L`Essentiel des Conférences CRiP Thématiques
Transcription
L`Essentiel des Conférences CRiP Thématiques
Les Essentiels Club des Responsables d’Infrastructure et de Production 2013 2014 L’Essentiel des Conférences CRiP Thématiques Saison 2013-2014 Sommaire des Essentiels 2013-2014 - ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain p3 Essentiel n°22 du 23 septembre 2013 - Le Big Data au service des métiers p7 Essentiel n°23 du 16 octobre 2013 - Les services IT dans le cloud p 11 Essentiel n°24 du 3 décembre 2013 - Supervision, orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT p 15 Essentiel n°25 du 21 janvier 2014 - Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets p 21 Essentiel n°26 du 19 mars 2014 - Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing p 25 Essentiel n°27 du 27 mars 2014 - L’optimisation des datacenters : une priorité pour les DSI p 29 Essentiel n°28 du 09 avril 2014 - Outsourcing : sans cesse sur le métier… p 33 Essentiel n°29 du 09 avril 2014 - Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d’activité p 37 Essentiel n°30 du 16 avril 2014 A propos du CRiP - Au services des membres du CRiP p 41 - ITES Deauville 2015 : ruptures d’usages et de technologies à l’horizon 2020 p 51 - Feuille de route des 16 groupes de travail du CRiP p 59 - Près de 300 Grandes Entreprises et Administrations adhèrent au CRiP p 63 - Les 7 bonnes raisons d’adhérer au CRiP p 64 - Le CRiP se développe en région et à l’international p 65 - IT innovation Forum : la sélection de +120 solutions innovantes p 67 Club Club des des Responsables Responsables d’Infrastructure dede Production d’Infrastructuresetet Production # 22 Novembre 2013 Poste de travail, Mobilité, Collaboration CRiP Thématique ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain L’évolution du poste de travail n’est pas une option mais un impératif dicté aussi bien par l’obsolescence des solutions en place que par les nouvelles demandes des utilisateurs et des métiers. Le modèle du PC pour tous a vécu, et cède la place à une multiplicité de terminaux et de modèles d’accès à un environnement de travail capable d’accompagner l’utilisateur dans ses besoins et ses mouvements. Le contexte En quelques phrases La conférence CRiP Thématique du 23 septembre 2013 était organisée par le Groupe de Travail Desktop Nouvelle Génération du CRiP, et parrainée par Jean-Paul Amoros, Directeur de la Production GDF SUEZ. Le Groupe de Travail Desktop Nouvelle Génération se réunit tous les mois pour débattre des évolutions en cours dans le domaine des environnements de travail qui ne se réduisent pas au PC, mais incorporent aussi les nouveaux terminaux (smartphones, tablettes) et sont marqués par l’importance croissante de la mobilité. • Le poste de travail ne se limite plus au PC • La mobilité et le ByoD constituent des horizons inévitables de toute évolution des environnements de travail • L’identification de types d’utilisateurs est une démarche préalable à tout projet d’évolution des postes de travail • La notion de master monolithique a volé en éclat au profit de masters modulaires • Le poste virtuel se propage, même si son modèle économique reste difficile à maîtriser Cette journée d’intervention était avant tout composée de retours d’expériences avec les témoignages d’ADP, de BNP Paribas, du Conseil Général des Hauts-de-Seine, de Damart, de la FNAC, de la Gendarmerie Nationale, de GDF SUEZ et de Praxis. Pierre Mangin, directeur des études du CRiP y a aussi présenté les résultats de l’enquête CRiP Index Stratégies des Devices Mobiles consacrée à l’adoption des différentes catégories de terminaux mobiles chez les adhérents du CRiP, aux options du ByoD, et au déploiement d’outils de type MDM (Mobile device management). • Linux et les logiciels libres constituent des alternatives crédibles, mais qui demandent une vaste gestion du changement 3 Ce qu’il faut retenir Cependant, quatre grands profils apparaissent avec régularité : La coloration générale de l’événement ne laisse pas le moindre doute : le temps du PC tailleunique, gris, posé sur le coin du bureau, est fini. La solution qui consistait à proposer un desktop ou un portable sous Windows à la totalité des collaborateurs de l’entreprise ne fonctionne plus. Lors d’une migration technique, en réponse à une demande métier, pour résoudre un problème ponctuel, la palette de solutions s’est ouverte : client riche traditionnel Windows, poste Linux, virtualisation de poste ou d’applications, client léger, smartphone, tablette, Desktop-as-a-Service, à chaque entreprise de choisir, de combiner, de décliner les solutions selon ses besoins. • l’utilisateur commercial fortement mobile qui doit pouvoir se connecter de partout, • le travailleur du savoir (knowledge worker) qui a besoin d’un poste bureautique riche et complet, • l’utilisateur qui n’a besoin que d’une messagerie électronique et de quelques logiciels métiers accessibles en mode distant, • l’utilisateur technique qui exige un poste spécialement musclé aussi bien en matériel qu’en logiciel. L’établissement de cette nomenclature basée sur les usages est une étape préliminaire qui permettra par la suite de réaliser les choix techniques adéquats. Ce travail de segmentation a aussi fait évoluer la notion de Master. Le Master inclut désormais une famille de configuration, ou de combinatoires, et non plus une configuration unique, par exemple en proposant plusieurs couches modulaires « Nous avons une couche de base ‘corporate’ qui comprend la bureautique, les applications d’entreprise, les paramètres de sécurité globaux ; une couche de localisation par pays et des couches propres à chaque service ou département. Aucune couche ne peut altérer la sécurité de celles qui se trouvent en dessous d’elle », témoigne un des intervenants. La situation est bien résumée par un intervenant qui souhaite « sortir du poste de travail traditionnel : passer à une offre de services de postes de travail, disponibles à tout moment, de partout, depuis tout terminal. » Une démarche qui impose de rendre les différentes couches du poste de travail aussi indépendantes que possible, d’assurer la mobilité des données avec une solution de type ‘box en ligne’ pour faciliter le stockage et le partage, et d’utiliser la virtualisation pour garantir un important niveau d’élasticité. Différencier les utilisateurs pour différencier les services Le Poste virtuel : bien ancré dans le paysage Aucune entreprise ne peut plus désormais s’épargner une sérieuse analyse de sa population d’utilisateurs ainsi qu’une segmentation selon les usages et les besoins afin de mettre en place un catalogue de services adapté. « Dans certains de nos métiers où la consultation des documents importe plus que leur modification, la tablette s’avère suffisante pour une grande partie des usages », témoigne un des intervenants. « Un examen un peu poussé nous a montré qu’un poste virtuel accessible depuis un terminal partagé suffisait pour une partie de nos utilisateurs », confirme un autre. Le résultat de cette analyse des usages varie bien entendu selon chaque entreprise en fonction de ses activités : pas question de se baser sur une typologie standard. La richesse des retours en témoigne : le poste de travail virtualisé sur un serveur (modèle VDI : Virtual Desktop Infrastructure) a fait son entrée dans de nombreuses structures où il a trouvé en quelques années toute sa place. « Ce type de poste de travail peut s’appliquer à 80 % des utilisateurs », considère l’un des participants qui l’a mis en œuvre en réponse à un problème ponctuel, mais compte en étendre le champ d’utilisation. En effet, le VDI reste un moyen pratique de résoudre des cas d’usage complexes ou à la marge : - éviter tout stockage de données en local, - donner accès à plusieurs environnements nettement isolés depuis un même poste, - assurer un déploiement homogène des configurations sur un nombre important de postes disséminés, - fournir un poste à un prestataire temporaire. 4 L’investissement initial est cependant plus élevé qu’avec une infrastructure de postes de travail classiques, puisqu’il faut des serveurs et du stockage additionnels, de l’espace en salles machines, ainsi qu’un réseau correctement dimensionné. « L’investissement additionnel peut être de 15 à 20 % affirme un intervenant. Mais dans un second temps, le cycle de vie du parc s’allonge et passe de 4 ou 5 ans à 10 ans ». Bien sûr, la gestion des périphériques reste un vrai problème, qui s’avère parfois insurmontable et impose de conserver quelques postes avec des OS natifs. « D’un autre côté, monter un PRA pour les postes de travail est bien plus facile une fois que vous avez consolidé vos VM sur quelques serveurs qu’il est aisé de dupliquer sur un deuxième site », constate un intervenant. Une telle migration s’inscrit forcément dans un projet de longue haleine : choix des standards ouverts dès 2004, wébisation massive des applications, choix du mode client léger pour l’accès à certaines applications ne pouvant pas passer en mode Web. « La plus grosse adhérence à surmonter a été l’abandon de la suite Office qui a demandé une forte gestion du changement ». Pourtant, le modèle économique global reste problématique. « Le RoI du poste de travail virtuel n’est pas évident à établir, les gains à court et même à moyen terme n’apparaissent pas si évidents. Même si on s’épargne les déploiements capillaires », témoigne un intervenant. « J’avais du mal à trouver un argument économique convaincant, et ce qui l’a finalement emporté a été la possibilité de mettre en œuvre un plan de continuité d’activités automatisable au niveau des postes de travail, ce que nous étions jusque-là incapables de faire. Sans cet élément, nous n’aurions jamais pu vendre le projet à notre direction », assure un autre. Attention tout de même « nous avons quelques applications qui demandent plus de 30 Go de mémoire vive. Celles-là ne sont pas éligibles à la virtualisation » ; par ailleurs, comme le note un des intervenants, « Le VDI pose aussi des problèmes de redimensionnement de réseau et de datacenter ». La Mobilité et le ByoD, compagnons de route Les questions que pose la mobilité n’étaient déjà pas simples. Mais voici que mobilité et Bring-your-ownDevice – la possibilité donnée aux collaborateurs de connecter leurs propres équipements au système d’information de l’entreprise – paraissent comme deux enjeux étroitement liés. Au point qu’il faut les envisager ensemble. « Nous anticipons le fait que l’accès en mobilité va prendre le pas sur l’accès fixe, et que le ByoD deviendra une réalité à plus ou moins long terme. Et enfin, on ne peut pas offrir moins à nos collaborateurs qu’à nos clients, pour lesquels nous avons déjà déployé des offres mobiles », résume un participant. Tout se tient. La mobilité se répand rapidement dans les usages personnels, les utilisateurs veulent pouvoir utiliser leurs terminaux privés pour se connecter au SI de l’entreprise, et pas question de ne pas fournir aux collaborateurs ce qu’on sait faire pour les clients. Le ByoD suppose aussi un travail en amont d’identification des populations et des services, le 5 L’Essentiel « Nous avons migré 37 000 postes sous Linux et comptons en avoir à terme 72 000 », témoigne l’un des intervenants. La démarche est rare, presque unique, mais pas impossible. La migration ne sera cependant pas totale : certains postes Windows vont perdurer, faute de moyen de s’en passer, pour des applications spécifiques en particulier. Les gains d’une telle démarche ont été doubles dans le cas évoqué. Des économies de licences significatives ont d’abord été obtenues, mais de façon tout aussi significative, cette migration a été l’occasion de refondre entièrement le modèle de déploiement et de télé-administration. « Cette opération nous a permis de réduire de 40 % le TCO de nos postes de travail, et de limiter les interventions de techniciens sur sites. Notre seul coût résiduel, c’est désormais l’équipe technique en charge de la maintenance ». CRiP Thématique : ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain Le poste Linux Mais la solution VDI présente aussi des avantages qui incitent à la déployer pour des usages plus courants : gestion centralisée des politiques de sécurité, maintenance à distance simplifiée qui limite les interventions sur site aux seules pannes matérielles (elles-mêmes pouvant être prises en charge directement par le fournisseur des matériels), allongement du cycle de vie des terminaux, simplification du déploiement pour les entreprises ayant une implantation très disséminée, etc. même que nous avons vu s’appliquer aux postes de travail en général. « C’est particulièrement important dans une démarche ByoD : quelle population accepter et pour quels services sont les premières questions, mais ensuite, il faut aussi se demander quels modèles de matériel accepter, et quels sont les risques associés ; par exemple le vol ou la perte peuvent avoir des effets très différents selon le type de services auxquels accède le terminal. Plus généralement, dès que vous faites du ByoD, il y a un problème de confidentialité et de sécurité ». Or, ces questions ne sont pas purement techniques, mais aussi contractuelles et réglementaires. Il est par exemple à peu près impossible de proscrire toute fuite de données dans les scénarios ByoD, sauf à verrouiller lourdement les usages. « Il faut donc fixer une règle du jeu au moyen d’une charte adaptée car certains contournements techniques sont toujours possibles » rappelle un intervenant. La charte interdira par exemple l’utilisation de services Cloud pour y stocker des données d’entreprise. Il faut donc faire passer le principe selon lequel : « ce n’est pas parce que vous pouvez le faire que vous avez le droit de le faire ». Dans la même logique, et toujours en ce qui concerne Qui dit mobilité et ByoD dit aussi, de façon quasi obligatoire, le recours à un outil de MDM (Mobile device management). Comme le soulignent plusieurs intervenants, il existe de très nombreux acteurs dans ce domaine, c’est une activité jeune, avec des solutions qui diffèrent encore largement, et des choix présentant des impacts importants sur le périmètre fonctionnel de la solution. « Nous buttons actuellement sur la globalisation de notre solution de MDM par difficulté à trouver un prestataire qui nous offre une interface d’administration mondiale », témoigne un participant. La mise en œuvre d’une solution MDM suppose un processus en trois étapes. Il y a bien sûr la partie technique qu’un PoC doit valider, mais il ne faut négliger ni la définition des processus, ni la formation des collaborateurs. Implémenter un MDM, c’est d’abord travailler sur le processus d’accompagnement. United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 6 Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - www.anousdejouer.fr le Bring-your-own-Device : « Nous avons limité le nombre et le type d’appareils supportés », explique un intervenant. ‘Apportez votre propre terminal’ ne signifie donc pas ‘apportez n’importe quel terminal’. Club des Responsables d’Infrastructures deProduction Production d’Infrastructure etetde # 23 Novembre 2013 Big Data & Stockage CRiP Thématique Le Big Data au service des métiers 16 octobre 2013 Vaste ensemble de technologies et de pratiques, le Big Data commence à entrer dans les entreprises pour stocker, contrôler, exploiter et tirer le meilleur parti de quantités de données très volumineuses. Les métiers en sont les premiers bénéficiaires. Le contexte En quelques phrases La conférence CRiP Thématique du 16 octobre 2013 Le Big Data a déjà suscité des déploiements ou amorcé des projets chez un tiers des organisations adhérentes au CRiP. a été organisée par le Groupe de Big Data du CRIP, et parrainée par Bruno Prevost, CTO (SAFRAN). Le Groupe de Travail Big Data se réunit tous les mois Le Big Data permet de réduire drastiquement la durée de certains traitements lourds, et donc de les effectuer à un rythme plus fréquent pour disposer d’informations plus souvent actualisées. La connaissance du client ou consommateur est un champ d’application de prédilection du Big Data, mais le stockage et la recherche constituent aussi des terrains féconds. pour échanger sur les évolutions en cours dans le domaine des environnements liés au Very Large Data Base et de leurs enjeux. Cette journée reposait avant tout sur des retours d’expériences avec les témoignages de Baker & McKenzie, d’EDF, de la BNF, du CNES, de Mappy et de SFR. A cette occasion, Valère Dussaux (GCS D-SISIF), co- Il n’est pas indispensable de disposer de budgets importants pour lancer un projet Big Data : il existe des briques Open Source fonctionnant sur matériel banalisé. pilote du Groupe de travail Big Data, et Bruno Prévost, ont fait le point sur une première année de travaux et ont présenté les grandes lignes d’un futur Livre blanc Big Data prévu pour 2014. Le Big Data impose de se doter de compétences idoines, ou de former des équipes à de nouvelles méthodes. Ces analyses mettent en jeu la règle des 3V, Volume, Vélocité et Variété. Il s’y ajoute un 4éme V pour Valeur ajoutée. 7 Ce qu’il faut retenir 2 - Vélocité La vélocité représente à la fois la fréquence à laquelle les données sont générées, capturées et partagées. Les données arrivent par flux et doivent être analysées en temps réel pour répondre aux besoins des processus chrono-sensibles. Les systèmes mis en place par les entreprises doivent être capables de traiter ces données avant qu’un nouveau cycle de génération n’ait commencé. Autrement dit, elles doivent effectuer du Data stream mining. Les 4 ‘V’ : 1- le Volume En ouverture de la journée, une synthèse de l’’enquête ‘benchmark’ Big Data du CRIP auquel une centaine d’entreprises adhérentes ont répondu, a apporté un éclairage nouveau : il apparaît que, pour un tiers d’entre elles, le Bigdata a déjà été implanté ou est en phasee projet. Un intervenant résume ainsi sa problématique : « Tous les matins, nous étions en retard ; tous les 2 ans, en limite de capacité ; et, dans les faits, la machine était saturée après 3 mois. Les montants à investir devenaient de plus en plus élevés… et le pire était à venir. Depuis la mise en place de cartes de compression de données à la volée et d’une machine dédiée à ces traitements, fini les retards et un meilleur TCO ». Un autre ajoute : « La loi de Moore est respectée pour la puissance CPU, le stockage et les prix, mais pas pour le débit des disques. Une solution est de passer au massivement parallèle ». Résultat : des temps de traitement quotidien pouvant durer 36h ramenés à 1h50. Les orateurs ont pu constater des gains de 2 à 10 sur les temps de traitement, bien en deçà de ce qui était annoncé par les fournisseurs, mais justifiant pleinement le choix de la rupture Extrait de l’enquête benchmark CRiP - index - Oct. 2013 Il est vrai que le Big Data s’impose progressivement du seul fait que le stockage des données croit d’une façon exponentielle. Selon une étude IDC, les données numériques créées dans le monde seraient passées de 1,2 zettaoctets par an en 2010 à 1,8 zettaoctets en 2011, puis 2,8 zettaoctets en 2012 et s’élèveront à 40 zettaoctets en 2020. Les réseaux sociaux généreraient plusieurs dizaines de téraoctets de données chaque jour. Les projets scientifiques combinent à la puissance de calcul des volumes de traitement gigantesques : le projet GAIA traité par le CNES, qui consiste à créer une cartographie 3D de notre proche galaxie, générera à terme 3 Po de données concernant 290 milliards d’objets avec 1000 connexions concurrentes à la base. technologique. 3 - Variété Le volume des Very Large Data Base (VLDC) met les entreprises devant un réel défi : la variété des données. Il ne s’agit pas de données relationnelles traditionnelles, ces données sont brutes, semi-structurées voire non structurées. Ces données, d’origines diverses, sont au format web (Web mining), texte (Text mining) et images (Image mining), formats qui les rendent quasiment inexploitables avec des outils traditionnels. Les nombreux outils de collecte des données permettent d’amasser toujours plus de données. Et les analyses sont d’autant plus complexes qu’elles portent de plus en plus sur les liens entre des données de nature différente. Un autre projet conséquent proposé par un des intervenants concerne la création d’une base de donnée documentaire à partie de données non structurées extraites du Web: taille actuelle 370 To, accroissement de 100 To annuel, accès permanent à toutes les données collectées. Variété et sa déclinaison: la véracité La véracité des données est un autre élément important pour maitriser les volumes et dépend de la raison d’être de la base de données. La question est de connaitre le seuil au-delà duquel il est indispensable de passer au Big Data. Pour certains, c’est 5To pour d’autres c’est 1,5To. Mais ce seuil physique n’est pas le seul paramètre en prendre en compte. Le temps de traitement, la nature et la structure des données, l’évolution à terme de la taille des bases peuvent devenir prépondérants pour faire le Un intervenant fait ce constat : quel est l’intérêt d’une base de 60To si on ne sait pas de quoi elle est constituée et si les données historiques n’ont plus de résonnance ? Un autre a, au contraire, comme mission légale d’archiver des documents de façon exhaustive sans se préoccuper de leur contenu. choix du traitement massivement parallèle. La cohérence des logs doit permettre de vérifier que les données sont suffisamment riches pour sortir des données pertinentes. 8 4 -Valeur ajoutée La valeur ajoutée est la grande justification du Big Data. A travers les process du Big Data, c’est la certitude d’avoir une connaissance approfondie de son modèle économique en temps réel et d’optimiser son patrimoine ‘data’, de le gérer finement, et surtout de permettre le repérage des signaux faibles. Peu de solutions pré-intégrées L’analyse permet de stabiliser la base clients, d’anticiper les zones de friction, d’augmenter le revenu moyen par client, de trouver des relais de croissance sur des marchés de niche, émergents ou de nouvelles habitudes et attentes des consommateurs, et de créer un axe de différentiation et d’anticipation concurrentiel. L’Essentiel Concernant la partie logicielle des solutions, une grande partie de l’offre est aujourd’hui d’origine Open source, ce qui induit des coûts d’acquisition initiaux faibles. Bien entendu, les coûts de fonctionnements sont plus difficiles à déterminer car liés à l’accès au support. Il faut aussi prendre en compte les besoins de développements spécifiques liés à la faible offre de solutions intégrées. Dernier poste de dépenses soulevé : l’acquisition des compétences nécessaires à la mise en œuvre du projet sur un marché extrêmement tendu s’agissant des ressources humaines. La législation sur les données personnelles impose qu’une donnée collectée et stockée corresponde à un usage (voir le volet juridique en p. 4). Il existe encore peu de solutions intégrées. Il faut donc s’attendre à beaucoup de développement spécifique. Comme le résume un participant pour évoquer l’émergence des solutions Big Data : « Il y a un syndrome poule et œuf : pas de projet, pas d’écosystème… Mais cela s’améliore nettement depuis deux ans ». Un intervenant a eu pour mission de protéger sa base clients en analysant les comportements d’usages et l’offre du client afin de modéliser un score de probabilité du départ du client en quasi temps réel. Voici le process : - les clients à risque sont identifiés et étudiés ; - les outils de la gestion de campagne marketing sont alimentés pour faire réduire le désabonnement ; - le Next Touch Point (hot line, site Web, boutique…) est déterminé afin d’éviter au client les parcours perdants. Tout cela a été rendu possible grâce l’utilisation d’un traitement des données en mode massivement parallèle qui a apporté la capacité à: • croiser des données de log afin de trouver les grandes typologies de parcours , • traiter / monitorer en temps réel ces parcours types afin d’influer positivement dessus, • restituer dans l’ensemble des canaux le « parcours » à date des clients. Les coûts Aujourd’hui, la rareté des déploiements opérationnels rend l’analyse des coûts et le calcul du RoI des projets Big Data difficiles à établir. Cependant, « les promesses de maîtrise des coûts et d’amélioration des performances sont réelles, en particulier dans les domaines de l’archivage actif et de l’offloading applicatif », affirme un intervenant. Un autre considère que l’utilisation de fermes de serveurs banalisés permet de minimiser et de mutualiser les coûts d’acquisition et d’exploitation des solutions Big Data. Les retours d’expérience présentés montrent bien que la mise en exploitation de solutions Big Data a pu se faire sur des clusters de machines équipées de processeurs x86 d’entrée de gamme, parfois même sur des machines aux performances jugées dépassées pour les applications les plus exigeantes. Le Big Data ne requiert donc pas de machines surpuissantes. Et, comme l’indique un participant « vous pouvez investir sans arrière-pensée sur d’éventuelles pertes, car le matériel pourra facilement être redéployé, et peut aussi provenir de recyclage interne ». Les points positifs D’importants gains de vélocité dans certains traitements doivent permettre de sortir de situations de saturation des systèmes existants (par exemple en BI) ou de réaliser des traitements beaucoup trop coûteux, jusqu’ici, en temps de calcul. C’est une technologie peu coûteuse à développer et déployer, en infrastructures comme en logiciels, du fait de l’existence de solutions Open Source fonctionnant sur matériel x86 banalisé. Le Big Data permet de s’affranchir des limites de taille des bases de données, de traiter des contenus faiblement ou pas structurés. 