opérer des externalisations plus stratégiques. On l’a récemment
observé dans l’automobile avec Renault ou dans
la grande distribution avec Carrefour.
jet
pro
Audit de l’existant et préparation des appels
d’offres
• Déterminer les caractéristiques techniques
du portefeuille applicatif existant avant de le
sous-traiter
• Disposer d’informations de référence pour
évaluer les propositions des sous-traitants
• Obtenir une image à l’instant t des applications pour permettre un suivi dans le temps
Transfert vers le prestataire
• Réduire la phase d’acquisition de la
connaissance pour entreprendre plus vite
des tâches productives
• Diminuer le coût lié à la production d’une
documentation exploitable et maintenable
par le prestataire
Contrôle de la qualité et des coûts en cours de
projet
• Suivre l’évolution de la maintenabilité et de
la qualité pour éviter toute dérive
• Etre capable de valider la quantité et la qualité
du travail facturé
• Etre en mesure de challenger le sous-traitant lors des négociations d’avenants
• Industrialiser les recettes techniques
Renouvellement de contrat, transfert ou ré-internalisation
• Déterminer et qualifier les écarts entre la
prestation prévue et les livrables recettés
• Disposer des informations techniques
caractéristiques du portefeuille applicatif en
fin de prestation
Le leader mondial de ce type de solutions est
d’ailleurs un éditeur français, CAST. Reconnu
par les analystes informatiques comme précurseur du marché, CAST compte plus 500
comptes utilisateurs de sa plate-forme d’Application Intelligence dans le monde.
Edito
édito
Vers un monde informatique virtuel ?
Dans ce numéro, nous avons décidé d’aborder
la virtualisation. Certes, il semblerait - une fois
encore ? - que la presse fasse plus de bruit que
le tiroir-caisse des éditeurs concernés.
Toutefois, des entreprises commencent déjà à
témoigner de projets de virtualisation générant un retour en investissement si rapide qu’il fait blêmir certains vendeurs matériels…
Et pourtant, elle tourne !
Réduction des coûts et des surfaces, sous-utilisation des ressources
matérielles du parc informatique, explosion des volumes de données…
Bref, un terrain très fécond pour les technologies de virtualisation
aujourd’hui rôdées, efficaces pour les datacenters, et à portée de
bourse pour les PME/PMI. Certains objecteront que les serveurs-blade
apportent une partie de la réponse. Néanmoins, la limite est vite
atteinte, et les constructeurs coopèrent fortement avec les éditeurs
d’outils de virtualisation, quand ils ne les rachètent pas ! Des démarches qui confirment cette orientation inévitable.
Et si le frein majeur des décideurs informatiques était surtout psychologique ? De même que les responsables financiers à une époque, ou des
ressources humaines à une autre, tenaient fortement à préserver leurs
écritures sur du papier, certains DSI seraient-ils effrayés par la virtualisation ? Seraient-ils finalement satisfaits de la règle « une application = un
serveur » ? Pourtant, la virtualisation n’empêche nullement -bien au
contraire- le stockage physique. Mieux encore, ces technologies permettent de déployer des infrastructures à très haute disponibilité (et même
réplication en temps réel) à des coûts jusqu’alors inégalés.
Éditeurs : peut mieux faire…
Deux arguments devraient pourtant atteindre les éditeurs. En premier
lieu, l’incompatibilité entre les diverses solutions ne simplifie pas les
échanges et la coopération étroite entre serveurs virtuels, et même
physiques. Aujourd’hui, les éditeurs publient de plus en plus leurs formats, et la collaboration devrait s’accentuer puisque des acteurs
comme Citrix, Microsoft et même Sun sont devenus « amis »…
Seconde pierre dans leur jardin, l’administration et la supervision en
temps réel des serveurs physiques et virtuels ne sont encore totalement possibles. Mais les choses seraient en cours de négociation entre
éditeurs. À suivre.
Pour les DSI et responsables d’architecture, la virtualisation offre de si
nombreuses possibilités, qu’il serait totalement irresponsable de ne pas
s’essayer à ce type de technologies, que les plus importants hébergeurs d’applications critiques déploient déjà en masse. N’oublions pas
qu’elles incarnent depuis des décennies l’un des arguments majeurs
des mainframes qui assurent encore la plus grande part des transactions financières du globe.
Editeur
Press & Communication France
Une filiale du groupe CAST
3, rue Marcel Allégot
92190 Meudon - FRANCE
Tél. : 01 46 90 21 21
Fax. : 01 46 90 21 20
http ://www.it-expertise.com
Email : [email protected]
Rédacteur en chef
José Diz
Email : [email protected]
Directeur de publication
Aurélie Magniez
Email : [email protected]
Abonnements/Publicité
Email : [email protected]
Conception Graphique
C. Grande
Email : [email protected]
Parution
IT-expert - (ISSN 1270-4881) est un journal édité 6 fois par an, par P & C France,
sarl de presse au capital de 60 976,61 e.
Avertissement
Tous droits réservés. Toute reproduction
intégrale ou partielle des pages publiées
dans la présente publication sans l’autorisation écrite de l’éditeur est interdite, sauf
dans les cas prévus par les articles 40
et 41 de la loi du 11 mars 1957. © 1996
P&C France. Toutes les marques citées
sont des marques déposées.
Les vues et opinions présentées dans
cette publication sont exprimées par les
auteurs à titre personnel et sont sous leur
entière et unique responsabilité. Toute
opinion, conseil, autre renseignement ou
contenu exprimés n’engagent pas la responsabilité de Press & Communication.
Abonnement
01 46 90 21 21
Prix pour 6 numéros téléchargeables sur
le site www.it-expertise.com : 70 € TTC
(TVA : 19,6%)
Un bulletin d’abonnement se trouve
en pages 33/34 de ce numéro.
Vous pouvez vous abonner sur
http://www.it-expertise.com/
Abonnements/Default.aspx
ou nous écrire à
[email protected]
José Diz
Rédacteur en Chef
IT-expert n°72 - mars/avril 2008
5
IT-expert n°72 - mars/avril 2008
Sommaire
8
Dossier
La virtualisation
Clients légers, fermes de serveurs, stockage, serveurs et systèmes d’exploitation, la virtualisation
explose dans de multiples secteurs informatiques. Ce dossier montre les avantages et les bénéfices
de ces technologies, issues des grands systèmes. L’auteur souligne également le problème toujours
posé de l’administration des ressources virtuelles.
16
Technique
Vers une professionnalisation des tests au service de la rentabilité de l’entreprise
Comment et pourquoi les tests deviennent-ils incontournables dans l’alignement stratégique et la
réduction des coûts ? Outre les éléments de réponse à ces questions, l’article explique l’industrialisation du processus, détaille les principales familles de tests, et les normes les plus usitées.
24
Actualités Internationales
Les informations marquantes d’éditeurs, de marchés, d’organisme de standardisation, de débats en cours et de tendances.
29
Quoi de Neuf Docteur ?
SOA et la déverticalisation de l’industrie du logiciel
Un regard intéressant sur une orientation du marché informatique : l’émergence « d’éditeurs-constructeurs » et de « développeurs-équipementiers ». En reprenant l’exemple de l’automobile, l’auteur explique pourquoi ce mouvement irréversible est essentiel pour les choix des DSI.
35
Comment ça marche ?
Cartographie des SI : Observez le présent et vivez l’avenir
La complexification de l’informatique d’entreprise amène les DSI ou urbanistes à utiliser des solutions
de cartographie des systèmes d’information. L’auteur explique comment est organisé ce marché dynamique, et quelles seront les nouveautés des outils de seconde et troisième génération.
39
Livres
Virtualization for Dummies par Bernard Golden, Visibilité sur le web par Shari Thurow
40
Fenêtre sur cour
Interview de Philippe Ottin,
responsable système et réseaux de la société Weishardt
« Bien que ne disposant d’aucun informaticien sur nos sites distants, nous avons besoin d’une disponibilité maximale des applications du SI et d’une grande réactivité en cas de problème. »
Philippe Ottin rapporte comment la virtualisation a permis à Weishardt d’obtenir une architecture IT fiable et disponible, avec un excellent taux de disponibilité du SI. La satisfaction des utilisateurs est au
rendez-vous, et peut se mesurer par des indicateurs précis entrant dans la politique d’Assurance Qualité du groupe.
42
Rubrique à brac
Sécuriser les environnements applicatifs sous Citrix
La virtualisation accélère le déploiement de la solution phare de Citrix. L’auteur explique pourquoi de
nouvelles failles sont à considérer, et explique comment les cloisonnements physique et logique peuvent apporter des réponses efficaces.
IT-expert n°72 - mars/avril 2008
7
Dossier & Interviews
LA VIRTUALISATION
La virtualisation existe depuis longtemps sur les grands systèmes IBM et consorts. À l’époque, il est vrai,
les systèmes propriétaires et le matériel propriétaire régnaient en maître sur des budgets considérables, liés
aux coûts des Mainframes. Cet aspect « propriétaire » facilitait néanmoins l’interaction entre le matériel et
les systèmes d’exploitation, et facilitait la démarche de virtualisation, également appelée partitionnement.
Ce concept de virtualisation a été remis au goût du jour il y a quelques années par VMWare notamment, dans
le monde des architectures matérielles de type X86 (Intel, AMD…). Alors, la règle était « un serveur par application », ce qui entrainait une inflation galopante du nombre de serveurs dans la salle informatique, avec
tous ces corollaires : occupation de la salle machine, consommation électrique, charge de climatisation,
charge d’exploitation, volume de sauvegarde. Au début des années 2000, les machines n’atteignaient pas
le niveau de puissance actuel, et les coûts de la mémoire restaient prohibitifs. En outre, les capacités des
machines étaient plus limitées en terme de taille mémoire, d’espace disque et de performances des processeurs. VMWare était alors une startup, et ses produits surtout utilisés par les formateurs pour optimiser le
temps de création des postes dans les salles de formation. Le succès n’arrivera que plus tard, avec la fulgurance que l’on sait…
La virtualisation s’est aujourd’hui aventurée au-delà des frontières du seul système d’exploitation pour
s’immiscer dans de multiples parties du système d’information.
Il existe plusieurs types de virtualisation :
• virtualisation des machines, qui virtualise le système d’exploitation ;
• virtualisation d’application, aussi connue sous le nom de « streaming » ou encapsulation ;
• virtualisation par déport d’affichage proposé par les solutions de client léger ;
• virtualisation réseau ;
• virtualisation stockage
• ...
8
IT-expert n°72 - mars/avril 2008
Le client léger et ses fermes de serveur
La virtualisation proposée par les solutions de type client léger
permet d’utiliser une application sans en disposer sur son poste
de travail, ou sans disposer d’un réel poste de travail, mais seulement d’un terminal.
ment une gestion physique simplifiée des postes utilisateurs
déportés, le déploiement des applications uniquement sur les fermes de serveurs, l’accès rapide à une nouvelle application, ou
encore la continuité d’activité en cas de panne ou d’incident d’un
serveur.
Les prérequis restent aussi contraignants qu’avec des postes
sous forme de PC, mais s’amenuisent au fil du temps. Et il faut
être en mode connecté pour accéder aux services et disposer
d’une application qui supporte le mode multi-utilisateur.
Un inconvénient majeur demeure, malgré ce transfert des applications du poste client vers la ferme de serveur. En effet, l’application est bel et bien installée physiquement sur le serveur ; et les
incompatibilités en tout genre s’y manifestent joyeusement,
depuis l’incompatibilité des librairies de fonctions (DLL) jusqu’à
l’incapacité d’une même application à être publiée en plusieurs
langues sur le même serveur. Jusqu’à présent, il n’existait qu’une
seule parade réellement efficace à ces problèmes : multiplier le
nombre de serveurs de publication avec le risque de revenir à la
situation de départ « une application = un serveur ».
En ceci le fonctionnement est virtuel du côté poste de travail qui se
comporte comme si l’application et les actions de l’utilisateur
étaient traitées en local sur le terminal. De plus, il est possible
d’exécuter deux applications strictement incompatibles entre elles
sur ce même poste. Cela présente plusieurs avantages, notam-
Les applications dans leur bulle
Également appelée streaming ou encapsulation, la virtualisation
des applications permet à un logiciel de s’exécuter dans une
« bulle » sans impact sur le poste sur lequel elle s’exécute. Ce
IT-expert n°72 - mars/avril 2008
9
poste pouvant être un simple PC ou une ferme de serveurs de
publication type Citrix ou Terminal Server (TSE).
La démarche d’utilisation est la suivante : chaque application doit
être encapsulée (packagée) au préalable par un administrateur,
puis déposée sur un serveur de référence sur lequel le client d’encapsulation viendra la chercher à la demande. Cette plateforme
gère généralement aussi les licences disponibles et assure le
suivi du nombre d’instances applicatives exécutées simultanément sur le réseau. Bien utile au moment d’établir ses besoins en
nouvelles licences ou en période de renouvellement !
Cette solution présente de nombreux atouts :
• Cohabitation d’applications incompatibles entre elles.
• Déploiement facilité, car les « bulles » applicatives sont
hébergées sur des serveurs, et le client d’encapsulation
installé sur chaque poste vérifie à chaque démarrage de
l’application le niveau de version dont il dispose. En cas de
retard de version, la nouvelle est immédiatement téléchargée et exécutée sur le poste client.
• Gestion de la charge réseau. Et, ici le mot « streaming » prend tout son sens, car de la même façon qu’un
film téléchargé à partir d’Internet peut être visionné dès
qu’un faible pourcentage du fichier est arrivé sur le
poste, l’application peut se lancer dès qu’une partie du
code est téléchargée, le reste du code arrivant ensuite
au fil de l’eau.
Les nombreux avantages de cette solution n’empêchent pas un
inconvénient majeur : si les « bulles » isolent les applications, les
communications entre les applications s’en trouvent affectées
(cas d’une application métier qui envoie un mail par exemple…).
Les avantages sont nombreux et les grands éditeurs ne s’y trompent pas, car les rachats se multiplient. Microsoft a racheté Softricity, VMWare a repris Thinstall, Citrix a acquis Ardence et
développé son propre outil d’encapsulation pour Presentation
Server 4.5. Si les différences techniques vont s’estomper peu à
peu, le mode de licences va évoluer et, dans un premier temps,
différencier les acteurs.
Chez Microsoft, cette solution n’est disponible qu’au travers du
software assurance du système d’exploitation Vista, ce qui malheureusement risque d’en atténuer le déploiement. En effet,
peu de sociétés acceptent ce surcoût lié au mode de licence
avec mise à jour intégrée de Microsoft. Il faut de plus acquérir le
Microsoft Desktop Optimization Package (MDOP) pour chaque
utilisateur.
Chez Citrix cet outil est lié à Presentation Server 4.5 Entreprise au
minimum, ce qui nécessite un fonctionnement en mode publication d’application. Là aussi, l’investissement financier et technique
risque d’en effrayer plus d’un.
Reste à savoir ce que fera VMWare du rachat de Thinstall. Il est
encore trop tôt pour le dire. Toutefois, Thinstall commercialisait
jusque-là son offre sous la forme d’un packager pour encapsuler
les applications puis d’une licence par client utilisateur.
Virtualisation du système
• Gestion d’un cache disque local sur le poste : l’administrateur peut dédier une partie du disque dur du
PC au stockage des lots applicatifs encapsulés pour
accélérer les prochains démarrages et permettre cerise sur le gâteau- le fonctionnement de l’application en mode déconnecté. La gestion du cache est
suffisamment fine pour que l’administrateur puisse
définir si une application « stratégique » peut ou non
être éjectée du cache en fonction des besoins selon la
règle « first in, first out ».
10
IT-expert n°72 - mars/avril 2008
Les acteurs majeurs de l’informatique consacrent actuellement
beaucoup d’énergie à la virtualisation du système d’exploitation.
Cette démarche intègre dans la machine virtuelle l’ensemble des
éléments constituant un ordinateur (entrées-sorties –bios-, pilotes
matériels, système d’exploitation, applications).