9 CRiP Thématique : Le Big Data au service des métiers Voici quelques solutions mentionnées par les intervenants : • Les solutions sont majoritairement d’origine Open source, et notamment Hadoop (associé à Mapreduce), qui est implanté dans un retour d’expérience sur trois, du fait de sa forte capacité d’extension (scalability) en charge massive, • Les SBA (Search Base Applications) ou moteurs sémantiques, permettent, via une interface de type Google, de chercher dans les logs de manière phonétique ; elles disposent d’un dictionnaire intégré. • Des cartes de compression de données à la volée améliorent la vélocité à l’accès des données ; elles permettent de faire de l’hybride. Les métiers ne sont pas complètement matures sur l’usage possible des datas ; il faut travailler en collaboration pour améliorer les compétences. Les technologies connexes sont une bonne opportunité pour les services Production d’apporter des réponses aux problématiques métiers et de se positionner en force de propositions. On constate une carence des profils du type « Data Scientists » capables de collecter et exploiter au mieux la masse des données disponibles pour en extraire des résultats pertinents, sources de nouvelles activités. Le Big Data n’est pas incompatible avec les solutions déjà existantes et reste ouvert à des solutions hybrides. Les points de vigilance et les freins Le cadre légal est contraignant, comme la justification de la finalité de la collecte des données, l’anonymisation, la durée de rétention des données. L’écosystème est encore peu structuré aussi bien du côté des fournisseurs que des utilisateurs. Il y a donc un risque de s’engager sur des solutions peu pérennes, ce qui ne facilite l’argumentation d’un projet Big Data en interne. L’architecture à mettre en œuvre tranche par sa nouveauté, ce qui peut susciter des résistances au changement. La dImEnsIOn juRIdIquE : un POInt sEnsIbLE Avocat (cabinet Baker & McKenzie) ex-secrétaire général de la CNIL, Yann Padova a évoqué le bon usage des données personnelles dans ce contexte. Big Data et règles d’utilisation des données personnelles semblent antagonistes en de nombreux points. En effet, le droit prévoit les principes de finalité des traitements de données et de proportionnalité dans la collecte des données personnelles : • Les données personnelles doivent être collectées pour des finalités explicites, légitimes et spécifiques. • Elles ne doivent pas faire l’objet d’un traitement ultérieur incomptable avec ces finalités. • La proportionnalité ne permet pas de collecter plus de données que nécessaire à l’usage. • La durée stockage est limitée proportionnellement à l’usage. • Le consentement des personnes doit être libre, spécifique, renseigné et non ambigu. Il y a donc des risques juridiques dans les projets Big Data de pratiques illégales. Alors que faire ? • Anonymiser les données pour lever la contrainte de la loi applicable aux données personnelles, • Faire labéliser ses codes de conduite par les organes de contrôle, • Organiser le contrôle de leurs données par les personnes concernées, • Mettre en avant l’intérêt légitime du responsable de traitement, • La pseudonymisation enfin, consiste à « attribuer à une personne un identifiant qui permettrait de la distinguer dans un groupe statistique mais sans pouvoir la réidentifier en temps que personne physique » United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 10 Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - www.anousdejouer.fr Or, la raison d’être du Big Data est de collecter toutes les sources d’informations pour permettre la recherche, le croisement et la corrélation des données. Cette démarche risque de ne pas respecter pas la notion de finalité ni celle de proportionnalité : on récolte des données sans idée claire de l’exploitation qui en sera faite par la suite. Club des Responsables d’Infrastructure etetde d’Infrastructures deProduction Production # 24 Janvier 2014 Cloud computing Conférence CRiP Thématique Les services IT dans le cloud 3 décembre 2013 Le Cloud computing est mature. Ses développements et implémentations se caractérisent par la pertinence des services Iaas, PaaS ou encore par l’avènement du Cloud hybride, entre Cloud privé et Cloud public. Il reste encore des points à régler comme la sécurisation des données, la responsabilité juridique ainsi que l’application du Cloud au PRA en vue de sa continuité de service. Bref, l’expansion de solutions Cloud nécessite encore une argumentation qui doit être soutenue par une communication et une promotion en interne dans les entreprises. Le contexte En quelques phrases Cette Conférence CRiP Thématique du 3 décembre 2013, parrainée par Romain Lahoche, directeur du service ‘hosting’ d’Oxylane (Décathlon), a bénéficié de la contribution du cabinet d’avocats Gérard Haas. Cette journée était organisée par le Groupe de Travail Cloud computing du CRiP* piloté par Stéphane Geissel (SFR) et Stéphane Lafon (Sanofi). Elle a permis de faire un point sur les avancées des solutions de Cloud computing, et d’en comprendre les grandes tendances, tant en termes de technologies que de services et de nouveaux usages. A travers des témoignages issus de sociétés membres du CRiP d’horizons très divers (compagnies d’assurance, opérateurs télécoms, groupe pharmaceutique, chaînes de distribution, portails d’e-commerce et géant de la publicité), il a notamment été question de l’évolution des services SaaS, Iaas et PaaS, de l’hybridation entre Cloud privé et Cloud public, de la sécurisation des données sur le Cloud, de la responsabilité juridique qui en découle et de la réalité des engagements de continuité de service dans ces offres. Cette journée a également donné lieu à une restitution d’un benchmark CRIP Index intitulé «Cloud : quelle maturité du SaaS, PaaS et IaaS». • Le Cloud fait partie du changement. Même si ce n’est qu’un moyen tactique. • Les partenaires - « boosters de services » - sont nécessairement sur le Cloud, co-acteurs de co-innovation. • On réussit seulement si on a essayé. Donc, il faut lancer, tester, précéder la vague de l’innovation – et ainsi ne pas changer de techno tous les 2 ans. • Rapatriement, réversibilité ? Il faut vérifier la capacité à ramener les services hébergés, ce qui permet de gagner en agilité. • Le Cloud fait disparaître les silos ou, du moins, tend à les faire disparaître. • Financièrement, on passe d’un modèle CAPEX à un modèle OPEX (location de services). • Le Cloud n’est pas nécessairement moins cher. Mais les gains sont là si l’on s’attaque aux ETP et PCA. • Le Cloud coûte moins cher pour évolution. En infrastructure, il ne fait rien gagner ou presque. *Actif depuis 2009, le GT Cloud Computing a publié en juin 2013 son 4ème Livre blanc (Aspects juridiques, ROI, achat de prestations Cloud, offres IaaS et tendances PaaS. Un 5ème Livre blanc est en préparation. 11 (par exemple, Salesforce). « A travers la mise en place d’un Cloud public, il est intéressant d’apprendre, de ce modèle, la migration vers un Cloud privé ». Les freins à la mise en place d’un Cloud hybride La perspective du Cloud hybride est partagée par tous comme intéressante et inéluctable. Mais un intervenant a recensé au moins 7 freins à la mise en place d’un Cloud hybride : • Réversibilité et migration • Distance entre sites • Transmission et sécurité des données • Fiabilité et SLA • Sécurité • Conseils techniques • Transparence Enquête Benchmark CRIP Index Cloud : Les applications cibles du Cloud (oct. 2013) Ce qu’il faut retenir Quel ROI sur le Cloud ? Définition : le Cloud sous diverses formes Tout le monde a retenu que le Cloud fait passer d’un modèle CAPEX (capital expenditure ou investissements en immobilisations) à un modèle OPEX (operation expenditure ou location de services). Mais le Cloud ne serait pas moins cher pour autant... Que recouvre aujourd’hui le terme Cloud computing. Plusieurs formes de Cloud se confirment et un intervenant a tenu a présenté un nouveau découpage possible, toujours révisable : • Cloud privé : il a été développé pour une utilisation interne, utilise des ressources internes et appartient à l’entreprise qui l’utilise ; « Des gains peuvent se vérifier surtout si l’on tend à diminuer les ETP et si l’on développe des scénarios de continuité de service (PCA) », constate le DSI d’une compagnie d’assurance. • Cloud dédié (privé) : il est hébergé avec des ressources spécifiques ; Le Cloud coûte moins cher dans une logique d’évolution. Mais en infrastructure, il ne ferait rien gagner ou presque rien. • Public : il est mutualisé ; le modèle standard appartenant à l’hébergeur ; Le modèle ‘pay as you use’ ne permet pas de construire aisément un budget prévisionnel mais il a été constaté, par un intervenant, une baisse significative des coûts concernant l’application transférée sur le Cloud. •S ouverain : il est soutenu et financé par un Etat •H ybride : il ‘mixte’ toutes les formes de Cloud. Un pilote du GT résume l’équation avec cette formule : « Il est encore difficile de prouver que cela rapporte plus. Mais cela coûterait plus cher de ne pas le faire !». La distinction entre les formes de services est désormais banalisée : SaaS (Software as a Service, ou application disponible en ligne, sans module ‘client’ préinstallé), IaaS pour les services d’Infrastructure, et PaaS, pour les plateformes de développement. Et que montre l’analyse des coûts ? « Les gains sont plutôt positionnés sur les services PaaS. En revanche, sur l’IaaS, c’est moins favorable sauf si l’on intègre tous les services. Auquel cas, c’est identique. » Un opérateur télécoms témoigne d’un choix possible du Cloud public pour certaines applications SaaS. En revanche, il a développé un Cloud interne pour des offres de type PaaS « car beaucoup d’éditeurs proposent le service intégré ». En pratique, il est vrai que chaque société a son propre mode de fonctionnement. Commentaire : « Le choix du cloud privé ou public est directement dépendant de la criticité de l’application et du type de données auxquelles elles donnent accès : moins c’est critique, plus c’est ouvert au Cloud public ». Avec le Cloud, constate un industriel, la facturation s’applique à l’usage mais il reste les coûts de développement et de fonctionnement du projet. Ces coûts du projet étant à la charge de la DSI, seuls les coûts du ‘run’ sont facturés. « Pour démarrer son Cloud privé, explique le CTO d’un grand portail d’e-commerce, il ne faut pas hésiter à commencer petit pour apprendre. C’est d’ailleurs une garantie d’agilité » Pour une société d’assurance, les coûts sont affectés à la DSI et les partenaires, les agents paient une redevance forfaitaire. Le coût d’étude reste donc supporté par la SI. Le Cloud privé présente un autre avantage : le rapatriement de services utilisés ou développés sur des Clouds externes Certaines grandes organisations constatent qu’il n’est pas possible sinon difficile de chiffrer le coût des infras. 12 Cloud et PRA : la continuité de service en question L’actualité de l’année 2013 a été riche en matière de sécurité, notamment suite aux révélations d’Edward Snowden, l’ex -agent de l’organisation fédérale NSA. « Tout le monde se doutait que les Américains avaient des capacités d’écoute. Mais pas à ce point-là », relève un intervenant. On savait que le Patriot Act américain permettait de lire et analyser les données des filiales américaines implantées dans le monde, mais aussi leurs partenaires directs – ou toutes sociétés ayant travaillé avec des sociétés américaines, surtout si elles disposent de filiales aux Etats-Unis. Une compagnie d’assurance témoigne sur le choix d’un ‘back up’ de certaines de ses données chez un fournisseur, un géant du hosting, avec des connexions Internet sécurisées. Le contrat prévoit que l’entreprise n’affecte pas de personnel par exemple pour les mises à jour des ‘firewalls’ : la mission est confiée au provider du service qui en la responsabilité juridique et l’expertise. Un autre hébergeur est venu expliquer comment il est possible de préparer son PRA et avec quelles précautions. Il recommande tout d’abord de hiérarchiser la criticité des VM (machines virtuelles) afin de cerner celles qui sont stratégiques, indispensables pour le business de l’entreprise. L’Essentiel Sécurité et géopolitique A partir de là, il convient de fixer un RTO (délai de retour en fonctionnement) et un RPO (le volume d’informations non disponibles ou perdues que l’entreprise peut supporter). Si l’on veut un RPO court, cela implique une réplication des données en mode quasi synchrone. Une exigence qui va dépendre du secteur d’activité et du métier. En Europe, certains projets informatiques orientés Cloud ont été annulés à cause de ces nouvelles objections de sûreté soulevées par cette affaire – qui a suivi celle de WikiLeaks (Julian Assange, informé par Bradley Manning). Ce contexte américain légitime et booste un peu plus le développement du Cloud souverain – à savoir Numergy et Cloudwatt en France. Certains Etats, dont la Suisse, investissent aussi dans le Cloud souverain avec la volonté d’une sécurisation des données notamment dans les domaines de la défense et du secteur bancaire. La distance entre sites constitue un autre critère important, qui, là encore, dépend souvent des contraintes métier. Enfin, un PRA peut être institué entre deux ‘providers’: il n’est plus utile de reposer sur un datacentre pour le secours : le backup est confié au provider. La configuration dite ‘Cookbook’, autour d’un Cloud «triplehybride», a également été évoquée. Les données sur le Cloud : des clauses contractuelles La récente enquête Benchmark index du CRiP sur le Cloud montre que 63% des répondants considèrent le manque de sécurité comme un frein. Un géant de la distribution a témoigné sur le recours ou non aux outils du prestataire. « La supervision repose sur un outil interne (Nagios) qui récupère les données fournies par l’hébergeur. Charge à nous de traiter et analyser ces données. En revanche, pour le backup et le provisioning, nous nous en remettons aux outils de l’hébergeur ». Les données vitales ne sont pas censées sortir de l’entreprise. Or il faut rappeler que les risques de fuites sont à 90% en interne. Cloud ou pas, la sécurité reste une problématique transversale. Il faut faire confiance aux experts sécurité, témoigne un CTO, car ils savent peser les risques et proposent les bonnes pratiques à appliquer sur le Cloud. A terme, cependant, pour devenir plus indépendants de son hébergeur, et pour assurer la continuité de service au meilleur prix, cette entreprise prévoit de faire appel à des ‘brokers’ de cloud, dès lors qu’ils commencent à apparaître. Cela supposera, il est vrai, de disposer d’interfaces (API) multiples, plus ou moins spécifiques, selon les brokers. Les risques d’atteinte à l’image de marque font que l’on ne confie pas ses données à un éditeur ou à un opérateur qui ont rencontré des problèmes de réputation. De l’importance de la promo et de la communication interne… Aujourd’hui, un contrat de droit français signé avec un provider l’oblige à stocker et sauvegarder les données personnelles ou critiques uniquement en Europe. Une compagnie d’assurance a fait le bilan d’un projet pilote orienté PaaS. Selon son responsable, les clés du succès sont dans la bonne communication auprès des utilisateurs cibles : il faut baptiser le projet, lui donner un logo, le communiquer à tous, etc. Il faut impliquer le top management dès le démarrage et sur toute la durée du projet, sans oublier les CFO dès l’établissement du cahier des charges. Le catalogue doit être lisible, simple et orienté métiers. Les contraintes métiers doivent être bien comprises par l’IT. Le cabinet d’avocats présent a observé qu’il n’était pas toujours possible de négocier les clauses juridiques des contrats avec des opérateurs étrangers. En conséquence, il est de la responsabilité du donneur d’ordres de mettre en place les mesures de sécurité indispensables (cf. l’encadré en p. 4). 13 Conférence CRiP Thématique : Les services IT dans le cloud. Avec ses propres outils ou ceux du prestataire ? Enfin, il faut se garder de mettre en route trop de fonctionnalités ou services en même temps. Donc mieux vaut déployer les services au fur et à mesure, en fonction des besoins des métiers. Les BU insatisfaites vont plus facilement accepter de migrer sur le Cloud pour résoudre leurs problèmes – quitte à assumer un risque de dysfonctionnement dès le départ. Le passage au Cloud est également bienvenu lors d’une migration vers de nouvelles versions logicielles ou nouvelles générations d’applications. Interne contre externe ? Un faux débat Mais il faudra des gains en performances, en fonctionnalités et en ergonomie. « Le Cloud n’est pas une rupture technologique pour la DSI, mais c’est un challenge pour les départements financier, juridique et pour les métiers », constate un intervenant. Dans tous les cas de figure, mieux vaut bien négocier le contrat SLA (Service level agreement), que surtout il ne soit pas en deça du standard existant dans l’entreprise. Ce n’est pas seulement un projet technique IT : « Le Cloud, c’est certes de la technique, mais ce ne doit pas être une contrainte car c’est surtout l’occasion de s’imprégner des attentes des métiers ». Vers un réel ‘delivery’ avec catalogue de services Un autre intervenant, dont l’organisation a renoncé à Exchange pour une messagerie sur le Cloud public (Amazone), souligne : « L’innovation étant dans les gènes de l’entreprise, les salariés sont très favorables au changement ». Avec le Cloud comme ailleurs, l’automatisation des processus reste une opération délicate à mener. « Mais progressivement, tout rentre dans l’ordre et les bonnes habitudes reprennent le dessus», constate un CTO. Les équipes d’infra et les développeurs doivent coopérer de façon optimale. Au bilan, force est d’admettre que la migration vers le Cloud est une mission peu aisée «parce qu’il faut d’abord documenter (d‘où la nécessité d’un référentiel CMDB), sécuriser, standardiser et homogénéiser, automatiser… ». Un autre témoin ajoute : « On attend de la DSI qu’elle opère ou encadre au mieux les services, qu’ils soient en interne ou en externe. Donc elle est responsable du bon fonctionnement, sachant que les choix vont au plus facile et au plus rapide. Ce n’est pas un match interne contre externe ». La seule définition du Cloud a son importance : « C’est un mode de traitement de données d’un client dont l’exploitation est faite par Internet sous la forme de services fournis par un prestataire ». Plusieurs témoignages ont convergé sur la nécessité d’affermir son expertise juridique, s’agissant des contrats Cloud. Il ne s’agit pas seulement de se rassurer sur les risques mais être en conformité avec la réglementation, par exemple sur le pays où les données vont être stockées, et dans quelles conditions. Dans tous les cas, mieux vaut anticiper : « Il est toujours plus facile de gérer un litige potentiel ou une sortie de contrat avant qu’après », a expliqué Gérard Haas, avocat spécialisé dans la sécurité des SI. De même, il est préférable de négocier les clauses de pénalités dès le départ. Autre point important : la responsabilité concernant les données personnelles, il faut notamment vérifier que le prestataire respecte les dispositions légales. Cette vérification va jusqu’à la programmation des audits de contrôle. United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 14 Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr NE Pas sous-EstImER La dImENsIoN juRIdIquE Club des Responsables d’Infrastructures deProduction Production d’Infrastructure etetde # 25 Mars 2014 Outillage Production CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT 21 janvier 2014 La Production IT s’appuie sur une kyrielle d’outils permettant d’optimiser le ‘run’, jusqu’à l’automatisation. Les solutions de supervision et d’orchestration gagnent en efficacité. Sous l’influence du Cloud computing, les solutions ITSM gagnent en légitimité. Les bases CMDB, de suivi des changements, toujours plus justifiées, nécessitent d’être actives. Il faut rapprocher la gestion des process et l’opérationnel. Dans ce contexte, le principe d’une gouvernance pour l’IT est acquis, sans être la panacée. Le contexte En quelques phrases La conférence Thématique « Supervision, Orchestration, Automatisation et Méthodologie ITIL », du 21 janvier 2014 au Pavillon Dauphine à Paris était parrainée par Patrick Chauvin, responsable Gouvernance & Process (CA-CIB). La matinée était dédiée à la supervision de l’infrastructure IT et des applications métiers, avec le témoignage de deux grands comptes (assurance et hyper-marché) et d’un leader du prêt-à-porter. Des solutions souvent Open source ou mixant des offres commerciales, jusqu’au capacity planning. L’après-midi concer nait l’automatisation et l’orchestration : un groupe automobile, qui automatise le traitement des incidents, et un opérateur télécoms qui traite les alarmes via un flow d’orchestration générique. Deux autres témoignages - déploiement ITSM, avec ITIL, et revitalisation d’une base référentielle CMDB - ont retenu l’attention. Les Groupes de travail ITIL, AutomatisationOrchestration et Supervision du CRiP ont complété, notamment sur le ‘catalogue de services ». • La prolifération des VM, la poussée du Cloud Computing remodèlent les process et le ‘delivery’ des services IT. • Les silos, cloisonnant, par exemple, ‘computing’ et stockage, tombent. • L’automatisation de l’exploitation s’impose vite. • Les nouveaux orchestrateurs ou des gestionnaires de process du type ITSM changent la donne. Les solutions de pilotage et de monitoring, dans et hors de la CMDB, s’affirment. • Mais l’outillage ne va pas tout résoudre. Un catalogue de services, par exemple, impose au préalable une organisation claire. • Priorité à la méthode : les objectifs et le périmètre doivent être bien définis. • Un outil ITSM, inspiré d’ITIL ou non, doit rallier d’abord la DSI et anticiper la difficulté du changement. • Les retombées positives sont multiples : reporting sur la qualité, suivi du ‘service desk’ en temps réel, etc. 15 1 Ce qu’il faut retenir Supervision de l’infra IT : l’option « hybride » (Open source et autre) Le contexte de la Production IT a beaucoup changé ces 4 dernières années. La virtualisation des systèmes (serveurs, stockage, réseau…), la poussée du Cloud computing –y compris le Cloud privé - ont changé les modes opératoires. Ils ont entraîné la multiplication des objets à suivre et à gérer au quotidien, en provisioning, maintenance, mise à jour, dépannage, surveillance… L’un des témoignages de la matinée présentait le cas d’une supervision d‘équipements réseau, téléphonie et énergie au sein d’une grande mutuelle d’assurance. Il s’agit de contrôler deux salles informatiques réunies en un datacentre et du réseau desservant les agences de la mutuelle en France, via des plateformes régionales connectées à haut débit. Deux opérateurs (Orange et Completel) assurent la continuité de service, y compris sur le réseau connectant les partenaires. Les modalités de fourniture des services IT ont également beaucoup changé. Ils sont de plus en plus soumis à des engagements de qualité, d’agilité ou rapidité de mise à disposition, ou encore liés, réellement ou potentiellement, à une refacturation. Tous les éléments actifs des agences et plateformes sont supervisés. Jusque là, l’outil Whatsup Gold permettait juste de savoir si la connexion était tombée ou non. Il devenait critique d’améliorer la réactivité des équipes IT en suivant, en temps réel, les incidents, et sans surcoût important. C’est l’outil Open source Nagios qui a été retenu pour la collecte des informations, et, en sur-couche, Centreon comme configurateur web. Pour la partie visualisation sur les écrans, c’est l’offre commerciale NDS qui a été choisie. Dans ce contexte, de nombreux outils des années 90 et même 2000 se révèlent obsolètes. Cette journée a permis de vérifier, à travers des témoignages, comment des outils ITSM, associés à des processus ITIL, peuvent accompagner et faciliter ces transformations de l’IT. Ou comment un système orchestrateur permet de ne pas se laisser déborder par la prolifération des alertes. D’autres cas d’entreprise ont montré que les solutions de supervision ou d’orchestration nécessitent des prérequis incontournables, dont la nécessité de bien définir les objectifs et le périmètre de la solution. Enfin, un voire plusieurs sponsors doivent être mobilisés au sein de l’organisation. Avec la nouvelle plateforme, en place depuis fin 2012, chaque équipe technique dispose désormais de 8 écrans, avec, parfois un écran physique pour 2 ‘vues ’ – avec report possible sur des tablettes. Le dispositif supervise le coeur de réseau et les réseaux régionaux, le coeur de réseau avec la commutation vers les serveurs, le siège et son extension, les services réseaux, les liaisons vers les partenaires et les accès Internet, les agences et les sites annexes (près de 600 nœuds). Un 8ème écran apporte la visualisation des équipements de téléphonie et de l’environnement (énergie, onduleurs, hygrométrie, températures) . 5 enjeux majeurs pour fluidifier la Production IT En introduction, Patrick Chauvin (CA-CIB) a résumé 5 enjeux majeurs : 1 - améliorer les process, notamment ceux du support. La Production IT se doit d’innover, par exemple, autour d’un catalogue de services ; elle doit pouvoir facturer ses prestations ; Il s’agit donc bien d’une supervision complète à travers des vues « maps » en temps réel, y compris la connexion sur les caméras de vidéosurveillance. 2 - coopérer avec les métiers ; Supervision des infras IT et des applications métier 3 - choisir les bons outils, bien gérer les ruptures technologiques ; il faut savoir « vendre » les solutions retenues, en justifier le ROI, en assurer la bonne ‘urbanisation’, pouvoir les raccorder aux portails déjà en place, etc ; Un autre témoignage, celui d’un leader du prêt-àporter, présentait le cas d’une vision centralisée de l’ensemble de l’administration des systèmes, répartis sur 3 datacentres dans le monde (Etats-Unis, Europe, Asie), soit 250 applications. Ici, le choix s’est également orienté vers une solution Centreon. 4 - traiter les demandes de bout en bout, avec le bon commissionnement de l’environnement (système, logiciel) ; Vu l’ambition du projet –suivre en temps réel les pannes et incidents sur cette infra globale, le bilan s’avère aujourd’hui mitigé : certes, le nombre d’outils a été restreint à une vision centralisée, d’où une configuration homogène, donc relativement peu complexe. Mais, de ce fait, il manque la couverture des plateformes ‘middleware’. 5 - déterminer les cas d’usage et savoir les superposer selon une urbanisation pertinente. La réponse ne vient généralement pas des éditeurs et l’accumulation ou la juxtaposition d’outils n’est pas un objectif. Il faut construire une architecture en fonction d’un ou plusieurs systèmes d’information cibles. 2 16 « On nous reconnait une bonne réactivité quand des incidents, avec rupture de service, surviennent. Mais nous avions une difficulté à les anticiper », explique un responsable en charge de ce projet innovant. On comprend que ce déploiement a nécessité de redéfinir tous les process et la qualification des incidents. Avant d’investir sur de nouveaux outils, il a été décidé de mieux détaillé la définition et le suivi des process, notamment pour la gestion des niveaux de services (SLA). Plusieurs niveaux d’intervention sont à considérer: services d’exploitation, processus, organisation et choix des technologies et des outils. Pour commencer, ce sont les environnements de tests, sur machines virtualisées, qui ont été ciblés, avant un élargissement à toutes les plateformes virtualisées de la Production IT. « Le but était d’anticiper les ajustements de ressources nécessaires, en adéquation avec les besoins réels et pour améliorer le ‘cash back’ », commente ce même chef de projet. Les rôles et les responsabilités doivent être clairement définis, avec des niveaux de compétence adéquats. Il est important que la Production IT soit bien présente dans les instances de décisions, qu’elle ait une bonne connaissance du métier et qu’elle puisse être impliquée en amont dans les projets applicatifs. L’Essentiel Une vue consolidée de l’ensemble devient nécessaire. L’une des difficultés évoquées est de savoir où positionner les équipes, et de déterminer ce qui peut être externalisé ou non, afin de conserver la maîtrise des solutions. L’outillage lui-même a été installé sur un portail en 4 heures, reposant sur une plateforme VMware. Il ne nécessite pas d’installer des ’agents’ sur les équipements. Toutes les données de supervision entrantes sont fournies et alimentent la gestion de capacité. Chaque matériel entrant dispose d’un référentiel. « Il est important d’injecter le référentiel dans la complétude de la mise en œuvre du projet », souligne le responsable. L’hypothèse d’une automatisation partielle de certaines procédures est retenue, « même si dans 80 % des cas, une analyse restera à faire ». Ce projet n’a pas souffert de dissensions ni de tensions, toujours possibles dans le relationnel entre les Etudes, la Production et les métiers. Ces derniers ont toujours été les interlocuteurs prioritaires. Les équipes ont participé à tous les comités ‘projet’. Tous les investissements infra (CAPEX) ont bien été intégrés dans les projets. C’est le chef de projet qui fait le choix d’investir dans l’infra ou non. Chaque initiative métier a une vue complète sur ses investissements et sur le ou les arbitrages à faire. Toutes les personnes concernées par cette supervision disposent du même outil, sur un même portail. Les jauges, avec indicateurs verts, rouges, renvoient aux ressources CPU, mémoire, quantité de serveurs virtuels. Le résultat est là : les 25 datastores utilisés affichaient un taux d’allocations supérieur à 85%. « Cela nous donne une prévision sur 5 à 6 volumes risquant d’être saturés, deux à trois mois à l’avance. Cela évite des surinvestissements inutiles. Il se confirme que les réserves de capacité de volumes disques sont encore très importantes ». Témoignage sur le ‘capacity planning’ adapté aux infrastructures SI. Beaucoup de CTO rêvent, à juste titre, d’étendre leur visibilité de l’IT jusqu’à une gestion prévisionnelle des ressources. C’est tout l’enjeu d’une solution originale de capacity planning, présentée par un géant de la grande distribution. « L’essentiel, au-delà du projet technique, c’est de développer une culture, en incluant l’ensemble des acteurs. Chacun doit avoir une vue sur les données techno des autres acteurs », conclut le responsable du projet. Ce dernier dispose de près de 2000 serveurs, multiplateformes (Intel, Windows, Unix et IBM iSeries, ex AS 400). La volumétrie des data sur disques est plus que consistante : 1,4 péta-octets sur des configurations SAN/NAS. Les outils de supervision les plus utilisés. Source : enquête Benchmark Crip Index, nov-déc. 2013. 