L’architecture supportant ces machines virtuelles se décompose en
trois typologies de solutions : l’émulation, la traduction binaire directe
et la paravirtualisation. Quelle que soit l’architecture, l‘objectif commun consiste à transférer les appels systèmes de la machine vir-
tuelle vers la machine hôte pour que ces appels soient exécutés et
que le résultat soit remonté à la machine virtuelle.
La couche d’interprétation ajoutée impactera forcément les performances perçues. Le rôle des concepteurs de ces architectures
est donc de minimiser cet impact et d’apporter de nombreux avantages dans tous les autres domaines.
L’émulation est le système permettant le plus de souplesse puisque
les machines virtuelles sont complètement émulées sur les machines
hôtes. C’est-à-dire que chaque appel système de la machine virtuelle
est capturé, puis interprété par la machine hôte. C’est l’architecture
choisie par VMWare pour construire sa solution.
L’inconvénient sur les performances est qu’il ne devrait pas être
nécessaire de capturé-interprété chaque instruction. En effet, un
certain nombre d’instructions devrait pouvoir être exécuté directement sans passer par la phase interprétation. L’idée est prometteuse pour les performances, mais nécessite quelques
aménagements sur l’architecture des processeurs.
La traduction binaire directe consiste à trier les instructions provenant du système virtuel pour n’interpréter que celles qui pourraient rendre instable le système virtuel.
La para-virtualisation privilégie la modification du système d’exploitation virtuel pour que celui-ci utilise au minimum des instructions devant être traduites par le système hôte. Cette approche
limite considérablement la souplesse de la solution puisqu’il est
nécessaire d’avoir des versions spécifiques des systèmes d’exploitation à virtualiser.
conteste en arguant que la différence n’est pas si sensible.
La jeunesse de ces architectures et les performances déjà obtenues permettent de leur prédire un avenir profitable pour aborder
de manière plus mature l’approche de la virtualisation.
Mémoire et pilotes : peut mieux faire
La virtualisation de la mémoire et des entrées/sorties est bien
avancée, mais n’est pas encore en production chez ces constructeurs. Pour la mémoire, le but est d’intégrer au niveau de la
machine hôte pour chaque machine virtuelle une table de correspondance de la mémoire (entre l’adressage du système d’exploitation virtuelle et l’adressage du système d’exploitation hôte).
Cette opération permettrait d’adresser directement la mémoire
sans faire intervenir l’hyperviseur.
Pour les périphériques, plutôt que d’utiliser le pilote de périphérique générique pour toutes les machines virtuelles quelque
soit le matériel réellement présent, il semble intéressant de
pouvoir monter directement le pilote du véritable périphérique
dans la machine virtuelle et ainsi améliorer les performances et
la simplicité du système.
Les évolutions des deux principaux constructeurs semblent fondamentales pour faire évoluer la virtualisation. Il se posera alors
un problème : lequel choisir ? En fonction du choix, il faudra vérifier l’adhérence au constructeur de processeur pour pouvoir choisir ses évolutions.
Les fondeurs de puces adaptent leurs technologies
Le problème principal de la virtualisation provient du fait que le jeu
d’instruction des architectures de nos ordinateurs (x86) n’est pas
conçu pour supporter cette virtualisation à la base. En effet, les instructions doivent être toutes capturées et interprétées. Outre la problématique du jeu d’instruction, les appels mémoire sur l’ensemble
du spectre d’un ordinateur virtuel doivent aussi être interprétés pour
pointer sur la bonne adresse physique de l’ordinateur hôte. Enfin,
les périphériques physiques générant des appels mémoire et des
interruptions doivent aussi être pilotés par l’hyperviseur. L’ensemble
de ces interprétations impacte non seulement la complexité des
outils de virtualisation et donc leur fiabilité, mais aussi la performance globale de ces systèmes (même si l’augmentation de performance des machines hôtes peut cacher ce point).
L’approche des constructeurs de processeurs (INTEL et AMD
principalement) consiste à proposer un complément dans le jeu
d’instruction initial des architectures x86 pour tenir compte des
nouveaux enjeux de la virtualisation.
Avec Intel-VT et AMD-V (ex-Pacifica), les deux constructeurs proposent d’ajouter une structure de contrôle et de nouvelles instructions. Cet ensemble permet de basculer la machine virtuelle du
mode virtuel au mode hôte pour exécuter les instructions sensibles.
Intel et AMD prétendent ainsi augmenter considérablement la
vitesse de fonctionnement des hyperviseurs, ce que VMWare
Des avantages et atouts déjà reconnus
L’approche à long terme semble très prometteuse, alors que les
avantages sur les architectures actuelles sont déjà connus et
reconnus :
• Meilleure utilisation des serveurs. Sans virtualisation, la
charge CPU moyenne est de 10 % environ, alors autant
l’employer à faire plus ;
• Reconstruction rapide d’une nouvelle machine, par copie
d’une machine existante ;
• Capacité à faire tourner des systèmes d’exploitation obsolètes sur du matériel récent. Microsoft supporte ainsi
encore Windows NT4 dans des machines virtuelles ;
• Cohabitation de plusieurs serveurs sur une seule machine
physique ;
IT-expert n°72 - mars/avril 2008
11
• Augmentation simple et dynamique des ressources
(mémoire, ressources processeurs) d’une machine en cas
de besoin ;
• En cas d’application d’un correctif, il est très simple de
faire une copie (snapshot) de la machine virtuelle, d’appliquer le correctif, puis si le correctif pose problème, de
revenir à la version originale ;
• Idem avec une évolution applicative.
À ces bénéfices, il convient d’ajouter la facilité de transfert d’une
machine virtuelle d’un système physique à un autre, sans
contrainte matérielle identique puisque chaque machine virtuelle
embarque son propre « hardware ». Ainsi, les contraintes de
maintenance et de reprise sur incident (PRA et PRI) sont fortement simplifiées.
On le voit les avantages sont nombreux.
Le revers de la médaille
Un certain nombre de voix s’élèvent pour mettre en garde les responsables de Systèmes d’information sur les travers de la virtualisation dans certains domaines.
I La sécurité
Que se passe-t-il si la machine hôte est corrompue, ou si un
hacker peut en prendre le contrôle ? Il peut alors verrouiller l’accès
aux machines virtuelles ou en détourner les données !
La gestion des sauvegardes se complexifie elle aussi, car les
schémas traditionnels sont difficiles à appliquer : l’utilisation
d’un agent par machine virtuelle peut se révéler onéreuse et
pénalisante pour les performances. Les snapshots de machines complètes (VCB de VMWare par exemple) sont certes
rapides, mais peu souples et peu granulaires dans le cadre de
la restauration.
Deux pistes se développent actuellement : le snapshot interne à
la machine virtuelle, qui permet une granularité de restauration
intéressante, et la sauvegarde continue avec une éventuelle
déduplication des données sauvegardées. L’avenir semble être à
mi-chemin de ces solutions selon la disponibilité demandée par
les critères métiers.
I La disponibilité
Si ma machine hôte a une faiblesse, c’est l’ensemble des machines virtuelles qui souffrent ou s’écroulent.
Pour pouvoir profiter du déplacement à chaud des machines virtuelles (Vmotion chez VMWare par exemple) il est indispensable
de mettre en place un espace SAN. Et si le SAN trébuche, ce
sont toutes les machines virtuelles qui tombent.
I L’administration
La simplicité de création de nouvelles machines virtuelles incite
parfois les administrateurs à multiplier l’exercice ! Et on assiste
encore au retour du concept « une application = un serveur » !
Attention au coût des licences, car si une machine virtuelle n’a pas
d’existence physique, elle existe logiquement et réclame donc
une licence et pour le système d’exploitation et pour les applications pour services déployés.
D’autre part, les outils de déplacement à chaud de machines virtuelles brouillent parfois les cartes : où se trouve mon serveur de
production ? Hier soir il était sur le serveur A, ce matin je le
retrouve sur le serveur C, par la grâce du déplacement à chaud…
On le voit la plupart de ces limitations sont contournables grâce à
du bon sens et un peu d’organisation.
La disponibilité, qualité tant vantée de la virtualisation, peut se
retourner contre elle. Pourtant si l’on prend soin d’estimer sérieusement son besoin de disponibilité selon des critères métiers
(Quelles applications sont indispensables à l’entreprise ? Quels
délais de reprise sont tolérables ? Quelle perte de données est
acceptable sans entraîner de ressaisie fastidieuse ?) plusieurs
solutions s’offrent à l’administrateur :
• Sauvegarde à intervalles réguliers des machines virtuelles
ou de leur contenu (si le délai de reprise se compte en
heures…),
• Sauvegarde continue des données,
• Duplication permanente des machines virtuelles sur deux
serveurs hôtes différents bénéficiant chacun de leur
stockage,
• Mise en place de deux SAN redondants avec duplication
en temps réel des volumes.
Concernant le stockage, l’idée maîtresse impliquait jusqu’à présent la mise en place d’un SAN, gage de « sérieux » et… de gros
budgets pour les intégrateurs. Si le SAN est indiscutablement
une bonne solution pour des volumes importants (plusieurs
Téraoctets) nécessitant des entrées-sorties élevées, elle n’est
pas toujours la panacée. Et le bon vieux DAS (Disk attached Storage) reprend du poil de la bête. Il permet en effet de bâtir des
solutions efficaces à moindre coût tout en permettant la réplication
sur une deuxième machine hôte des machines virtuelles, même
si la distance est importante. Dans le cas de machines hôtes sous
Windows, un produit comme Double Take peut rendre de grands
services, en permettant la recopie des fichiers de machines virtuelles sur un serveur de secours.
Un enjeu majeur :
L’administration des architectures virtuelles
La question de l’administration des architectures virtuelles est plus
complexe et encore jeune. Si les principes de la virtualisation sont
connus depuis longtemps, ils ne concernaient jusqu’alors que quelques machines hôtes par client. Or aujourd’hui, et plus encore
demain, le nombre de machines hôtes va exploser. Il suffit de suivre
les projets de PC virtuels qui fleurissent ici ou là pour imaginer un
parc de PC embarquant chacun plusieurs machines virtuelles ou
des fermes de serveurs faisant tourner de très nombreux PC virtuels.
Et là le rêve virtuel pourrait bien tourner au cauchemar !
12
IT-expert n°72 - mars/avril 2008
N’oublions pas que l’une des contraintes majeures de la virtualisation sera d’implémenter et maîtriser des environnements puissants, redondés et haut de gamme. La virtualisation supportera
mal l’économie. Il faut donc investir dans des serveurs puissants
et des SAN que l’on doublera et que l’on supervisera.
I Les outils d’administration
L’avenir de la virtualisation passera donc par son administration.
Les outils d’administration nécessaires au bon fonctionnement
de ces multiples machines virtuelles restent à inventer. Ils devront
répondre à plusieurs critères.
Sécuriser le fonctionnement de « l’édifice virtuel »
Il est nécessaire de :
• Faciliter l’application des correctifs sur les hôtes et les
clients,
• Contrôler les accès à l’hyperviseur pour éviter l’utilisation
des failles de sécurité,
• Alerter sur les accroissements importants de ressources
(disques, réseau, mémoire) sans lien avec les règles
métiers définies,
• Suivre au plus près les déplacements « à chaud » des
machines virtuelles et tracer tous les mouvements,
• Former les équipes techniques, car gérer une architecture virtuelle est plus complexe qu’une architecture traditionnelle,
• Améliorer l’organisation surtout sur le centre de service et la
gestion des changements lors de la mise en production. La
démarche ITIL est plutôt un bon atout dans cette approche.
Optimiser le fonctionnement de « l’édifice virtuel » en :
• Affectant les bonnes ressources aux bonnes machines
selon les règles métiers et l’échelle temporelle (la paye a
besoin de tel niveau de ressources en fin de mois et d’une
valeur plus faible le reste du temps par exemple),
• Gérant les ressources nécessaires au bon fonctionnement du système sous contrôle des règles métiers,
• Fournissant un relevé simple et clair du nombre de sessions virtuelles, de leur utilisation.
Virtualisation du réseau
La virtualisation du réseau, aussi connue sous l’acronyme VLAN,
consiste à créer sur un réseau physique plusieurs réseaux logiques
dont on contrôlera les liens et interactions par des routeurs. Cette
solution élégante permet de séparer différentes populations sur un
même LAN. Appliquée aux machines virtuelles elle permet de séparer logiquement différents serveurs virtuels sur un même hôte.
Virtualisation du stockage
La virtualisation du stockage gomme la relation entre le matériel
physique de stockage (les disques) et les volumes accessibles par
les serveurs (physiques ou virtuels). Cette démarche est très intéres-
sante, car elle coupe le lien entre le volume de stockage visible par
l’utilisateur et le stockage des données proprement dit. Elle libère
donc l’affectation des ressources et en simplifie grandement l’exploitation au quotidien. Un exemple parlant est la solution DFS (Distributed File System) de Microsoft, qui permet à l’administrateur de
déplacer les partages de fichiers d’un serveur à un autre sans modifier la connexion des utilisateurs. Mais cette démarche s’intègre
aussi au sein des SAN grâce aux solutions d’IBM, d’EMC, etc.
Et demain, une organisation plus efficace ?
La virtualisation est partout ! Elle permet fondamentalement de mieux
utiliser le matériel en le partageant sur plusieurs usages en fonction du
temps, des performances attendues, des pointes d’utilisation… Nous
sommes au début de la maturité de ce genre d’approche. Les évolutions des constructeurs de processeur promettent bien des avantages
futurs. Ces avantages ne doivent pas nous faire oublier nos fondamentaux sur la sécurité des systèmes et sur l’exploitabilité des solutions.
L’arrivée des systèmes virtuels dans notre système d’information
est aussi un accélérateur pour la mise en place d’organisations
basées sur ITIL. En effet les contraintes de ces systèmes, les
enjeux mis en oeuvre ne souffriront ni d’une solution technique
basée sur l’économie, ni d’une organisation du SI chaotique. I
Olivier Thomas
directeur de l'ingénierie
chez TIBCO
Serge Le Vaillant
Responsable
Avant Vente Privé-Public
chez TIBCO
À propos de TIBCO
Créateur de services, Tibco s’engage sur l’évolution et la disponibilité des systèmes
d’information.
Banques, assurances, retail, organismes publics, sociétés privées: pour chacun,
Tibco dispose des compétences pour apporter les services adaptés aux métiers, aux
usages et aux utilisateurs.
Basée sur un large spectre technologique, son offre de services est globale et positionne Tibco comme un acteur notable de l’infogérance modulaire.
Ses 1200 collaborateurs,son centre d’appel et d’assistance et ses 68 points techniques
en France garantissent la réactivité nécessaire pour assurer les SLA, 24H/24, 7J/7.
www.tibco.fr
IT-expert n°72 - mars/avril 2008
13
LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE
Pour compléter votre bibliothèque
de référence technique,
commandez vite les anciens numéros*
d’IT-expert à tarif préférentiel !
IT-expert n°60
Mars/Avril 2006
DOSSIER : La qualité des applications
développées en technologies objet
• L’industrialisation des développements au
secours des échecs projets
• Environnements de Développement Intégrés
• Urbanisme des Systèmes d’Information versus
Architecture d’Entreprise
* Dans la limite des stocks disponibles
• Contrôle d’accès au réseau
IT-expert n°62
IT-expert n°63
IT-expert n°64
IT-expert n°65
Juillet/Août 2006
Septembre/Octobre 2006
Novembre/Décembre 2006
Janvier/Février 2007
DOSSIER : Panorama sur les techniques
Agiles
• PHP5, une alternative à .NET et J2EE ?
• Eclipse : le Big Bang Callisto
• Test Driven Development
• Qui arrêtera Google ?
DOSSIER : La géolocalisation
• Géolocalisation, les techniques alternatives
DOSSIER : Capital Immateriel
• Windows Vista : le nouveau système
• Le positionnement par GPS
• Géolocalisation, tout n’est pas permis…
• Recyclage des e-déchets
• Les curseurs sous SQL Server
• Wimax
DOSSIER : Web 2.0 entreprise, quelles réalités ?
• ITIL et ISO20000
• Logiciel libre
• Les wikis : définitions fonctionnelles et techniques
• Une approche structurée de la certification du
IT-expert n°67
IT-expert n°68
IT-expert n°69
IT-expert n°70
Mai/juin 2007
Juillet/Août 2007
Septembre/Octobre 2007
Novembre/Décembre 2007
DOSSIER : SOA, l’état de l’art
DOSSIER : Le décisionnel
• Du décisionnel à la gestion de la performance
• La visualisation de l’information à des fins
d’aide à la décision
• Les grandes étapes d’une chaîne d’ETL
• ITIL : entre meilleures pratiques et référentiel
holistique
DOSSIER : Que peut-on offshorer dans
une DSI ?
DOSSIER : Management de la sécurité
• SOA : Architectures & outils
• Imprimez moins, maîtrisez vos coûts !
• Qualité interne de ses logiciels :
mythes et réalités
• L’univers étrange des unités d’œuvre
au GPS
d’exploitation de Microsoft
réseau : l’audit automatique du réseau et la validation
des changements des configurations
• La qualité intrinsèque des applications dans
les contrats de service
• Le « backsourcing » : lorsque l’externalisation
n’est pas utilisée avec précaution…
• Assurer le succès des projets avec la Tierce
Recette Applicative
• Etat de l’art de la convergence : lien entre
informatique et téléphonie
• Comment lutter efficacement contre les intrusions
informatiques
• Microsoft Office SharePoint Serveur 2007 :
les raisons-clés d’un succès
• Les multiples facettes du contrôle d’accès au
réseau d’entreprise
• Interview d’Alain Bouillé, RSSI au sein du Groupe
Caisse des Dépôts
• Sécurité de la téléphonie sur IP
Offre Spéciale
Je souhaite acheter les numéros suivants
Tarifs TTC (TVA : 5,5 %)
1 exemplaire : 8e
5 exemplaires : 35e
IT-expert n°61
Mai/Juin 2006
DOSSIER : Optimiser innovations et
transformations en gérant le portefeuille
de projets et d’applications
• Subversion : le grand départ ?
• L’accessibilité numérique
• Wi-Fi
Année 2006
N° 60
N° 61
N° 62
N° 63
N° 64
Année 2007
N°65
N°66
N°67
N°68
N°69
N°70
10 exemplaires : 60e
Autre quantité :
Année 2008
N°71
Pour commander les anciens numéros d’IT-expert, il vous suffit
de nous renvoyer ce document à l’adresse suivante :
IT-Expert
3, rue Marcel Allégot - 92190 Meudon - France
Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20
Adresse d’expédition & de facturation
IT-expert n°66
Mars/Avril 2007
DOSSIER : Sécurité : Les applications,
le talon d’Achille des entreprises
• RIA (Rich Internet Application) :
définitions et panorama des solutions
• Gestion des droits numériques en entreprise
avec RMS
• Un observatoire pour mesurer l’urba
• Les DRM : une introduction
Mme Mlle M.
Nom
Prénom
Société
Fonction
Adresse
CP
Ville
E-mail
Tél
Fax
IT-expert n°71
Chèque joint à l’ordre de Press & Communication France
Règlement à réception de facture
Janvier/Février 2008
DOSSIER : La gestion prévisionnelle des ressources humaines informatiques
•
•
•
•
Date :
Signature obligatoire :
Logiciel libre : état de l’art
Les mashups débarquent en entreprise
Comment le text-mining donne du sens
Liberté surveillée pour l’utilisation à des fins privées de l’informatique de l’entreprise
http://www.it-expertise.com/Abonnements/Unite.aspx
Technique
Vers une professionnalisation
des tests au service
de la rentabilité de l’entreprise
L’adéquation des Systèmes d’Information aux métiers des entreprises suppose
l’alignement des processus IT (Information Technology) pour assurer le respect
des délais de mise sur le marché (Time To Market) permettant le développement
du chiffre d’affaires, le maintien de l’avantage concurrentiel, et la satisfaction des
Maîtrise d’Ouvrage. Cela signifie également le bon fonctionnement en production des applications mises à disposition des utilisateurs, ainsi que la réduction
des coûts de support et d’évolution de ces applications.
16
IT-expert n°72 - mars/avril 2008
Les tests ne sont plus la dernière roue
du carrosse !
L’enjeu majeur des DSI est la mise à disposition des applications
en production en respectant des délais de plus en plus courts,
dans la limite des budgets définis préalablement et avec la qualité escomptée : c'est-à-dire le respect des exigences en terme
de conformité et de disponibilité fonctionnelle, d’absence de bug,
de stabilité en fonctionnement et de performance.
environmental factors,
hardware, operating
system, power,
disasters
operator
errors
20%
40%
40%
40%
Application
Failure
application failure
» Gartner : Application failures including bugs,
performance issues or changes to
applications that cause problems cause 40%
of unplanned application downtime
La vérification de l’atteinte de ces objectifs est du ressort des
activités de Qualification, de Recette et de préparation des Mises
en Production (Q, R et MeP).
Malheureusement, ces activités sont souvent positionnées dans
une « zone d’ombre » qui ne permet pas une vérification tout au
long du cycle de vie des applications. En effet, un nombre important d’entreprises appréhendent encore les activités de tests
comme une étape ponctuelle compressée entre la fin de la phase
de développement et le début de la phase de mise en production.
Dans un tel contexte, la garantie des objectifs fixés devient illusoire. En témoigne l’analyse du Gartner qui montre que 40 %
des incidents survenant sur les patrimoines applicatifs sont dus
à des défauts sur les applications elles-mêmes, les 60 % autres
sources de pannes provenant des opérateurs ou du matériel.
Pour améliorer la qualité des applications mises en production, il
est indispensable de repenser les responsabilités tout au long du
cycle de vie. La mise en place d’un processus transversal de
tests1 allant de la gestion des exigences à la mise en production
apporte cette clarté dans les rôles et les responsabilités.
1 Par abus de langage, le processus de tests englobe aussi le processus de mise en
production, ainsi que les processus de support (gestion de configuration, gestion des
livraisons, gestion des anomalies, pilotage, etc.)
Par ailleurs, les DSI sont face à des enjeux d’optimisation de
leurs coûts. L’industrialisation de la fonction informatique a
d’abord touché les phases amont et aval du cycle de mise en
œuvre d’une application (Développement et Production), les activités de qualification, recette et mise en production doivent évoluer à leur tour rapidement.
En France, l’industrialisation et l’externalisation de ces activités
sont restées longtemps en retrait. On note d’ailleurs un certain
retard accumulé en comparaison avec d’autres pays européens,
qui ont d’ores et déjà professionnalisé le métier du test. Malgré
une certaine effervescence récente sur le marché français, la
situation est très diversifiée au sein des entreprises.
Les entreprises les plus matures en la matière ont pris conscience
de l’importance de l’industrialisation des processus de tests et de
mise en production. Elles l’ont même positionnée en priorité dans
les investissements informatiques, avec un engagement stratégique à tous les niveaux de l’entreprise (DG, MOA, DSI, etc.). On
constate par exemple les retours d’investissement lors de la mise
en place des solutions industrielles sous forme de Tierce Recette
Applicative ou de Centre d’Intégration et de Qualification à l’occasion d’un programme de transformation ou d’une Cellule
Transverse, généralement au niveau de l’entité « Qualité, Normes & Méthodes ».
L’industrialisation permet non seulement la réduction des coûts,
mais participe également à l’acquisition d’avantages compétitifs
en contribuant à la création de la valeur.
Pourquoi l’industrialisation des tests
devient-elle prioritaire ?
Les délais de mise à disposition des applications devenant de
plus en plus critiques, les entreprises doivent mettre en place
une stratégie d’industrialisation des activités de qualification, de
recette et de préparation à la mise en production.
Deux types d’enjeux s’imposent aux entreprises.
D’une part, les enjeux au niveau DSI, à savoir le respect / réduction des délais, la maîtrise budgétaire, la réduction des coûts, la
ré-affectation des ressources internes sur des projets à plus
forte valeur ajoutée et la prise en compte rapide des demandes
d’évolutions du SI (Agilité). Les activités représentent entre 30 à
40 % du Coût Total des Projets, et constituent un gisement de
réduction des coûts.
D’autre part, les enjeux pour
le Système d’Information,
c'est-à-dire assurer la qualité
des livrables par la mise en
œuvre de développements
orientés tests ou Development Test Driven : tester dès
les phases amont (exigences), définir pour chaque
application une stratégie de
tests permettant la mise en
œuvre de tests pertinents et
complémentaires adaptés
+ Vite
+ Qualité
- Cher
IT-expert n°72 - mars/avril 2008
17
Parallèlement, sont mis en œuvre l’outillage des processus, ainsi
que les méthodologies et les meilleures pratiques (R2BT2 Requirement and Risk Based Testing, conformité par rapport à
un standard). Enfin, un modèle opérationnel de type Front
Office - Back Office est implémenté permettant d’adapter progressivement la localisation des services (sans rupture dans la
fourniture de ces services). Dans le Front Office sont localisés les
services nécessitant la proximité du client, les autres services
sont en Back Office.
Gestion des
Infrastructures
de Tests
Gestion des
Packagings
Industrialisation
du Processus de
Tests
Gestion des
Livraisons
Gestion des
Outils de Tests
aux différentes phases et la vérification aval. La garantie de la disponibilité et du bon fonctionnement des applications en production sur des plages horaires étendues, ainsi que l’automatisation
et la capitalisation (amont et aval) complètent les enjeux pour le SI.
L’industrialisation consiste à mettre en œuvre une organisation
au confluent de la MOA, de la MOE Développement et de la Production, c'est-à-dire la mise en œuvre des relations de type
Client / Fournisseur avec toutes parties concernées et un Guichet Unique pour le traitement des demandes. Les activités sont
modélisées à travers la définition d’un catalogue de service. Ce
Catalogue est associé à une convention de services (SLA permettant la mesure de la qualité), ainsi qu’à un catalogue d’unités
d’œuvres (les UO valorisées initialement permettant la mesure de
la Productivité dans le temps).
La garantie des mises en production ne peut être assurée que si
l’environnement de tests est représentatif de l’environnement de
production (représentativité démontrée). La représentativité de
l’infrastructure de tests impose une gestion rigoureuse de ces
infrastructures (Architecture, Capacity Planning, Rationalisation,
Mutualisation),
• Organisation, Processus et Outillage
• Gestion de la demande
• Optimisation des Ressources
Cette garantie implique également la traçabilité de la signature
des packages livrés en production. Cette problématique de la
gestion des livraisons impose la mise en place d’une gestion de
configuration transverse permettant une cohérence entre le
packaging testé et le packaging livré en production.
Réduction des Coûts
• Localisation en Centres de Tests (France),
• Processus Certifiés CMMi 3
• Efficacité de la Gestion de la demande,
• Capitalisation
• Localisation en Centres de Tests
(NearShore et Offshore)
• Processus Certifiés CMMi5
• Capitalisation
• Boucle d’Amélioration Continue
Leviers 1
Leviers 2
Leviers 3
L’essor de l’industrialisation et l’adoption de l’outillage des processus s’effectuent en même rythme que l’externalisation des
activités et des patrimoines applicatifs.
Leviers 4
Quel cadre normatif choisir ?
Industrialiser le seul processus de
tests ne suffit pas !
Pour que l’industrialisation des processus de tests et de mise en
production ait lieu, il faut qu’elle s’accompagne aussi de l’industrialisation des processus de support (gestion de configuration,
des livraisons, des infrastructures de tests et des outils de tests).
L’outillage des processus de tests (gestion de campagnes de
tests fonctionnels, automatisation des tests, tests de montée en
charge et de performances) n’est pas encore généralisé. L’utilisation massive d’outils est freinée par les coûts, et par le positionnement transverse au sein des entreprises qui ne favorise pas le
partage des enjeux et la compréhension des problématiques au
niveau décisionnel. Pour mener à bien un projet d’industrialisation, il est préférable qu’il soit partagé par tous les acteurs
concernés et sponsorisé au plus haut dans l’organisation.
2 © Atos Origin
18
IT-expert n°72 - mars/avril 2008
Pour accroître l’efficacité opérationnelle des activités de tests, il
est conseillé de regrouper et de formaliser les meilleures pratiques du marché comme CMMi, ITIL et ISTQB/CFTL.
En allant du plus général au plus orienté vers les métiers du test :
• Information Technology Infrastructure Library (ITIL) : cadre
de référence regroupant les meilleures pratiques en matière de
gestion des services informatiques, dont on retiendra plus particulièrement les processus de gestion des changements, gestion
des problèmes. Ainsi que le processus de gestion des niveaux de
services qui va aider à fixer les critères d’arrêt des campagnes.
• Capability Maturity Model Integration (CMMi) : modèle général de bonnes pratiques dont on retiendra plus particulièrement
les processus « VER » et « VAL » inclus dans le niveau 3.
• Information Software Testing Qualifications Board (ISTQB)
a mis en place un processus de certification de testeurs composé
de trois niveaux (fondation, avancé et expert). Le Comité Français
des Tests Logiciels (CFTL) est le représentant de l’ISTQB en
France. Il certifie les formations ISTQB/CFTL.
L’ISTQB/CFTL est le seul élément normatif spécifique au métier
du test. Il met en relief les limites de la démarche de tests. Il s’appuie sur des principes décrits dans le tableau ci-dessous.
Les tests montrent la présence de défauts, mais ne
démontrent pas l’absence de défaut,
Les processus sont outillés par la mise en place de solutions de
tests (définition du nombre de licences, analyse et choix des
outils de tests, implémentation, etc.). Les principaux acteurs du
marché des outils de tests sont HP/Mercury, IBM, Compuware,
Borland. Dans certains cas, des outils Open Source peuvent être
utilisés (Junit, Open STA, Selenium, etc.).
Le déroulement des projets de tests est basé sur une approche
par phases permettant les validations séquentielles de ce qui est
produit. On distingue deux principales phases.
Les tests exhaustifs sont impossibles,
Il faut tester le plutôt possible,
Les tests dépendent du contexte,
L’illusion de l’absence d’erreurs : trouver et corriger des
défauts n’aide pas si le système conçu est inutilisable et
ne satisfait pas les besoins et les attentes des utilisateurs,
Le Paradoxe du pesticide : si les mêmes tests sont répétés de nombreuses fois, il arrivera que le même ensemble de cas de tests ne trouve plus de nouveaux défauts.
Pour prévenir ce « paradoxe du pesticide », les cas de
tests doivent être régulièrement revus et révisés, et de
nouveaux tests, différents, doivent être écrits pour couvrir d’autres chemins dans le logiciel ou le système de
façon à permettre la découverte de nouveaux défauts.
La phase de préparation a pour objectifs d’élaborer pour chaque
projet de tests la stratégie et le plan de tests associé, de déterminer la couverture de tests et le périmètre des tests à automatiser,
de calibrer l’effort de tests et de définir les besoins en infrastructures de tests. Cette phase consiste également à concevoir et à
réaliser les cas de tests prévus en fonction des exigences.
La phase de réalisation a pour objectifs de réaliser les activités
de tests prévus (exécution, analyse, anomalies), de gérer les
Infrastructures et les outils de tests (Capacity Planning, Installation, Exploitation, etc.)
Initialisation du Projet Tests
Gestion des Exigences et des
Risques (Impacts)
Référentiels (Stratégie de
référence, Capitalisation)
Définition Stratégie Applicable
D’autres modèles peuvent être utilisés pour l’amélioration des
processus de tests : TMM (Test Maturity Model), TPI (Test Process Improvment) et TMap (Test Management Approach).