17 CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT Pour la mise en œuvre, le processus a été défini en s’inspirant d’ITIL. L’outil choisi est Know and Decide. Le projet a été conduit, sur un an, par les managers opérationnels et un spécialiste certifié ITIL. Le témoignage d’une grande mutuelle ‘santé’ a permis d’apprendre comment gérer au plus près la croissance constante des ressources informatiques (environ 300 nouveaux serveurs par an sur un parc qui en compte 1.600), en raison d’opérations de fusion/consolidation. « Il ne s’agit pas de créer un nouveau référentiel, mais d’assurer une construction dynamique, permettant d’agréger l’ensemble des composants et de détecter leurs interactions », explique le responsable architecture SI de cette mutuelle Santé. Pour rappel, le secteur de la Santé se voit imposer des obligations réglementaires sur les données personnelles, médicales, etc. D’où la « nécessité d’un schéma de positionnement entre CMDB, SKMS et orchestration ». Quelle démarche adopter ? Démarrer un solution d’orchestration « Il convient de bien définir l’architecture globale des systèmes et des applications (choix de SOA), en positionnant bien les technologies au bon niveau dans le schéma directeur, avec le bon budget pour mener à bien les projets les plus critiques ». La troisième priorité vise, précisément à démarrer une solution d’orchestration, l’objectif étant d’abaisser les coûts « pas forcément là où on l’on croyait ». Il s’agit notamment de faciliter les opérations de changement. Calendrier des actions : Les grandes orientations convergent vers la virtualisation des serveurs (logiciel Postgre), l’innovation technologique (Big data) et de premières initiatives de Cloud computing. . Pour l’optimisation continue de la production, le choix des produits est important mais il y a aussi l’organisation. L’architecture opérationnelle doit être bien pensée. Le défi, c’est la bonne coordination de toutes les applications avec les métiers. « Les projets SI ne suffisent plus à moderniser le SI, il faut identifier d’autres projets techniques connexes, orientés vers les nouveaux usages ». En résumé : il faut se concentrer sur une « trajectoire d’architecture unique », sur la maîtrise des objets de production, puis sur l’automatisation (orchestration, capacity planning, analyse prédictive…). De la nécessité d’une CMDB et du SKMS Le deuxième axe retenu ici concerne la nécessité de faire vivre une base référentielle du type CMDB , associée à un SKMS (service knowledge management system, ou système de gestion de connaissances des services). La structuration des projets de supervision, orchestration jusqu’au capacity planing et déploiement automatisé 4 18 L’Essentiel Tout le SI ne figure pas dans ce dispositif. C’est une approche ‘bottom-up’, un moteur de règles fonctionnant comme un référentiel « esclave » : les données fournies doivent être exactes. Conférence CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT L’optimisation de la Production IT grâce à une CMDB et au SKMS Deux cas d’automatisation : incidents et alarmes Ordonnanceur versus orchestrateur Enfin, une recommandation à retenir : l’accès à l’orchestrateur doit être sous contrôle. «L’ordonnanceur ne fait que soumettre des travaux tandis que l’orchestrateur les gère. Ce sont deux mondes différents. Si l’on facilite l’accès à l’orchestrateur, il y a un risque de dérive de l’outil». Organisation centralisée ou décentralisée de l’automatisation? Deux cas de figure ont été présentés, l’un centralisé pour l’automatisation de la gestion des incidents ; l’autre, décentralisé, pour les alarmes. Automatisation de la gestion des incidents : Bien choisir et implémenter un outil ITSM Un grand compte du secteur automobile a présenté une organisation décentralisée permettant d’automatiser le traitement des incidents répétitifs. Une filiale d’ingénierie d’un géant de l’énergie a témoigné sur son choix en faveur d’un outil ITSM. Deux solutions ont été retenues en ‘short list’ : Easyvista et Frontrange. C’est la deuxième qui a été sélectionnée parce qu’elle a impressionné par son intégration dans un vaste ensemble de solutions (non demandées, en fait…). L’automatisation existe depuis longtemps, en fait, a expliqué un responsable du groupe. Le problème, ce sont les ‘scripts’, le codage et les nombreux silos techniques. L’orchestrateur est constitué de milliers de briques qui agissent sur les processus pour les automatiser. Chaque brique fait l’objet d’un paramétrage. Cela impacte tout un ensemble de composants informatiques. Le déploiement a été effectué, avec l’aide d’un prestataire, sur le modèle des process ITIL : gestion des incidents, portail utilisateurs pour les changements, activation de la base référentielle CMDB, capacity planning et self care. « Dans un « flow », il y a 80 %de connaissances métier et 20 % de technique orchestration », constate le responsable de la solution. Il reste toujours possible au pupitreur d’intervenir manuellement. Parmi les résultats obtenus figure le reporting automatique d’activités et des tickets. Certains mécanismes se sont montrés difficiles à utiliser. «Ce fut plus long à mettre en place que prévu. Il a fallu rajouter des guides d’usage postérieurement à la mise en production », constate le manager du projet. Les applications sont diverses : - provisionning : arrêter et relancer de façon contrôlée la bonne marche des applications ; - contrôle, maintenance : résolution d’incidents, analyse automatique du taux d’utilisation des ressources et détection d’agents de contrôle disponibles. Il reste que le nombre de tableaux obtenus est vaste. Et l’outil s’intègre bien dans les process ITIL. Automatisation du traitement des alarmes : Les gains à venir concernent une gestion proactive des problèmes, la gestion des éléments de configuration, une bonne visibilité managériale sur l’ensemble de la DSI, une vision efficace du planning des changements. Deuxième cas, chez un grand opérateur télécoms, cette fois : un flow d’orchestration générique pour le traitement d’alarmes. L’apport d’une CMDB dans la production IT Le parc cible concerne 15.000 serveurs (dont 75% virtualisés), sur un périmètre total de 30.000. Initialement, il s’agissait d’orchestrer la supervision des VM. L’orchestrateur pilote le process de ‘server automation’ et de ‘network automation’ Pour clore la journée, le témoignage très pertinent d’une compagnie d’assurances a permis de réactualiser la nécessité et les multiples avantages d’une base référentielle CMDB (Configuration management data base) – à condition qu’elle soit réellement « vivante ». L’organisation retenue ici est décentralisée : tous les administrateurs ‘systèmes’ peuvent potentiellement développer des automates propres à leur métier. Un seul chef de projet, contre deux auparavant, gère la supervision et l’orchestration. Les outils de supervision ont, en effet, été intégrés. Pour rappel, c’est la base de données qui contient tous les éléments de configuration IT reliés entre eux (services métiers,..). Elle donne la dimension opérationnelle d’analyse d’impact, une représentation graphique des services métier, le comptage des composants logiciels et la possibilité d’interroger le modèle et d’en extraire des données. Deux scénarios sont programmés: acquittement ou escalade. L’orchestrateur est lancé pour chaque alarme, même si la même alarme revient de façon récurrente. Il n’y a pas (encore) de corrélation. La phase 1 reste donc manuelle. En pratique, le dispositif repose sur la réconciliation entre deux bases : l’une interne et et l’autre externe. Un premier outil découvre automatiquement, filtre et synchronise des données réunies (Dataset ADDM). C’est un process ‘top- down’. Le plus important est de neutraliser les alarmes inutiles ou fausses alarmes. Les contraintes de traçabilité sont respectées. Toutes les alarmes sont vues par l’orchestrateur. 5 19 Les étapes clés sont l’identification des éléments, le contrôle et la gestion de la fiabilité de l’ensemble – devant permettre l’extraction et la publication des informations de configuration utiles. Le démarrage d’un outil de BUILD est en cours (avec fusion de la CMDB et des processus ITSM). Cette CMDB ne contient que des données techniques (et non pas métier). « Le challenge, c’est d’en faire un référentiel incontournable » Parmi les leçons à tirer, il est conseillé d’utiliser strictement le modèle proposé par l’outil : «L’ajout d’utilisations hors du standard peut compromettre le modèle» - s’agissant notamment de la maîtrise de coûts… Elle s’inscrit dans une démarche applicative : tout changement technique, dûment notifié, implique une analyse d’impact. L’alimentation de la CMDB est automatique. L’identification s’effectue avec les référents techniques. Des règles de sécurité et de confinement sont à respecter. AveC L’AIde d’ITIL Analyse de coûts, qui a permis de faire le point sur les moyens nécessaires pour fournir tel ou tel service, ou de constater, par exemple, que lorsqu’un coût n’apparait pas dans le RUN, il est important qu’il soit notifié quelque part et payé ou facturable. Les prochains thèmes concernent l’amélioration des pilotages des opérations informatiques, la relation client (BRM/SLM), le déploiement de nouveaux processus. United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 20 Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr Le groupe de travail ITIL du CRIP, piloté par Eric Bouvet (Arkema) et Lionel Rolland (GDF–Suez) ont résumé leurs avancées sur la gestion intégrée des relations avec les métiers, la gestion des demandes et la coordination ‘design’ coordination. Les travaux les plus récents ont porté sur le Catalogue de services et de facturation. Certaines organisations refacturent, d’autres non. Une réunion commune a été tenue avec le GT Club des Responsables d’Infrastructure etetde d’Infrastructures deProduction Production # 26 Avril 2014 Sécurité CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets du 19 mars 2014 L’état des menaces impose plus que jamais aux organisations de gagner en maturité dans la sécurisation de leurs SI. Il faut industrialiser les dispositifs de sécurité et adopter une approche processus de la sécurité opérationnelle. SOC, gestion des vulnérabilités, gestion des comptes à privilèges, sécurité dans les projets sont autant de leviers pour améliorer la sécurité des SI. Le contexte En quelques phrases Cette conférence CRiP Thématique a été organisée par le Groupe de Travail Sécurité du CRiP piloté par Thierry Manciot, RSSI SFR, et Jean-Pierre Blanc, RSI Bouygues Télécom, avec le parrainage de Brigitte Declerck, Responsable du pôle Production & Sécurité de la DSI des fédérations AGIRC ARRCO. Un point a été fait sur les tendances du moment en matière de menaces et de sécurité des SI. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), la BEFTI (Brigade d’Enquête sur les Fraudes aux Technologies de l’Information, de la Direction Régionale de la Police Judiciaire de Paris), l’OWASP (Open Web Application Project) et le CLUSIF (Club de la Sécurité de l’Information Français) ont dressé un état des menaces. Des spécialistes sécurité de SFR, Safran, Bouygues Télécom et Generali ont apporté un éclairage sur certains aspects de la sécurité des SI, tandis que le GT Sécurité du CRiP a présenté une synthèse de ses travaux. La journée a été ponctuée de deux tables rondes réunissant les intervenants. • Le paysage actuel de la sécurité des SI est marqué par une augmentation générale très vive des attaques et de leurs impacts, en particulier des attaques ciblées et des attaques métier. • La cybercriminalité galopante pousse les organisations à industrialiser leurs dispositifs de sécurité et le législateur à renforcer le cadre réglementaire entourant la sécurité des SI. • La mise en place d’un processus de gestion des incidents sécurité est un jalon essentiel dans l’installation d’un SOC, laquelle demande du temps. • L’approche processus de la sécurité opérationnelle est le levier pour élever son niveau de maturité en matière de sécurité des SI. • La gestion des vulnérabilités, qui s’assimile à un processus de gestion de risques, doit couvrir les aspects humains, process et outillage. • Les comptes à privilèges sont un facteur de risques qui nécessite la mise en place d’une solution de contrôle en temps réel des accès et de traçabilité des actions associées. • Les risques métier et techniques d’un projet doivent être analysés et le respect des exigences de sécurité doit être contrôlé à chaque phase du cycle projet. 21 1 Ce qu’il faut retenir transverse avec la gestion de crise et des incidents et la capitalisation des retours d’expérience. Pour cela, des méthodes, normes et bonnes pratiques existent dans les domaines de la sécurité des SI (ISO 27001:2013, 27005, 22301, ANSSI, EBIOS, etc.), de la Production (ISO 20000, ITIL) et des Etudes (PMBOK, OWASP, etc.), sur lesquels les organisations peuvent s’appuyer. Menaces et cybercriminalité Dans les faits marquants de 2013 en matière de sécurité des SI, on retient la cybermenace relative à l’appropriation massive de données personnelles (plus d’un demi-milliard de données personnelles ont été volées dans le monde en 2013; cf. l’affaire Target aux Etats-Unis) et la cybermenace étatique (affaires APT1 et Prism/NSA). Au-delà des analyses croisées de la BEFTI et du CLUSIF, émergent les tendances suivantes : La protection des données passe par une sécurité à plusieurs strates : données (chiffrement), applications (gestion des accès, patterns sécurisés), socles techniques (antivirus, patchs, sécurité physique), réseau (firewalls, DMZ, filtres). Les mesures de prévention doivent aussi et notamment inclure la sensibilisation des utilisateurs, la réalisation de sauvegardes, de tests et audits de vulnérabilité et d’intrusion. - les méthodes d’attaque se multiplient et se diversifient (méthode du ‘point d’eau’, attaques ciblées, attaques destructrices/incapacitantes, phishing basé sur l’ingénierie sociale, etc.), En France, la cybersécurité est dotée d’un cadre réglementaire (opérateurs de communications électroniques, opérateurs d’importance vitale (OIV), etc.). L’agence gouvernementale ANSSI appuie les Services de l’Etat et les OIV dans la sécurisation de leurs SI sensibles. Elle labellise des solutions de sécurité, émet des recommandations en matière de sécurité des SI. Ce cadre règlementaire a été renforcé par la Loi de Programmation Militaire 2014-2019, qui place les OIV sous la surveillance étroite des Services du Premier Ministre concernant la sécurité de leurs SI. - les attaques ciblant les processus métier connaissent une croissance inquiétante, - les attaques ciblées (APT) ne cessent d’augmenter, le nombre de malwares sur mobile explose (2,47 millions en 2013), les ransomwares (type Cryptolocker) sont en très forte croissance, - cybercriminalité et criminalité traditionnelle collaborent, - l’hacktivisme historique (type Anonymous) cède le pas à la cybercriminalité financière et à l’hacktivisme étatique/para-étatique, - l’offre de produits et de services de cybercriminalité, disponible en ligne, ne cesse de se développer et de se professionnaliser. SOC : une mise en place entre industrialisation et expertise Les craintes pour le futur portent sur les vulnérabilités issues de la fin du support de Windows XP et du développement des objets connectés ainsi que sur la faiblesse, d’une façon générale, des moyens consacrés à la cybersécurité et à la formation. Au sein d’une organisation, l’entité COS (Centre des Opérations de Sécurité; SOC en anglais) constitue le point focal de gestion de la sécurité. Son rôle va des actions de prévention à la gestion des incidents, crises et investigations associées, en passant par la mission cœur de détection. La mise en place d’un COS est un processus long qui passe par des jalons (sondes IDS, gestion de logs, gestion de crise, dispositif H24, etc.), dont celui, essentiel, de la mise en œuvre d’un processus de gestion des incidents sécurité. Le COS communique avec les entités de sécurité externes (ANSSI, DCRI, CERT) et les Directions internes de la Communication, du Juridique et du Service Client. Il interagit avec les équipes IT de Production autour de la sécurité opérationnelle et avec les Métiers et départements internes en charge de la fraude, des enquêtes et de l’intelligence économique autour des investigations et de la planification de la surveillance. Autour du processus de gestion des incidents sécurité, le COS mène un travail d’information régulier auprès des équipes de Production et d’astreinte pour les garder mobilisées et aptes à réagir rapidement. Il accompagne les équipes susceptibles de remonter des incidents sécurité et les aide à adopter les bons réflexes. Le COS capitalise sur ses connaissances (veille, surveillance, REX sur les incidents, etc.) pour une amélioration continue de son efficacité. Cybersécurité, bonnes pratiques et cadre réglementaire La cybersécurité est aujourd’hui une exigence aiguë : les attaques, leurs types, leurs durées et leurs impacts augmentent, l’informatique distribuée est moins nativement sécurisée, les nouveaux usages (mobilité, BYOD, etc.) progressent avec de nouvelles vulnérabilités. Autre constat : le délai moyen de détection d’une attaque ciblée est supérieur à un an et les cibles sont visées en fonction du ROI espéré. Face à ce contexte, les organisations doivent déployer un processus de sécurité en boucle, s’appliquant tant au Build qu’au Run. Cela commence au niveau stratégique (RSSI) avec l’analyse des risques, se poursuit au niveau opérationnel (RSI) avec le traitement des risques identifiés, puis au niveau technique (Production, Infrastructures) avec la détection des attaques grâce aux technologies et outils déployés à cet effet et, enfin, jusqu’à un niveau 2 22 Une base de vulnérabilités est constituée et mise à jour à l’issue de chaque étape de ce processus. La gestion des vulnérabilités gagnerait à voir cette base intégrée dans la CMDB. On distingue 3 niveaux croissants de maturité des organisations en matière de sécurité des SI : zone dite d’humiliation, sécurité élémentaire, sécurité maîtrisée. L’objectif de tout RSSI est de sortir de la zone d’humiliation. C’est en adoptant une approche processus de la sécurité opérationnelle et en l’appliquant tant au niveau du Build que du Run qu’il peut y parvenir. Par exemple, en matière d’antivirus, les organisations pensent être protégées en déployant des produits fonctionnellement riches et matures provenant d’éditeurs reconnus. De nombreuses questions restent pourtant en suspens: les agents installés sur les postes le sont-ils correctement (userID unique, version conforme…) et sont-ils actifs ? Les postes sont-ils bien déclarés dans la console ? La partition stockant les signatures virales est-elle pleine ? Gestion des comptes à privilèges La criticité du risque que présentent les comptes à privilèges pour la sécurité des SI provient de plusieurs facteurs qui se conjuguent. Cette criticité est accrue par la grande complexité des SI : les droits d’administration sur le SI ouverts aux administrateurs sont extrêmement étendus (réseau, OS, applications, sécurité). Ils ouvrent autant de possibilités pour des actes de malveillance; les administrateurs peuvent accéder au SI à distance (par exemple, dans le cas d’une infogérance et/ou après avoir quitté leur employeur); leurs actions ne sont pas tracées ni traçables (forts de leurs privilèges, ils peuvent effacer leurs propres traces). Ceci rend impossible l’imputation d’une action erronée ou malveillante. Et il est très difficile de savoir ce qui a été fait sur un actif du SI. Cette situation requiert la mise en place, les logs ne suffisant plus, d’une solution assurant, en temps réel, un contrôle centralisé des accès et une traçabilité des actions effectuées à partir de comptes à privilèges. L’architecture de ce type de solution peut être une gestion des accès intégrée à la gestion des identités et des habilitations, à une CMDB (serveurs, applications) et à un SIEM. La mise en place de ce type de solution peut répondre aussi à des exigences de conformité. Un processus ad hoc prévoira donc, en phase projet, de comprendre chaque cas de non-fonctionnement, d’identifier les postes à traiter et de corriger, puis, en phase d’exploitation, d’identifier les postes non protégés, de lancer des scans réguliers, de lancer et suivre les actions correctives. Tous les autres domaines de la sécurité opérationnelle doivent être couverts par cette approche processus : mots de passe, droits et comptes, correctifs, réseaux, accès distants, gestion des identités, gestion des incidents sécurité, etc. Pour bâtir ces processus, il conviendra, pour chaque domaine, de recenser les tâches relevant du Build et celles relevant du Run. Ceci permettra d’élaborer respectivement un plan projet (diagramme de Gantt, plan de traitement des risques) et un plan annuel d’exploitation (calendrier détaillé et précis des actions de contrôle). Sécurité dans les projets La sécurité dans les projets doit s’envisager d’un bout à l’autre du cycle projet. Elle commence avec l’analyse des risques : Gestion des vulnérabilités : approche méthodologique - analyse des risques métier par les Métiers (sur la base des risques majeurs identifiés pour l’entreprise via une démarche type EBIOS/ANSSI intégrant le REX lié à la gestion des incidents sécurité, les autres risques étant adressés en gestion de crise), La gestion des vulnérabilités, qui correspond à une gestion des risques, commence avec l’identification des ressources et actifs critiques à risque du SI : utilisateurs (comportements/habitudes), processus (complexité), middleware et éléments d’infrastructure (multiplicité des briques, technologies et acteurs). La mitigation de ces risques passe respectivement par la formation/ sensibilisation des utilisateurs, une rigueur de conception et des contrôles/audits des processus. La coopération de la chaîne des acteurs concourt à la sécurité du SI (RSSI, architectes, responsables d’exploitation, administrateurs, etc.). Elle s’appuiera pour cela sur des normes et référentiels (ITIL, ISO 27xxx, CMMI, CoBIT, etc.) et une palette de moyens techniques (firewalls, antivirus, SIEM, PSI, gestion des accès et des identités, etc.). La gestion des vulnérabilités s’apparente, là aussi, à un processus : signalement (veille, alertes CERT/ éditeurs, déclarations d’incident, rapports de tests d’intrusion et d’audits, alertes de supervision), analyse (criticité, études d’impacts, recherche et planification - analyse des risques techniques, portée par le RSSI (cadrée par la gestion des exigences de sécurité et s’appuyant sur des contrôles tout au long du cycle projet). Selon que le projet est évalué comme sensible ou non (mesure DICP), les équipes Sécurité, aux moyens contraints face à des projets nombreux et à un timeto-market raccourci, iront contrôler que les exigences de sécurité ont été prises en compte (conception/ réalisation) et sont respectées (phases de tests/ recette et d’exploitation) ou s’appuieront sur la responsabilisation des acteurs (MOE, Production). Ces équipes s’impliqueront fortement sur la gestion des incidents sécurité avec un objectif de capitalisation. 3 23 L’Essentiel des correctifs/mesures de protection), validation (par le RSSI/Comité de Sécurité), déploiement. CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets Sécurité opérationnelle et approche processus United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 4 24 Rédaction : Pierre-Yves Henry & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr Les exigences de sécurité pour les projets web pourront utilement s’appuyer sur les principales vulnérabilités web constatées, compilées chaque année par l’OWASP pour son Top 10. La gestion des données sensibles doit être adressée sous un angle fonctionnel, en amont du projet (classification, principes d’usage, cycle de vie). La recette sécurité sera menée directement par les équipes Sécurité pour les projets sensibles (audits et tests d’intrusion) et déléguée pour les autres. Club Club des des Responsables Responsables d’Infrastructures d’Infrastructure et etde deProduction Production # 27 Mai 2014 Mobilité et Cloud Computing CRiP Thématique Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing du 27 mars 2014 Entre ‘Mobilité’ et ‘Cloud Computing’, les passerelles se concrétisent. Au-delà des solutions de messagerie déjà existantes sur le Cloud (Google, Microsoft), il est clair que l’avenir est aux accès mobiles vers toutes les applications, y compris celles des métiers. Ces accès mobiles s’annoncent possibles à partir de tous types d’équipements (cf. le phénomène BYOD, bring your own device). Ce document de synthèse présente des scénarios différents, dans des contextes de la grande distribution et du domaine bancaire, avec des contraintes de sécurité plus ou moins exigeantes. Dans ces contextes assez divers, l’adoption des diverses formes de Cloud diffère également. Certes, la mobilité et le Cloud sous-tendent un nouveau mode de ‘delivery’ des services IT. Mais toutes les applications sont-elles vouées à migrer sur le Cloud pour autant ? Le contexte En quelques phrases Le CRiP Nord Pas de Calais a organisé le 27 mars 2014 la première session thématique du CRiP en région. Parrainée par Michel Barbasso, CTO de KIABI, elle était dédiée aux thèmes de la Mobilité et au Cloud computing - et le lien entre ces deux ‘items’. Des témoignages de la grande distribution -fortement ancrée dans le Nord- ont été confrontés à d’autres, dont celui d’un géant de la banque. Il en ressort que la mobilité reste un chantier majeur au sein des organisations. Face au déferlement des smartphones et des tablettes, la question du principe BYOD n’est pas partout résolue. De même, l’utilisation des tablettes, à titre professionnel et personnel, vient renforcer la nécessité d’ouvrir de nouveaux scénarios. Les incidences sur la DSI sont loin d’être minimes. Les standards applicatifs et sécuritaires, par rapport au poste «mastérisé», deviennent inopérants. De plus, la fin du support de Windows XP oblige les responsables IT à réexaminer la pertinence de la migration naturelle Windows 7 ou 8, versus les divers OS -Linux, Android, iOS... car la plateforme applicative est à revalider, conduisant à intégrer des développements, de facto, multi-devices. En conclusion de la session, une table ronde a mis en exergue les diverses options possibles en fonction des terminaux (ceux fournis par l’entreprise et ceux qui ne le sont pas), en fonction des utilisateurs et des applications rendues accessibles ou non à l’extérieur du VPN de l’entreprise -et selon quelles restrictions de sécurité. • Les usages de l’IT mobile personnelle continuent de bousculer l’IT d’entreprise: le phénomène de la ‘consumérisation’ n’est pas démenti... ...mais comment faire la part des choses entre domaine pro et perso? Les 2 mondes s’entremêlent de plus en plus • La solution idéale? Ce pourrait être des services web directement accessibles en réseau WAN et/ou en 3G ou 4G, en se débarrassant des serveurs locaux • Autre idéal : les accès any applications, any time, anywhere, any device... ...mais l’iOS d’Apple finit par coûter cher • Avec le bureau virtuel, l’accès à distance reste identique à celui d’un poste local. • Avec les clients légers, attention à blinder les recettes applicatives ! • Il faut que la couche de présentation s’adapte au ‘device’, et non plus l’inverse. • Mobilité et Cloud computing contribuent directement à la transformation de l’IT en un nouveau modèle de service • Le nouveau mode du ‘quick delivery’, combiné aux besoins de mobilité, pousse au déploiement du Cloud • Faut-il réinvestir sur l’infra existante ou plutôt partir dans le Cloud, en commençant par les solutions IaaS et SaaS ? • Tout n’est pas ‘cloudifiable’ : toutes les applications ne sont pas vouées à migrer sur le Cloud • La sécurité est un prérequis incontournable mais ne doit pas inhiber les projets. Le 0 risque n’existe pas. Tout est une question de bon ‘tuning’. 