Calibrage du Projet
Mise en œuvre de l’industrialisation
des processus de tests
L’industrialisation des tests suppose la mise en place d’un processus de tests tout au long du cycle de vie d’une application. Ce processus doit s’inscrire dans le cadre de la méthodologie générale
de développement des applications. Cette approche permet
l’optimisation du retour sur investissement (ROI) des développements applicatifs. Elle permet aussi la gestion transverse des différents types de tests (tests unitaires, tests d’intégration, tests
système, recette utilisateurs, etc.) et des responsabilités associées. Elle permet également la combinaison des tests en fonction
des phases des projets pour réaliser un effet de tamis et éviter,
ainsi, de réaliser les mêmes tests.
La réalisation des campagnes de
tests nécessite la mise en œuvre des
processus de gestion des services
(gestion du contrat dans le cas d’une
externalisation) et des processus de
gestion opérationnelle (gestion des
exigences, gestion des anomalies,
gestion de configuration, etc.).
Structuration & Formalisation
des Exigences Métiers
Modélisation UML
Plan Projet Tests
La mise en œuvre de la méthodologie R2BT a pour objectif l’optimisation et le calibrage des projets de tests. Cette méthodologie est basée sur une approche par les exigences et les risques
(Requirement and Risk Based Testing).
La mise en œuvre d’un référentiel de tests pour les applications
facilite la capitalisation. En fonction d’éléments structurants tels
que la criticité de l’application ou le nombre et la fréquence des
changements, il est alors préférable de mettre en œuvre une
« automatisation amont des tests fonctionnels » permettant la
Référentiel Métier
(Processus Métier &
Fonctionnel)
Référentiel Cas de
Tests
IT-expert n°72 - mars/avril 2008
19
création rapide des cas de tests correspondants et la réalisation
de l’analyse d’impact au niveau des exigences, des processus
métiers. Leirios est un des acteurs de ce segment de marché.
La mise en œuvre de l’automatisation des tests aval porte généralement sur des applications appelées à connaître de multiples
changements. Cette automatisation concerne essentiellement
les Tests de non-Régression (TNR). La mise en œuvre de l’automatisation peut se justifier, dans certains cas pour étendre la
couverture de tests d’une application multiplateformes.
Famille de Tests
La réalisation des campagnes de tests nécessite la mise à
disposition de jeux de données en cohérence. Ces données
peuvent être soit définies lors de la création du script de
tests, soit générées à l’aide de l’outil ad hoc, soit extraites à
partir de base de données de production. Les principaux
acteurs de ce segment de marché sont IBM/Princeton,
Compuware, Genielog.
Les principales familles de tests
Type de Test
Description
Tests fonctionnels
Tester les fonctionnalités au niveau du
composant
Tests des flux & des interfaces (2 à 2)
Tester les flux et les liens (2 à 2) avec
d'autres systèmes
« Tests fonctionnels » « Bout en Bout »
Tester les fonctionnalités de bout en
bout avec les systèmes connexes
Non régression
Ensemble de tests permettant de vérifier la non dégradation fonctionnelle
Tests de sécurité des accès
Tester les procédures et architecture de
sécurité (accès logiques)
Tests d'installation/désinstallation
Vérification Procédures d'installation /
désinstallation
Tests de robustesse
Tests de robustesse aux pannes et aux
limites
Tests de montée en charge
Tests de la montée en charge en nombre, en quantité et dans la durée
Tests de performance (env. de production)
Tirs de performance et montée en
charge en environnement de production
Tests de conformité aux normes d'exploitation
Vérification de la conformité des procédures d'exploitation
Validation des procédures d'administration/supervision
Test et validation des procédures de
gestion d'habilitation (droits, profils…)
et vérification des remontée d'indicateurs et de logs
Revue / validation de production
Tester les procédures de production
Sauvegarde / restauration / purge
Tester les procédures de sauvegarde et
des reprises
Recette utilisateur
Vérification de la capacité à exercer le
métier (assistance aux utilisateurs)
Recette technique
Tests techniques, d’exploitabilité et de
performance
Fonctionnel
Technique
Performance
Exploitabilité
Recette
20
IT-expert n°72 - mars/avril 2008
Localisation des services de tests en
Near / Off - Shore
Un des leviers importants pour la réduction des coûts est la localisation des services de tests en Centre de Tests spécialisés (CloseShore, Near / Offshore).
Pour cela, un modèle opérationnel distribué et utilisé par des utilisateurs répartis géographiquement est nécessaire: la mise en
place d’une solution technique centralisée pour les outils de tests
permet une utilisation partagée et mutualisée des moyens. Ce
modèle repose sur une répartition claire des activités à réaliser à
distance et des activités à réaliser au plus près des acteurs
concernés (MOA, MOE, etc.).
Profitant de l’expérience acquise pour la délocalisation des activités de développement, l’utilisation du Near / Off - Shore pour les
activités de tests se généralisera plus rapidement.
Comment le marché doit-il répondre ?
La réponse habituelle du marché pour les processus de qualification, recette et mise en production reste partielle et se résume à
des offres Tierce Recette Applicative.
Il est évident que la réponse à la problématique des DSI se doit
d’être globale. Elle doit couvrir l’ensemble du spectre entre le
développement et la production pour apporter de réels bénéfices. Ces bénéfices resposent sur un engagement global,
depuis le recueil des exigences jusqu’à la mise en production,
tout en maîtrisant précisément l’exposition au risque à chaque
étape du processus. Cette réponse doit industrialiser et sécuriser le passage des développements à la production et répondre aux principaux enjeux des entreprises tels que
l’optimisation des coûts et des délais, la maîtrise des changements, la garantie de la conformité et de la mise à disposition
des applications en production.
La solution doit être fondée sur une approche par les processus
et positionnée dans un rôle pivot entre la MOA, la MOE Développement et la Production. Elle permet de structurer les relations et
de prendre en compte l’ensemble des acteurs intervenants dans
le cycle de vie. Elle gére de façon industrielle l’ensemble des qualifications (fonctionnelle, technique, utilisateur et exploitabilité),
ainsi que les activités d’intégration pour la production et la mise
IT-expert n°72 - mars/avril 2008
21
en exploitation. Elle fournit les éléments essentiels (bilan des
tests, analyse des risques avant mise en production, etc.) nécessaires à la prise de décision pour le passage en production.
Pour réaliser l’industrialisation des tests, à un coût compétitif, la
solution doit reposer sur des outils centralisés avec un fonctionnement 24/24 et 7J/7 et profilter des bénéfices Near/Offshore.
L’importance de la représentativité des infrastructures de tests
impose des investissements en infrastructures, ainsi qu’une
exploitation et une gestion par des professionnels (typiquement
dans un Data Center).
L’externalisation des services de tests vers un acteur disposant
déjà de toute l’infrastructure nécessaire (Service Centers Industrialisés et mutualisés, Testing Centers Closes-shore et
Near/Offshore, Data Center pour l’hébergement, voire pour la
mise à disposition des infrastructures de tests) s’impose d’emblée comme une opportunité à prendre en considération.I
Mohamed Bedouani
TAM & AM Business Solutions
Manager
Thierry Lallemand
Architecte Shared Service Center
A propos d’Atos Origin
Atos Origin est l’un des principaux acteurs internationaux du secteur des services
informatiques. Sa mission est de traduire la vision stratégique de ses clients en
résultats par une meilleure utilisation de solutions de Conseil, Intégration de Systèmes et Infogérance. Atos Origin réalise un chiffre d’affaires annuel de 5,8 milliards
d’euros et emploie 50 000 personnes dans le monde. Atos Origin est le partenaire
informatique mondial des Jeux Olympiques et le Groupe compte parmi ses clients de
grands comptes internationaux dans tous les secteurs d’activité.
22
IT-expert n°72 - mars/avril 2008
Pascal Cogoluègnes
Directeur de l’Industrialisation SI
France
Actualités internationales
Actualités
internationales
Microsoft -Yahoo : bientôt en fusion ?
Après près d’un mois de silence, nouveau rebondissement dans l’affaire du rachat de Yahoo! par Microsoft : une rencontre
aurait eu lieu le 10 mars dernier, selon le Wall Street Journal. Microsoft aurait sollicité cette rencontre pour démontrer à
Yahoo! l’intérêt de cette mégafusion. On notera que les dirigeants de Yahoo! ont accepté la rencontre…
Le 10 février dernier, Yahoo rejetait officiellement l’offre publique d’achat de Microsoft de 44,6 milliards de dollars (30 milliards
d’euros), jugée insuffisante. Une saga qui aura duré 10 jours, pour l’OPA la plus chère jamais réalisée dans le secteur. En effet,
le prix de 31 dollars par action représentait un bonus de 62% du cours au premier février !
Une proie affaiblie pour se renforcer
Tout avait commencé lors de discussion fin 2006, et une première démarche avait avorté en février 2007. Puis, Yahoo! a enregistré une mauvaise année 2007, en faisant une proie idéale pour Microsoft qui attendait dans la pénombre.
Au quatrième trimestre 2007, le moteur de recherche a perdu 23,5% de son bénéfice (205,7 millions de dollars), malgré une
progression de son chiffre d’affaires de 7,6% (1,83 milliard). Sur l’année le bénéfice a fondu de 12.1% à 660 millions d’euros,
malgré une hausse de 8,4% du chiffre d’affaires annuel à 7 milliards de dollars. Pour rester dans une course accélérée avec
Google, Yahoo a supprimé 7% la masse salariale, soit un millier d'emplois sur quatorze mille. En réunissant ses sites avec
Yahoo!, Microsoft prendrait plus de poids face à Google et sur la recherche, et sur la publicité en ligne.
Des sauveteurs peu convaincants
Une analyse et un risque évidents que Google a entérinés le 4 février 2008 « par la petite porte », via le blog de David Drummond, l’un de ses dirigeants. Et en le faisant savoir… Le propos consistait à poser des questions sur l’éventualité d’un monopole sur le Web et sur la messagerie instantanée (Yahoo Mail et LiveMail).Selon la presse américaine, les dirigeants se seraient
même contactés dans le but de contrer l’OPA. Finalement, aucune action concrète.
Le 14 février (après le refus), le groupe du magnat australo-américain Rupert Murdoch (News Corp.) aurait proposé d’apporter du cash avec échange d’action, et une valorisation à près de 50 milliards de dollars de Yahoo! En parallèle, début mars,
Time Warner entrait dans la danse proposant une entrée minoritaire dans le capital contre un rachat d’AOL par Yahoo! Rappelons que Google est actionnaire d’AOL à 5%... Bien entendu, Yahoo! devait poursuivre ses négociations avec News Corp.
qui céderait MySpace. Finalement, Rupert Murdoch a abandonné ce projet affirmant : « Nous n'allons pas entamer une
bagarre avec Microsoft, qui dispose de beaucoup plus d'argent que nous ! »
Et ça repart ?
Après ces multiples discussions et retournements de situation, Microsoft et Yahoo! auraient donc repris les discussions.
Mais la firme de Bill Gates, et le marché attendent les résultats trimestriels de Yahoo! en avril pour confirmer leurs positions.
Si la baisse des résultats se confirme, les dirigeants de Yahoo! auront bien du mal à convaincre les investisseurs de leurs estimations très optimistes sur 2008.
24
IT-expert n°72 - mars/avril 2008
Actualités internationales
Acer devient le troisième fabricant mondial de PC
La concentration du marché des PC portables se poursuit. Après le rachat de l’américain Gateway en août 2007 pour
710 millions de dollars, le taïwanais Acer se paie Packard-Bell. Suite à une liquidation d’actifs et de diverses participations, le constructeur avait réuni un trésor de guerre de plus de 650 millions de dollars américains.
Avec Gateway, Acer redevenait troisième constructeur mondial de PC après HP et Dell, et devant Lenovo, et doublait
ses parts de marché sur le continent américain. Le nouveau groupe constitué afficherait un chiffre d'affaires de plus
de 15 milliards de dollars (10 milliards d'euros), et produirait environ 20 millions d'ordinateurs chaque année.
Coup double et podium !
Fin février 2008, le rachat de Packard Bell pour 48.5 millions de dollars était validé par la Commission européenne.
L’institution a estime que l’absence de menace pour la concurrence était respectée face aux autres constructeurs « établis tels que Hewlett-Packard, Dell, Fujitsu-Siemens, Toshiba, Sony et Lenovo. »
Résultats de ces acquisitions : Acer est crédité de 5,25 millions de portables vendus au quatrième trimestre 2007, et
passe devant Dell (4,64 millions d’unités vendues) selon le cabinet d’études DisplaySearch. Ce dernier estime d’ailleurs que les consommateurs devraient acheter plus de portables que d’ordinateurs de bureau dès 2009. De son côté,
Acer vise les 13,7 milliards d’euros de chiffre d’affaires pour son exercice 2008.
Les antimalwares enfin testés
objectivement
L’antimalware testing standards organization (ou
AMSTO) est née à l’initiative des 40 principaux
éditeurs de solutions de sécurité réunis à Bilbao
en Espagne. Objectif : normaliser les comparatifs entre des logiciels de sécurité afin d’éviter les
résultats hasardeux de ces solutions de plus en
plus complexes. En effet, de nombreux « tests
sont incapables d’évaluer correctement l’efficacité de ces solutions, ce qui se traduit par des
évaluations incomplètes, inexactes et trompeuses ». Des conséquences négatives pour tous les
vendeurs de ce marché qui prennent donc l’initiative pour proposer des procédures et des normes
objectives.
Pour commencer, un forum de discussions sera
disponible pour discuter des antimalwares et
outils relatifs à ces sujets et faire avancer les choses en partageant avec les intéressés. Et au plus
vite, des normes et un guide des meilleures pratiques verront, avec une documentation riche et
fournie. Enfin, des outils seront même mis à disposition, ainsi que diverses ressources et des
tests et essais. L’organisation s’engage également à assurer la promotion et les problèmes sur
les tests réalisés.
Espérons que cette initiative (www.amtso.org) à
saluer sur un domaine devenu primordial avec l’ouverture d’Internet et de la messagerie instantanée
résistera aux enjeux commerciaux, qui poussent
parfois les éditeurs à défendre leurs propres technologies au détriment d’une avancée commune.
Le téléphone portable toujours et partout
La compagnie aérienne américaine (vols intérieurs) Virgin
America, filiale de Virgin, s’est associée au spécialiste d’accès internet par réseau cellulaire Aircell pour proposer un
accès Internet pendant toute la durée du vol. Un atout concurrentiel évident pour la clientèle d’affaires annoncé en septembre dernier, rendu possible via une liaison maintenue en
continu entre l’avion et le sol. Un avion équipé d'une borne
Wi-Fi permettant aux passagers d'utiliser librement leur portable ou leur PDA.
Deuxième initiative, la compagnie Emirates a proposé l’utilisation des téléphones portables en plein vol entre Dubaï et
Casablanca, fin mars. Aujourd’hui, certains appareils Airbus
aux installations protégées intègrent un relais de téléphonie
mobile testé et certifié, relié par une liaison satellitaire. Mais
les concurrents sont également très avancés sur le sujet,
comme le prouvent ces deux expériences.
Espérons que la politesse prévaudra, et que les vols ne
seront pas sans cesse perturbés par des sonneries désagréables. D’autant qu’avec les décalages horaires…
IT-expert n°72 - mars/avril 2008
25
Actualités internationales
Un bus à 8 térabits par seconde griffé IBM
Marketing, quand tu nous tiens ! « Green Optical Link » : tel est le nom choisi
par IBM pour son bus de données de 8 téraoctets par seconde. Évidemment, ce
bus peut véhiculer près de 5000 flux vidéo Haute Définition sur le même tuyau
en consommant moins de 100 Watts (soit dix fois moins que la fibre optique
classique sur 100 mètres). Mais finalement, tous les nouveaux équipements
sont verts…
Les gros centres de données et fournisseurs de contenus très multimédia apprécieront certainement cette avancée, encore au stade de prototype, mais très
prometteuse. Pourtant, la limite ne tient pas forcément au bus lui-même, mais
reste bridée par les capacités des autres composants électroniques entrant en
jeu qui pourraient chauffer rapidement, ou avoir du mal à absorber autant de
données aussi vite.