1 25 Ce qu’il faut retenir Consolider, rénover, urbaniser, construire ? stratégiques s’inscrit explicitement dans cette logique de connexion «any» (en tous lieux, avec tous ‘devices’, pour toutes applications, accessibles 24h/24 7 jours/7). Cette application concerne celle de 6.000 utilisateurs responsables de la fabrication, des approvisionnements et de la logistique à travers le monde. « Le critère de mobilité devient primordial », explique le directeur technique. « Tous ces personnels doivent avoir accès à Internet et, ainsi, à toutes les applications, depuis n’importe quel site. Cela implique des outils de connectivité mobile à Internet, et la mise en oeuvre de bonnes pratiques pour en optimiser l’utilisation ». La mobilité et le Cloud computing sont deux facteurs clés qui accompagnent la transformation de l’univers IT vers le modèle du service. « Il faut désormais se faire à ce concept issu du Cloud computing : l’ITaaS, ou IT as a Service », a expliqué d’entrée de jeu, Michel Barbasso, CTO de KIABI, qui a été le parrain de cette journée. Pour les entreprises détenant de nombreux sites dispersés ou des établissements décentralisés, cela conduit à alléger les infrastructures locales. Dans de très nombreux cas, ce sont les accès réseau qui vont primer, y compris les accès sans fil du fait de la poussée de la mobilité. Et, de ce fait, tous les types de terminaux vont prétendre à des connexions «any application», «anywhere» et «any time». Côté solutions, il peut aussi bien s’agir de solutions Cloud, d’applications publiées sur Internet ou de celles très sécurisées accessibles sur l’intranet de l’entreprise ou même, à terme, d’applications «client» sécurisées comme l’ERP (SAP, en l’occurrence). Pour l’option «any device», la règle est que tout le monde puisse, avec tout device, accéder à Internet et à toutes les applications. Certains terminaux, même s’ils appartiennent à l’entreprise, peuvent ne pas être totalement «intégrés». Du coup, la nécessité qu’ils soient administrés par l’IT s’impose moins. « Leur configuration n’est pas sujette à de fortes contraintes d’infrastructure ». Mais, de ce fait, « l’utilisateur doit pouvoir également utiliser son propre équipement : cf. le phénomène BYOD (bring your own device), à partir du navigateur de son choix et quel que soit l’OS ». En introduction, les points suivants sont relevés : • La mobilité soulève des questions clés : comment conserver la maîtrise des coûts du poste de travail ? Comment faire la part des choses entre le domaine professionnel et celui personnel ? « Les deux mondes s’entremêlent de plus en plus », • Deux autres remarques s’ajoutent: « Il n’est pas possible de céder à la mode du tout dernier device commercialisé. La fuite en avant technologique n’est pas la solution ». Seule restriction : les applications « client lourd » ne peuvent être installées que sur les équipements fournis et maintenus par l’entreprise, qui les répertorie. Donc, l’utilisateur doit pouvoir travailler avec le terminal de son choix sans contraintes techniques. Par ailleurs, la sécurité, en matière de mobilité, est un point important, mais il ne faut pas en faire trop. « Il faut sécuriser avec le bon tuning ». « On rêve d’un service de ‘hot spot’ mondial, à terme ». Les applications seront à «publier», sur le Cloud ou non. Certaines seront rendues accessibles à des partenaires extérieurs, tandis que les applications plus lourdes, comme SAP, seront limitées à certains utilisateurs. « Cela implique un gros effort de compatibilité, notamment en termes de format d’écrans (tactiles ou non...). Il n’y a plus de «réseau interne». On est sur le web, un point c’est tout! », souligne l’intervenant. Garder la maîtrise du réseau et s’interroger sur la réversibilité Avec ces perspectives où l’on a constamment besoin des ressources IT, « le réseau devient crucial. Il faut en garder la maitrise, y compris en termes de coûts ». Autre point critique avec le Cloud: la réversibilité. « Peut-être qu’il n’y aura pas de retour arrière. Si l’on songe à Google ou Microsoft, on n’en voit guère. Les témoignages sur ce sujet sont bienvenus ». Mais, selon lui, il semble impossible encore d’aller aussi loin avec tous les devices: « Avec les laptops, on a fait ce qu’il faut pour sécuriser. Aujourd’hui on accepte le BYOD mais avec certaines restrictions d’usage. En pratique, nous n’avons pas la possibilité d’installer des clients lourd sur des postes appartenant au personnel. Nous ne pouvons pas en prendre la responsabilité». Pour le ‘quick delivery’ des services, un benchmarking de ce qui est proposé sur le marché (Amazon AWS, ou Google, etc.) reste fort utile. Et parmi les usages nouveaux du Cloud, celui lié au plan de secours (PRA) intéresse beaucoup de monde. Deux navigateurs ont été retenus, dont Chrome. A propos de services de messagerie sur le Cloud, se pose la question de la réversibilité? « Combien de temps faudrait-il pour rapatrier toutes nos données ?!». La connexion anywhere, any-device, any-application.. Le deuxième témoignage de cette journée provenait d’un géant de la distribution. L’un de ses projets IT 2 26 Autre constat: les utilisateurs souhaitent pouvoir utiliser le terminal de leur choix . « Il faut que le choix soit réellement possible et opérationnel », observe l’intervenant. Sur les lieux de vente de ce champion de la grande distribution, 70% des postes mis à disposition sont partagés entre différents ‘jobs’ -vendeurs, chefs de rayon, managers… La même session tourne sur tous les postes, mais l’accès aux applications est différent selon les jobs. Pour parvenir à cet objectif, ce géant de la distribution a pris deux orientations majeures: 1 - simplifier, par nécessité : un site de production en Asie subit régulièrement des coupures de courant. Son système d’alimentation de secours ne tient que 3 heures. Et donc la probabilité que les serveurs se mettent hors service est très élevée. D’où la solution de généraliser des applications en web-services. Celles-ci doivent être accessibles en réseau WAN et/ou en 3G, sans installation de serveurs locaux ; Au quotidien, l’un des problèmes majeurs était la nécessité de relancer le log-in, de ressaisir le mot de passe 30 à 40 fois par jour. Et les sessions ne doivent pas restées ouvertes ni lisibles dès lors que le poste n’est plus utilisé. Il a été décidé de développer un concept dit MBM pour ‘Mon Bureau Mobile’. Chaque utilisateur dispose de sa session propre. La connexion est facilitée, « de façon ultra-rapide ». L’authentification est du type SSO (Single sign on). 2 - pas de bureau virtuel, pas d’infrastructure VDI : l’hypothèse d’un poste de travail virtuel sur une infrastructure VDI (Virtual desktop infrastructure) n’a pas été retenue. Pour des raisons diverses, dont le problème de sécurité des données « qui reste un point critique ». Pour 95% des problèmes rencontrés dans le projet de ‘mobilité’, c’est, selon lui, la sécurité qui est en cause. Pour le client léger, c’est Citrix XenApp 6.5 qui a été retenu. La gestion du SSO et des connexions par badge repose sur la solution Ilex. L’administration de l’environnement virtualisé des postes s’appuie sur VUEM (Virtual User Environment Manager) de Norskale et la gestion des applications locales sur VDX de RES Software. Avec ces solutions, 3500 clients légers ont ainsi été déployés, accédant à 176 serveurs virtuels. A terme, 8300 utilisateurs, avec 4000 connexions simultanées, sont concernés. Trois grands projets ont été mis sur pied: 1 - un poste de travail allégé: l’option retenue est celle de plusieurs «devices» possibles, mais intégrés. « A terme, pour certains usages, nous pourrions aller jusqu’au concept du ‘Chrome book’ » ; Les résultats sont là : 93% des utilisateurs se déclarent satisfaits. Avec moins de pannes (comparativement aux PC classiques), les sollicitations du support ‘help desk’ ont fortement chuté, ainsi que le coût des déploiements applicatifs. De substantielles économies ont été réalisées sur les migrations de Windows. 2 - un mode de ‘delivery’ et de stockage des données sur le cloud : les applications et la gestion de documents s’exécutent dans le Cloud, avec une synchronisation locale. Les gains sont là mais plusieurs points de vigilance sont relevés : Tous les documents peuvent être installés sur le cloud. Mais certains utilisateurs travaillent sur des documents avec des liens entre eux. Donc, la solution Cloud n’est pas applicable partout. • la conduite du changement est un point crucial pour les équipes IT (helpDesk, infra, développement...); 3 - des solutions de connectivité Cloud: des ‘hot spot’ existent dans les différents pays. Mais l’idée est de pouvoir se passer de tous les composants physiques, grâce à des solutions Cloud du type SaaS. • la compatibilité et la validation des applications sont critiques: « Il faut veiller à bien gérer la recette applicative, notamment en blindant celle des postes clients légers » • le budget en investissement (CAPEX) reste conséquent, notamment en matière de stockage. Autre scénario : Mobilité et virtualisation du poste de travail Le ‘multi-devices’ anywhere dans un contexte bancaire Autre géant de la distribution, autre scénario. Le témoignage suivant a affiché des orientations différentes, reposant sur la virtualisation des postes de travail installés en magasin. En dernière partie de cette session, le témoignage de la filiale Investissement d’une grande banque a confirmé comment la mobilité peut susciter la transformation et le changement. L’objectif principal était de centraliser les services afin de diminuer les coûts (helpdesk, mises à jour...), La nouvelle offre de mobilité, issue d’un programme 3 27 L’Essentiel d’alléger le matériel en magasin (avec le ‘client léger’), de répondre à l’obsolescence de Windows XP et de s’ouvrir aux nouveaux usages des nouveaux ‘devices’ (smartphones, tablettes). CRiP Thématique Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing Quels choix de terminaux ? ‘corporate’, doit permettre à 12.000 collaborateurs d’accéder à la messagerie, au calendrier et aux bases de contacts (Active Directory), à partir de tous terminaux : PC portables (environ 2.500), smartphones (3.800), tablettes... Pour les PC portables, fournis par l’entreprise, la connectivité est élargie à toutes les applications ‘métiers’, grâce notamment à la solution VPN Pulse. Le besoin de se connecter au SI, où que l’on se trouve, a été clairement sponsorisé par les topmanagers: eux-mêmes se déplacent fréquemment dans les 30 pays où la banque est implantée et ils tiennent à afficher une image très ‘high tech’ vers les partenaires. Progressivement, les utilisateurs vont accéder à toutes leurs applications depuis n’importe quel ‘device’. « Ceci suppose d’interconnecter ou fédérer les messageries, et d’ouvrir certaines applications au télétravail ou ‘home office’ », explique l’un des intervenants. L’accès aux applications de la banque est confié à des plateformes Citrix. « A partir de là, il sera facile de passer à HTML 5 ». Pour l’accès sécurisé des laptops personnels, la solution Movis (Mobile office via Internet services) a été retenue. Elle ne permet le transfert qu’en mode connecté, et pas de maintenance à distance. Toutes les fonctionnalités ne seront pas accessibles à tous les métiers (des restrictions visent, par exemple, les ‘traders’). Comparativement, le réseau VPN Pulse est beaucoup plus sécurisé : il concerne exclusivement les laptops fournis et maintenus par l’entreprise (contrôle de la conformité, vérification du chiffrement des données, de la clé PKI, avec un annuaire spécifique. Une gestion des connexions est assurée en temps réel (GRANT) et un verrouillage par des pare-feux SEP. Une forte culture de mobilité Les OS retenus sont Windows Phone et Android, sans oublier iOS. Le service de visio-conférence est ajouté progressivement; il s’agit de permettre une connexion en point à point aux systèmes de visioconférence déjà en place, y compris avec les salles dédiées à la vidéoconférence. Il est même prévu d’embarquer Lync sur des tablettes (Lync Mobile). EnquêTE CRiP IndEx Autre information intéressante : 50% des entreprises consultées ont déjà ou envisagent un Cloud privé. Et 43% des répondants ont déjà migré ou sont en train de migrer des services/applications dans le Cloud public. La messagerie, du fait de la mobilité, première application sur le Cloud public Cette session du CRiP Nord a été l’occasion de résumer les tendances révélées par la récente enquête CRiP Index sur le Cloud et la sécurité. Elle montre que le premier service transféré sur un Cloud public est la messagerie, du fait de l’impact de la mobilité. Les 3 premiers services d’infrastructure cibles du Cloud public sont, par ordre d’importance, les services de messagerie (pour 39% des répondants), suivis de la visio-conférence (20%), et des plateformes de développement IT (8%). United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 4 28 Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr L’outil MDM de gestion des postes retenu a été initialement Good for Enterprise, mais étant verrouillé le RSSI l’a récusé. Pour les smartphones, les options Blackberry sont toujours en vigueur. « Cela reste l’offre la plus sécurisée pour la messagerie (…) Mais Il est plus probable que nous allions vers l’option BYOD avec Android, Windows Phone, et avec un autre MDM mieux adopté, moins coûteux.» Club des Responsables d’Infrastructure etetde d’Infrastructures deProduction Production # 28 Mai 2014 Datacenter CRiP Thématique L’optimisation des datacenters : une priorité pour les DSI du 09 avril 2014 L’évolution des technologies transforme radicalement le monde de l’infrastructure : densification des équipements, transformation des facteurs de forme, virtualisation massive… Dans une recherche permanente d’optimisation, le DSI ne doit plus s’intéresser au seul contenu de sa salle informatique. Le contenant, les ‘facilites’ de nos amis anglo-saxons, fait aussi l’objet de nouvelles attentions : réduire le nombre et les surfaces des datacenters, la consommation électrique et les besoins de climatisation, intégrer des sources d’énergie renouvelables. Loin d’être une mode, le « green datacenter » est une évidence pour toute entreprise soucieuse de Responsabilité Sociale et Environnementale (RSE). Le contexte En quelques phrases Cette conférence a été organisée par le Groupe de Travail Datacenter & IT Durable, animé par Dominique Roche (Orange) et André Eledjam (Société Générale), la journée étant parrainée par Frédéric Sevestre (CTO de Carrefour). Les intervenants ont partagé diverses expériences d’amélioration de l’éco-responsabilité : consolidation de datacenters existants, rénovation de salle, construction d’un nouveau datacenter. Même si les moyens techniques existent, les résultats obtenus ne sont pas toujours au rendezvous des attentes espérées au démarrage du projet. D’où la nécessité d’améliorer la normalisation sur l’efficacité énergétique du datacenter. Le GT Datacenter & IT Durable veut être force de proposition et représenter les intérêts des utilisateurs du CRIP et de CTO Alliance. La réflexion du développement durable doit être menée jusqu’à la fin de vie des équipements. La directive européenne sur les DEEE impose la collecte et le recyclage des équipements en fin de vie. Dans certains cas, la responsabilité de la fin de vie incombe au client, lui aussi sensibilisé à l’éco-citoyenneté. • Il est temps de réconcilier le monde de l’IT et celui des ‘Facilities’. • Le déménagement des équipements a été l’occasion de faire le ménage. • On n’urbanise pas un datacenter juste pour gagner sur sa facture EDF, le premier gain c’est l’efficacité opérationnelle. • L’esthétique du datacenter apporte clarté et netteté. • Le PUE n’est qu’un chiffre direct, il ne permet pas d’identifier d’où vient le problème. • Même si on a des outils de mesure fournis par le constructeur, il vaut mieux savoir ce qu’on mesure et avoir ses propres systèmes de contrôle. • Un seul élément peu efficace dans la chaîne peut complètement faire basculer le niveau de performance globale du système. • Sans documentation, sans repérage, sans transfert de connaissances, un datacenter peut régresser très vite. • La collecte sélective ne représente que 30% des équipements électriques et électroniques mis sur le marché. 29 1 L’urbanisation ne doit pas être considérée comme une ‘dernière cartouche’ : « Il faut penser à l’urbanisation le plus en amont possible. Lorsqu’on construit un DC, son rendement d’origine va se dégrader au long de sa vie, l’urbanisation va permettre de revenir vers le rendement d’origine ». Double effet kisscool : « On n’urbanise pas juste pour gagner sur sa facture EDF, le premier gain, c’est l’efficacité opérationnelle ». La construction de nouveaux bâtiments permet de bénéficier de l’état de l’art, afin, par exemple, de bâtir « un hangar ajouré avec des containers à l’intérieur, permettant de faire du ‘free cooling’, et de réaliser au final 143 kW d’économie annuelle». Ce qu’il faut retenir Consolider, rénover, urbaniser, construire ? La poursuite d’un objectif de durabilité du datacenter n’est pas qu’une volonté de l’entreprise d’afficher qu’elle lave plus vert. C’est également un moyen de réduire ses coûts informatiques, en agissant sur la facture énergétique. Mais avant d’en obtenir des gains substantiels, la ‘greenitude’ du datacenter passe par une nécessaire étape d’investissement. De quelques semaines et quelques dizaines de milliers d’euros pour rénover un local informatique de 100 m² à quelques années et quelques millions d’euros pour bâtir un datacenter ‘from scratch’ de 1000 m², la palette des solutions est large. Le choix de la consolidation se fait souvent pour s’aligner avec des objectifs stratégiques de l’entreprise. Un témoin déclare : « La raison d’être de ce programme, c’était véritablement de sécuriser nos applications critiques (salles non sécurisées, serveurs obsolètes, logiciels plus maintenus) ». Mais un autre explique: « Les 7 DC existants étaient relativement vétustes et nous avions besoin d’une disponibilité 24x7 ». Lorsque la consolidation n’est pas nécessaire, la rénovation est une alternative. Un autre témoin voulait « tester l’optimisation énergétique d’une salle pilote de 100 m² et passer d’une salle aux ‘bons standards des années 80/90’ à un standard actuel ». Normalisation : le GT en pole position L’indicateur PUE (Power Usage Effectiveness) proposé par le consortium Green Grid a fait long feu. Peu fiable, trop dépendant des conditions dans lesquelles il a été mesuré, ne tenant pas compte de la ‘propreté’ de l’énergie consommée, la communauté est à la recherche de nouveaux indicateurs indiscutables. Le PUE n’est plus qu’un vague indicateur car « ce n’est qu’un chiffre qui ne permet pas d’identifier d’où vient le problème. Il a fallu que nos experts fassent un audit détaillé pour comprendre ce qui n’allait pas ». Et même en l’absence de problème, sa valeur est discutable : « même si on a des outils de mesure fournis par le constructeur, il vaut mieux savoir ce qu’on mesure et avoir ses propres systèmes de contrôle ». Bref, il est urgent de se ranger autour de nouveaux indicateurs plus fiables et de préférence normalisés pour éviter toute interprétation. Le GT a été force de proposition auprès des organismes de normalisation en défendant les intérêts des utilisateurs. « Pour éviter d’être considérés comme trop franco-français par les instances de normalisation européennes, on a créé la CTO Alliance [dont le CRiP est l’un des piliers] reconnue par la Commission Européenne. Il a ensuite fallu constituer, en accord avec l’ETSI, le comité ISG (Industry Specification Group) OEU (Operational energy Efficiency for Users) qui émet des ‘position papers’ et des spécifications de référence pour les futurs sites et réseaux ». Reconnaissance du data centre «Green label» 30 Le GT poursuit ses travaux en proposant un « cadre ouvert pour récupérer les données énergétiques en étant indépendant des constructeurs et pour mener des analyses. Ceci passe par un état des lieux sur les protocoles de transmission des informations techniques, le recensement des besoins des utilisateurs via des enquêtes notamment auprès des membres du CRIP, ceci dans le but de produire un ‘position paper’ proposant des pistes pour minimiser le nombre de protocoles et réduire les coûts d’exploitation». Les énergies renouvelables La trop grande dépendance aux énergies fossiles oblige les pouvoirs publics à proposer des modes alternatifs. Gros consommateurs d’énergie, les datacenters ne sont pas exclus de la réflexion. Après une étude détaillée démontrant, sur l’emplacement prévu, une meilleure efficacité énergétique du « Natural Free Cooling », un intervenant a détaillé cette réalisation originale, évoquée plus haut, d’un nouveau datacenter au Royaume-Uni conçu comme un « hangar ajouré avec des containers à l’intérieur ». Selon le niveau de température et le degré d’humidité extérieure, le NFC est complété par un refroidissement adiabatique ou un mécanisme classique d’eau réfrigérée. En complément du free cooling, des panneaux solaires ont été installés. Mais « la partie énergie renouvelable est très marginale car ce qui est produit par les panneaux photovoltaïques est peu perceptible. Nous avons calculé avec des simulations qu’il faudrait couvrir l’équivalent de 1000 places de parking supplémentaires pour un DC de 500 m² pour que ce soit significatif. L’impact du photovoltaïque n’est visible que si vous pouvez installer une véritable ferme solaire à côté de votre DC sur un grand site ». L’histoire ne dit pas si une implantation, par exemple, dans le sud de la Californie aurait changé le résultat des simulations… Mais qu’en est-il de la responsabilité de collecte pour l’entreprise ? Pour les équipements mis sur le marché avant le 13/08/2005, « les détenteurs d’EEE professionnels sont responsables de la fin de vie de ces équipements, sauf en cas de remplacement par un nouvel équipement équivalent (reprise par le fournisseur) ». Et pour les équipements mis sur le marché après le 13/08/2005 ou d’équipements plus anciens repris dans le cadre d’un remplacement, « les producteurs sont responsables de leur fin de vie ». Du point de vue de la responsabilité de collecte sélective des DEEE, il est donc préférable de privilégier les équipements récents, et pour les plus anciens, de les faire reprendre (comme votre bon vieux réfrigérateur) par le fournisseur qui vous aura vendu les nouveaux en lieu et place ! 3 31 L’Essentiel Une démarche d’éco-responsabilité du datacenter ne doit pas seulement s’intéresser à la partie « run ». Elle doit aborder le « build » mais aussi traiter la fin de vie des équipements. C’est la démarche suivie par la directive européenne DEEE qui « impose une écoconception des équipements électriques et électroniques pour favoriser le réemploi et le traitement en fin de vie ». Les équipements sont classés en 10 catégories, depuis les gros appareils électroménagers (catégorie 1), les petits appareils électroménagers (catégorie 2) jusqu’aux équipements de distribution automatique (catégorie 10). Les équipements informatiques et de télécommunication constituent la catégorie 3, qui « représente environ 22% des mises sur le marché en nombre et environ 7% en tonnage » (chiffres France 2012). Pour pouvoir recycler les équipements, il faut d’abord procéder à une collecte sélective, avec des objectifs de plus en plus ambitieux. « La Directive européenne évolue, on va passer d’un objectif de 4 kg par habitant en 2006, vers des objectifs de 10 kg par habitant à partir de 2016 (soit 45% des mises sur le marché)». CRiP Thématique L’optimisation des datacenters : une priorité pour les DSI Le traitement des Déchets des Equipements Electriques et Electroniques (DEEE) L’objectif est atteint : « Un nouvel indicateur alternatif au PUE existe : le DCEM (Datacenter Efficiency Management) qui mesure la performance énergétique des DC. Il fait intervenir 4 KPI objectifs : consommation énergétique, efficacité de traitement, réutilisation d’énergies et utilisation d’énergies renouvelables. Notre proposition est une classification des datacenters sur une échelle absolue de 9 niveaux de A à I (comme la classification des bâtiments) ». ANAlyse theRmoGRAPhIque L’analyse thermographique d’une salle non optimisée peut révéler quelques failles. Un client raconte : « On avait bien de l’air froid dans les faux planchers, mais pas là où il devait être ! ». Des mesures de première urgence sont prises : « On a bouché les trous, obturé les racks avec des cache-U, optimisé le soufflage et canalisé les flux d’air. On s’est dit : c’est bon, on a gagné ! ». Constat similaire chez un autre client : « Il faut positionner des baffles et des directeurs dans les planchers techniques pour bien canaliser l’air dans les allées ». Mais l’analyse thermique ne doit United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 4 32 Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr pas s’arrêter en bas des racks : « Les mesures de température à 1 mètre du sol étaient bonnes, mais on avait 42° à 45°C en haut des baies ! ». Une analyse complémentaire a montré qu’une poutre provoquait un flux circulaire en rouleau. « Nous y avons remédié, et très vite nous sommes revenus à des bons niveaux ». Idéalement l’analyse thermographique doit être réalisée de façon récurrente, de façon à « mettre en évidence tout mauvais comportement des flux d’air et affiner si besoin les températures, les pressions d’air et optimiser les modes de refroidissement ». Club des Responsables d’Infrastructure etetde d’Infrastructures deProduction Production # 29 Mai 2014 Outsourcing CRiP Thématique Outsourcing : sans cesse sur le métier… du 09 avril 2014 Si l’infogérance est presque aussi vieille que l’informatique elle-même, elle se transforme au gré des mutations de l’IT. Elle doit proposer des services plus flexibles, satisfaire les exigences de qualité de service des métiers, et évidemment dégager des réductions de coûts. Autant de problématiques et de stratégies d’entreprise, autant de prestataires et de services d’infogérance différents. Devant faire le grand écart entre un niveau d’exigence sur une qualité de service toujours plus élevée, et un tarif des services qui s’érode année après année, l’infogérant doit sans cesse remettre son ouvrage sur le métier pour garder la confiance de la DSI et de l’entreprise. Le contexte En quelques phrases Cette conférence a été organisée par le GT Outsourcing, animé par Philippe Guyé (OCDE) et David Perreau (CEA), la journée étant parrainée par Frédéric Sevestre (Carrefour). Cette journée a illustré la diversité des attentes liées à la taille de l’entreprise. Elle a également traité des primo-contrats aussi bien que des renouvellements. Les retours d’expérience sont unanimes sur l’extrême nécessité de bien planifier le passage de témoin, des équipes internes vers celles de l’infogérant, ou la transition d’un infogérant sortant à un infogérant entrant. Même, et surtout, si cette transition implique des facteurs humains, le succès de l’opération sera très dépendant de la formalisation en amont des processus, et de la complétude du contrat en aval. Ce dernier doit naviguer entre deux écueils : être suffisamment détaillé pour éviter toute interprétation en cas de recours, mais être assez souple pour ne pas brider flexibilité et réactivité au quotidien. L’infogérance, c’est un peu comme un mariage. La non-atteinte des SLA conduit au divorce. Pour l’éviter, la relation saine doit prévaloir, même si la confiance n’exclut pas le contrôle… • Il faut mettre en place un modèle adapté à sa maturité : l’offshore low-cost ne fonctionne pas forcément bien avec tout type de client. • Dans notre stratégie, on voulait un acteur local surtout parce qu’il y avait beaucoup de réticence des équipes. • Il faut impliquer les équipes delivery au plus tôt dans le projet pour éviter une bascule violente. • On allait être mariés pendant 5 ans. Si on démarre la prestation en mettant les gens dans un mode conflictuel, la relation contractuelle va prédominer sur la relation humaine. • Une fois qu’on a signé le contrat, c’est extrêmement compliqué de changer une virgule. • On ne choisit pas de quitter le confort de l’existant pour l’inconnu s’il n’y a pas de fortes économies à la clé. • La réversibilité est une phase qu’on a souvent tendance à négliger et surtout à ne jamais tester. • Le prestataire sortant est un animal blessé, il fait tout pour survivre et pour conserver le contrat. • Si vous faites 1 comité de pilotage par mois, au bout du 3ème mois vous avez déjà 3 mois de retard. 