IBM propose déjà des solutions de ce type avec une solution intégrant 24 émetteurs/récepteurs, affichant chacun une vitesse de 12,5 gigabits par seconde.
Soit un total théorique de 300 gigabits par seconde ! Et le tout tient dans un
espace dix fois moins important que les solutions actuelles pour une consommation comparable malgré des performances dix fois supérieures !
IBM lance un nouveau mainframe
Le système z10 : dernier-né des mainframes IBM. Les grands systèmes centraux dont les entreprises refusent les
coûts élevés d’exploitation sont souvent des anciens modèles. À l’heure de la recentralisation et de la réduction de
coût, une telle plate-forme modernisée peut effectivement présenter de l’intérêt. En tout cas, IBM y croit fermement.
Premier argument avancé par le constructeur : « l’amélioration du rapport prix/performance ». Les nouveaux processeurs plus puissants profiteraient en outre d’infrastructures machine plus performantes et évoluées. Le modèle z10
à 64 processeurs le plus puissant (27 000 mips) serait plus performant de 50 % que son équivalent de la gamme z9.
Des mastodontes qui ciblent donc les grands comptes, qui devront malgré tout y ajouter des machines de sauvegarde
externe. Et si une réplication distante s’impose, la note risque de s’avérer salée avec ces machines proposées à partir d’environ un million de dollars. Le système d'exploitation zOS 1.10 sera disponible dès septembre 2008.
Au-delà de la puissance brute, les applications
Autre levier, les applications actuelles et sollicitées doivent être au rendez-vous. Si l’offre Cognos 8 BI for Linux on System z et WebSphere ou Infosphere Master Data Management sont déjà disponibles sous Linux dans ces machines,
Big Blue annonce aussi des solutions autour de SAP ou de Rational, par exemple. Avec les multiples mécanismes de
virtualisation, on peut imaginer des infrastructures variées et puissantes.
Enfin, optimisé en consommation électrique, le « z10 peut remplacer 1500 serveurs x-86 et consommer 85 % de courant en moins ». Une façon habile de marteler le message en vogue du « green computing ».
Ces arguments suffiront-ils à convaincre les clients traditionnels, ou à en conquérir de nouveau ?
Microsoft rachète Kidaro
Comme nous l’évoquions dans le dernier numéro d’IT-expert la firme de Windows marque son territoire sur la virtualisation,
avec le rachat de la société californienne Calista technologies, puis en signant des accords avec Citrix. L’éditeur confirme
cette orientation en s'offrant la start-up israélienne Kidaro, spécialiste des solutions de virtualisation pour postes clients, pour
un montant estimé à 100 millions de dollars par la presse israélienne.
Créée en 2005, Kidaro emploie 25 salariés. Ses solutions seront intégrées à l'offre Microsoft Desktop Optimization Pack
(MDOP) dédiée à l'administration des postes de travail. Selon Ran Oelgiesser, cofondateur de Kidaro, l’un des objectifs
consistera à faciliter la migration vers Windows Vista, priorité stratégique pour Microsoft, en autorisant la cohabitation
XP/Vista sur le poste client. Pas sûr, et certainement téméraire. Une vision de technicien incompatible avec une logique d’entreprise, et trop complexe pour la majorité des utilisateurs grand public.
Une certitude : VMWare est toujours en ligne de mire.
26
IT-expert n°72 - mars/avril 2008
Actualités internationales
Le gros appétit d’EMC
IBM : SMash et jeu !
Pour 2007, EMC a annoncé 1,6 milliard de bénéfices sur
l’année, pour un chiffre d'affaires de 13,2 milliards. Des
résultats qui ont dynamisé ses envies d’expansion.
Le 10 mars, le leader du stockage mettait la main, sur
Infra Corp Pty Ltd, un éditeur spécialisé sur l’automatisation des processus de gestion des services informatiques
(intégrant les pratiques de type ITIL ou KCS -Knowledge
centered support). En automatisant les datacenters, en
améliorant la gestion informatique, et avec un service
desk capable de gérer l’ensemble du cycle de vie des
services IT, EMC muscle son offre en fournissant une
gestion des services du SI de bout en bout.
Deuxième axe de renforcement, les PME/PMI. Le 12 mars
2008, EMC a donc lancé une première OPA hostile sur le
Californien Iomega, spécialiste de la sauvegarde des données et les périphériques de stockage amovible. Deux
jours après, Iomega avait rejeté l'offre de 3,25 dollars par
action, soit un montant global de millions de dollars, jugé
trop faible face aux ventes de 300 millions de dollars.
« Smash » pour « Secure Mashup », dernière née des
technologies IBM en matière de mashups, vise à sécuriser ces applications combinant les composants, et surtout à rendre cette sécurité compatible avec les politiques
de sécurité globales des entreprises. Selon IBM, la technologie SMash « permet aux informations émanant de
différentes sources de partager avec d’autres, tout en
les tenant séparées, ce qui empêche les malwares de se
glisser dans les systèmes des entreprises. » Bref : une
communication protégée et sécurisée permettrait de
combiner données et fonctions en toute sécurité, grâce à
des mécanismes d’isolation.
Le 20 mars, EMC a finalement renouvelé son offre, mais
à 3,75 dollars par action, pour près de 205 millions de
dollars. Sans se prononcer définitivement, Iomega juge
néanmoins l’opération plus intéressante que les deux
rachats qu’elle avait envisagés (Excelstor Great Wall et
Shenzhen Excelstor Technology).
Et comme l’a affirmé Rod Smith, vice-président chez
IBM : « Vous ne décidez pas d’acheter une voiture et
d’installer plus tard les ceintures de sécurité ou les airbags. Comme pour n’importe quel secteur, nous avons
donc appris à intégrer la sécurité dans les opérations dès
le départ, et non après coup.»
L’éditeur/constructeur a offert cette technologie à l'OpenAjax Alliance, une communauté de développement
open source souhaitant faire progresser l'utilisation d'Ajax
dans les applications Web et d’entreprise. Un moyen
aussi d’offrir à SMash toutes les chances de devenir un
standard de fait, puis de droit (ou l’inverse).
Un smartphone Palm très attractif
Mi-mars, Palm a lancé son nouveau smartphone baptisé Centro, doté du système
d'exploitation Palm OS 5.4.9, réduisant les besoins en ressource selon le fabricant. Compact et élégant, le Centro propose un clavier azerty, un écran couleur
320x320, et un appareil photo de 1,3 mégapixel. Côté téléphonie, il allie quadribande (GSM, GPRS et EDGE) et batterie lithium pour une autonomie annoncée
de quatre heures en conversation et de trois cents heures en veille. Son processeur Intel PXA270 cadencé à 312 MHz est appuyé par 64 Mo de mémoire et un
équipement bluetooth. Bien entendu, une carte micro SD jusqu’à 4 Go pourra
compléter l’ensemble. Le connecteur USB relie le Centro à un ordinateur.
Le plein de fonctions
Outre les classiques (horloge, calendrier, calculatrice, notes écrites et vocales,
liste des tâches, gestion des contacts…) le Centro propose un navigateur Internet Blazer 4.5 et de la messagerie VersaMail 4.0, ou encore Mobile Google
Maps, ou une messagerie instantanée. De plus, Documents to Go Professional
Édition 10 permettra à l’utilisateur de consulter (mais aussi d’éditer ou de concevoir) les documents Word, Excel, PowerPoint et PDF. Enfin, Pocket Tunes et
des logiciels d’affichage de photos et de vidéos complètent ce dispositif riche et
varié. Et surtout, Palm annonce que 900 applications sont annoncées compatibles par le constructeur.
Le coup le plus étonnant de Palm ? Le prix : le Centro est proposé chez Orange pour 49 euros (2 ans d’engagement) et 299
euros sans abonnement.
Ce nouveau smartphone apparemment séduisant et efficace pourrait bien contribuer à ramener Palm au cœur de la course
menée par RIM, HTC, Nokia, ou l’iPhone sur le marché des PDA communicants.
IT-expert n°72 - mars/avril 2008
27
Quoi de neuf Docteur ?
SOA et la déverticalisation
de l’industrie du logiciel
Par « vertical », cet article n’entend pas l’adaptation d’un logiciel ou progiciel à un secteur d’activité, mais bien une manière de
produire un logiciel ou plutôt une solution logicielle complète. Une société verticalisée produit toute la solution ou presque, sans
intégrer des « briques » de solution fournies par des tiers.
Par exemple : Nixdorf au début des années 1980 était une société intégrée verticalement, elle produisait toutes les composantes de ses produits, commençant par les boitiers de ses ordinateurs à partir de la tôle plate, passant par les unités centrales, les systèmes d’exploitation et de communication (même le microcode), jusqu’à son logiciel phare, COMET, un PGI pour
PME avant l’heure. La société n’a pas survécu à la désarticulation de cette intégration verticale, qui n’était pas la cause unique de son déclin.
Le projet de baser la nouvelle génération de ses ordinateurs sur des puces MIPS, d’utiliser un système d’exploitation standard
(UNIX), de réécrire COMET en utilisant des outils et des couches de logiciels indépendantes et standardisées n’a jamais vraiment abouti : trop de chantiers, trop peu de temps. En même temps, Nixdorf ne pouvait pas rester verticalement intégré. Il était
impossible d’affronter la concurrence à tous les niveaux, concevoir des microprocesseurs compétitifs et un système d’exploitation à la hauteur de l’innovation tandis que le standard émergent était moins cher, maintenir les fonctions de son progiciel de
gestion au pus haut niveau et offrir la meilleure interface utilisateur à ses clients non-informaticiens.
Depuis, l’industrie du logiciel s’est partiellement déverticalisée en créant des « strates » : les systèmes d’exploitation et de communication (eux-mêmes encore stratifiés), les bases de données, les serveurs d’applications, etc. Mais le monde des logiciels
applicatifs est resté fortement verticalisé, l’intégration – surtout horizontale, mais aussi verticale – étant devenue une clé de sa
réussite.
Cependant, les recettes et les vertus qui ont fait le succès des entreprises hier deviennent parfois le poison qui les fait péricliter demain.
Une autre industrie, plus mature que l’industrie du logiciel a montré la voie : l’automobile.
Il y a des « constructeurs » de voitures et des « équipementiers ». Dans certains cas, le constructeur contribue pour moins de
50 % sur des parties qui constituent la voiture. Les équipementiers sont aujourd’hui responsables de « sous-systèmes » plutôt que de « pièces », de la conception jusqu’au montage à la chaîne d’assemblage. La coopération dans cette industrie est très
complexe et demande un écosystème très élaboré, couvrant le codesign, la cofabrication et la cogestion de la maintenance.
D’ailleurs, les pressions concurrentielles poussent ce système à évoluer en permanence.
Certains parallèles avec l’industrie du logiciel sont évidents, quelques différences également.
IT-expert n°72 - mars/avril 2008
29
SOA, accélérateur de la déverticalisation
de l’industrie du logiciel
Les entreprises subissent une forte pression pour se transformer
de structures en silos-matrices en structures « cellulaires » malléables et capables de s’adapter rapidement aux changements de
leur marché. Elles doivent devenir plus « agiles », et nécessitent
des systèmes d’informations qui soutiennent cette agilité.
Les architectures orientées services (SOA), par leur granularité et
leur facilité de (re-) composer des ensembles, permettent aux
entreprises de se doter de systèmes d’information suffisamment
flexibles pour les accompagner dans le changement permanent.
En même temps, cette facilité de (re-) composition de solutions
des SOA « catalysera » la maturation de l’industrie du logiciel
vers une plus forte déverticalisation. Elle amènera ainsi cette
industrie, depuis (trop ?) longtemps en « état de surfusion » par
rapport à son modèle historique, à s’approcher du modèle adopté
depuis longtemps par les industries plus matures, comme l’automobile.
Une des différences essentielles entre constructeurs d’automobiles et équipementiers tient dans la possession ou non d’un canal
de distribution vers le client final1 et donc d’un accès direct aux
clients communs. Les constructeurs possèdent le canal (et doivent le financer), alors que les équipementiers n’ont pas un accès
direct aux clients communs (et n’en supportent pas directement
les frais). Seconde différence : la possession de la « plate-forme
de production ».
Un corollaire de la possession du canal est la responsabilité pour
le produit assemblé face au client final, également une lourde
tâche, périlleuse en cas de défaillance d’un équipementier. L’écosystème d’un constructeur doit donc être bâti avec le plus grand
soin.
La déverticalisation de l’industrie du logiciel créera donc des « éditeurs constructeurs » et des « développeurs équipementiers ».
Même si le logiciel est « soft », et les exigences de conception
sont moins drastiques que pour l’automobile ou d’autres industries lourdes, la distribution des rôles dans la nouvelle industrie du
logiciel deviendra plus nette dans un proche avenir.
Les éditeurs de logiciel d’aujourd’hui, mais aussi leurs partenaires
(revendeurs à valeur ajoutée, consultants et SSII), et les investisseurs doivent se poser ces questions :
• Qui seront les grands « éditeurs constructeurs » de
demain ?
• Qui seront les « développeurs équipementiers » du premier, deuxième, troisième rang ?
• Quelles sont les conditions de réussite dans un rôle et
dans l’autre ?
• Peut-on échapper à ce choix existentiel ?
• Quelles conséquences pour les écosystèmes existants ?
Et bien sûr, chacun doit se poser la question « quel rôle dois-je
endosser » ?
1 - La notion de « client final » suscite des réactions de protestation chez les clients qui se
considèrent comme le point de départ ou le centre d’une action commerciale. Comme le
client « direct » d’un équipementier est le constructeur, cette expression est utilisée pour
mieux distinguer les différents types de clients.
30
IT-expert n°72 - mars/avril 2008
Cet article ne se penchera pas sur le rôle des revendeurs, consultants et intégrateurs dans l’industrie du logiciel déverticalisée.
Les DSI doivent observer, et en partie anticiper, l’évolution des
acteurs et des écosystèmes pour faire les bons choix de fournisseurs et d’architecture de leur système d’information.
Pourquoi devenir « éditeur constructeur »
ou « développeur équipementier » ?
De prime abord, le rôle de l’éditeur-constructeur semble le plus
« noble », celui qui offre la plus grande indépendance et la meilleure maîtrise de son destin. De plus, les sociétés de logiciel y
sont déjà habituées.
Mais ce rôle a une lourde contrepartie : l’obligation de financer le
marketing et la vente, et d’établir et maintenir un canal de distribution directe ou indirecte. Et il faut presque toujours financer ou
pouvoir facturer l’intégration de son logiciel dans le système d’information hétéroclite du client, souvent dans l’infrastructure imposée par son ERP.
Une lourde charge pour les « petits éditeurs » d’aujourd’hui. Beaucoup investissent d’ailleurs fortement pour être intégrés dans le
catalogue d’un éditeur leader comme SAP, Oracle, Microsoft, par
ailleurs grands « consolidateurs » du marché. On pourrait en
déduire que le nouvel ordre de l’industrie du logiciel est déjà en
train de s’établir. Mais figurer dans la liste de prix d’un « grand »
n’implique pas des rentrées d’argent « automatiques ». D’ailleurs,
ceux qui sont vite partis aux Bahamas après avoir réussi à figurer
dans une de ces précieuses listes, pour y couler des journées
douces, ont dû revenir à la rame…
Où est le problème ? En fait, les éditeurs d’aujourd’hui ne sont pas
encore des « constructeurs », et leurs équipes ne savent pas
encore vendre un produit composé/assemblé. Pour eux, les « produits complémentaires » s’apparentent à un aveu d’échec, à une
faille qu’il faut combler avec un pansement acheté ailleurs.
Pourquoi les éditeurs de solutions intégrées doivent-ils à terme assumer le rôle
de constructeur ?