33 1 Ce qu’il faut retenir Le modèle de maturité démarrer quoi que ce soit. Il faut s’appuyer sur des faits plutôt que des croyances ». Et même si « on connait les points forts et les points faibles de son infogérant », on sait qu’on « ne saura pas demander à un crabe de marcher droit, mais au moins on sait à quel angle il avance ». Aujourd’hui, il existe de nombreux modèles d’infogérance : infrastructures, applications, postes clients, réseaux, téléphonie, centres d’appels…. Et plusieurs modes de fourniture des services : en délégation de personnel sur site, avec des centres de service partagés situés en France, dans un pays proche (nearshore) ou lointain (offshore), avec des personnels parlant plus ou moins bien le français. Et selon qu’on se lance dans son premier projet d’infogérance (primo-entrant), ou qu’on soit un habitué (multi-récidiviste), les avantages d’un modèle pour l’un peuvent être perçus comme des inconvénients par l’autre. Un multi-récidiviste avoue : « On a un modèle d’infogérance qui repose beaucoup sur l’offshore, c’est quelque chose à prendre aux sérieux avec l’infogérant pour choisir le bon modèle. Il faut se poser les bonnes questions sur son modèle de maturité et mettre le curseur au bon endroit. L’offshore low-cost ne fonctionne pas forcément bien avec tout type de client ». Un primo-entrant confirme : « On voulait un acteur local surtout parce qu’il y avait beaucoup de réticence des équipes, et aussi parce qu’on avait un niveau de maturité faible sur l’outsourcing d’exploitation. ». Un multi-récidiviste complète : « Pour les primoutilisateurs, aller signer des contrats en Inde en Chine ou au Mali peut se révéler compliqué ». Les barrières de langue et de culture ne s’estompent pas facilement. « On a un modèle d’infogérance qui repose beaucoup sur l’offshore, c’est quelque chose à prendre aux sérieux avec l’infogérant pour choisir le bon modèle ». Même si la recherche d’économies substantielles attise les convoitises (« ce n’est pas le genre de manip qu’on fait pour gagner 7 ou 8%, il y a trop de risques »), il faut raison garder avec le low-cost (« la raison d’être de ce programme était de sécuriser nos applications critiques »). Et pourtant, les préjugés peuvent avoir la vie dure : « On pensait fermement que, depuis des années, on payait 20% de plus que les prix du marché », on n’est pas à l’abri d’une surprise agréable « alors qu’en fait on était à -3% ! ». En résumé, « il faut avoir envie, penser que le fournisseur peut s’améliorer » et « considérer que c’est un partenaire avec lequel on va vivre pendant x années. Nos collaborateurs vont travailler avec ses collaborateurs même s’ils sont situés dans un pays distant». La confiance n’exclut pas le contrôle, c’est la raison d’être des comités de pilotage qui doivent être réunis à haute fréquence, surtout au démarrage du contrat, car «si vous faites 1 comité de pilotage par mois, au bout du 3ème mois vous avez déjà 3 mois de retard ! ». Quel portail de services ? La plupart des contrats d’infogérance modernes proposent un portail de services à leurs clients. Pour un contrat d’infogérance de datacenters, le catalogue donne « une vision claire des services et d’assurer un lien fort entre services et architecture ». Ce client dispose même de « deux types catalogues de services. Celui proposé par l’infogérant liste les services qu’il fournit à l’entreprise. Le second type est destiné à nos clients internes. Il a été construit par notre organisation, qui se positionne en tant que fournisseur de services internes, et masque les infogérants qu’il peut y avoir derrière les services proposés ». Chez un autre client, « le portail de service avait l’avantage de délester le service desk d’appels sans réelle gravité ». Le portail intègre un certain nombre d’informations, d’outils de ‘self-healing’ permettant à l’utilisateur lambda de se débrouiller dans les cas les plus fréquents et pour les incidents les plus bénins. « Le seul problème c’est de savoir ce que l’on veut mettre dans le catalogue de services. A partir d’une analyse des historiques d’appels, nous avons pu déterminer les 10 demandes les plus fréquentes. C’est par celles-là que nous avons commencé à remplir le catalogue, puis nous avons complété peu à peu ». Une nécessaire relation de confiance L’infogérance, comme toute prestation de service, s’appuie sur une relation humaine entre les équipes IT et les utilisateurs du client ainsi que les employés du prestataire. Certains doivent vaincre des réticences et « montrer comment on s’inscrit sur un apport de valeur au pays et pas une perte de pouvoir, leur expliquer qu’au lieu que ce soit eux qui soient réveillés la nuit pour une barrette mémoire, ce serait nous, idem pour les passages de patchs… ». Les réticences peuvent se transformer en force d’inertie, « quand vous avez des équipes entières qui pensent que l’infogérant sortant est nul, il faut rétablir une relation de confiance avant de 2 34 de comprendre les stratégies de chacun ». Qu’il s’agisse d’un premier contrat ou d’une reconduction, c’est avant le démarrage et pendant la phase de ‘due-diligence’ que se cimentent les bases de la réussite du contrat. « Les 3 premiers mois sont relativement tendus, explique un grand compte, parce qu’il y a tous les ateliers à mettre en place, le paramétrage de l’outil (ITSM) qui devait changer, remettre nos processus à plat pour le nouvel outil. Il a fallu également caler tous les transferts de compétences, ensuite refaire une validation documentaire de ce qui nous avait été fourni…car la documentation de l’ancien infogérant n’était ni toujours complète ni totalement à jour ». Les ateliers sont primordiaux car « les livrables non contractuels sont issus de tous les ateliers. C’est le client qui a la maîtrise de ce qu’il est censé fournir à l’infogérant. C’est le moment de documenter ce qui ne l’était pas ». Il arrive que le prestataire en cours ne soit pas reconduit, ce qui a pour effet immédiat de tendre la passation de pouvoir avec le suivant. « L’infogérant en place a refusé de donner les mots de passe avant le dernier jour à 19h00. C’était très compliqué d’avoir la nouvelle équipe en place dans les starting blocks jusqu’au dernier moment ». Ce que confirme un autre témoignage : « L’ancien fournisseur avait les manettes jusqu’à 5h59 le jour J. Ce qui nous a valu une petite minute d’angoisse lorsque nous avons coupé les consoles de supervision de l’ancien infogérant et que nous avons basculé sur celles du nouveau». Mais comment faire autrement ? Même avec de la bonne volonté, il est difficile –voire impossible- de faire se chevaucher les 2 contrats utilisant des processus différents, des outils différents… L’Essentiel L’importance de la préparation Certains infogérants laissent parfois un cadeau d’adieu : « Le Service Desk s’est retrouvé le 1er jour avec 600 tickets en backlog laissés par le précédent infogérant ». Le besoin de formalisation est confirmé par un autre témoignage : « On a fait la due-diligence pendant 6 semaines avec 4 à 5 ateliers par jour. C’est un processus extrêmement formalisé, il faut noter toutes les questions car cela sert pendant les premiers temps du contrat lorsque le prestataire vous dit ‘je ne savais pas que…’ ». Dans la ‘due-diligence’ « il faut être exhaustif et traçable » et accepter le fait que « la phase de collecte des informations est coûteuse en temps et en ressources, mais elle permet de faire le point en interne». Les clauses de réversibilité permettent-elles de limiter ce genre d’effets négatifs ? Un témoin déclare : « La réversibilité c’est une phase qu’on a souvent tendance à négliger et surtout à ne jamais tester ». Il conseille de « la tester 1 fois par an, sans forcément effectuer une réversibilité totale, mais au moins faire une réversibilité documentaire et passer un peu de temps pour s’assurer que toutes les documentations sont au carré et qu’elles ont été rafraichies au moins une fois au cours de l’année écoulée ». Et de conclure : « La dernière année, faites-la 2 fois 6 mois avant la fin de contrat et à la fin de contrat ». CRiP Thématique Outsourcing : sans cesse sur le métier… Car prudence est mère de sureté, surtout si « on avait peur de tomber sur un prestataire qui nous impose avenant sur avenant parce qu’on aurait oublié ceci ou cela ». Est-ce facile de changer d’infogérant ? A la fin naturelle du contrat, ou de façon parfois anticipée, se pose la question du renouvellement. Même si l’on ne dépend pas des marchés publics obligeant à une nouvelle consultation formelle, nos témoins confirment que la tacite reconduction fait désormais place à un processus de mise en concurrence. Certains ont décidé « d’anticiper la fin de contrat dans une renégociation de gré à gré ». Pour autant, si ce client choisit de ne lancer les négociations qu’avec son prestataire en place, celuici est prévenu : « Si, au milieu de la négociation, on n’a pas trouvé d’accord, on met une appel d’offres sur le marché ». Pour un autre « la short list a été faite avec le prestataire en cours et un nouvel entrant possible » Il poursuit : « Si vous avez le temps, rédigez le modèle de contrat avec les 2 entreprises, cela vous permet d’avancer plus vite et 3 35 Le BenChmaRk OutsOuRCIng du CRiP Les contrats d’outsourcing sont utilisés à peu près à égalité pour l’infogérance de datacenters ou de postes de travail. Ensuite sont mentionnés la maintenance applicative, les réseaux et télécom et la maintenance système. Est-ce une manifestation de l’exception française ? Une écrasante majorité de contrats ont été signés avec des intégrateurs ou sociétés de service, loin devant les opérateurs télécoms et éditeurs ou constructeurs. Le Groupe de Travail a lancé l’initiative d’un Benchmark Outsourcing au sein du CRIP. Le questionnaire, comportant 21 questions, a été envoyé durant le 1er trimestre 2014 à un échantillon représentatif de 254 sociétés membres du CRIP. A ce jour 91 réponses ont été collectées, ce qui permet d’avoir une première photographie des attentes des membres vis-à-vis de l’outsourcing. Les résultats sont en ligne avec les études menées par les grands analystes du marché. CRiP BenChmaRk ‘OutsOuRCIng’ Q12. avec quel(s) prestataire(s) le contrat a-t-il été signé ? United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 4 36 Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr Q3. dans quel(s) domaine(s), un contrat d’outsourcing ? Club des Responsables d’Infrastructure etetde d’Infrastructures deProduction Production # 30 Mai 2014 PRA / PCA CRiP Thématique Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d’activité du 16 avril 2014 L’omniprésence de l’informatique dans l’activité de l’entreprise rend les directions générales de plus en plus exigeantes sur la nécessité de restreindre au minimum, voire supprimer totalement les interruptions non planifiées du S.I. Certes, la notion de PRA (plan de reprise d’activité) est aussi vieille que l’informatique elle-même, ou presque. Mais son périmètre a évolué. Désormais, les directions Métier s’invitent à la table des discussions sur la définition, les tests et l’audit du PRA, qui doit progressivement s’élargir du PRA au PCA. Mais l’objectif du zéro-RTO est-il réaliste, non seulement techniquement, mais également financièrement ? Le contexte En quelques phrases Cette Conférence CRiP Thématique a été organisée par le Groupe de travail PRA/PCA, piloté par François Tête (président du CCA, Club Continuité d’Activité) et Pascal Antier (ADP). L’événement était parrainé par Jean-François Pasquier, Group IT Infrastructure Director chez Tarkett. Six témoignages d’entreprises, déjà engagées ou démarrant un projet de PRA/PCA, ont illustré les diverses facettes, la méthodologie, les aspects techniques mais également fonctionnels – autant de paramètres nécessaires pour rendre un PRA le plus opérationnel possible. Pas de recette miracle, même si quelques invariants existent, car chaque PRA est spécifique à chaque entreprise. Le PRA n’est plus un problème technique qui doit être seulement traité par les spécialistes de la DSI. Les Directions Métier sont de plus en plus impliquées, pour s’assurer que le PRA réponde aux attentes ‘business’ en cas de sinistre. Si les métiers aimeraient tendre vers le zéroRTO, il faut mettre en regard les coûts induits avec les risques métier encourus. Les éléments techniques ont été abordés dans cette journée. Mais les témoignages ont permis de partager diverses expériences sur des éléments souvent plus importants, parfois intangibles, de l’optimisation du PRA. • Qu’est-ce que les métiers sont prêts à payer ? L’enjeu est de placer le curseur entre les risques et les moyens de les contingenter. • Le PRA est un projet graduel qu’il faut stratifier, et pour lequel il faut trouver le bon niveau de granularité. • L’adhérence entre applications nous oblige à traiter ces applications en blocs homogènes. Nous sommes pris entre deux feux : limiter le nombre de blocs en y intégrant le plus d’applications possibles, ou bien multiplier le nombre blocs avec peu d’applications, donc plus souples à basculer. • C’est le critère « revenu généré par l’application » qui détermine son niveau de criticité. • Le métier définit les scénarios, les plans de tests, et effectue puis valide les tests. • Se préoccuper du ‘fail-over’ sur le site secondaire ne suffit pas : il faut également penser au retour vers le site primaire lorsque l’incident est clos. • Un audit n’est réussi que s’il apporte de la valeur ajoutée à toutes les parties prenantes. • Grâce au travail de tous sur le PRA, nous avons constaté une baisse de 10% de nos incidents classés ‘sévérité 1’ sur 3 ans, malgré la croissance des volumes applicatifs sur la période. 37 1 Ce qu’il faut retenir Gérer le PRA comme un projet à part entière Comment tendre vers la continuité d’activité ? Tous les intervenants reconnaissent que le PRA/PCA doit être géré comme un projet, et disposer d’un sponsorship de niveau managérial pour pouvoir disposer des moyens humains et financiers. Pour l’un, « le projet commence 6 mois avant la date du test. Le week-end du test mobilise une équipe de 220 personnes ». Chez un autre, « chaque année le projet de test démarre pendant l’été pour un test réel en novembre. Une semaine de préparation intensive avant le jour J permet de minimiser les risques ». Pour un troisième, « la préparation mobilise 8 ETP sur un an pour réaliser plus de 400 tests unitaires. L’exercice de bascule dure 36 heures, dont 12 sur site unique, et implique 120 intervenants IT». Un autre témoin, disposant d’une équipe de production d’une dizaine de personnes, a dû « renforcer les équipes pour passer le cap, et maintenir le PRA en état de marche une fois le test terminé ». La planification du test du PRA est donc un véritable projet qui doit adresser plusieurs facettes. Pour l’un des intervenants, il faut « effectuer une préparation rigoureuse des exercices sur 5 axes : technique, fonctionnel, organisationnel, logistique et sous l’angle de la communication ». Ce que confirme un autre témoin : « On a besoin d’une précision chirurgicale des équipes du projet. Il faut être hyper carré pour éviter de se perdre dans les détails, ou oublier les objectifs d’ensemble du PRA ». Mais même si le projet DRP est reconnu comme important pour l’entreprise, « il entre en conflit avec la vraie production, les vrais nouveaux projets, le périmètre est mouvant ». L’organisation de tests de PRA a parfois rendu évidente la création de profils de Business Relationship Managers (BRM): « Entre le business et l’IT, les équipes n’ont ni le même langage, ni les mêmes objectifs. Le BRM aide à fluidifier la gestion des incidents durant le PRA ». Une fois le test réalisé, « un plan d’amélioration global est découpé en plans d’améliorations spécifiques à chaque business ». On peut ainsi faire entrer le PRA dans un processus d’amélioration continue. Le groupe de travail PRA/PCA du CRiP a déjà classifié les notions de PCI/PRA/PCA… Pour la plupart des entreprises, rependre son activité après un sinistre c’est bien, mais continuer son activité malgré un sinistre c’est encore mieux. La continuité d’activité dépasse le cadre de l’IT, elle doit traiter les problèmes liés aux employés, aux postes de travail, aux bâtiments, aux fournisseurs. C’est une cellule de gestion de crise qui va mobiliser tous les maillons critiques de l’entreprise (y compris l’informatique, mais pas seulement) pour passer le cap de l’incident pour lequel la cellule aura décidé d’activer le Plan de Continuité. « Il est important de disposer des Business Continuity Plans, car en cas de sinistre la cellule de crise va interagir avec la DSI pour déclencher le PCIT » commente un intervenant. Il faut prévoir le scénario du pire, comme l’avoue un autre intervenant : « Nous avons identifié les tâches les plus importantes à réaliser même en cas de black-out total. Nous avons défini les traitements à réaliser manuellement jusqu’au rétablissement de l’informatique ». L’objectif de réduction des RPO et RTO trouve des réponses techniques, ce que confirme un témoin : « Le PRA c’est une chose, la continuité de service en est une autre. Les technologies permettent de s’approcher du zéro RTO, mais à quel prix ? ». Et, autre question préalable, toutes les applications de l’entreprise doivent-elles tendre vers le zéro-RTO ? Un des témoins explique : « Sous l’égide de la Direction Financière, nous avons catégorisé nos applications en 3 blocs : mission critique, business critique et business standard ». Mais dans certains cas, les contraintes géographiques rendent impossible, ponctuellement ou non, un RTO nul, et même pour une application critique : « Ce processus critique pour notre métier implique 127 applications et plus de 100 serveurs. Avec 2 datacenters distants de 800 km pour pallier un incident régional, comment faire pour avoir un RPO même presque égal à zéro ». 2 38 L’objectif ultime d’un PRA n’est pas tant de redémarrer le système d’information que de relancer a minima les applications critiques, de reconnecter les utilisateurs, et de pouvoir assurer à l’entreprise une Reprise d’Activité. Cela suppose que quelqu’un ait défini des applications, ou des blocs d’applications par type de criticité. Certains ont réalisé ce travail de classification sous l’égide du Directeur Financier Groupe. Pour d’autres, « c’est le revenu généré par l’application qui détermine son niveau de criticité ». Tous les intervenants ont convenu que les métiers sont de plus en plus impliqués dans le PRA et les exercices annuels. Pour l’un, « c’est le business qui définit les scénarios, les plans de tests, qui réalise et valide les tests ». Pour un autre, « les plans de tests sont conçus et testés par les métiers. Sinon ce sont les études qui s’y collent ». Selon l’activité de l’entreprise, on peut même être amené à intégrer plusieurs fonctions transverses comme « les finances, les ressources humaines, la gestion des marchandises, le développement, les magasins ». Une fois le test engagé, « tous les domaines fonctionnels se connectent, et ce sont eux qui lors d’une conférence téléphonique donnent leur GO/NOGO à la poursuite du test, ou au repli en condition ‘normale’ ». Cela va sans dire, pour limiter, voire éviter les risques sur la production, les tests se déroulent le week-end de façon générale. Malgré tout, « c’est de plus en plus difficile de trouver un créneau sur lequel tous les intervenants sont disponibles ». Et « pendant le test, aucun impact métier n’est toléré ». Quelles perspectives pour le PRA ? Cette journée riche en retours d’expérience a été focalisée sur la vision du PRA côté datacenter. La table ronde finale a permis de soulever quelques points annexes. A la question « qui lance le PRA dans l’entreprise», la réponse quasi-unanime était : « Aujourd’hui c’est la DG qui décide de lancer le projet PCA, même si la DSI fait des choses dans son coin ». Mais un intervenant souligne que, pour les tests, « c’est plutôt la DSI qui décide, car la DG ne voit pas tous les impacts découlant d’un PCA ». La question de l’accès des utilisateurs en cas de PRA peut trouver une réponse dans le travail à distance (sous réserve d’accords préalables et de la sécurisation des accès réseau), et avec l’accès d’une partie des utilisateurs à des centres de repli spécialisés. Jusqu’où doit-on tester son PRA ? Chacun doit faire le grand écart entre la complétude des tests, les coûts humains induits et le risque encouru si le test est incomplet. Doit-on aller jusqu’à simuler un sinistre réel non planifié, ou rester dans le cadre d’un exercice au périmètre bien défini par avance ? Pas de dogme sur le sujet. Si l’un « active le PRA une semaine par an en production sur toutes les bases de production SAP », un autre « ne bascule pas réellement la production pendant le test. Elle est momentanément fermée aux clients durant la bascule ». Si certains jouent le jeu jusqu’au bout « simulant un sinistre en coupant les réseaux, sans toucher aux bases de données », la majorité préfère procéder à un test planifié, qui permet de procéder à « un arrêt propre des applications, des outils d’exploitation, des bases de production ». De l’avis des intervenants, les sinistres logiques (tels une corruption de base de données, un virus ou une intrusion) ne sont pas redevables de PRA. Ils sont plutôt assimilables à des incidents d’exploitation. Néanmoins, en fonction de la profondeur ou de la virulence de l’incident « logique », il est envisageable de recourir au PRA, en espérant que les sauvegardes 3 39 L’Essentiel La question de prévenir les utilisateurs fait débat, un intervenant avoue même « avoir renoncé à les prévenir désormais, car au moment du premier test, une surcharge d’incidents avait été signalée, dont une grande partie n’avait pas trait au PRA ». Pour éviter de mauvaises surprises lors du grand test annuel, certains imposent des tests préalables unitaires par application ou bloc d’applications, d’autres réalisent « des tests réguliers de bascule de ‘clusters’ de bases de données », et mettent « leurs pilotes d’exploitation en condition de PRA sur le site de secours tous les mois ». En parallèle, des exercices d’alerte inopinés permettent de « simuler en combien de temps les acteurs se mettent en ordre de marche pour redémarrer le site secondaire durant la journée, la nuit ou le week-end ». Une fois le test réalisé, les enseignements en sont tirés, pour agir sur les points faibles, et aller plus avant lors de l’exercice suivant. L’un souhaite « élargir le périmètre du test aux serveurs hors SAP (serveur de fichiers, serveurs d’infrastructure, serveurs d’accès distants …) » tandis que l’autre « se mettra dans des conditions plus proche d’un sinistre réel ». Le facteur financier s’invite à la réflexion pour un troisième : « Nous effectuons actuellement deux tests annuels, mais nous nous demandons si nous n’allons pas espacer les tests ». CRiP Thématique Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d’activité L’implication croissante des métiers composants matériels. La perte d’un nœud ne compromet pas l’aboutissement de l’application. C’est elle qui gère sa disponibilité et pallie les défaillances matérielles. Mais est-il concevable de réécrire les applications d’un PRA pour leur faire gérer elles-mêmes la haute disponibilité ? Le Software Defined Datacenter (SDDC) apporterat-il des réponses à l’évolution du PRA ? aient été immunisées. Dans les perspectives d’évolution du PRA, quel impact peut jouer le Cloud (public)? Les intervenants ont admis manquer, à ce jour, de retour d’expérience sur le sujet. Le Cloud offrira-t-il une solution de PRA low-cost ? Comment pourra-t-il satisfaire les contraintes de qualité de service demandées par les directions métier ? Et comment s’engager sur un RPO court sans devoir répliquer fréquemment les données vers le Cloud de secours ? La volatilité du Cloud n’obligera-t-elle pas à la multiplication des tests ? Si les évolutions technologiques repoussent les frontières du possible, les contraintes du business déplacent les limites de l’impossible « pour tangenter l’asymptote du zéro-RPO et zéro-RTO ». Ce qui laisse à penser que le sujet du PRA/PCA a encore de beaux jours devant lui. Certaines technologies, comme Hadoop ou les ‘clusters’ de serveurs de calcul HPC par exemple, ne font plus dépendre leur disponibilité sur les seuls la part de certains qui y voient un outil répressif. Et d’ailleurs, cette question se pose : l’audit doit-il être réalisé en externe ou en interne (sous réserve de disposer de compétences certifiées) ? Pour garder son degré d’indépendance, l’auditeur interne est de préférence rattaché directement à la Direction Générale et au comité d’audit. Une des clés de la réussite est « de construire des relations solides. Il faut démontrer la valeur ajoutée, faire accepter le jeu par la DSI dans une relation gagnant/gagnant, et éviter un audit répressif en aidant la DG à faire avancer le PRA ». De toutes façons, « avant de démarrer l’audit réel, on fait un diagnostic et on bâtit un programme de travail », car in fine « un audit n’est réussi que s’il apporte de la valeur ajoutée à toutes les parties prenantes ». Le sujet est d’importance. Le groupe de travail PRA/PCA a rédigé une fiche destinée à « préciser à l’audité le contenu d’un audit de la continuité d’activité » et « prendre en compte l’audit de la continuité d’activité, plutôt que se limiter à l’audit du PRA / PCA ». La fiche portera sur « le Système de Management de la Continuité d’Activité – SMCA » et « les services rendus aux clients selon la norme ISAE 3402 ». Faisant suite au standard SAS 70, la norme ISAE 3402 (International Standards for Assurance Engagements) permet aux utilisateurs de prestations externalisées d’obtenir une assurance sur la fiabilité du dispositif de contrôle interne de leurs prestations de services (voir : isae3402.com). La démarche d’audit doit souvent affronter des freins psychologiques de United Kingdom Digital Technology & Innovation Club des Responsables d’Infrastructures et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 4 40 Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr Comment audIteR son PRa ? Moteur de l’innovation et de la transformation digitale Vraie vie Influencer l’écosystème Apprentissage collectif Contenu agnostique Indépendance VIS-A-VIS des fournisseurs Partage d’expériences Valoriser l’innovation comme avantage économique Un Cercle de confiance pour permettre aux Responsables d’Infrastructure et de Production d’être plus performants dans leurs métiers 41 8 raisons d’adhérer au CRiP Être à la pointe de l’innovation et de la transformation digitale ”En 2 European Summits nous avons eu une vision concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos équipes.Subtile alchimie entre Networking et Innovation dans un cadre inhabituel et donc toujours propice à la concentration. L’iTES …The place to be“. Un réseau pour rencontrer ses pairs dans un cercle de confiance «Un networking avec mes pairs et des leaders « d’IT opinion » dans un cercle de confiance.» Pierre aUGUstE, Directeur de l’Ingénierie des Infrastructures, PUBLICIs Bruno PRévost Directeur Infrastructures It, safRan veille technologique et benchmarking pour prendre les bonnes décisions stratégiques ”l’IT European Summit : une organisation très riche en échange et en contenu. L’exercice n’est pas simple d’arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques“. Marie-Charlotte BoUCHERY Cto, BonDUELLE Profiter de l’expérience de mes pairs pour accélérer mon time-to-market et ma productivité ”Le CRiP est un espace d’échanges sereins sur des sujets concrets dans un monde en perpétuelle mutation, où nos sociétés nous demandent d’aller toujours plus vite “. Dominique BaRtHoUx Head of Group Infrastructure, UnIBaIL-RoDaMCo Une information utile indépendante des fournisseurs ”Partage et indépendance résument bien l’esprit du CRIP. J’apprécie surtout les retours d’expérience qui permettent de se forger un avis sur l’impact réel de nouvelles technologies“. Kathleen MILstED Directrice Programme Cloud for Internal It, oRanGE 42 Une passerelle vers d’autres associations de métiers “Le CRiP est une instance efficace et pragmatique sur laquelle s’appuyer pour faire face aux défis de la transformation numérique et être en phase avec les nouvelles attentes métiers.” Gery BontE Cto, saInt-GoBaIn Me situer par rapport à mes pairs internationaux ”L’apport de gourous des universités américaines et l’éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l‘IT“. Lionel vERLaInE Cto, oRanGE Des événements de qualité toujours plus innovants ”Bravo pour Reims. C’est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l’utilisation du big data et des données, et de la place que pourraient prendre dans l’entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée“. Jean-Paul aMoRos Cto, GDf sUEZ 8 raisons L’Édito d’adhérer au CRiP du Président Notre Horizon 2020 faire de l’Infrastructure et la Production Être à la pointe l’innovation Informatique un desde moteurs de l’Innovation et de la transformation digitale et du Digital et un contributeur à la ”En 2 European nous avons eu une vision compétitivité deSummits l’entreprise concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos Meséquipes.Subtile chers collègues, alchimie entre Networking et Innovation dans un cadre inhabituel et donc Grâce à vous, en à7 laans, le CRiP est devenu une toujours propice concentration. association reconnue L’iTES …The place to du be“.monde de l’IT, comptant plus de 3500 membres, représentant près de 300 Entreprises adhérentes. Bruno PRévost Directeur Infrastructures It, safRan Nos crédos du début sont restés inchangés : - indépendance des fournisseurs, - retours d’expériences de la vraie vie, - travail collaboratif au seinet de nos groupes de veille technologique travail, benchmarking pour prendre - aider nos membres à être plus performants lesdans bonnes décisions leur métier à travers stratégiques la production de contenus agnostiques : Livres Blancs, très Fiches ”l’IT European Summit : une organisation Pratiques, Essentiels IT, Exécutive notesn’est et riche en échange et en contenu. L’exercice CRiP Thématiques. pas