Tout simplement à cause de la pression du marché. Les architectures SOApermettront plus facilement que par le passé la substitution
des granules fonctionnels (services Web) de leurs produits. Ainsi, un
petit éditeur pourra imposer son offre novatrice et compétitive en
« échange standard » contre un service Web moins performant d’un
progiciel intégré. Il crée alors des précédents, une demande, un
marché… qui bousculent le grand éditeur, pour lequel l’investissement dans ce service Web, trop souvent remplacé par ses clients,
devient de moins en moins rentable.
Cette « intégration sauvage » de briques dans une offre intégrée
est une vue négative des choses. Un regard positif amènera l’éditeur d’une solution intégrée au constat qu’il sera moins cher d’intégrer une bonne brique d’un spécialiste dans son offre que de
continuer à développer la même fonction en interne. D’autant que
l’investissement pour le client final sera moindre, puisque l’éditeur
externe cesse de financer son canal de vente et peut baisser sensiblement ses prix.
Pourquoi les éditeurs de « briques » de
solution deviendront-ils équipementiers ?
Si l’intégration devient si facile, pourquoi les « petits éditeurs » se
lieraient-ils à des éditeurs-constructeurs, plutôt que de continuer
avec leur modèle économique actuel ?
excellence, etc. Néanmoins, des approches plus radicales voient
aussi le jour : s’acheter une plate-forme populaire (comme Oracle
l’a fait avec BEA), ou s’offrir des briques applicatives, soit pour
empêcher leur présence sur d’autres plateformes soit pour empêcher les concurrents de se les procurer en exclusivité.
Sur le moyen - long terme, la logique du rachat des équipementiers par les constructeurs est cependant contraire au nouveau
modèle : elle ne permet pas de sortir du modèle vertical qui est
trop coûteux et trop rigide.
Pour reprendre le parallèle avec l’automobile, le marché de la
« deuxième monte » (où l’équipementier vend ses produits aux
clients finaux pour remplacer un équipement standard de sa voiture, souvent après usure) pourrait être très important dans l’industrie du logiciel grâce à la facilité d’intégration. Et après tout, les
canaux de distribution des petits éditeurs sont bien établis, et l’investissement pour les maintenir reste plus modeste que celui
nécessaire pour les créer. Les petits éditeurs peuvent ainsi nouer
des partenariats ad hoc avec les grands, sans rien changer en
profondeur.
Ne pas confondre industrie déverticalisée
et marché ouvert de composants
Par conséquent, l’évolution vers le nouveau modèle de l’industrie
du logiciel ne passera pas par une révolution brutale, mais s’étalera dans le temps. Tant que les petits éditeurs dégageront une
marge suffisante pour rester indépendants et pour financer leur
R&D et leurs activités commerciales, ils resteront indépendants.
Ce sera le cas pour les éditeurs aux produits fortement différenciés et à forte valeur ajoutée. Toutefois, la concurrence s’installera,
et si ses concurrents peuvent adresser un grand marché rapidement en s’alliant avec un éditeur–constructeur (ou plusieurs), les
marges de l’éditeur « ancien modèle » s’éroderont l’obligeant à
évoluer vers le nouveau modèle.
Un exemple lié à l’automobile illustre la difficulté : l’autoradio. Dans
le passé, il était simple de changer la radio de votre voiture si un
nouveau modèle vous donnait envie de transformer votre voiture
en salle de concert. Aujourd’hui, mieux vaut se décider à l’achat
de la voiture, comme la radio est décomposée en plusieurs sousmodules, placés à différents endroits de la voiture et intégrés avec
d’autres équipements : amplificateur et haut-parleur servent également à votre téléphone, votre GPS et peut-être même aux
annonces de sécurité (« mettre la ceinture de sécurité », « changer les plaquettes de frein », etc.). Vous avez le choix à l’achat de
votre voiture pour l’équipement de « première monte », mais les
choses se compliquent pour l’installation d’un équipement de
« deuxième monte ».
Un enjeu majeur pour les éditeursconstructeurs : la plateforme gagnante
Pour déverticaliser avec succès, les éditeurs-constructeurs
devront attirer les meilleurs développeurs et les meilleures solutions sur leur plateforme. Pour cela, des approches traditionnelles
ont déjà fait leurs preuves, comme : créer des réseaux de développeurs, les courtiser avec des licences gratuites pour accéder à
la plate-forme et à des outils de développement de plus en plus
sophistiqués, les choyer dans des « Developer Days » qui attirent
les foules et offrent une tribune aux meilleurs pour montrer leur
Le nouvel ordre dans l’industrie du logiciel est-il le monde rêvé du
DSI ? Est-ce que le DSI peut tout simplement opter pour un éditeur-constructeur avec une bonne plate-forme SOA, pour ensuite
choisir les meilleures briques de solution pour chaque tâche sur
un marché ouvert ? Et s’il se trompe dans ses choix ou si ses
besoins changent, il échangera simplement quelques briques par
d’autres ? Pas si sûr !
On peut penser que le problème ne se pose pas dans le monde
du logiciel, car le processus de « fabrication » est moins lourd et
l’intégration de « pièces de rechange » moins complexe. Un vrai
marché de composant pourrait donc se développer, non bridé
par les constructeurs et leurs choix de composants pour « la première monte ». Une vision du monde merveilleux de la cohabitation paisible entre le monde de l’Open Source et les logiciels
propriétaire ?
Peut-être…
IT-expert n°72 - mars/avril 2008
31
Supposons que l’installation d’une nouvelle radio (chaine HIFI)
dans votre voiture soit parfaitement simple. Vous faites monter
l’équipement de vos rêves – et vous êtes désagréablement surpris en constatant que cet équipement ne comprend pas les
signaux qui lui parviennent de votre téléphone ou de votre GPS.
Traduit dans le monde du logiciel : vos composants doivent comprendre le langage de votre système d’information et de ses
autres composants. Comprendre le sens (la sémantique) et non
seulement la syntaxe et la grammaire. Or cette compréhension
demande une standardisation largement au-delà de tout ce que
nous voyons dans les architectures SOA d’aujourd’hui.
Si les DSI, et plus généralement les entreprises utilisatrices, souhaitent un marché ouvert de composants logiciels (de Web Services), ils doivent s’engager à faire naître les standards
nécessaires. Dans le passé, cet engagement a toujours fait
défaut. En partie par l’incompréhension des enjeux de la part
des entreprises (« l’informatique n’est pas notre métier ; a fortiori,
le lobbying pour des standards informatiques ne l’est pas non
plus, et encore moins l’engagement dans le processus de standardisation. »)
C’est pourquoi on peut donc s’attendre à l’émergence d’un marché de composants par plate-forme (par éditeur-constructeur),
où la sémantique des échanges entre composants supportant un
processus de gestion sera imposée par l’éditeur-constructeur.
Le modèle SaaS change-t-il la donne ?
Les adeptes du modèle « Software as a Service » (SaaS) prétendent parfois que tous les problèmes des entreprises s’arrêtent si
elles stoppent l’achat des logiciels, et commencent à les
« consommer » et à les payer à la demande. Demandez et vous
recevez. Cela semble divin – un peu trop peut-être.
Le succès du modèle SaaS s’est principalement fait autour
d’applications simples (comme la bureautique) ou autour de
solutions CRM peu intégrées avec le reste du système d’information des entreprises. Aujourd’hui, le marché connaît une
phase de consolidation de ce modèle – avec les mêmes enjeux
que dans le monde « classique » du logiciel : l’intégration, mais
aussi la lutte des plates-formes pour attirer les meilleures briques de solution. Le SaaS perdra un peu de sa légèreté dans
ce processus.
Les nouvelles générations de progiciels, en SOA, seront toutes
« pure Web » et pourront donc être livrées en mode SaaS ou installées dans les locaux des entreprises. Finis les mondes séparés : « SaaS ou pas SaaS ? » ne sera plus la question. Un
progiciel reste un progiciel, et l’entreprise aura le choix du « mode
de livraison » : installé chez elle, livré « as a Service » ou acheté
et hébergé chez un prestataire sélectionné par elle.
Il faudra donc toujours faire le bon choix d’un éditeur constructeur
(sa plate-forme et son écosystème d’équipementiers). De plus, le
DSI aura le choix de la « livraison » (dans le sens de « delivery »
en anglais) et différentes options de financement. I
32
IT-expert n°72 - mars/avril 2008
Hans-Josef Jeanrond
Analyste, Stratégies Logiciels
Applicatifs, Environnement SAP,
Culture et Objectifs d’entreprise
[email protected]
i
b
t
Inventer l’entreprise du XXIème siècle
Hans-Josef Jeanrond est Analyste au BIT Group pour les stratégies Logiciels Applicatifs et l’environnement SAP, et intervient aussi comme expert pour le domaine de l’innovation et de l’adaptation de la culture aux objectifs de l’entreprise.
Ingénieur en informatique diplômé de Saarbrücken (Allemagne), ayant poursuivi des
recherches à Oxford et Edimbourg, Hans-Josef combine une importante expérience
du monde de la technique et de celui des utilisateurs de technologies dans différents
pays, cultures, langues et mentalités.
Il a plus de 15 ans d’expérience dans la recherche et le développement informatique
et autant dans le marketing et la communication. Il est expert dans la « médiation
Business & IT » pour la traduction de l’innovation en bénéfices utilisateurs et avantages métier.
Fondateur de Jeanrond CMC, société spécialisée dans le conseil en marketing et
communication pour l’industrie High Tech, Hans-Josef s’est associé à la création de
bizcat, cabinet suisse positionné comme catalyseur du business dans les « écosystèmes » constitués autour de certains grands acteurs IT. De 1992 à 1998 il a été
Directeur Marketing et Communication de SAP France.
Le Business & Information Technology (BIT) Group a été fondé par Bernard Dubs sur
le paradigme de convergence Métiers / IT à l’origine de la création du Meta Group en
1989 (« Gartner + Ernst&Young »). Sur le plan international,il occupe de fait la place laissée vacante par le Meta Group, auquel Bernard Dubs a collaboré de 1995 à 1998.
Sa mission est (1) d’accompagner les Comités Exécutifs dans leurs actions de transformation continue faisant levier des TIC pour une croissance profitable et durable
basée sur la différenciation et l’innovation; (2) de faciliter les dialogues entre les
organisations et les offreurs IT&T.
Le BIT Group se différencie (1) par l’approche "Entreprise Cap 2020": une vision stratégique pour l’entreprise, la fonction SI et le système d’information, qui garantit la
cohérence des analyses et recommandations du cabinet dans une logique de création de valeur; (2) par l’expertise de ses analystes, tous dédiés B2B, nativement européens et ayant au moins 20 d’expérience polyvalente "Business & IT", (3) par la
proximité européenne.
Avec 14 analystes de 3 nationalités sur Paris et Londres, le BIT Group est le seul à
pouvoir servir ses clients entreprises et administrations sans faire appel à des américains sur les 3 pôles du Métier Intelligence de la fonction DSI :
- Transformation et pilotage de la fonction SI,
- Le SI au service de l’innovation et du Comité Exécutif
- La performance durable et l’excellence opérationnelle du SI
IT-expert, le « e-magazine »
pour les IT pros
IT-expert, la référence technique
des professionnels de l’informatique
Bimestriel de conseil et d’expertise technique,
IT-expert vous offre l’information essentielle pour
vous former et décider.
LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE
Venez télécharger IT-expert sur le site :
http://www.it-expertise.com
www.it-expertise.com
Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE
Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected]
Abonnez-vous à IT-expert
Je m’abonne 1 an à IT-expert pour 70 ¤ TTC par an (TVA 19,6%)
c’est-à-dire pour l’accès aux 6 N° de l’année téléchargeables sur le site http://www.it-expertise.com
ainsi que pour l’accès aux anciens numéros
Dès parution du nouveau numéro sur le site http://www.it-expertise.com, un e-mail vous sera envoyé.
Si vous ne souhaitez pas recevoir cet e-mail, cocher la case Mme Mlle M.
Nom
Prénom
Société
Fonction
Bon d’abonnement à faxer au
+33 (0)1 46 90 21 20
Adresse
CP
ou renvoyer au Service Abonnements
3, rue Marcel Allégot
92190 Meudon
France
Ville
E-mail
Tél
Fax
Chèque joint à l’ordre de Press & Communication France
Règlement à réception de facture
LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE
Date :
Signature obligatoire :
Abonnez-vous sur www.it-expertise.com/Abonnement
Comment ça marche ?
Cartographie
des SI :
Observez
le présent et
vivez l’avenir
Les projets de référentiels de cartographie en
entreprise ont vu le jour au milieu des années
90 et se sont multipliés au fur et à mesure des
années (avec comme catalyseurs l’an 2000,
l’euro, les fusions, l’externalisation, l’internationalisation…).
Les progiciels spécialisés ont évolué proposant
davantage de types de cartes, de fonctionnalités liées à la navigation et aux restitutions…
Ils ont permis d’outiller les démarches d’urbanisation ainsi que les différentes approches
processus qui se sont progressivement installées dans la gouvernance des DSI.
Ainsi aujourd’hui, toutes les grandes structures privées ou publiques françaises ont déjà
expérimenté ou mis en œuvre, avec plus ou
moins de succès, une démarche de cartographie de leur système d’information.
Malgré un bilan mitigé selon les dimensions
décrites du SI (processus, systèmes, données,
fonctions/services, infrastructure technique…), la cartographie s’est ancrée au cœur
des démarches de conception de SI. Pour s’en
convaincre, il suffit de parcourir les documents
de référence produits lors des études préalables et dans les phases de conception générale.
Si on les compare aux mêmes documents
datant du début des années 2000, on apprécie
avantageusement tout le chemin parcouru.
Même si, pour certains, disposer d’un référentiel de cartes à jour, fiable et exhaustif… n’est
pas pour demain. Certes, la tâche est ingrate
car manuelle, répétitive parfois, et surtout soumise à l’interprétation du modélisateur.
IT-expert n°72 - mars/avril 2008
35
Un marché dynamique…
La cartographie en entreprise aborde aujourd’hui un nouveau
cycle. En effet, la courbe de maturité des projets de cartographie
laisse apparaitre la fin de la première vague des projets (cf.
schéma ci-dessous).
De plus, l’offre évolue fortement ces deux dernières années et les
projets se multiplient. D'ailleurs, de nouveaux outils, solutions, et
techniques voient le jour. Les éditeurs de ce marché de niche
font aujourd’hui l’actualité (rachat de Telelogic par IBM annoncé
en juin 2007 et validé par la commission européenne en mars
2008) et les acteurs historiques précurseurs voient arriver une
concurrence plus large (issue d’acteurs plus généralistes ou de
start-up de seconde génération). En outre, la refonte de l’offre
Mega en 2007 montre l’ampleur du repositionnement général
des produits et des projets à venir.
Plus que jamais, la cartographie reste d’actualité, car le problème
reste que ces 10 dernières années, le nombre des applications a
littéralement explosé (nouvelles technologies, complexité accrue
des systèmes et des échanges pour l’internationalisation des
activités et l’ouverture des SI…). Au-delà d’une certaine taille,
lorsque le SI dépasse par exemple des centaines d’applications,
il n’existe aujourd’hui pas d’autre alternative pour disposer d’une
vision plus « accessible » et exhaustive pour l’ensemble des parties prenantes. Quand on se rend compte que le nombre de serveurs de Google est estimé à près de 500 000, cela nous donne
une vision prospective de la réalité des SI dans les prochaines
années.
Échelle du nombre d’applications (complexité du SI) par
type de structures (estimation 2007) :
Types de structures
Nombre d’applications
Grandes structures
privées/publiques nationales
Entre 100 et 1000 applications
Grandes structures
privées/publiques internationales
Entre 1000 et 5000 applications
Très grandes structures
privées/publiques internationales
Supérieur à 5000 (voire à 10 000)
applications
© Oresys
… et prometteur
Dans les années à venir, la tendance va se poursuivre, et la pratique, les démarches et les outils vont continuer à progresser,
36
IT-expert n°72 - mars/avril 2008
s’industrialiser et se répandre dans les modes de gestion du système d’information.