simple d’arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments faciliteront décisions Mais le monde change…quiFusion entreses informatique stratégiques“. personnelle et professionnelle, le shadow IT, le Cloud Computing, le Big data, les pressions Marie-Charlotte BoUCHERY budgétaires font que notre mission et notre rôle au sein de l’Entreprise évoluent. Cto, BonDUELLE Il est donc nécessaire que le CRiP se ré-invente pour apporter encore plus de services à nos adhérents et leur permettre de contribuer pro à la Profiter de l’expérience deactivement mes pairs mutation digitale de leur entreprise. pour accélérer mon time-to-market Nous devons naturellement garder les ingrédients et ma productivité qui ”Le constituent force d’attraction CRiP est unnotre espace d’échanges sereinsmais sur les compléter avec de nouveaux nouvelles des sujets concrets dans un services, monde en de perpétuelle passerelles lessociétés métiersnous de l’entreprise et vers mutation, vers où nos demandent d’aller l’international. faut“. aussi positionner notre métier toujours plusIlvite vis-à-vis de ces nouvelles fonctions (Digital Officers, Dir. Innovation) qui ontDominique pour mission d’utiliser le BaRtHoUx digital et l’innovation un avantage Head ofpour Groupconférer Infrastructure, compétitif à leur entreprise. UnIBaIL-RoDaMCo C’est pourquoi nous avons lancé Un réseau pour: rencontrer ses pairs de nouveaux services dans un cercle de confiance - Un outil sondage et demes benchmarking qui nous «Unde networking avec pairs et des leaders permet rapidement de dresser une cartographie « d’IT opinion » dans un cercle de confiance.» représentative des grandes tendances et des maturités d’usage et de technologie sur les sujets qui nous intéressent. Pierre aUGUstE, - Ce sont des compléments pour Directeur degratuits l’Ingénierie des les membres du CRiP ayant participé à PUBLICIs ces études. Infrastructures, Ce sont aussi des outils performants de partage de veille technologique, de vote en ligne, et de stimulation de l’innovation. - Enfin nous avons aussi donné un nouveau « design » à notre réseau social BeeCRiP pour passerelle vers queUne nos membres puissent d’une part, échanger, se d’autres rencontrer, partager dansdeunmétiers cercle de associations confiance, et, d’autre part, trouver une information “Le CRiP est une instance efficace et pragmatique agnostique. sur laquelle s’appuyer pour faire face aux défis de la transformation numérique et être en phase Les passerelles vers les métiers : avec les nouvelles attentes métiers.” Pour répondre aux grands enjeux de la recherche d’avantages économiques et deGery la BontE mutation digitale le CRiP a noué Cto, des saInt-GoBaIn liens avec des associations sœurs : - Le CRAI, Club des Responsables Achats Informatiques - Le CDO Alliance qui regroupe les Digital Officers - Le Cercle des Directeurs de l’Innovation Me situer par rapport Les passerelles vers internationaux l’international : à mes pairs - Grande Bretagne : CTO Alliance UK qui ”L’apport gourous des universités américaines regroupe lesde CTOs britanniques et l’éclairage sociétés «capital sont - IT Forum Africa des qui regroupe les DSIrisk» africains une aide précieuse pour mieux appréhender francophones le futur paysage de l‘IT“. Nous sommes convaincus que vous serez nombreux Lionel vERLaInE à nous rejoindre. Cto, oRanGE Philippe sERsot Président du CRiP Des événements de qualité CTO Crédit Agricole CIB toujours plus innovants ”Bravo pour Reims. C’est vraiment une superbe manifestation. Nous avons eu la vision des venture Une information utile nos objectifs pour ces prochaines années : capitalists qui nous aident à mieux comprendre indépendante des fournisseurs le le futur proche, et sur un et futur plus lointain 1) Maintenir le cercle de confiance 2) Avoir une voix qui porte sur 3) Promouvoir, anticiper sur les avec dans le cadre de groupes résument bien marché de nos métiers. ”Partage et indépendance l’espritpour du le bénéfice de Watson (IBM),changements un nouvel éclairage de l’utilisation de travail qui constituent le retours d’expérience nos entreprises devrons positionner les que CRIP. J’apprécie surtout les qui : nous devons du big data etNous des données, et de la place fondement de notre association et pour cela aussi profiter de la membres du CRiP comme les permettent de se forger un avis sur l’impact réel de pourraient prendre dans l’entreprise des systèmes dont la qualité des livrables doit possibilité d’inscrire le CRiP interlocuteurs IT des nouveaux nouvelles technologies“. cognitifs sur des fonctions à très forte et toujours pousser le CRiP vers le dans un réseau international métiers de transformation haut. Pour se faire, nous devons permettant à ses membres de ajoutée“. comme force de proposition valeur toujours veiller à maintenir active se benchmarker avec leurs pairs dans la mutation digitale de Kathleen MILstED l’intelligence collective et les hors des frontières et de peser l’entreprise. Positionner le CTO Directrice Jean-Paul aMoRos travaux des contributeurs sur Programme sur les choix des fournisseurs. comme le référent technologique. des sujets quiCloud doivent forapporter Internal It, oRanGE Cto, GDf sUEZ un avantage économique à leurs entreprises. 43 En savoir plus sur le Le CRiP, Association Loi de 1901, compte parmi ses adhérents, des grands comptes, entreprises et administrations, qui utilisent des technologies de l’information. Le CRiP rassemble une communauté de membres, tous Responsables d’Infrastructures et/ou de Production. Le CRiP est un cercle de confiance, un lieu d’échanges, de partage et de discussions en toute confidentialité entre ses membres confrontés aux mêmes défis financiers, technologiques et organisationnels. Objectifs Rendre nos membres plus performants dans leurs métiers à travers l’actualisation de connaissances, l’échange de bonnes pratiques, le partage de veille technologique, l’élaboration de prospectives, la promotion des métiers de l’Infrastructure et de la Production au sein d’un cercle de confiance indépendant des fournisseurs : - Partager les visions et les retours d’expérience - Echanger et travailler sur les technologies, les ressources humaines, les organisations et processus, les approches financières des projets, les relations avec les offreurs - s’appuyer sur les travaux du CRiP pour promouvoir un projet au sein de son entreprise - Promouvoir leur fonction au sein des Entreprises - Créer un réseau de communication rapide et efficace entre dirigeants. Conseil Administration du CRiP Le bureau est constitué de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de grandes entreprises et administrations françaises, élus lors de l’Assemblée Générale. Philippe Sersot, CTO de Crédit Agricole-CIB en est le Président. Philippe SERSOT CREDIT AGRICOLE CIB - CTO Président du CRIP Marc BEGUE CNES - CTO Vice-Président exécutif Thierry DESVIGNES CNP - DSI Vice-Président Hervé MAGNIER AÉROPORTS DE PARIS - CTO Vice-Président Jean-Paul AMOROS GDF SUEZ - DSI Corporate Vice-Président exécutif et secrétaire Gery BONTE ST GOBAIN - CTO Vice-Président Frédéric DIDIER ARVAL - DSI Vice-Président exécutif Philippe MICHON ALLIANZ - CTO Vice-Président Daniel JONDET GENERALI - CTO Vice-Président exécutif et trésorier Jean-Marc CERLES VEOLIA - Directeur de la sécurité des systèmes d’information Vice-Président Jean-Pierre DUMOULIN PSA PEUGEOT-CITROËN - CTO Vice-Président exécutif Jean-Michel ALCARAS STIME - CTO Vice-Président David DECOVEMACKER AUCHAN - Directeur Opérations et Infrastructures Vice-Président exécutif Éric PARMELAND MINISTÈRE DE L’ÉDUCATION NATIONALE - Responsable Organisation de la Production Nationale Vice-Président Pierre AUGUSTE Directeur de l’ingénierie des infrastructures - PUBLICIS Vice-Président Philippe BARAT SPIE - CTO Vice-Président Brigitte DECLERCK AGIRC-ARCO Responsable de la Stratégie de la Production et de la Sécurite Vice-Présidente Olivier DERSCH L’OREAL - CTO Vice-Président Patrick DURIEZ GROUPE CASINO - CTO Vice-Président Olivier HEITZ BOUYGUES TELECOM - CTO Vice-Président Marc LIMODIN LA POSTE - Direction du courrier - CTO Vice-Président exécutif Bruno PREVOST SAFRAN - CTO Vice-Président exécutif Lionel VERLAINE ORANGE - CTO Vice-Président exécutif Philippe LOPEZ THALES - CTO Vice-Président Le Conseil d’Administration est constitué de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de grandes entreprises et administrations françaises, élus pour un an lors de l’Assemblée Générale du CRiP. La mission du Conseil d’Administration est de fixer l’orientation stratégique du CRiP et de valider le budget. 44 8 raisons Au service des adhérents d’adhérer au CRiP Être à la pointe de l’innovation et de la transformation digitale. Être à la pointe de l’innovation Un réseau pour rencontrer ses pairs Conscient que l’infrastructuredigitale et la production et de la transformation doivent être force de proposition pour augmenter ”En 2 European Summits nous avons eu une vision la productivité et la compétitivité de l’entreprise, concrète des technologies sur lesquelles nous le CRiP de nos services, de devons propose concentrer un nos ensemble efforts et former séminaires et de alchimie conférences autour de l’Innovation équipes.Subtile entre Networking et Digital. Innovation dans un cadre inhabituel et donc et du toujours propice à la concentration. L’iTES …The place to be“. ITES - Information Technology European Summit Bruno PRévost Un séminaire annuel pour présenter les ruptures Directeur Infrastructures It, safRan d’usages et de technologies à horizon de 5 ans. IT innovation Forum veille technologique et Une cinquantaine de solutions innovantes sélectionnées par un jury de CTOs du CRiP, benchmarking pour prendre Directeurs innovation et Venture Capitalists sont les bonnes décisions stratégiques présentées 3 à 4 fois par an. ”l’IT European Summit : une organisation très riche en échange et en contenu. L’exercice n’est pas simple d’arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques“. Innovation Study Tour dans un cercle de confiance Des voyages d’étude dans les spots à haute «Un networking avec mes pairs et des leaders densité innovante (Silicon Valley, Israël, etc..) « d’IT opinion » dans un cercle de confiance.» www.itiforums.com Pierre aUGUstE, L’accès privilégié à un site dédié à l’innovation. Directeur de l’Ingénierie des Infrastructures, PUBLICIs CRiP Review Innovation Une veille technologique dédiée à l’innovation. Cercle Innovation & Cercle des Chief Digital Officersvers Une passerelle Des passerelles avec les associations d’autres associations de métierssœurs et cercles regroupant les Directeurs de l’innovation “Le CRiP est une instance efficace et pragmatique et les Digital officers. sur Chief laquelle s’appuyer pour faire face aux défis de la transformation numérique et être en phase avec les nouvelles attentes métiers.” Prendre les bonnes décisions stratégiques pour préparer l’avenir. Gery BontE Cto, saInt-GoBaIn Marie-Charlotte BoUCHERY Le CRiP met à disposition deBonDUELLE ses membres des Cto, services pour les aider à prendre les bonnes décisions. Benchmarking Profiter de l’expérience de mes pairs Complémentaires aux analyses des Gartner pour accélérer mon time-to-market et autres, le CRiP produit 5 à 6 synthèses par et ma productivité an suite aux sondages effectués auprès de ses CRiP est un espace d’échanges sereins sur grands 300”Le adhérents. Ces enquêtes sur les des sujets concrets dans un monde en perpétuelle sujets (Sécurité, Big Data, Analyse de coûts des mutation, où nos sociétés nous demandent d’aller infrastructures, etc… toujours plus vite “. ) permettent aux adhérents de se benchmarker et de confronter leurs réponses en one-to-one. Dominique BaRtHoUx Review Head of Group Infrastructure, UnIBaIL-RoDaMCo Les veilles technologiques thématiques sont réalisées par les experts des groupes de travail. Ils compilent et publient Une information utile régulièrement dans CRiP Review, les informations qu’ils estiment indépendante fournisseurs intéressantes pourdes la communauté. ”Partage et indépendance résument bien l’esprit du CRIP. J’apprécie surtout les retours d’expérience qui permettent de se forger un avis sur l’impact réel de nouvelles technologies“. Kathleen MILstED Directrice Programme Cloud for Internal It, oRanGE Me situer par rapport à mes pairs internationaux ”L’apport de gourous des universités américaines et l’éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l‘IT“. Lionel vERLaInE Cto, oRanGE Des événements de qualité toujours plus innovants ”Bravo pour Reims. C’est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l’utilisation du big data et des données, et de la place que pourraient prendre dans l’entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée“. Jean-Paul aMoRos Cto, GDf sUEZ 45 Profiter de l’expérience de mes pairs et faire profiter la communauté de mes expériences pour conférer des avantages économiques à mon entreprise. Groupe de Travail Essentiels & Executive Notes C’est le lieu même de l’échange. Le Groupe de Travail réunit des personnes désirant travailler sur un sujet commun. Au fil des réunions, le cercle de confiance se renforce, ce qui permet l’échange d’informations et d’expériences de la vraie vie de l’entreprise. Depuis fin 2011, les CRiP Thématiques sont suivies par la publication de leurs synthèses, les « Essentiels », distribuées à l’ensemble de la communauté du CRiP. Enfin, le CRiP publie régulièrement, depuis début 2012, des « Executive Notes » qui sont des synthèses de vulgarisation à destination des dirigeants. Elles ont pour objectif de présenter de façon synthétique et stratégique certains des grands thèmes qui animent le domaine des Technologies de l’information. Base Projets C’est une base de données répertoriant les projets d’Infrastructures et de Production des sociétés membres du CRiP, ainsi que leur niveau d’avancement. C’est un moyen efficace dans un cercle de confiance d’accélérer le time to market et de prendre en compte les bonnes pratiques déjà étudiées par son correspondant afin d’éviter les erreurs. Base Prestataires de confiance Cette base regroupe les prestataires spécialisés qui ont été recommandés par au moins un CTO du CRiP. Livres Blancs & Fiches Pratiques Chaque groupe de travail apporte une contribution importante dans l’élaboration de documents de référence. Ils permettent de mesurer et d’observer l’évolution des enjeux des CTOs et de leurs infrastructures et de mettre en relief les grandes tendances liées aux principaux challenges des productions informatiques. Tous ces ouvrages deviennent inéluctablement une référence importante pour les CTOs et leurs équipes, ils constituent des outils reconnus pour l’amélioration de la performance opérationnelle et stratégique. 46 Newsletter : L’actualité du CRiP L’équipe CRiP édite une newsletter qui passe en revue les récentes initiatives prises au sein du Club: les sessions en Région, les nouveaux groupes de travail, les rendez-vous importants à venir, les nouveaux outils mis en place sur le portail, la liste des sociétés qui viennent de signer une nouvelle adhésion, les rendez-vous, bref, les principales informations qui rendent compte de la vitalité du Club et de ses adhérents. Dîner Cercle Ctos Une rencontre mensuelle dans un cercle de confiance exclusif. Au sein de cet espace d’échanges ouverts et en toute confidentialité, les CTOs traitent des sujets stratégiques de leur activité et partagent en direct leur expériences. 8 raisons De grands événements deCRiP rencontre d’adhérer au pour échanger entre pairs Au service des adhérents Conférences Thématiques & Régionales Les clésàde compréhension et de la traduction Être lalapointe de l’innovation opérationnelle des services et technologies et de la transformation digitale dans la vraie vie de l’Entreprise. ”Ensur 2 European Summits nous avons une vision Basées les travaux des groupes deeutravail du CRiP concrète des technologies sur lesquelles nous et véritables « think tanks », les conférences CRiP devons concentrer nos efforts et former nos Thématiques ont pour ambition de : équipes.Subtile alchimie entre Networking et Innovation dans cadre inhabituel et des donc - fournir les clés deuncompréhension toujours propice à la concentration. technologies et solutions des fournisseurs, L’iTES …The place to be“. - présenter : • leurs business cases Bruno PRévost • les grandes tendances Directeur Infrastructures It, safRan • le panorama des offres • et leurs traductions opérationnelles dans la vraie vie de l’entreprise et des administrations veille technologique et benchmarking pour prendre Plénières les bonnes décisions stratégiques Les plénières organisées deux fois par très an, sont un ”l’IT European Summit : une organisation moment riched’échanges en échange etprivilégiés, en contenu. notamment L’exercice n’estsur des thèmes le domaine et pasdépassant simple d’arriver à satisfairede lesl’Infrastructure attentes de mais jeinformatique. suis sûre que chaque participant en de la chacun Production repart avec éléments qui faciliteront ses décisions stratégiques“. Marie-Charlotte BoUCHERY Cto, BonDUELLE Dans le cadre agnostique qui ses régitpairs le CRiP Un réseau pour rencontrer (indépendance vis-à-vis des fournisseurs), l’objectif dans un cercle de confiance est de permettre à chacun de : networking avec mes des leaders - se«Un forger une opinion en pairs touteetindépendance, « d’IT opinion » dans un cercle de confiance.» - évaluer le business case, les bénéfices et effets de bords des mises en oeuvre à travers les retours d’expérience présentés, Pierre aUGUstE, - rencontrer ses Directeur pairs, de l’Ingénierie des - rencontrer les fournisseurs majeurs. Infrastructures, PUBLICIs Une passerelle vers d’autres associations de métiers “Le CRiP est une instance efficace et pragmatique Convention annuelle sur laquelle s’appuyer pour fairedu face CRiP aux défis de la transformation en phase Pendant deux numérique jours enet être juin, la Convention avec les nouvelles attentes métiers.” rassemble plus de 2000 responsables utilisateurs IT, membres du CRiP ou non, Gery met BontE en avant plus de 100 retours d’expérience terrain illustrant les Cto,de saInt-GoBaIn déploiements opérationnels au sein des adhérents du CRiP, en lien avec les Groupes de travail. Me situer par rapport Rencontrer les dirigeantsà des offreurs mes pairs internationaux Profiter de l’expérience de mes pairs Cercle i pour accélérer mon time-to-market A l’issue des plénières, les membres du CRiP se et ma productivité retrouvent lors d’un Networking cocktail avec les dirigeants fournisseurs. Un sereins trombinoscope ”Le CRiPdes est un espace d’échanges sur sujets concrets dans un en perpétuelle et undessystème de prise demonde rendez-vous online mutation,aux où nos sociétés nous permettent membres du demandent Cercle i d’aller (CRiP et toujours plus vite “. fournisseurs) de se rencontrer. ”L’apport de gourous des universités américaines et l’éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l‘IT“. Lionel vERLaInE Cto, oRanGE Promotion des métiers de la Production Des événements de qualité Dominique BaRtHoUx Head of Group Infrastructure, UnIBaIL-RoDaMCo Le Club des Responsables d’Infrastructure et de Production (CRiP) souhaite promouvoir les métiers de la Direction des Systèmes d’Informations (DSI) et Une information utile particulièrement ceux de la Production Informatique auxindépendante élèves ingénieursdes des fournisseurs écoles et universités ayant une filière systèmes d’informations. ”Partage et indépendance résument bien l’esprit du CRIP. J’apprécie surtout les retours d’expérience qui forger un avis sur réel dedes Cettepermettent démarchedeaseété initialisée à l’impact la demande nouvelles technologies“. Directeurs de la Technologie (CTO) qui souhaitent promouvoir leur métier et pouvoir à terme recruter Kathleen MILstED plus facilement pour leurs sociétés respectives. Directrice Programme Marc Bégué, Responsable de la production Cloud for Internal It, oRanGE du SI au CNES et Jean-Marc Cerles, Directeur de la Sécurité Informatique du groupe Veolia sont les chefs de toujours plus innovants projet. ”Bravo pour Reims. C’est vraiment une superbe Un support vidéo de quelques minutes a été élaboré. manifestation. Nous avons eu la vision des venture Il décrit le système d’information dans une entreprise capitalists qui nous aident à mieux comprendre et présente des témoignages personnes exerçant le futur proche, et sur un futurde plus lointain avec ces Watson métiers(IBM), au sein des sociétés du CRiP. un nouvel éclairageadhérentes de l’utilisation big datade et donner des données, de la place queet réaliste Cecidupermet une et image positive pourraient prendre dans l’entreprise des systèmes d’une DSI et de ses profils de carrière. cognitifs sur des fonctions à très forte valeur ajoutée“. Vous souhaitez participer à la promotion de nos métiers ? Vous avez des contacts dans des écoles d’ingénieurs ? Jean-Paul aMoRos Contactez-nous : [email protected] Cto, GDf sUEZ 47 La vie en région 45 mm 45 mm 45 mm 45 mm 45 mm Le repère intérieur (43 mm) représente la face avant. e repère intérieur (43 mm) représente la face avant.Le repère intérieur (43 mm) représente la face avant.Le repère intérieur (43 mm) représente la face avant. Le repère intérieur (43 mm) représente la face avant. repère extérieur mm) totale (face + repli sur l’arrière). e repère extérieur (48 mm) représente la surface visible totale (face +(48 repli surreprésente l’arrière). la surface visible Le repère extérieur représente la surface Le visible totale (face (48 + repli surreprésente l’arrière). la surface visible Le repère extérieur mm) totale (face + (48 replimm) sur l’arrière). Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). UN TE X TE AS UR LE R R UN TE X TE ICI, I L APPA RAÎ TR UR LE R RE R UN TE X TE L’A R R I ÈR E copyright © 2012 Modern City Records E UR E R I ÈR L’A R UR IS AS IS RE copyright © 2012 Modern City Records E PL E R I ÈR L’A R UR IS ICI, I L APPA RAÎ TR PL R copyright © 2012 Modern City Records RE PL E copyright © 2012 Modern City Records PL IS UR L’A R R I ÈR E copyright © 2012 Modern City Records R I ÈR L’A R UR IS PL R SÉ LE IN UR EZ AS UV ICI, I L APPA RAÎ TR PO X TE V OUS TE SÉ UN IN R EZ RE E UV R PO LE V OUS UR SÉ AS IN ICI, I L APPA RAÎ TR SÉ SÉ X TE EZ IN IN TE UV EZ EZ UN PO UV UV R V OUS PO PO RE V OUS V OUS E Le CRiP est également présent dans les régions. ICI, I L APPA RAÎ TR AS UR LE R E En cours de création : CRiP GRAND EST -pasCRiP GRAND OUEST N’oubliez les de vectoriser liées. toutes les polices et d’incorporer les images liées. N’oubliez pas de vectoriser toutes les polices et d’incorporer images liées. toutes les polices et d’incorporer N’oubliezles pasimages de vectoriser N’oubliez pas de vectoriser N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. toutes les polices et d’incorporer les images liées. Les réseaux sociaux CRiP & ITiforums, passerelles vers les métiers et l’international 2 réseaux sociaux différents mais complémentaires * www.crip-asso.fr *BEECRiP C’est un réseau social privé de discussions, de partage et d’échanges dans un cercle de confiance réservé uniquement aux Responsables d’infrastructure et de production, membres du CRiP. Il permet d’accéder aux informations et contenus privés et/ou récents du CRiP : compte rendu des Groupes de travail, Base Projets, Prestataires spécialisés, ainsi que Livres blancs, Fiches pratiques, Executive Notes et Benchmarking récents. WebTV Innovation www.itiforums.com C’est un réseau social public d’information qui rassemble les communautés de l’innovation, du Digital et de l’Infrastructure et de la Production, dont les membres du CRiP. Le réseau ITIforums permet de renforcer la notoriété du CRiP, de recruter de nouveaux adhérents et membres pour ses groupes de travail et de lier le CRiP aux autres communautés métiers. Il est animé par les community managers d’ITiforums, du CRiP, du Cercle de l’innovation et du CDO Alliance. Il est aussi alimenté par des experts indépendants, avocats, académiques, chercheurs, membres d’organismes gouvernementaux. Il permet l’accès aux informations publiques des cercles et du CRiP. Passerelle vers les Métiers - Responsables Achats informatiques - Digital Officers - Cercle des Directeurs de l’Innovation Passerelle vers l’International - CTO Alliance UK - CTO Alliance Suisse - CTO Alliance Allemagne - IT Forum Africa L’équipe des permanents du CRiP se tient à votre disposition pour vous présenter, à vous et à vos équipes, les services et activités de l’association lors de vos Comités de Direction internes. Ainsi, vous pouvez mieux connaître le CRiP et faire partager à vos collaborateurs les bénéfices et les initiatives du CRiP. 48 7 8Les raisons groupes d’adhérer de Travail du au CRiP Dans les Groupes de Travail se déroulent les activités fondamentales du CRiP : partage de connaissances, témoignages, mise en commun d’informations, élaboration de bonnes pratiques, discussions-débats, élaboration d’enquêtes et de questionnaires, production de livrables, préparation de conférences. Les Groupes de Travail sont le creuset où se réalisent les ambitions de notre association : devenir plus Être à la pointe de l’innovation Un réseau pour rencontrer ses pairs performants dans les métiers de l’Infrastructure et de la Production IT, partager nos bonnes pratiques, et denos la transformation dans unméthodes, cercle de confiance confronter expériences, évaluerdigitale la maturité des technologies et des pour prendre de meilleures décisions plus rapidement avec une meilleure information. ”En 2 European Summits nous avons eu une vision «Un networking avec mes pairs et des leaders concrète des technologies sur lesquelles nous « d’IT opinion » dans un cercle de confiance.» Les Groupes Spot visent apporter en une devons concentrer nosà efforts et former nosseule réunion de trois heures des réponses immédiates à un problème urgent et/ou d’actualité. Les Groupes Flash font le tour en trois ou quatre réunions maximum d’un équipes.Subtile alchimie entre Networking et Innovation dans un cadre inhabituel et donc sujet ponctuel et clairement identifié. Pierre aUGUstE, toujours propice à la concentration. …The to be“. Analyse L’iTES des coûts deplace la Production Gouvernance CTO Directeur de l’Ingénierie des Infrastructures, PUBLICIs Sécurité Piloté par thierry aRCHaMBaULt Piloté par Philippe sERsot Piloté par thierry ManCIot Architecte Technique RSSI - SFR BrunoCTO PRévost CNP ASSURANCES AGRICOLE CIB et par Jean-Pierre BLanC Directeur Infrastructures It,CREDIT safRan et par Eric PaRMELanD Responsable PRA Automatisation & Orchestration Responsable Organisation BOUYGUES TELECOM Piloté par Hugues fonDEUx de la Production Une passerelle vers Chargé de Mission Èvolution MINISTERE DE L’EDUCATION NATIONALE Supervision Piloté par Ludovic DRoCHon de l’Infrastructure veille technologique et d’autres associations de métiers PSA PEUGEOT CITROËN Innovation Responsable Exploitation benchmarking pour prendre Piloté par David faYon INTER MUTUELLES ASSISTANCE “Le CRiP est une instance efficace et pragmatique Big Data Competitive Intelligence and sur laquelleet s’appuyer faire face aux défis de la par Yannpour PasCaL les bonnes décisions stratégiques Piloté par Bruno PREvost Prospective Manager at IS Department transformation numérique et êtreIntégration en phase Sergent Chef - Equipe LA POSTE - DSI COURRIER Directeur”l’IT Infrastructures IT European Summit : une organisation très BRIGADE DES SAPEURS POMPIERS avec les nouvelles attentes métiers.” SAFRANriche en échange et en contenu. L’exercice n’est DE PARIS ITIL & Processus de Production pas simple d’arriver à satisfaire les attentes de Gery BontE Communication Unifiée Collaboratif Piloté par Eric BoUvEt chacun mais je & suis sûre que chaque participant en Cto, saInt-GoBaIn Piloté par Kevin CHantRELLE Responsable Département Opérations repart avec éléments qui faciliteront ses décisions Nord-Pas-de-Calais Responsable Telecom & Réseaux & Service Management stratégiques“. Piloté par Michel BaRBasso ARKEMA STEF CTO - KIABI et par stéphane DEGLIn et par Lionel RoLLanD Network Lead Architect Marie-Charlotte BoUCHERY Consulting on IT Service Management PACA LA BANQUE POSTALE Process Cto, BonDUELLE Piloté par Jacques novIant GDF SUEZ Me situer par rapport Responsable Production Cloud Computing AIR FRANCE Piloté par stephane Lafon Mainframe à mes pairs internationaux et par Bernard RoUx Application Cloud Services Piloté par Bernard DIEtIsHEIM Directeur Stratégie Infomatique ”L’apport de gourous de deslauniversités américaines SANOFI Responsable Système RENAULT Profiter de l’expérience de mes pairs Transformation - PRO.BTP et l’éclairageetdes sociétés «capital risk» sont et par stéphane GEIssEL pour accélérerSImon time-to-market Manager Technico-Financier PRA & PCA une aide précieuse pour mieux appréhender Rhône-Alpes SFR Piloté par françois tÊtE le futur paysage de l‘IT“. et ma productivité Piloté par Jean-françois stRICHER Président d’Honneur CCA Chef de groupe Ingénierie et Sécurité et par Luc vRIGnaUD Data centre & ICT éco-efficacité ”Le CRiP est un espace d’échanges sereins sur Lionel vERLaInE ERDF Piloté par Dominique RoCHEdans un mondeResponsable Infrastructure des sujets concrets en perpétuelle Cto, oRanGE & Sécurité Prod MACIF Head of Sustainability Standardisation mutation, où nos sociétés nous demandent d’aller Sud-Ouest & Operators toujours plus vite “. Piloté par Marc BEGUE Open Source ORANGE - FRANCE TELECOM Sous-Directeur Exploitation Production et par andré ELEDJaM par simon CLavIER CNES Responsable Projet Green IT Dominique BaRtHoUx Responsable OPEN SOURCE et par Cathy LaCoMME vERBIGUIé DataCenters - SOCIETE Head GENERALE SNCF of Group Infrastructure, Sous Directrice Adjointe Exploitation/ et par noël CavaLIERE UnIBaIL-RoDaMCo Des événements qualité Architecturede - CNES Environnement de travail & mobilité Head of IT Architecture and data Piloté par vincent PELLEtIER management Infrastructure toujours plus innovants Suisse Responsable Services Line End User PSA PEUGEOT CITROËN parC’est Gianfranco MoIune superbe ”Bravo pourPiloté Reims. vraiment Workplace Deputy CIO manifestation. Nous avons eu la vision des venture Une information utile AREVA Outsourcing DGSI ETAT DE GENEVE et par Loïc BERnaRDEaU Piloté par Philippe GUYE capitalists qui nous aident à mieux comprendre indépendante des fournisseurs Responsable Stratégie Executive Directorate le futur proche, et sur un futur plus lointain avec ORANGE”Partage - FRANCE OECD etTELECOM indépendance résument bien l’esprit du Watson (IBM), un nouvel éclairage de l’utilisation etd’expérience par David PERREaU CRIP. J’apprécie surtout les retours qui du big data et des données, et de la place que Pilote des Opérations Informatiques permettent de se forger un avis sur l’impact réel de pourraient prendre dans l’entreprise des systèmes CEA nouvelles technologies“. cognitifs sur des fonctions à très forte valeur ajoutée“. Kathleen MILstED Directrice Programme • Pour vous inscrire à un Groupe de travail, il vous suffit d’adhérer au CRiP Jean-Paul aMoRos for Internal It, oRanGE et de contacterCloud : [email protected] Consultez le calendrier des réunions des groupes de travail sur www.crip-asso.fr Cto, GDf sUEZ 49 www.crip-asso.fr Le portail et réseau social privé du CRiP Discussions, partage et échanges dans un cercle de confiance, réservé exclusivement aux Responsables d’infrastructure et de production, membres du CRiP. CALENDRIER CONFERENCES Inscrivez-vous en un clic aux réunions des Groupes de Travail Inscrivez-vous en un clic aux événements thématiques, régionaux et plénières INDEX & BENCHMARKING Benchmarkez-vous facilement par rapport aux sociétés adhérentes 50 ADHÉRENTS RÉSEAU SOCIAL REVIEW BIBLIOTHEQUE Accédez aux 3500 membres du CRiP Discutez, partagez, échangez, dans un cercle de confiance exclusivement utilisateurs Bénéficiez de la veille techno pertinente remontée par les experts des Groupes de Travail Téléchargez les Livres Blancs agnostiques produits par les Groupes de travail Club des Responsables d’Infrastructure et de Production 24 rue Erlanger 75016 PARIS - [email protected] www.crip-asso.fr Ruptures d’usages et de technologies à l’horizon 2020 Information Technology European summit 12 au 14 mars 2015 | Deauville · France Réservé aux CTOs, DSI, CDO et Directeurs de l’innovation IT «Enfin un événement pour nous aider à prendre des décisions stratégiques. Cela nous a fait prendre conscience qu’il fallait lancer une réflexion sur l’adaptation de nos modèles de production». Philippe SERSOT CTO CREDIT AGRICOLE CIB «Un networking avec mes pairs et des leaders « d’IT opinion » dans un cercle de confiance». Pierre AUGUSTE Directeur de l’Ingénierie des Infrastructures PUBLICIS «Le dernier iTES du CRiP est un évènement intéressant, bien organisé avec le bon format. Les échanges avec mes pairs ainsi qu’ avec les partenaires invités ont été fructueux et de grande qualité. Je participerai à nouveau au prochain. Merci à l’équipe». Olivier DERSCH CTO L’OREAL L ’ambition de l’iTES 2015 est de rassembler plus de 100 CTOs adhérents du CRiP pour leur faire découvrir les nouveaux usages et technologies à horizon de 5 ans : 2020. iTES 2015 reprend la plupart des ingrédients qui ont fait le succès des iTES précédents et en particulier celui de l’iTES 2014 de Reims auquel ont participé une cinquantaine de CTOs dont vous trouverez les éloges en dernière page. Les présentations inédites émanaient, d’une part de Venture Capitalists (certains ont investi dans Skype et Dropbox il y a 5 ans) qui présentent leurs investissements récents, d’autre part de keynotes speakers du secteur académique tels que George Cybenco, Professeur au Darmouth College, une des université US de l’Ivy League sur le thème « Intersection entre le big data et la protection des données personnelles ». (George a donné son nom à un théorème mathématique et travaille pour une agence gouvernementale américaine) et enfin de Gourous technologues des grands acteurs du digital pour aider les auditeurs à mieux comprendre le monde de demain. Les espaces temps consacrés aux échanges entre pairs du CRiP dans un cercle de confiance et privé ainsi que les sessions de networking avec gourous et partenaires technologiques permettent, en un minimum de temps, de tisser les liens d’intimité utiles pour augmenter sa performance dans son métier. Un volet Innovation s’ajoute sur l’iTES 2015. Un espace temps sera consacré à la découverte de solutions très innovantes et des workshops spécifiques répondront aux attentes des CTOs. «Bravo pour Reims. C’est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l’utilisation du big data et des données, et de la place que pourraient prendre dans l’entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée». Jean-Paul AMOROS CTO GDF SUEZ «En 2 European Summits nous avons eu une vision concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos équipes. Subtile alchimie entre Networking et Innovation dans un cadre inhabituel et donc toujours propice à la concentration. L’iTES .......The place to be». Bruno PREVOST Directeur Infrastructures IT SAFRAN 98% des participants ont estimé que l’iTES allait les aider dans leurs décisions stratégiques. Digital Technology & Innovation 51 Comité de programme Mission, charte du comité de programme > Le comité de programme est chargé de l’élaboration du programme en conformité avec le cahier des charges de l’ITES : combiner d’une part les visions académiques, celles des Instituts de recherches et des Venture Capitalists, d’autre part celles des industriels, et enfin les attentes des utilisateurs pour présenter le monde de demain. > Il valide les messages et les durées des différentes sessions du programme. 52 > Il sélectionne les speakers. > Il élabore la charte de présentation et précise les objectifs des présentations (sont appréciés, en particulier, les analyses et constats de la vraie vie, coût, sécurité, réversibilité et avantages économiques). > Il vérifie la conformité des présentations proposées avec la charte. > Il donne son agrément aux participations des partenaires technologiques. Philippe SERSOT CREDIT AGRICOLE CIB Brigitte DECLERCK AGIRC ARRCO Olivier DERSCh L’ORÉAL Jean-Pierre DUMOULIN PSA PEUGEOT CITROËN Jean-Paul aMOROS GDF SUEZ antoine DERaIN I-BP Lionel VERLaINE ORANGE Pierre aUGUSTE PUBLICIS adoté ChILLOh BIBLIOTHÈQUE NATIONALE DE FRANCE Un espace détente Travail acharné, détente et soirée de Gala 36 heures intenses pour : • Sortir la tête du guidon, • Découvrir les nouveaux usages et technologies, • Donner les clés pour vous aider à prendre des décisions stratégiques, • Permettre de mieux connaître ses pairs, échanger sur les problèmes de la vraie vie dans un cercle de confiance, • Établir une meilleure intimité avec les acteurs majeurs du digital. mais aussi … • Faciliter le networking à travers la découverte des particularités d’une région, et des visites guidées (ITES Reims : Cathédrale de Reims, Cave de Champagne), • Une soirée de Gala ( ITES Reims : dégustations de grands crus de Champagne). 53 Le programme 2015 VENTURE C Gourou des grandes universités MIT, Standford, Europe, ParisTech, Institut de recherche George Cybenko, Dartmouth College était à l’iTES 2014 de Reims GOUROU AC GOUROU AG TECHNO Les présentations des leaders du digital : Amazon, IBM, VMWARE, PIVOTAL EMC, HP, CISCO. TECHNO DES ACTEUR Carlos CONDE Michel TEySSEDRE Joe BaGULEy Russel aCTON Paul JEREMaES Rajeev BhaRDwaJ AMAZON WEB SERVICES IBM VMWARE PIVOTAL EMC HP CISCO SOLUTIONS IN Nouveau Panel d’échanges entre Technologues, Gourous et Cripiens. Des espaces temps privés aménagés pour faciliter les échanges entre CTOs Cripiens dans un cercle de confiance. WORK ESPACE TE CERCLE PRIVÉ NETWORKIN ET PARTE 54 : 36 heures non stop CAPITALISTS Cartographie sectorielle des investissements récents des VCs. Next World Capital et Index Ventures étaient présents à Reims en 2014 CADEMIQUE GNOSTIQUE OLOGUE OLOGUES RS MAJEURS NNOVANTES Les nouveaux enjeux, les nouveaux métiers du Digital.. Patrick Hoffstetter Chief Digital Officer était présent à l’iTES Reims 2014 Découverte de 4 à 5 solutions innovantes apportant un avantage économique. 1 Start-Up était présente à l’iTES Reims 2014, eNovance KSHOP EMPS CRiP & CONFIANCE Des espaces temps réservés aux partenaires technologiques pour créer l’intimité. NG GOUROUS ENAIRES 55 Les CTOs de l’iTES 75 CTOs ont déjà participé à cet événement : Hervé MAGNIER - ADP | Martin VILLEMOT - AFI-ESCA | Eric HANSS - AFI-ESCA | Brigitte DECLERCK - AGIRC ARRCO | John HARRIS - AIMIA | Caspar GIBILARO - AIMIA | Arnaud ROITG - AIR France | Xavier CHAPUIS - AIR LIQUIDE | Marc Olivier GLATRON - AIR LIQUIDE | William Davies - AMEY | Stéphane BENHAMOU - ARTELIA | Frédéric DIDIER - ARVAL | Jacques BAUDOUIN - ARVAL | Clive EDGARASTELLAS - PHARMA EUROPE Ltd | Erik NIGON - AXA TECH | Adoté CHILLOH - BNF | Marie-Charlotte BOUCHERY - BONDUELLE | Olivier HEITZ - BOUYGUES TELECOM | Frédéric PETIT SINGEOT - CHANEL | André BOUR - CHOREGIE | Thierry DESVIGNES - CNP ASSURANCES | Khalid KARAMA - CNP ASSURANCES | Patrick EYMARD - COFELY INEO | Christophe FALOURD - CONGES INTEMPERIES BTP | Philippe SERSOT - CREDIT - AGRICOLE CIB | Laurent VERDIER - CREDIT AGRICOLE SA | Thierry THOURON - GDF SUEZ | Annelise MASSIERA - DISIC - PREMIER MINISTRE | Francis BRISEDOUX - EUROPE AIRPOST | Dominique FACE - FRANCE TELEVISIONS | Rob PRINGLE GAZPROM MARKETING & TRADING | Gupta WUPAM - GAZPROM MARKETING & TRADING | Valère DUSSAUX - GCS-DSISIF | Guy GIREAUDOT - GDF SUEZ | Jean-Paul AMOROS - GDF SUEZ | Jean-Pierre LAFFINEUR- GENERALI | Stephen Golliker - GENESIS OIL & GAS | Scott Ferguson - GENESIS OIL & GAS | David DECOVEMACKER - GROUPE AUCHAN | Antoine DERAIN - IBP | François CEDELLE - INRA | Emmanuel WILLAME - IT-CE | Michel BARBASSO - KIABI | Jean-François - ROMPAIS - KIABI | Sean BURKE - LAFARGE | Olivier DERSH - L’OREAL | Leo KRIZMAN - LVMH | Henri KAYSER - MALAKOFF MEDERIC | Christophe OZIMEK - MEETIC | Eric PARMELAND - MINISTERE DE L’EDUCATION NATIONALE | Joseph TABET - MUREX | Lionel VERLAINE - ORANGE | Olivier MAST - ORANGE | Sébastien LECOCQ OXYLANE | Jean-Pierre DUMOULIN - PEUGEOT PSA | Vincent SAUGEY - PLASTIC OMNIUM GROUP | Bernard ROUX PROBTP | Rodolphe FRONTCZAK - PSA PEUGEOT-CITROËN | Pierre AUGUSTE - PUBLICIS | Bruno PREVOST - SAFRAN | Géry BONTE - SAINT-GOBAIN | Olivier MERLEN - SIGMAP MSA | Philippe BARAT - SPIE | Philippe BARAT - SPIE | Denis BOURDON - SWISSLIFE | Philippe LOPEZ - THALES | Claude FAUCONNET - TOTAL | Olvier FRIEDMAN - UGC | Jamie WILSON - UNITED BISCUITS (UK) Ltd. 56 Les Technologues et Partenaires de l’iTES 23 Gourous ont déjà partagé leurs visions sur les nouveaux usages, services et technologies du futur Carlos CONDE - AMAZON WEB SERVICES | Tuqiang CAO - CISCO | Jeff RAYMOND - CISCO | Regis ALLEGRE - CLOUDWATT | Daniel PAYS - CLOUDWATT | Georges CYBENKO - DARTHMOUTH COLLEGE | Renaud BESANCON - DATA 4 | Don SMITH DELL | Russell ACTON - EMC | Krishnakumar NARAYANAN - EMC | Raphaël FERREIRA - ENOVANCE L Paul JEREMAES HP | Marc PADOVANI - HP | Wing Kin LEUNG - HUAWEI | Ambuj GOYAL - IBM | Michel TEYSSEDRE - IBM | Bernard DALLE - INDEX VENTURES | Martin MIGNOT - INDEX VENTURES | Alain TOISON - LRS | Christophe COLINET - MAIRIE DE BORDEAUX | Matt WATTS - NETAPP | Frédéric HALLEY - NEXT WORLD CAPITAL | Craig HANSON - NEXT WORLD CAPITAL | Jean-Paul LEROUX - ORANGE BUSINESS SERVICES | Georges NAHON - ORANGE BUSINESS SERVICES | Patrick HOFFSTETTER - RENAULT | Joe BAGULEY - VMWARE. 22 grands acteurs technologiques ont été partenaires de l’iTES Miguel ALAVA- AMAZON WEB SERVICES | Stephan HADINGER - AMAZON WEB SERVICES | Christophe WEISS - APL | Pascal DALLIOUX - APPDYNAMICS | Nicolas LEMOINE - AT&T | Jean-Marc GUIGNIER - BROCADE | Arnaud FAIVRE - BULL | Raphaël BOUSQUET - CISCO | Olivier DESQUESSE - CISCO | Thierry LOTTIN - CISCO | Gérard DUQUESNE - CLOUDWATT | Renaud VADON - CLOUDWATT | David DARMON - CTERA | Sharon LYSAGHT - DATA 4 | Sandrine PECULIER - DATA 4 | Stéphane KELIN - DELL | Lionel OSTERMANN - DELL | Thierry AUZELLE - EMC | Guillaume COHEN - EMC | Philippe GARDE - EMC | Alfonso RUIZ DE LEON - EMC | Benjamin BRIAL - ENOVANCE | Jean-Marie LEBEC ENOVANCE | Nicolas BOHY - HP | Bruno BUFFENOIR - HP | Emmanuel ROYER - HP | Yves CHEDRU - HUAWEI | Liyang HE (LEON) - HUAWEI | Xiangqun LIU (SIMON) - HUAWEI | Alexandre COLIN - IBM | Eric COURTIN - IBM | Alain HENRY - IBM | Juliette MACRET - IBM | Laurent ROULET - IBM | Renzo PARAVICINI - LRS | Eric ANTIBI - NETAPP | Olivier PICARD- NETAPP | Diana EINTERZ - ORANGE BUSINESS SERVICES | Philippe EON - ORANGE BUSINESS SERVICES | Gilles SABATIER - ORANGE BUSINESS SERVICES | Hubert SEGOT - ORANGE BUSINESS SERVICES | José DA SILVA SMA SOLUTIONS | Fabrice HACCOUNE - TECH MAHINDRA | Marc FRENTZEL - VMWARE | Thierry PORTIER - VMWARE | Hervé UZAN - VMWARE. 57 100% de satisfaction ! l’ensemble des CTOs de l’iTES de Reims souhaitent participer à l’iTES 2015 «The agenda provided an excellent balance between technical presentations, networking and lively discussions about future possibilities. This is the way to get people thinking more creatively about what we should expect in tomorrow’s enterprise IT.» «Un simple message pour vous remercier de m’avoir invité à cet événement de qualité. Un simple message pour féliciter toute l’équipe de l’organisation sans défaut : bravo !! Une belle réussite, à laquelle je suis heureux d’avoir participé». Georges CyBENKO Dorothy and Walter Gramm Professor of Engineering DARTMOUTH COLLEGE Eric PARMELAND Responsable Organisation de la Production Nationale MINISTÈRE DE L’EDUCATION NATIONALE «Je tiens à vous remercier ainsi que toute l’équipe pour l’organisation et la réussite de cet événement. Ces 2 jours m’ont été très enrichissants et m’ont permis d’échanger sur de nombreux points avec d’autres participants, des gourous ou des sponsors. J’ai déjà lancé un nouveau projet avec un des partenaires technologiques. En bref, un événement hors pair et très riche !». «Merci à toute l’équipe du CRiP pour l’European IT Forum : sujets et speakers enrichissants, excellent partage entre les présents. En moins de deux jours un executive briefing de haut niveau avec une organisation parfaite». Francis BRISEDOUX Chef de Groupe Informatique / IT Manager EUROPE AIRPOST «Toutes mes félicitations pour l’IT européanisé Summit. Un grand merci pour l’organisation de ce très bel événement et toutes mes félicitations à vous tous qui ont contribué à sa réussite». Hervé MAGNIER Direction des Systèmes d’Information ADP «Excellent cocktail de présentations éclairantes et de networking de qualité. Le tout dans une atmosphère sympa portée par une organisation impeccable. Un très grand merci à vous qui avez si bien préparé ce summit et qui savez si bien doser ce cocktail. Bravo et à l’année prochaine». Gery BONTE CTO SAINT-GOBAIN Brigitte DECLERCK Responsable Pôle production et sécurité AGIRC ARRCO «Je vous remercie pour ces deux jours qui m’ont apportés de multiples informations et pistes de réflexions pour mon travail, le tout avec une organisation impeccable». Jacques BAUDOUIN Infrastructure & Security Manager ARVAL «Félicitations pour votre évènement de REIMS, tous les ingrédients étaient présents, - Le choix de la ville et l’emplacement de l’Hôtel, - L’organisation, - L’agenda, - Qualité des intervenants et des interventions, - Qualité des clients présents, - La soirée et les visites de cave - Votre accueil. Ces informations sont remontées chez EMC». Alfonso RUIZ DE LEON Directeur Commercial EMC «Excellente organisation de l’événement, le niveau des participants est très élevé. Evénement où il faut être présent !» Michel TEySSEDRE CTO IBM «L’apport de gourous des universités américaines et l’éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l‘IT». Lionel VERLAINE CTO ORANGE «Je tenais à vous remercier pour l’organisation de cet événement très riche en échange et en contenu. L’exercice n’est pas simple d’arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques». Marie-Charlotte BOUCHERy CTO BONDUELLE «Un grand merci pour ce CRiP Summit qui s’est tenu à Reims et bravo à vous pour cette organisation». David DECOVEMACKER Direction Technique Informatique AUCHAN «Je voulais remercier tout le staff du CRiP, pour ce superbe événement. C’était pour moi extrêmement intéressant et instructif, tant les interventions que la partie «off» lors des pauses et repas. J’ai l’impression de faire un peu plus partie de la «famille» du CRiP et de ses nombreux CTO - que je n’ai même pas pu tous rencontrer en 2 jours ... Et c’est à la fois rassurant de partager ses expériences et de se sentir un peu moins seul face à tous les challenges qui se présentent en permanence». Olivier FRIEDMAN Dir. Infrastructures & Support CTO UGC Informatique Information Technology European summit 58 2015 Pour plus de détails sur l’événement, contacter : [email protected] Les Groupes de Travail Les Groupes de Travail Club des Responsables Club des Responsables Mai d’Infrastructure et ded’Infrastructure Production et de Production 2014 Dans les Groupes Dans de Travail, les se Groupes développent les de activités Travail, fondamentales se développent du CRi P : partage de les activités fon connaissances, connaissances, témoignages, mise en commun témoignages, d’expertises, échanges mise d’informations, en commun élaboration d’expertises, de bonnes pratiques, de bonnes discussions-débats, pratiques, analyse des discussions-débats, tendances, élaboration d’enquêtes analyse et de des tendan questionnaires, production questionnaires, de livrables, préparation production de conférences, de livrables, contribution àpréparation l’élaboration de de confére standards... standards... Les Groupes deLes Travail Groupes sont le creusetde où seTravail réalisent lessont ambitions le de creuset l’association où : se réalisent les am devenir plus performants devenir dans plus les métiers performants de l’Infrastructure dans et de lales Production métiers IT, partager de l’Infrastructure les bonnes e pratiques, confronter pratiques, les expériences confronter –réussies ou non–, les évaluer expériences la maturité des –réussies technologies etou des non–, évalu méthodes, pour méthodes, prendre de meilleures pour décisions prendre plus rapidement de meilleures avec une meilleure décisions information. plus rapidem Depuis quelquesDepuis mois, certaines quelques réunions communes mois, ont certaines été instituéesréunions entre deux GTcommunes afin de consolider ont été leurs travaux surleurs des sujets travaux qui se recouvrent sur des (ex. catalogue sujetsdequi services, se recouvrent réunissant les GT ITIL (ex. et Analyse catalogue d des coûts, Clouddes et PRA/PCA). coûts, LesCloud Groupeset Spot PRA/PCA). visent à apporter,Les en uneGroupes seule réunion de Spot trois heures, visent à a des réponses immédiates des réponses à un problème immédiates urgent et/ou d’actualité. à unLes problème Groupes Flash urgent font le tour, et/ou en troisd’actua ou quatre réunions ouauquatre maximum,réunions d’un sujet ponctuel au maximum, et clairement identifié. d’un sujet ponctuel et clairem Analyse des coûts Analyse de la Production des coûts de la Production Derniers sujets abordés Ce groupe de travail aCe pour groupe objectif de de travail a pour objectif de déterminer les coûts en prestations déterminer les coûts en de prestations - Élaboration d’un modèle maturité délivrés par une production délivrés informatique. par une production informatique. - Mise en commun d’Unités d’oeuvre Prochains Derniers sujets àsujets aborder abordés - Bonnes - Élaboration pratiques, organisation, d’un modèle de m outils - Mise pour construire en commun le modèle d’Unités d’ - Benchmarking - Retours sur les d’expériences activités métho - Définition surd’un la catalogue mise en de services place du modè génériques - Partage d’expériences autour de services avec le GT ITIL - Retours méthodologiques Ce Groupe de Travail a élaboré Ce Groupe un ded’expériences Travail a élaboré un sur la mise en place du modèle référentiel d’Analyse desréférentiel coûts de la d’Analyse des coûts de la - Partage d’expériences autour du catalogue Production à partir de Production celui du CIGREF. à partir de celui du CIGREF. de services avec le GT ITIL Ce référentiel se composeCe de 21référentiel se compose de 21 Centres Technologiques Centres qui décriventTechnologiques qui décrivent les activités et leurs inducteurs, les activités et d’un et leurs inducteurs, et d’un modèle général dérivé de modèle la méthodegénéral dérivé de la méthode ABC pour la composition ABC de services pour aux la composition de services aux consommateurs à partir consommateurs de ces activités. à partir de ces activités. Ce référentiel sert à mieux Cemaîtriser référentiel les sert à mieux maîtriser les coûts et à les rendre coûts benchmarkables et à en les rendre benchmarkables en les décrivant finement les et en décrivant les expliquant finement et en les expliquant aux consommateurs des aux services. consommateurs des services. Big Data Big Data Derniers sujets abordésexplore le Ce Groupe de Travail explore Ce le Groupe de Travail du Big Data et aux examine outils phénomène Big Data, phénomène analyse et examineBig- Contribution Data, analyse d’exploitation (analyse deIllogs) les premiers cas d’usage. lesIl en premiers étudie cas d’usage. en étudie Bonnes pratiques de mise en œuvre l’impact sur les Services l’impact d’Infrastructures sur les - Services d’Infrastructures - Big Data et services rendus au métier et de Production, et quels etnouveaux de Production, et quels nouveaux - Relation entre marketing, DSI et métier services il peut offrir aux métiers. services il technologies-clé peut offrirduaux métiers. - Les Big Data - Point sur la législation Derniers Prochains sujets àsujets aborder abordés - Contribution du du Big aux - Evolution de la réglementation Big Data Data d’exploitation (analyse de logs (données personnelles, finalité, etc.) - Bonnes de mise en - Impact du Big Datapratiques sur les organisations - Big des Data - Inventaire outils et services rendus au Relation - Big- Data & Cloud entre marketing, DSI Les - Big- Data et technologies-clé ERP, environnements OS du Big D - Point sur la législation (Open source…) Fiche Pratique | Big Data : Transformer Fiche Pratique les données en| valeur Big business Data :par Transformer l’entreprise | Juin 2014 les do Cloud Computing Cloud Computing abordés Ce Groupe de Travail Ce explore Groupe les usages deDerniers Travailsujets explore les usages - des Bonnesdifférentes pratiques du laaS formes de concrets des différentes formes concrets de - Premiers retours sur lePaaS, PaaS Cloud Computing : IaaS, Cloud PaaS, SaaS, Computing : IaaS, SaaS, - Le Cloud et la continuité d’activité (PRA, PCA) mais aussi toutes les formes mais deaussi Cloud toutes les formes de Cloud - L’accompagnement au changement (privé, public, hybride, souverain…) (privé, public, . hybride, souverain…) . - Les achats et la facturation Il étudie les business cases Il étudie et préciseles -business cases Le SaaS, intégration au SI et précise les bonnes pratiques de les transformation bonnes pratiques deComputing transformation - Sécurité et Cloud pour développer au mieux pour des développer services des services - Point au sur lemieux Cloud souverain Cloud, internes ou externes.Les Cloud, internes ou externes.Les - Cas d’usage du Cloud Hybride - Introduction s’appuient aux aspects juridiques recommandations s’appuient recommandations sur des sur des retours d’expérience desretours membres. d’expérience des membres. Livre Prochains Derniers sujets àsujets aborder abordés - Inventaire - Bonnes des solutions pratiques Cloud et Tendances du laaS - Urbanisation - Premiers des applications retours dévelopsur le PaaS pées - Le dans Cloud le Cloudet la continuité d’activ - Le-Cloud L’accompagnement 5 ans après : tableau de au chang l’utilisation - Les achats et la facturation - Supervision - Le SaaS, et contrôle intégration des performances au SI - Réinternalisation - Sécurité/ Réversibilité et Cloud Computing - Standardisation - Point sur et interoperabilité le Cloud souverain - Nouveaux - Casaspects d’usage réglementaires du Cloud Hybrid - Introduction aux aspects jurid Blanc | Cloud Computing 5 | Juin 2014 59 Data Centre & ICT éco-efficacité Ce Groupe de Travail poursuit ses travaux dans plusieurs directions : élaboration d’indicateurs de gestion énergétique pour les Data Centres, bonnes pratiques pour la conduite de projets d’ICT durable, catalogue des pratiques d’urbanisation et des bénéfices associés, bonnes pratiques pour la gestion des contrats d’hébergement et de location d’espace en Data Centres, bonnes pratiques pour la prise en compte de l’écoconception et de la fin de vie des équipements ICT. Derniers sujets abordés - Bonnes pratiques pour la conduite de projets d’ICT durable - Panorama des Data Centres chez les adhérents du CRiP - Certification des Data Centres : retours d’expériences - Déclenchement intempestifs d’alertes incendie et leurs conséquences Prochains sujets à aborder - Méthodologies d’urbanisation adaptées à l’optimisation des Data Centres - Gestion des risques d’incidents sérieux - Gestion énergétique, consommation d’énergie incluse : normalisation CRiP - ETSI et Benchmarking - Ingénierie générale et bonnes pratiques pour la réalisation de sites ICT performants et durables (« Green Data Centres ») - Ecoconception et fin de vie des équipements ICT - Benchmark des coûts des Data centres Livre Blanc | Eco-Efficacité et Urbanisation d’un Data Centre | Juin 2014 Dossier technique | Gestion énergétique opérationnelle pour les utilisateurs - (OEU) - KPI Globaux pour les Data Centres | Juin 2014 Environnement de travail & Mobilité Ce Groupe de Travail étudie les évolutions actuelles de l’environnement de travail utilisateur, et tout particulièrement les conséquences de leur mobilité croissante : gestion des flottes mobiles, sécurité mobile, virtualisation, tablettes et smartphones, arrivée des Mac dans l’entreprise, etc. Il s’intéresse aussi aux migrations de postes, en particulier aux conséquences de la disparition de Windows XP, ainsi que la multiplication des OS. Le périmètre de ce groupe de travail peut aller jusqu’aux outils liés à la productivité de l’utilisateur, office bureautique, la communication & collaboration… Derniers sujets abordés - Le poste de travail 2015 : perspectives - Vivre avec des OS clients en évolution permanente - Comment sécuriser les données synchronisées sur un device mobile - Contribution de la virtualisation des postes de travail aux PCA - Mesurer la valeur d’une migration de Poste de travail pour l’utilisateur - Mobilité, MDM, MAM - Windows 8.1, cas d’usage - Fin de support XP Prochains sujets à aborder - Migration Windows XP vers autre(s) OS - Suivre le cycle de vie de l’OS imposé par les éditeurs - La virtualisation applicative et du poste - Quelle solution pour la sécurisation des données de l’entreprise adhérente au terminal - Quelle authentification utilisée demain - Gestion des navigateurs - Retour expérience Windows 8.1 update - Open source & Poste de travail - Tour d’horizon des solutions de management et migration de postes - Quel avenir pour les GPO - Télémaintenance : les tendances Derniers sujets abordés - ITIL v3 vs ITIL 2011 - Catalogue de services et facturation (en relation avec le GT Analyse des coûts) - Comment améliorer le pilotage des Opérations informatiques ? - Enquête ITIL - BRM/SLM : comment ITIL 2011 transforme le rôle de SDM connu en ITIL v2 ? - Knowledge management - Comment obtenir le soutien du management préconisé par ITIL pour la mise en place de processus ? Comment le conserver en exécution de processus ? - Conception des services : qui a réussi à sensibiliser les équipes de développement, et comment ? Prochains sujets à aborder Les sujets proposés peuvent être classés en plusieurs catégories, permettant de mieux comprendre la dynamique du Groupe Amélioration continue - Enquêtes de satisfaction utilisateurs - Méthode Agile versus ITIL - Méthodes associées au pilotage des processus : ishikawa, pareto, 8d, 5 pourquoi, … - Amélioration continue des services ITIL & Process de Production Ce Groupe de Travail analyse les usages concrets d’ITIL dans les entreprises. Quel que soit son niveau de maturité (processus largement déployés ou non), chaque participant peut faire part de ses interrogations ou de ses retours d’expérience. La diversité des contextes (périmètre, outils, organisations) conduit à des échanges enrichissants, pragmatiques, sur une multitude de thèmes choisis par le Groupe. La transversalité de certains sujets peut justifier des échanges avec d’autres groupes de travail. Implémentation - Facteurs clefs de succès : comment les identifier, comment les utiliser lors du déploiement ou de la revue des processus ? Zoom processus - Processus Gestion des Capacités - Processus Gestion des Incidents : qualification d’un incident majeur Rencontre inter-GT - Rencontre avec le GT Automatisation / Orchestration Fiche Pratique | Améliorer le pilotage des Opérations Informatiques | Juin 2014 Mainframe Le Groupe de Travail Mainframe, dédié aux grands systèmes IBM z/OS a notamment travaillé sur l’optimisation des coûts de cette plateforme. Il a récemment réorienté ses travaux vers les problèmes de formation, et plus particulièrement du renouvellement des compétences sur cette plateforme. 