Et ceci, pour plusieurs raisons :
• les acteurs internes et externes chargés du contrôle et des
audits se sont particulièrement habitués à travailler sur la base de
ces référentiels. Ils auront davantage d’exigences en la matière.
• une culture de la modélisation, de la 3D et de la cartographie en
plein essor… la maturité des acteurs intervenant sur les SI progresse et certains d’entre eux (en Maitrise d’ouvrage ou Maitrise
d’œuvre) accumulent des années de pratiques dans les projets. Ils
diffusent eux-même, sans les consultants, ces bonnes pratiques.
• la complexité des SI va continuer à croitre, certains projets laissent entrevoir une sur-complexité (en nombre d’acteurs, en termes d’architecture…) et de gigantesques quantités d’information
(des milliards de tickets de caisse, des dizaines de millions de
clients ou d’administrés, des milliers d’applications et/ou de serveurs…) qui imposeront toujours plus d’outillage, d’analyse, de
pédagogie et de représentation cartographique.
• la traçabilité des liens entre les couches informatiques et métier
s’impose pour une meilleure maîtrise des changements.
• le capital « immatériel » que constituent les systèmes d’information va être de plus en plus pris en compte dans le bilan des
entreprises. Cette valorisation en tant qu’actifs entraine un besoin
toujours plus important d’outiller le recensement et la maitrise
de ce patrimoine.
Le modèle de Google Maps
Le doux rêve de Google Maps ! Et si les entreprises disposaient
d’un outil pour l’entreprise qui se caractériserait par l’ergonomie, la puissance, la personnalisation, la navigation intuitive, la
performance de la génération automatique…
Et si quelqu’un se chargeait de répertorier et de peupler la vision
de notre patrimoine existant (comme l’IGN le fait en faisant survoler un avion à une fréquence pluriannuelle)… nous n’aurions qu’à
extraire des itinéraires pour chefs de projets et managers des
informations 100 % utiles et opérationnelles pour des retours sur
investissements directs. Les « mashups » du web 2.0 laissent
entrevoir des possibilités variées : cartographie des atterrissages de soucoupes volantes ou des pubs offrant la bière la moins
chère du pays, cartographie mondiale des alertes majeures de
sécurité (cf. http://globalincidentmap.com/home.php ) ou des risques-pays (cf.www.globalriskrating.net).
Affichage cartographie de données - GlobalIncidentMap.com
Le GPS des SI ne sera plus en option dans la boite à outils du
chef de projet. C’est déjà le cas chez les leaders, les entreprises
en croissance qui investissent, convaincues que la cartographie
donne du « sens » et peut constituer aussi une arme de conquête
en cas de fusion, de rapprochement, de partenariat, d’internationalisation et/ou d’externalisation.
Et pourquoi pas la 3D ? Qui s’impose peu à peu dans l’industrie…
Une vingtaine d’éditeurs sur un marché qui se
concentre
Le marché au niveau mondial est dynamique selon Forrester et le
Gartner. Mais pas d’outil magique qui s’imposeLe GPS du chef de projet SI : maitriser les enjeux de l’entreprise
rait dans le paysage à venir.
et la complexité du SI
Les grands acteurs en présence sont en plein
repositionnement :
• Mega, le leader en France, souhaite étendre la
couverture de sa suite logicielle au-delà d’une
plate-forme de modélisation pour être davantage
« incontournable » dans le paysage,
• Aris est de plus en plus « embarqué » (embedded en anglais) dans les projets de mise en
œuvre d’ERP (SAP, Oracle…), et s’impose de fait,
• IBM avec sa plate-forme de conception et d’ingénierie logicielle, vise l’équipement large et
pérenne des DSI en tentant d’imposer sa suite
Rational-Telelogic,
• Troux et Corporate Modeler, editeurs anglosaxons « pure players » (sans activités de services) adoptent un marketing plus agressif et
multiplient les promesses (cf. Troux sur la stratégie
© Oresys
et la gouvernance),
IT-expert n°72 - mars/avril 2008
37
• Soluqiq vise à répondre aux faiblesses actuelles du marché par la
génération automatique des cartes dans son offre,
• Microsoft étend l’utilisation de Visio (notamment avec sa version 2007) sur tous les sujets de représentation visuelle de données dans l’entreprise,
• De nouveaux outils arrivent également liés à la mouvance
« open source » (initiatives prises dans le secteur public et dans
le secteur privé)…
• Une offre plus orientée « low cost » existe et certains outils
s’avèrent intéressants selon les besoins (cf.WinDesign, C-Log).
Au vu du nombre d’acteurs présents (une vingtaine sur le marché
français), et le fait que ce marché constitue toujours encore une
niche en croissance (marché français licenses + services estimé
entre 50 et 80 millions d’euros, cf. étude 2007 Oresys), des acquisitions sont à prévoir dans les deux prochaines années. L’heure
des superacquisitions est terminée et les grands acteurs dans le
domaine du logiciel vont chercher à consolider leur portfolio avec
de petits éditeurs plutôt que des mégaacquisitions.
La tendance « open source » et l’adoption de logiciels libres se rencontrent aujourd’hui davantage dans le secteur public que privé. De
nombreuses initiatives sont actuellement en cours avec un modèle
de revenus générés par l’intégration du produit. Les principales barrières au développement sont généralement le manque de support, la complexité et le manque de maturité des produits.
de plate-forme de conception collaborative 3D ou virtuelle (Dassault, PTC…). Il n’y a aucune raison de ne pas voir ce mouvement
arriver sur les prototypes et le cycle de développement des SI.
D’ailleurs, le spiral development, RUP, les approches incrémentales ou itératives font la part belle aux plateformes de développements et de modélisation.
Les principales fonctionnalités attendues dans l’offre ces prochaines années sont les suivantes :
• La génération automatique de cartes (cf. philosophie SOLUQIQ) : Ne pas avoir à modéliser toutes les cartes à la main !
• Le reporting et l’aide à la décision : utiliser la puissance du
modèle, mais pas uniquement pour la navigation graphique, évoluer vers une exploitation BI du référentiel (cf. matrice d’arbitrage), l’affichage cartographique de résultats de recherche (cf.
Google Labs, « Map View » permet un affichage cartographique
des résultats d'une recherche : tous les résultats sur un même
fond de carte).
• La simulation, la gestion de scénarios, le versionning : apporter plus de valeur ajoutée sur l’analyse, les prévisions…
• La représentation 3D (cf. offre OnMap).
• Les liens « facilités » avec les autres outils de la DSI (CMDB,
MDM…), avec des workflows…
• Le portage technologique sur des ergonomies plus avancées
(rich interface).
• L’émergence de solutions pérennes low cost/open source…I
Perspectives 2010 :
seconde et troisième générations
Le reproche de la modélisation actuelle insiste sur le manque
d’assistance ou d’automatisation : une carte n’est consultable
qu’à partir du moment où elle a été dessinée.
La conception dans l’industrie est aujourd’hui soumise à une
transformation très importante du fait de l’arrivée massive d’offre
De plus en plus d’exemples de cartographies dans
la vie professionnelle et dans la vie quotidienne :
• Cartographie des liens entre individus (réseaux
sociaux, dirigeants, parties prenantes d’une affaire…),
• Carte stratégique,
• Carte du bruit des agglomérations,
• Représentations graphiques 3D (+imprimantes et
scanneurs 3D) dans la conception assistée par ordinateur dans le développement de nouveaux avions, de
nouvelles voitures, dans la recherche pharmaceutique…
• Cartographie de la blogosphère,
• Cartes géographiques interactives (la géolocalisation),
par exemple sur internet : cadastre, Google Maps &
Google Earth, nouveau site IGN…
• Carte des risques opérationnels,
• Carte des flux logistiques,
• Postes de supervision et de commandement (« tour
de contrôle »),
• Cartes heuristiques…
© Oresys
38
IT-expert n°72 - mars/avril 2008
Nicolas GRZECZKOWICZ
Responsable du pôle
de compétences cartographie
Oresys - http://www.oresys.eu
[email protected]
A propos d’Oresys
Société de conseil indépendante de 200 consultants, ORESYS aide ses clients à
• piloter leurs activités,
• améliorer leur performance,
• mettre en œuvre leurs projets de transformation.
Oresys intervient sur toutes les dimensions : métier, organisation, processus, système
d’information, accompagnement du changement, risques.
Pour mieux accompagner nos clients DSI confrontés à la mise en ouvre volontaire ou
imposée de l’offshore, ORESYS a complété et adapté les méthodologies de conduite
de projet.
Un ensemble d’outils pratiques ont été élaborés pour accélérer et sécuriser le
cadrage, la conduite du projet.
http://www.oresys.eu
Livres
La virtualisation pour les nuls
Certes, nous présentons ici un livre en anglais, mais très complet et très pédagogique. Daté de décembre 2007, espérons qu’il sera traduit dans quelques
semaines. En attendant, seul un autre ouvrage français est annoncé sur le sujet,
et sa publication prévue en mars 2008 a été repoussée.
L’auteur présente les avantages de la virtualisation à travers quatre leviers favorisant l’émergence de ces technologies : les matériels sous-exploités, le manque
de place dans les datacenters, les coûts en consommation énergétique, et les
coûts d’administration.
Puis, de façon très pédagogique, le livre explique les notions fondamentales :
virtualisation de système d’exploitation, émulation matérielle, paravirtualisation, applications virtualisées, consolidation de serveurs, haute disponibilité et
load-balancing, clustering, reprise sur incident… Le lecteur appréciera les
visuels (Attention, remarque, truc et astuces…) qui facilitent la lecture et les
schémas et tableaux bien pensés, bien qu’en noir et blanc.
Virtualization for Dummies
Bernard Golden
Éditions For Dummies
362 pages – environ 22 euros
Visibilité sur le web
Spécialiste de terrain mondialement reconnue et conférencière, Shari Thurow
propose un livre simple et didactique. Elle fait profiter le lecteur de son expérience
Web bâtie auprès d’illustres clients (AOL, Microsoft, HSBC, ABC News…). Outre
une analyse très pertinente des mécanismes de référencement utilisés par les
grands moteurs de recherche, l’auteur expose sa méthodologie éprouvée pour
optimiser son site et son référencement. Choix des outils existants sur Internet,
capture d’écrans, listes généreuses de mots… Shari Thurow ne se prive pas
d’exemple et de conseils sans langue de bois et sans approche idéaliste. Et
bien entendu, aucun aspect n’est oublié dans cet ouvrage de 314 pages : règles
de webdesign, générateurs de mots-clés, placement des mots, texte/image,
balises, langues étrangères, caractères spéciaux… Bref, un condensé incontournable qui s’impose comme un ouvrage de référence.
Visibilité sur le web
Shari Thurow
Éditions Pearson
314 pages – environ 28 euros
IT-expert n°72 - mars/avril 2008
39
Fenêtre sur cour
Interview de Philippe OTTIN,
Responsable système et réseaux
de la société Weishardt
Le groupe Weishardt, créé en 1839, spécialisé dans la fabrication de gélatines alimentaires, pharmaceutiques
et techniques est le 4ème producteur mondial dans ce domaine. Il compte 500 employés répartis sur 9 sites
en France et à l’étranger. Monsieur Ottin, responsable système et réseaux du groupe, a accepté de nous parler de la mise en œuvre de la virtualisation de son infrastructure d’entreprise.
I Pourriez-vous nous présenter le service informatique de
votre société et nous expliquer vos problématiques ?
Philippe Ottin : Nous sommes un Groupe international, mais
avant tout une PME. Nos problématiques sont les mêmes que
celles des grands groupes mais nous n'avons malheureusement
pas les mêmes ressources ni les mêmes moyens.
I Dans quels buts avez-vous mis en place un projet
de virtualisation ?
Philippe Ottin : La mise en place d’un ERP (JD Edwards,
devenu depuis Oracle Enterprise One) au sein du groupe en
2001 nous a naturellement amenés à repenser la manière dont
nous gérions le SI. En effet, l’ERP touche tous les sites du groupe
et représente une application vitale pour notre activité. Sa mise
en œuvre a nécessité une refonte quasi-totale de notre architecture auparavant basée sur des machines IBM AS/400 répartis
dans les filiales avec des postes utilisateurs sous PC « lourds ».
De plus, nous souhaitions également normaliser les processus
métier, réaliser des économies, gagner en réactivité, partager
en temps réel les mêmes données et les mêmes applicatifs... et
enfin d’obtenir une disponibilité et une fiabilité maximales. La
seule possibilité nous permettant d’atteindre facilement et efficacement ces objectifs reposaient sur une architecture totalement
centralisée basée sur la solution Citrix Metaframe en ce qui
concerne les accès clients.
I Quelles étaient vos contraintes en terme de fiabilité, sécurité,
coûts, délais… ?
Philippe Ottin : Bien que ne disposant d’aucun informaticien sur
nos sites distants, nous avons besoin d’une disponibilité maximale des applications du SI et d’une grande réactivité en cas de
problème. D’autre part, les coûts exorbitants des liaisons réseau
à l'international obligent à être vigilant sur les débits. En outre,
nous envisagions de mettre en place un incontournable Plan de
Reprise d'Activité. Enfin, nous désirions conserver la possibilité de
faire évoluer facilement nos outils logiciels ou matériels.
40
IT-expert n°72 - mars/avril 2008
I Quels outils avez-vous utilisé ?
Philippe Ottin : Nous avons initié le déploiement de Citrix Metaframe en même temps que notre ERP en 2001. Tous les utilisateurs du groupe travaillent donc sur un bureau Windows partagé
sous Citrix sur les serveurs situés en France. Nous avons mis en
place un accès à Citrix Metaframe via une passerelle Citrix Secure
Gateway pour nos employés nomades et télétravailleurs.
Par la suite, nous avons décidé de mettre en place la solution
XenSource associé au logiciel Datacore San Melody (solution de
virtualisation de stockage iSCSI en haute disponibilité) pour les
applications/services Linux afin de faciliter la gestion de ceux-ci en
terme de gestion du parc de serveurs (hard, maintenance), de disponibilité, de Plan de Reprise d’Activité (PRA) et enfin de gestion
des sauvegardes.
I Pourquoi Citrix et XenSource ?
Philippe Ottin : Citrix s’imposait, et cela semble toujours d’actualité, comme LA solution de publication d'applications offrant
tout un panel de possibilités (load balancing, publication d'application/bureau, gestion du trafic réseau...) correspondant à notre
besoin et permettant de faire évoluer très simplement notre SI.
Concernant XenSource, nous utilisons la partie libre de Xen. Ce
choix s’est imposé. En effet, Xen est LA solution du monde du libre
en ce qui concerne la virtualisation, et le projet est supporté par de
grands contributeurs. Il faut d’ailleurs noter que le rachat de Xen
par Citrix nous a conforté dans notre choix.
Au départ, nous avons commencé à utiliser XenSource uniquement pour des questions de consolidation de serveurs. Lorsque
nous avons acquis le logiciel Datacore San/Melody, nous avons
naturellement accéléré ce processus de migration sous Xen. Tous
nos services Linux sont désormais sous Xen.
I Avez-vous envisagé des solutions alternatives ?
Philippe Ottin : Dès 2001, nous avons rapidement étudié les
solutions TSE/RDP de Microsoft que nous avons jugées trop peu
évoluées. Concernant XenSource, nous sommes partis sur ce
produit sans aucune hésitation.
I Quels sont les principaux bénéfices de ce projet ?
Philippe Ottin : Tous les besoins exposés plus hauts sont très largement adressés par la virtualisation et ont été atteints : l’architecture IT est fiable et disponible, ce qui permet à nos collègues de
pouvoir gérer la partie métier qui leur incombe sans encombres.
Il est à noter que le taux de disponibilité du SI et la satisfaction des
utilisateurs sont des indicateurs que nous mesurons périodiquement et qui font partie de l’Assurance Qualité du groupe.
I Pouvez-vous évaluer les gains financiers apportés par les
solutions retenues ? Réduction des coûts ? Maîtrise des
dépenses ? Retour sur Investissement ?...