60 Derniers sujets abordés - Maitrise des coûts de la plateforme - Modèles de coûts du Mainframe Sujet en cours Renouvellement des compétences mainframe face à l’évaporation des compétences liée à l’évolution de la pyramide des âges : - Nous recensons les besoins moyen termes en compétences chez les acteurs mainframe en France (grands clients et SSII). - Nous sélectionnons les partenaires susceptibles de nous aider dans la mise en place d’un cursus de formation ab initio. Ce cursus sera accessible à toutes les sociétés membres du CRiP désirant former de nouvelles compétences, jeunes diplômés ou collaborateurs en reconversion professionnelle. Open Source Le Groupe de Travail Open Source du CRiP traite de la promotion et de la mise en oeuvre des solutions s’appuyant sur des logiciels Open Source dans une perspective concrète et opérationnelle. Il met en évidence la pertinence d’utiliser certains logiciels Open Source et la façon de gérer leur déploiement. Ce Groupe de Travail est commun avec le Club CRAI, afin d’aborder les aspects contractuelles d’achat des licences et des services associés. Derniers sujets abordés - Quels logiciels Open Source utiliser, dans quels domaines ? - Peut-on remplacer les logiciels propriétaires par des logiciels Open Source ? A quelles conditions ? Quels sont les domaines les plus favorables ? - Comprendre les licences Open Source - Modèles de facturation dans le monde Open Source - Sourcing des fournisseurs Open Source - Gestion des compétences Open Source - Création d’une fiche ‘Standard logiciel Open source’ (Linux) Prochains sujets à aborder - Comparatif des solutions Open Source avec les solutions « commerciales » - ROI de l’utilisation et économie réelle de l’Open Source - Document pour la promotion de solutions Open Source auprès des décideurs - Criticité et support - Axes d’innovation de l’Open Source - Prises de contacts avec les communautés et l’éco-système Open Source Automatisation & Orchestration Les orchestrateurs renforcent les possibilités d’automatisation de l’Exploitation en s’attaquant à des processus complets, sans s’arrêter aux frontières des métiers et des techniques. Ce Groupe de Travail examine les bonnes pratiques pour le choix, la mise en œuvre et l’exploitation d’un orchestrateur. Il aborde les problèmes de périmètre d’action, de sécurité, de coordination avec les outils de Service Management et de suivi des gains apportés. Derniers sujets abordés - Provisioning de serveurs via l’orchestration - Traitement automatisé d’incidents - Supervision fonctionnelle de l’outil d’orchestration - Processus de mise en production des flows Prochains sujets à aborder - Gestion de campagnes de changements - Gestion des applications au quotidien - Orchestration et fiabilisation de l’exploitation Derniers sujets abordés - Contractualisation, Gouvernance et Pilotage des prestations d’outsourcing - Sécurisation et cloisonnement des données - Contrôle des prestataires - Réversibilité - Modèles de sourcing - Comment aller vers l’externalisation Prochains sujets à aborder - Impacts RH de l’outsourcing - Bénéfices à attendre d’une prestation d’outsourcing et bénéfices réellement mesurés ou constatés ; ROI et services - Prérequis à l’outsourcing - Impacts de l’outsourcing sur les relations avec les métiers - Point sur les SLA et contrôles PRA et indicateurs de performance - La période de transition Derniers sujets abordés - Le PCA et le sinistre régional - La sauvegarde de recours suite à un sinistre - Le retour sur Investissement d’un PCA - L’automatisation et le pilotage d’un PCA - La continuité d’activité expliquée aux décideurs - Le PCA et les bases de données (notamment avec le GT BDD) - PCA et services en mode Cloud (notamment avec le GT Cloud) - Audit de la continuité d’activité Prochains sujets à aborder - La reprise applicative - La validation probante d’un PCA /PRA - Le PRA dans le cloud - L’externalisation du secours Outsourcing La mise en oeuvre et la gestion de prestations d’outsourcing font désormais partie intégrante des métiers de l’Infrastructure et Production. Ce Groupe de Travail, parmi les plus récents du CRiP, étudie aussi bien les aspects contractuels et de sourcing des prestations que les activités de pilotage et de suivi. PRA & PCA Ce Groupe de Travail étudie la mise en place opérationnelle des plans de reprise d’activité – plutôt orientés IT – mais aussi des plans de continuité d’activité. Il définit des bonnes pratiques et des démarches à la fois techniques et d’organisation. Fiche Pratique | L’audit de la continuité d’activité d’un organisme | Juin 2014 Sécurité En 2014, le GT Sécurité s’attachera à étudier les conditions qui facilitent le vol de données au cœur des entreprises et à présenter les moyens mis en œuvre par les membres du GT pour s’en affranchir. • Comment l’attaquant a-t-il pu obtenir le niveau de privilège suffisant ? : identités, privilèges, authentification • Pourquoi la sortie de données n’a-t-elle pas été détectée ? : traces, supervision, SIEM, SOC • Pourquoi la médiatisation de l’affaire a-t-elle eu autant d’impact ? : gestion de crise de sécurité. Derniers sujets abordés - Gestion opérationnelle de la sécurité autour de la gestion des incidents de sécurité - Gestion de la sécurité dans les projets (démarche d’analyse de risques, recette sécurité dans les projets, sécurité des données sensibles,…) Derniers sujets abordés - Rôle de l’hyperviseur - Ingénierie de la Supervision - Profils RH des équipes de Supervision - Socle technique de Supervision - Organisation de la fonction Supervision - Méthode de collecte des besoins de Supervision en adéquation avec les SLA - Résultat d’une enquête sur l’existant Supervision au sein du CRiP - Elaboration en cours d’un lexique de Supervision (Ce lexique est commencé et sera modifié avec les échanges lors des réunions du GT)) - Retours d’expériences Prochains sujets à aborder - GT commun avec le GT ITIL sur la supervision des flux - Supervision et remédiation automatique - GT commun avec le GT Sécurité pour promouvoir la sécurité et la supervision dans les projets - SAP et supervision des travaux. Supervision Ce Groupe de Travail, récent, travaille sur les besoins, l’outillage et les bonnes pratiques en matière de supervision et pilotage de l’IT. Il vise notamment à promouvoir la supervision comme étant garante de la qualité de service. 61 Communication unifiée & Collaboratif s sujets abordés Ce Groupe de Travail aborde les problématiques Derniers sujets abordés Prochains sujets à aborder Prochains sujets à aborder opérationnelles, managériales etde techniques liées des solutions de ToiP sur – VoiPles tarifs - Benchmarking sur les chez tarifs pratiqués s concrets des solutions ToiP – VoiP- Bénéfices concrets - Benchmarking pratiqués les chez les la mise en place de solutions de ToiPmétiers/ - VoiP et - Segmentation des solutions par cibles métiers/ principaux opérateurs télécoms tation à des solutions par cibles principaux opérateurs télécoms utilisateurs - Migration de PABX TDM- Migration de téléphonie PABX TDM vers lafull téléphonie rs vers la IP full IP de communication unifiée, - Comparaison des offres réseau distinct ou non de celui des data aison des offres sur réseau IP distinct ou sur non deIP celui des data dans les entreprises. Il s’attache en particulier - Comparatif entre Cisco Jabber etdu Microsoft - Evaluation ROI permettant de lancer ou réactiver atif entre àCisco et Lync - Evaluation ROILync permettant dedulancer ou réactiver recenser Jabber les bénéfices liésMicrosoft au déploiement - Choix et mise en oeuvre de solutions des projets de la téléphonie mise en oeuvre de solutions de des projets dedemodernisation de de lamodernisation téléphonie de ces solutions et à dresser une typologie des communication unifiée de la migration vers le poste nication unifiée - Accompagnement de la- Accompagnement migration vers le poste problèmes rencontrés. - Témoignages sur le déploiement deoutils ToIP unifié, avec outils de mesure ages sur le déploiement de ToIP unifié, avec de mesure réseau liées à la - Déploiement, migration et conduite du changement ur les problématiques réseau liées à la - Focus sur les-problématiques Déploiement, migration et conduite du changement Unifiée (LAN/WAN/QOS/ de solution Unifiée de Communication Unifiée mmunication Unifiée (LAN/WAN/QOS/ VoIP/Communication de solution de Communication - Offres Cloud : quelles offres, quels atouts, quels Performances/etc.) - Offres Cloud : quelles offres, quels atouts, quels ances/etc.) - Coûts et modèles de licencing? défauts ? modèles de licencing défauts - Evolution des offres - Stratégies de-migration vers unedes nouvelle solution de téléphonie Evolution offres et de téléphonie et es de migration vers une nouvelle solution de téléphonie et/ou de communication unifiée communication unifiée depuis 1 an honie et/ou de communication unifiée communication unifiée depuis 1 an NEW Gouvernance CTO ns sujetsConcernant à aborder les productions IT, quels sont Prochains sujets à aborder - Etudier les impacts induits - Etudier par lesces impacts tendances induits par ces tendances de de fond sur l’organisation etfond la sur gouvernance l’organisation et la gouvernance de la de la les nouveaux modèles de «delivery» Identifier : production : évolution production des modèles IT : évolutiond’activité, des modèles d’activité, (organisation, profils & compétences...) ances de fond du «nouveau monde - les tendances de fond du «nouveauIT monde structures, des modes des structures, de sourcing des modes... de sourcing ... gique» et les offres qui vont technologique» des et les nouvelles offres qui vont induits par lanouvelles révolution digitale des entreprises ? - Identifierdes les besoins - Identifier les besoins et les d’évolution et les er le fonctionnement des de structurer le fonctionnement organisations de d’évolution Quels sont les impacts surorganisations le positionnement problématiques liées auxproblématiques ressources liées humaines aux ressources humaines on : technologie hadoop, bases Nosql, production : technologie hadoop, bases Nosql, et la fonction de CTO ? (profils, compétences, accompagnement (profils, compétences, accompagnement au au s intégrés, gestion de la haute disponibilité systèmes intégrés, gestion de la haute disponibilité changement) changement) u applicatif, .... au niveau applicatif, .... Travailler la fonction -de Travailler CTO sur la et fonction sa promotion de CTO et sa promotion / / eaux modes et patterns de développement - les nouveaux-modes et patternssur de développement évolution monde évolution du Digital dans le monde du Digital et les impacts associés: devops, «non logiciels et les impacts associés:dans devops, le «non ase» … stop release» … NEW Innovation ns sujets Le à Cercle aborder : des Directeurs Innovation IT Prochains sujets Derniers à aborder :sujets abordés Derniers : sujets abordés : on ROI de l’innovation Ce groupe de travail partage les visions et les tion des projets dans vraie vie pratiques autour de la l’innovation numérique, ons, Concours, POC, …) et d’usages ainsi les ruptures de technologies g interne de l’Innovation que les moyens de créer des passerelles entre ance & Innovation IT etet métiers. A ce titre, ce groupe de cement équipes interne externe des projets tion Travail rassemble les Responsables Innovation IT et les professionnels des Infrastructures et de la l en réseaux, les partenariats concernés par l’Innovation. mmunication Production en interne é d’une ITCepropre, pour groupe de solide travail se réunit également à ovation fonctionne l’extérieur pour rencontrer des starts-up, des nt favoriser la captation ? des fonds d’investissements, desd’idées gourous, visiter age sur l’innovation du Plateau grands parcs technologiques, ... Des voyages à ogique de Saclay l’étranger (Californie, Israël,…) sont à l’étude. Innovation (Silicon Valley, Israël,…) - de Les pré-requis de l’Innovation - Les pré-requis de l’Innovation - Evaluation ROI l’innovation - Gouvernance - Gouvernance de l’innovation et outillage de l’innovation - La sélection des projets dans la vraie vieet outillage Construire - Construire veille technologique une cellule de veille technologique (hackathons,-Concours, POC, …) une cellule de - Travailler l’innovation avec - Travailler les Métiers l’innovation avec les Métiers - Marketing interne de l’Innovation - Bonnes pratiques pour de l’introduction de - Gouvernance-&Bonnes Innovation pratiques pour l’introduction l’Innovation - Le financementl’Innovation interne et externe des projets - Contact innovantes avec des start-ups innovantes d’Innovation - Contact avec des start-ups - Témoignage - TémoignageIssy sur le programme Grid Issy Grid - Le travail en réseaux, les partenariats sur le programme et la communication en interne - Nécessité d’une IT propre, solide pour que l’Innovation fonctionne - Comment favoriser la captation d’idées ? - Témoignage sur l’innovation du Plateau Technologique de Saclay - Voyages Innovation (Silicon Valley, Israël,…) pe de • Pour Travail, vous inscrire il vous à un Groupe suffit de Travail, d’adhérer il vous suffitau d’adhérer CRiP au CRiP [email protected] et de contacter : [email protected] onsultez le calendrier des Consultez réunions le calendrier des réunions pes de travail sur www.crip-asso.fr des groupes de travail sur www.crip-asso.fr Club des Responsables d’Infrastructure et de Production cture et de Production 24 rue Erlanger 75016 Paris - [email protected] www.crip-asso.fr @crip-asso.fr www.crip-asso.fr 62 Près de 300 adhérents, Grands Comptes, Entreprises et Administrations ACCOR ADEO SERVICES ADP GSI AELIA AEROLIA AEROPORTS DE PARIS AFI ESCA AFP (AGENCE FRANCE PRESSE) AG2R LA MONDIALE AGENCE FRANCAISE DE DEVELOPPEMENT AGIRC ARRCO AIR FRANCE AIR LIQUIDE AIRBUS ALBIANT-IT ALGECO ALLIANZ GLOBAL INVESTMENT ALLIANZ INFORMATIQUE AMUNDI ANCV APHP APRIA AREVA ARGUS DE LA PRESSE ARKEMA ARTELIA ARVAL AUCHAN AVIVA AXA ASSISTANCE AXA INVESTMENT MANAGEMENT AXA TECHNOLOGY SERVICES BANQUE DE FRANCE BANQUE PRIVEE EDMOND DE ROTHSCHILD BIBLIOTHEQUE NATIONALE DE FRANCE BIC BIOMERIEUX BNP PARIBAS BNP PARIBAS CIB BONDUELLE BOULANGER BOUYGUES CONSTRUCTION BOUYGUES IMMOBILIER BOUYGUES TELECOM BPCE BRIGADE DES SAPEURS POMPIERS DE PARIS CAISSE DES DEPOTS CANAL + CARREFOUR CASINO CDISCOUNT CEA CHANEL CHOREGIE CHU NICE CNAMTS CNAV CNES CNP ASSURANCES COFELY INEO COFIDIS COFINOGA COFIROUTE COLLECTE LOCALISATION SATELITTES CONFORAMA CONGES INTEMPERIES BTP CONSEIL CONSTITUTIONNEL CG DES BOUCHES DU RHONE CG DE LA LOIRE ATLANTIQUE CG DU BAS RHIN CG DU HAUT RHIN CG DE LA SEINE MARITIME CG DES YVELINES CG DU VAL DE MARNE CR D’ILE DE FRANCE CONSORTIUM STADE DE FRANCE CORA CREDIT AGRICOLE CIB CREDIT AGRICOLE S.A. CREDIT AGRICOLE SILCA CREDIT AGRICOLE TECHNOLOGIES CREDIT IMMOBILIER DE FRANCE CREDIT MUTUEL ARKEA DAHER DAMART DANONE DARTY DARVA DASSAULT SYSTEMES DCNS DECATHLON DEKRA DESCOURS & CABAUD DEXIA DGDDI DGSI ETAT DE GENEVE DILA DIRECTION DE L’AVIATION CIVILE DISIC - BUREAU DU PREMIER MINISTRE DISNEYLAND PARIS DNSCE EAU DE PARIS EDF EIFFAGE ELIOR ELLISPHERE ERAMET ERDF ESSILOR ETAM EUROMASTER EUROPCAR EUROPE AIRPOST FDJ (FRANCAISE DES JEUX) FNAC FONDS DE GARANTIE FRANCE TELEVISIONS GALEC (LECLERC) GALERIES LAFAYETTE GCS D-SISIF GDF SUEZ GDF SUEZ TRADING GEMALTO GENDARMERIE NATIONALE GENERALI GEODIS GIPS GIRC AGIRC ARRCO GIVAUDAN GMF ASSURANCES GRAS SAVOYE GROUPAMA GROUPE CHARLES ANDRE GCATRANS GRT GAZ HEINEKEN HOP ! BRITAIR HUMANIS I-BP IFP ENERGIES NOUVELLES IGN IMPRIMERIE NATIONALE INA INFOMIL INRA INRIA INSERM INSTITUT NATIONAL DU CANCER INTER MUTUELLES ASSISTANCE INVIVO IPSEN IRSN IT-CE KEOLIS KIABI LA BANQUE POSTALE LA POSTE / DIRECTION DU COURRIER LA POSTE / DSI CENTRALE LACTALIS LAFARGE LAGARDERE LATECOERE LE CONSERVATEUR LOMBARD ODIER L’OREAL LVMH MAAF MACIF MACSF MAF ASSURANCES MAIF MALAKOFF MEDERIC MANE & FILS MANPOWER MAPPY MATMUT MEETIC METEO FRANCE MICHELIN MINISTERE DE LA DEFENSE MINISTERE DE LA JUSTICE MINISTERE DE L’AGRICULTURE MINISTERE DE L’ECONOMIE ET DES FINANCES MINISTERE DE L’EDUCATION NATIONALE MINISTERE DE L’INTERIEUR MINISTERE DU DEVELOPPEMENT DURABLE MIPIH (MIDI PICARDIE INFORMATIQUE HOSPITALIERE) MONDIAL ASSISTANCE MSA AGORA MUREX MUSEE NATIONAL D’HISTOIRE NATURELLE MUTEX NATIXIS NEXTERSYSTEMS NORAUTO NUMERICABLE OBERTHUR TECHNOLOGIES OCDE OGF ORANGE FT GROUP PARITEL PARROT PETROCI PIERRE & VACANCES PIERRE FABRE PISCINES WATERAIR PLASTIC OMNIUM PMU POLE EMPLOI PRESSTALIS PREVOIR PRO BTP PSA PEUGEOT CITROEN PUBLICIS RATP RENAULT RESEAU FERRE DE FRANCE REUNION DES MUSEES NATIONAUX - GRAND PALAIS RHODIA RIO TINTO ROLEX ROQUETTE RSI RTE SACEM SAFRAN SAINT-GOBAIN SANOFI SCHLUMBERGER SCOR SEQUANA SERES SERVIER SESAM VITALE SFR SIB SIGMAP SIHM SIMPLY MARKET SNCF SOCIETE GENERALE SODEXO SOFAXIS SOMFY SPIE STEF STELA STIME SUEZ ENVIRONNEMENT SUPERMARCHES MATCH SWISSLIFE SYNCHROTRON SOLEIL SYSTALIANS TARKETT THALES THALES ALENIA SPACE THELEM ASSURANCES TOTAL TRANSDEV TRISKALIA UFCV UGC UNEO UNIBAIL-RODAMCO UNIPREVOYANCE UNIVERSCIENCE UNIVERSITE DE BORDEAUX VALLOUREC VENTE PRIVEE VEOLIA ENVIRONNEMENT VETOQUINOL VILLE DE LEVALLOIS VINCI CONSTRUCTION VOLVO VOYAGES-SNCF.COM WOLTERS KLUWER FRANCE YVES ROCHER Le CRiP, Cercle de confiance pour permettre aux Responsables d’Infrastructure et de Production d’être plus performants dans leurs métiers 63 7 bonnes raisons de rejoindre le cercle de confiance du CRiP · Être à la pointe de l’innovation et de la transformation digitale ITES, IT innovation Forum, Study Tour, Web TV, Review, Cercle Innovation · Prendre les bonnes décisions pour préparer l’avenir Benchmarking, Review · Profiter de l’expérience de ses pairs Groupes de Travail, Base Projets, Base Prestataires de confiance, Réseau Social · Bâtir un réseau d‘échanges rapides avec ses pairs Conférences Thématiques et Régionales, Plénières, Convention, Réseau Social · Renforcer ses relations avec les fournisseurs Cercle i · Promouvoir les métiers de la Production Groupe gouvernance et programme grandes écoles · Passerelles vers les métiers et l’international grâce au réseau social CDO Alliance, Cercle innovation, CRAI, CTO Alliance UK, Suisse, Allemagne, IT Forum Africa 64 www.crip-asso.fr www.crip-asso.fr Rejoignez le en région Un CRiP régional réunit localement des adhérents du CRiP implantés dans la région et accueille de nouveaux adhérents régionaux. CRiP NORD-PAS-DE-CALAIS CRiP GRAND OUEST et CRiP GRAND EST sous l’impulsion de : Michel BARBASSO CTO sont en cours de création : Vous souhaitez devenir parrain de l’une de ces régions, Contactez-nous ! [email protected] 45 mm Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). PO L’A R R I ÈR V OUS E sous l’impulsion de : Jean-Sébastien BOULLéE Directeur département Architecture et Production SÉ PL IN IS EZ UR UV RE R UN TE X TE ICI, I L APPA RAÎ TR AS UR LE R CRiP RHONE-ALPES copyright © 2012 Modern City Records CRiP POITOU-CHARENTES sous l’impulsion de : Jean-François STRICHER Chef de groupe Ingénierie et Sécurité E 45 mm Le repère intérieur (43 mm) représente la face avant. N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). ICI, I L APPA RAÎ TR AS UR LE R CRiP PACA E V OUS E X TE PO Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). R I ÈR TE L’A R UN UV EZ UR R SÉ 45 mm N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. RE PL IN IS SÉ PL IN IS EZ R UN TE X TE IC AÎ TR AS UR LE R sous l’impulsion de : E I L APPA R Le repère intérieur (43 mm) représenteI,la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). copyright © 2012 Modern City Records Marc BéGUé Sous-Directeur Exploitation Production DSI/EP/D UR UV RE 45 mm sous l’impulsion de : Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière). copyright © 2012 Modern City Records E PO L’A R R I ÈR V OUS CRiP SUD OUEST copyright © 2012 Modern City Records 45 mm Bernard ROUx Directeur de la Stratégie Informatique et Transformation X TE AS UR LE R E PO ICI, I L APPA RAÎ TR E TE R I ÈR UN V OUS R L’A R SÉ PL IN IS EZ UR UV RE SÉ RE PL IN IS EZ UR UV et Cathy LACOMME VERBIGUIE Sous-Directrice Adjointe Exploitation / Architecture DSI/EA/DA R UN TE X TE ICI, I L APPA RAÎ TR AS UR LE R E copyright © 2012 Modern City Records PO L’A R R I ÈR V OUS E N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. et Olivier DU MERLE Responsable du Centre informatique de Valbonne N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées. Un CRiP Régional, c’est : - Toute la valeur des partages d’expériences au sein du cercle de confiance du CRiP dans votre région, et sur des sujets qui ne sont pas forcément abordés dans les groupes de travail du CRiP - L’animation de sous-groupes de travail contributeurs des groupes de travail nationaux - Des rencontres en région avec les grands fournisseurs - Partager l’information locale sur le réseau des prestataires pour mieux choisir - Aborder et étudier les thèmes et enjeux spécifiques à la région - Réfléchir sur les spécificités et avantages de la Production en région Nous organisons aussi des conférences CRiP Régionales ! Une thématique est choisie par le groupe local et l’événement est sponsorisé par des fournisseurs locaux ou nationaux. Tout comme sur un événement national, le pilote du groupe de travail correspondant présente une restitution des travaux du groupe et des retours d’expériences sont présentés. Votre groupe régional sur votre mobile Pour chaque région, il existe sur Bee CRiP (le réseau social privé du CRiP) un groupe relatif à la région, dans lequel vous pourrez trouver des informations sur le sujet ainsi que des informations pratiques comme par exemple, la date de la prochaine réunion … Faites nous part de vos suggestions pour lancer une conférence dans votre région : [email protected] www.crip-asso.fr www.crip-asso.fr 65 Rejoignez le CTO Alliance Suisse sous l’impulsion de : Gianfranco MOI à l’international CTO Alliance UK sous l’impulsion de : John HARRIS United Kingdom Digital Technology & Innovation De la même façon que les régions, vous pouvez retrouver, dans Bee CRiP, le groupe CTO Alliance Suisse dans lequel vous accéderez à des informations sur le sujet ainsi que des informations pratiques comme par exemple, la date de la prochaine réunion … IT Forum Africa sous l’impulsion de : Mohamadou DIALLO Directeur de la publication de CIO Mag IT FORUM Africa IT forum Africa, le réseau des IT Managers Africains est une plate-forme d’échanges stratégiques au service des directeurs des systèmes d’informations et IT Manager. Lancée en 2013, la CTO Alliance UK est une copie du modèle du CRiP France. L’idée étant de vous fournir des informations précieuses recueillies auprès de professionnels de l’Infrastructure et de la Production au RoyaumeUni. Cette nouvelle communauté, c’est aussi la possibilité aujourd’hui pour vous de pouvoir vous benchmarker à un niveau européen ! Pour information, sachez que beaucoup de nos livrables ont été traduits en anglais, n’hésitez pas à nous les demander ! En vous connectant sur www.itiforums.com, passerelle vers l’international, vous pouvez accéder et vous connecter à ces différentes communautés. Grâce à une association exclusive entre SAFREM (éditeur de CIO mag et d’IT Forum Africa) et MAZA exclusive IT (éditeur d’Africa exclusive IT) qui prend à sa charge la diffusion des contenus publics et la gestion de la plateforme du réseau social Afrocio.net ainsi que la communication de ses événements en se rémunérant auprès des sponsors, IT Forum Africa, construit un modèle économique lui permettant d’offrir des services gratuits de très haute qualité à ses membres. Avec la CTO Alliance, la communauté du CRiP se structure en un réseau de pairs internationaux. S’il s’agit toujours de partager nos expériences sur les thèmes de l’Infrastructure et de la Production IT, ces échanges bénéficieront de la diversité des cadres e t d es c ul tu re s IT d es pa ys qu i constituent la CTO Alliance. Le répertoire de nos bonnes pratiques s’en trouve donc d’autant plus élargi ! Le CRiP, cercle de confiance pour permettre aux Responsables d’Infrastructure et de Production d’être plus performants dans leurs métiers 66 10 septembre 2014 27 janvier 2015 23 avril 2015 Les ruptures d’usages et de technologies : Big Data, Cloud, Datacenter & Green IT, Mobilité, Sécurité, Gouvernance … IT innovation Forum, c’est : En quelques mots • Un formidable accélérateur de notoriété, de visibilité et d’opportunité de business pour la trentaine de start up et entreprises innovantes sélectionnées par le jury. PRIX DU JURY • Une opportunité de découverte et de possibles implémentations de 2014 solutions innovantes par une centaine de CTOs de grands comptes français (Early Adopters) à la recherche d’ avantages économiques et compétitifs PRIX pour leur entreprise. PUBLIC DU En quelques chiffres • 3 éditions de l’IT innovation Forum en 12 mois • Une sélection de +120 solutions innovantes Lauréates 2014 LAURÉAT IT 2014 • Présentation de ces solutions à +500 Responsables d’innovations, CTOs, Responsables d’Infrastructures IT et DSI des grandes Entreprises et Administrations Françaises. Un comité de sélection d’experts • Une sélection des solutions très stricte qui se fait sur dossier • La description de la solution, sa différentiation, son innovation, son avantage économique sont étudiés par les membres du jury • Les solutions sont classées sur une échelle de A à E (A étant la meilleure). Les notes D et E sont éliminatoires • Le jury est composé de CTOs du CRiP ( www.crip-asso.fr), de Responsables d’Innovation IT et de Venture Capitalists 67 Un format unique • Inspiré du speed dating avec des solutions innovantes qui s’enchainent par thème toutes les 5 minutes et sont présentées à un panel de porteur de projets • Possibilité pour les responsables d’innovation IT de découvrir 30 à 40 solutions innovantes en un minimum de temps et de les retrouver dans une Agora propice aux contacts business. Un événement relayé sur notre WebTV Innovation Les visiteurs du site www.itiforums.com peuvent : · Retrouver les start up sélectionnées, · Visionner leurs présentations grâce à la tuile INNOVATION TV, · Les contacter et adhérer au réseau social IT INNOVATION. Appel aux solutions innovantes : Si vous avez des idées d’acteurs et de solutions innovantes à recommander ou que vous souhaiteriez rencontrer, n’hésitez pas à nous en faire part : [email protected] Trophée innovation IT Trophées de l’innovation IT 2014 Catégorie Big Data : Catégorie Cloud : Catégorie Datacenter & Green IT : Catégorie Mobilité / Environnement de travail : atégorie Optimisation de la performance C Outillage de la production : Catégorie Process & Gouvernance : Catégorie Sécurité : Catégorie Stockage & Virtualisation : 68 Les Lauréats 2013-2014 des 3 premières éditions d’IT Innovation Forum : 69