Philippe Ottin : Impossible à chiffrer tant les solutions que nous
avons mises en oeuvre autour des solutions de virtualisation Citrix
et Xen sont omniprésentes. Notre architecture se bâtit et évolue
en permanence autour de ces 2 briques fondamentales.
Les grands axes de ROI sont :
• Coût du réseau international : nous utilisons désormais un
réseau international entièrement basé sur Internet et construit
autour d’une solution de tolérance de panne. Une caractéristique
qui en fait un réseau excessivement fiable, performant, très évolutif mais aussi avec un coût plus que très nettement inférieur à
une solution opérateur classique.
• Coût de possession des clients légers : les clients légers
représentent plus de 85 % de notre parc. Le coût de possession
de ce type de poste est très faible (pas de disque dur, faible
consommation électrique, OS peu ou pas modifiable). La rotation
du parc de postes de travail est supérieure à 5 ans… De plus, peu
ou pas de maintenance ou d’intervention sur les postes.
• Simplicité d’administration, déploiement : il est plus facile
de déployer une application sur une dizaine de serveurs répartis
sur 2 salles que 250 postes répartis sur 8 pays… De plus, nous
utilisons fréquemment des serveurs de test pour maquetter et
procéder à des tests de non-régression sur les solutions que nous
souhaitons déployer ou mettre à jour.
• Souplesse, flexibilité et évolutivité : l’architecture que nous
avons mise en place permet de manière simple et rapide de nous
adapter aux besoins du groupe. Par exemple, nous avons pu intégrer notre nouvelle usine canadienne en une semaine seulement…
• Disponibilité du SI : une architecture centralisée est bien plus
facile à gérer/surveiller qu’une architecture distribuée mais son
exploitation nécessite de la rigueur. Nous sommes bien plus réactifs pour anticiper les problèmes qu’auparavant. Le taux de disponibilité du SI et la satisfaction de nos utilisateurs le démontrent.
I Quelles difficultés avez-vous eu à résoudre ou à contourner ?
très nombreux avantages, mais elle nécessite une rigueur de tous
les instants. Ainsi, il a fallu créer une organisation autour de cette
architecture afin qu’elle reste homogène, pertinente mais surtout
d’une fiabilité à toute épreuve. La moindre erreur peut avoir des
conséquences fâcheuses avec un impact non-négligeable.
Concernant la mise en place de Citrix Metaframe, nous avons
tout d’abord eu à gérer la problématique des langues et des
alphabets différents de nos utilisateurs. En effet tous les utilisateurs travaillent sur les mêmes serveurs. Il fallait donc qu’un japonais puisse taper ses mails dans son alphabet pendant qu’un
utilisateur slovaque affichait un texte en russe et qu’un espagnol
travaillait dans sa langue sur l’ERP. Autre point capital, nous avons
choisi de gérer le paramétrage de toutes les applications de nos
serveurs via des scripts afin de pouvoir intégrer facilement toute
modification.
Concernant la mise en place de Xen, l’association Xen et du
iSCSI nous a posé le plus de problèmes. Cette architecture peu
répandue, nous a obligé à procéder à de nombreux tests et à
créer des outils afin de garantir la fiabilité que nous exigeons, tout
en conservant une souplesse maximale.
I Comment envisagez-vous l'évolution du SI de votre
entreprise ?
Philippe Ottin : Nous souhaitons pousser la virtualisation le plus
possible, notamment en virtualisant sous XenSource un serveur
Citrix non redondant mais aussi des services Windows vitaux
(service de fichiers, d’impression). Nous sommes en train de
maquetter ces solutions.
Autre possibilité dans un second temps, mettre en cluster les serveurs Xen pour garantir une disponibilité encore meilleure. Pour
l’instant, la reprise, en cas de sinistre majeur est manuelle, mais
grandement facilitée par la virtualisation…
Nous évaluons également actuellement la convergence voix/données/visio sous Citrix qui est un point stratégique pour nous. En
effet, nous souhaitons à moyen terme mettre en place une solution de service de communication sur IP (ToIP, visio, conférences…) pour le groupe. Nous sommes en train de réfléchir aux
différentes options qui s’offrent à nous. Il est évident que la capacité de Citrix à supporter ou non cette convergence sera déterminante pour la suite.I
Philippe OTTIN
Philippe Ottin : Comme dans tout projet de cette ampleur, les difficultés rencontrées ont été nombreuses. La virtualisation a de
IT-expert n°72 - mars/avril 2008
41
Rubrique à brac
Sécuriser les environnements
applicatifs sous Citrix
À l’heure de la virtualisation, de
nouvelles failles de sécurité
émergent, et Citrix rencontre un
succès confirmé auprès des
entreprises. Toutefois, quelques
dispositions s’imposent pour éviter la perméabilité entre applications, et pour sécuriser les
fichiers que les attributs par
défaut rendent vulnérables.
42
IT-expert n°72 - mars/avril 2008
La virtualisation apporte une réponse pertinente et adaptée aux
entreprises confrontées à des problématiques de performances,
de sécurité, de maitrise des coûts, de déploiement, ou de mutualisation des ressources. Cet étalage non exhaustif d’avantages
proposés par la virtualisation décrit en fait des concepts très différents, bien que représentés sous la même appellation. Ainsi, les
serveurs lames (blade) ou les réseaux de stockage (San) sont
des systèmes de virtualisation de ressources matérielles. Toutefois, les principales manifestations de la virtualisation sont :
• La virtualisation de serveurs dont les deux principaux acteurs
sont VMWare et Microsoft propose la mutualisation sur une
machine physique de plusieurs machines virtuelles indépendantes les unes des autres et « vues » comme des machines
physiques distinctes. Elle couvre une problématique de mutualisation de ressources généralement sous-exploitées, associée à la nécessité d’isoler des machines assumant des
fonctions différentes au sein de l’entreprise. Enfin, elles représentent une réponse peu onéreuse pour assurer l’obligation
de continuité de l’activité. La somme de ces avantages explique que la virtualisation rencontre un succès croissant auprès
de nombreuses directions informatiques.
• La virtualisation d’applications, évoquée dans cet article,
répond à de tout autres contraintes au premier rang desquelles on trouvera le déploiement des applications métiers utilisées au sein de l’entreprise. Nouvelles versions des
applications, runtimes, et couches middleware représentent
autant de briques indispensables au bon fonctionnement
d’une application et très sensibles au changement. L’émergence des utilisateurs nomades de ces applications accroit la
difficulté en y apportant une contrainte supplémentaire de performances et de sécurité des applications.
Souplesse et disponibilité de la virtualisation
d’applications
Actuellement, on distingue sur le marché deux types de virtualisation d’applications. La plus courante au sein des entreprises
met en œuvre le déport d’affichage via les technologies ICA de
Citrix et RDP de Microsoft (Independent Computing Architecture et Remote Desktop Protocol). On trouve également le streaming d’applications de Citrix, correspondant à l’offre SoftGrid
chez Microsoft. Cette technologie encore peu implémentée permet de charger des applications sous forme de services applicatifs à la demande. Cet article s’attache à la première technologie,
la plus aboutie et la plus déployée.
Quelle est la problématique liée aux applications installées sur le
poste de travail d’un utilisateur ? Ces applications dites « lourdes »
sont pour la plupart consommatrices de charge processeur et
réseau, et d’accès disque. Les temps de traitement d’une application utilisée localement sur le poste de travail sont directement liés
à la connectique de la machine, qui se trouve généralement sur un
site différent de celui du Datacenter, mais aussi à la puissance de
la machine cliente en elle-même. L’administration de l’ensemble du
parc applicatif (installation, patch, versionning) devient problématique du fait de la multiplication des points de distribution.
Pour remédier à ce problème, la virtualisation d’application
confère aux applications une indépendance vis-à-vis du poste de
travail. Ainsi, l’application qui était déployée sur les postes clients
est désormais installée directement sur un serveur de type Citrix
Presentation Server ou Terminal Server de Microsoft. Ce serveur
prend en charge le déport d’affichage des différentes applications
vers de simples postes banalisés. L’utilisateur quant à lui gardera son environnement (montage des disques locaux et
réseaux, imprimantes et profils applicatifs).
La centralisation d’application sur des serveurs de présentation
apporte :
• rapidité de déploiement du fait du nombre réduit de serveurs,
• performance au niveau des temps de traitement,
• disponibilité depuis n’importe quel site,
• réduction des coûts de gestion,
• sécurité centralisée.
Fermer la porte aux nouvelles possibilités d’intrusions
Cette forme de virtualisation d’application semble résoudre une
grande partie des problématiques actuelles. Néanmoins, l’exécution d’une application depuis un serveur Citrix pose le problème
d’une politique de sécurité satisfaisante.
Pour se rendre compte du nombre de failles qui représentent
autant de points d ’entrée vers un système d’information via le
protocole ICA, il suffit de taper sur Google « ext:ica ». Le nombre
de réponses obtenues est édifiant et met en exergue l’envergure
du problème.
Le cloisonnement physique et logique deviennent indispensables pour limiter au maximum toute tentative d’intrusion.
Une première étanchéité avec le cloisonnement physique
De façon traditionnelle, le cloisonnement physique est mis en
œuvre dans les entreprises qui permettent un accès depuis l’extérieur à certaines de leurs ressources, le plus souvent un serveur
Web ou FTP. Le cloisonnement est assuré par les firewalls filtrent
le trafic réseau et ne laissent passer que les paquets utilisant des
protocoles réseau autorisés. Le niveau de cloisonnement dépend
alors du type d’accès aux ressources. Celui-ci doit assurer une
étanchéité complète des ressources internes de l’entreprise visà-vis de celles mises à la disposition de l’extérieur.
Comme l’illustre le schéma, l’accès du serveur Citrix à des ressources de l’entreprise (serveurs d’application, de base de don-
IT-expert n°72 - mars/avril 2008
43
nées…) nécessite l’isolement par un firewall du serveur de présentation (Web Interface Secure Gateway) accessible depuis
l’extérieur.
Les mécanismes qui permettent la mise en œuvre du cloisonnement logique des applications ne sont pas spécifiques à Citrix ou
Microsoft Virtual Server. Ils sont intégrés aux systèmes d’exploitation Microsoft mis en œuvre sur ces serveurs.
Citrix étant une sur couche de Terminal Services, il faut opter
pour l’option « Full Security » lors de l’installation de Terminal
Services, afin d’empêcher les utilisateurs de modifier les fichiers
et registres systèmes du serveur.
Des applications isolées grâce au cloisonnement logique
Moins connu, car fortement lié au concept de virtualisation d’applications, le cloisonnement logique vise à isoler entre elles les
diverses applications hébergées par le serveur d’applications.
Ces dernières pouvant être de natures différentes (CRM, comptabilité, développement…) ne doivent pas être accessibles à tous
les membres de l’entreprise.
Le filtrage sera effectué au niveau de la couche utilisateur en
gérant son appartenance à un groupe ou un domaine. Ainsi, l’utilisateur habilité à ces applications ne doit en aucun cas sortir de
sa zone applicative.
44
IT-expert n°72 - mars/avril 2008
Les stratégies de groupes sont très utiles pour une gestion centralisée des serveurs Citrix. Et l’une des stratégies les plus utilisées est baptisée « User Group Policy loopback processing
mode ». Sa spécificité : elle ne prend effet que lorsque le profil de
l’utilisateur est chargé sur le serveur Citrix. Donc, les stratégies
activées côté utilisateur seront prises en compte lorsque l’utilisateur lancera sa session ICA ou RDP. Ce mode de fonctionnement est un atout pour une bonne gestion de la sécurité des
serveurs Citrix.
Ci-dessous un exemple classique de stratégie de groupe :
• masquer les disques du serveur,
• interdire le listing du contenu des disques du serveur,
• interdire la connexion des lecteurs disques du poste client,
• interdire les scripts batch,
• désactiver les aides des applications,
• interdire l’accès aux composants du panneau de configuration,
• interdire l’accès aux périphériques du serveur,
•…
Les macros
Les logiciels bureautiques sont devenus indispensables dans
l’environnement des utilisateurs. La suite Office en est un exemple, et les macros sous Excel ou Word offrent une panoplie d’outils permettant de lancer facilement des commandes systèmes,
des requêtes vers des bases de données via des scripts VBA.
Des modèles d’administrations sont fournis par Microsoft pour la
gestion de la sécurité des Macros sous Office.
Il est important d’appréhender la portée des actions pouvant être
effectuées via ces macros afin d’appliquer des règles de sécurité
adaptées. Ainsi l’exécution d’une commande via une macro se
fait par le biais de la librairie système « scrrun.dll ». L’attribution
de restrictions des droits NTFS sur cette librairie permet d’en
limiter voire empêcher l’usage.
Applications fourbes
Pour un meilleur filtrage des utilisateurs, le recours aux droits
NTFS est fortement recommandé, voire incontournable. Par
exemple, si l’on examine les droits par défaut d’un dossier sous
Windows Server 2003, le groupe « Users » de la machine locale
est autorisé à lire et à exécuter n’importe quel programme dans
quasiment tous les lecteurs présents de la machine.
Dans ce cas, il faut absolument ré-attribuer les droits en spécifiant pour chaque dossier de l’application le groupe de l’application concernée. L’utilisation d’un script de type KIX, VBS et
l’utilisation d’une commande à distance comme « psexec » permettent d’automatiser la tâche. Centralisation, standardisation
sont les maitres mots pour une gestion d’une sécurité homogène au sein du parc informatique.
La virtualisation d’applications représente pour nombre d’entreprises un atout non négligeable que peu d’entre elles sont prêtes
à remettre en question. La grande souplesse qu’elle apporte ne
doit pas masquer les nombreux problèmes de sécurité qui
accompagnent la mise en œuvre de tels systèmes. Et si la sécurité vis-à-vis de l’extérieur (intrusion) reste un aspect appréhendé
à sa juste mesure par les RSI, les risques nouveaux, comme le
manque de cloisonnement des applications, sont directement
liés au concept de virtualisation et plus rarement anticipés.I
Certains applications pour le moins anodines peuvent devenir des
collecteurs d’informations voir des backdoors dans votre système
d’information. Citrix étant basé sur Windows, sa sécurité est liée à
celle du système d’exploitation et donc aux différentes stratégies
de groupe ou de droits NTFS qui y sont appliquées. On trouve des
applications métiers qui fournissent leurs propres outils de diagnostic assez vastes (Explorateur, Telnet, ping, voir scanner).
Depuis l’arrivée de Windows Server 2003, le module « Appsec »
présent dans Windows Server 2000 a été implémenté directement dans les stratégies de groupes dans Windows Server 2003
sous le nom de « SRP : Software Restriction Policy ».
Cet outil permet d’autoriser ou non l’exécution d’une application. La configuration par défaut étant pour un utilisateur
connecté sur le serveur Citrix : lecture/exécution. Alors, un utilisateur peut exécuter un programme autre que celui auquel il a été
habilité. C’est justement cette possibilité de bascule depuis une
application autorisée vers une autre application non autorisée
qu’il faut restreindre au maximum.
Dans cet exemple, le programme « Open Office » est autorisé. En
revanche, l’exécution de programme dite « système » est prohibée, comme les commandes : FTP, command.com, etc.
Guillaume LEANG
Ingénieur système
chez ITS GROUP
À propos d’ITS Group
ITS Group propose une offre de services à forte valeur ajoutée dont l'objectif est de
garantir aux utilisateurs de plates-formes distribuées et mobiles un haut niveau de disponibilité, de sécurité et d'accessibilité aux informations.
En appui sur une expertise reconnue en industrialisation des infrastructures qui représente plus de 70 % de son activité, ITS Group a étendu son savoir-faire pour accompagner les entreprises à maîtriser et à moderniser leur système d’information dans un
cadre d’environnements complexes. L'intégration de sociétés a permis à ITS Group de
renforcer son expertise autour des infrastructures tout en apportant de nouveaux pôles
de compétences complémentaires.
IT-expert n°72 - mars/avril 2008
45