L`Essentiel des Conférences CRiP Thématiques

Transcription

Les Essentiels
Club des Responsables
d’Infrastructure et de Production
2013
2014
L’Essentiel
des Conférences
CRiP Thématiques
Saison 2013-2014
Sommaire des Essentiels
2013-2014
- ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain
p3
Essentiel n°22 du 23 septembre 2013
- Le Big Data au service des métiers p7
Essentiel n°23 du 16 octobre 2013
- Les services IT dans le cloud p 11
Essentiel n°24 du 3 décembre 2013
- Supervision, orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT p 15
Essentiel n°25 du 21 janvier 2014
- Cybercriminalité, cybersécurité et réglementation, SOC,
gestion de la sécurité opérationnelle, sécurité dans les projets
p 21
Essentiel n°26 du 19 mars 2014
- Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing p 25
Essentiel n°27 du 27 mars 2014
- L’optimisation des datacenters : une priorité pour les DSI p 29
Essentiel n°28 du 09 avril 2014
- Outsourcing : sans cesse sur le métier… p 33
- Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d’activité
p 37
A propos du CRiP
- Au services des membres du CRiP p 41
- ITES Deauville 2015 : ruptures d’usages et de technologies à l’horizon 2020 p 51
- Feuille de route des 16 groupes de travail du CRiP p 59
- Près de 300 Grandes Entreprises et Administrations adhèrent au CRiP p 63
- Les 7 bonnes raisons d’adhérer au CRiP p 64
- Le CRiP se développe en région et à l’international p 65
- IT innovation Forum : la sélection de +120 solutions innovantes p 67
Club
Club des
des Responsables
Responsables
d’Infrastructure
dede
Production
d’Infrastructuresetet
Production
# 22
Novembre 2013
Poste de travail, Mobilité, Collaboration
CRiP Thématique
ByoD, nouveaux OS, virtualisation,
sécurité : les environnements de
travail de demain
L’évolution du poste de travail n’est pas une option mais un impératif dicté aussi
bien par l’obsolescence des solutions en place que par les nouvelles demandes
des utilisateurs et des métiers. Le modèle du PC pour tous a vécu, et cède la place
à une multiplicité de terminaux et de modèles d’accès à un environnement de
travail capable d’accompagner l’utilisateur dans ses besoins et ses mouvements.
Le contexte
En quelques phrases
La conférence CRiP Thématique du 23 septembre 2013 était organisée par le Groupe de
Travail Desktop Nouvelle Génération du CRiP, et
parrainée par Jean-Paul Amoros, Directeur de
la Production GDF SUEZ. Le Groupe de Travail
Desktop Nouvelle Génération se réunit tous les
mois pour débattre des évolutions en cours dans
le domaine des environnements de travail qui ne
se réduisent pas au PC, mais incorporent aussi
les nouveaux terminaux (smartphones, tablettes)
et sont marqués par l’importance croissante de
la mobilité.
• Le poste de travail ne se limite plus au PC
• La mobilité et le ByoD constituent des
horizons inévitables de toute évolution des
environnements de travail
• L’identification de types d’utilisateurs est
une démarche préalable à tout projet
d’évolution des postes de travail
• La notion de master monolithique a volé
en éclat au profit de masters modulaires
• Le poste virtuel se propage, même si
son modèle économique reste difficile à
maîtriser
Cette journée d’intervention était avant tout
composée de retours d’expériences avec les
témoignages d’ADP, de BNP Paribas, du Conseil
Général des Hauts-de-Seine, de Damart, de la
FNAC, de la Gendarmerie Nationale, de GDF
SUEZ et de Praxis. Pierre Mangin, directeur des
études du CRiP y a aussi présenté les résultats
de l’enquête CRiP Index Stratégies des Devices
Mobiles consacrée à l’adoption des différentes
catégories de terminaux mobiles chez les
adhérents du CRiP, aux options du ByoD, et
au déploiement d’outils de type MDM (Mobile
device management).
• Linux et les logiciels libres constituent des
alternatives crédibles, mais qui demandent
une vaste gestion du changement
3
Ce qu’il faut retenir
Cependant, quatre grands profils apparaissent
avec régularité :
La coloration générale de l’événement ne laisse
pas le moindre doute : le temps du PC tailleunique, gris, posé sur le coin du bureau, est fini. La
solution qui consistait à proposer un desktop
ou un portable sous Windows à la totalité des
collaborateurs de l’entreprise ne fonctionne plus.
Lors d’une migration technique, en réponse à
une demande métier, pour résoudre un problème
ponctuel, la palette de solutions s’est ouverte :
client riche traditionnel Windows, poste Linux,
virtualisation de poste ou d’applications, client
léger, smartphone, tablette, Desktop-as-a-Service,
à chaque entreprise de choisir, de combiner, de
décliner les solutions selon ses besoins.
• l’utilisateur commercial fortement mobile qui doit
pouvoir se connecter de partout,
• le travailleur du savoir (knowledge worker) qui a besoin d’un poste bureautique riche et complet,
• l’utilisateur qui n’a besoin que d’une messagerie
électronique et de quelques logiciels métiers accessibles en mode distant,
• l’utilisateur technique qui exige un poste spécialement musclé aussi bien en matériel qu’en logiciel.
L’établissement de cette nomenclature basée sur les
usages est une étape préliminaire qui permettra par la
suite de réaliser les choix techniques adéquats.
Ce travail de segmentation a aussi fait évoluer la
notion de Master. Le Master inclut désormais une
famille de configuration, ou de combinatoires, et
non plus une configuration unique, par exemple en
proposant plusieurs couches modulaires « Nous
avons une couche de base ‘corporate’ qui comprend
la bureautique, les applications d’entreprise, les
paramètres de sécurité globaux ; une couche de
localisation par pays et des couches propres à
chaque service ou département. Aucune couche ne
peut altérer la sécurité de celles qui se trouvent en
dessous d’elle », témoigne un des intervenants.
La situation est bien résumée par un intervenant
qui souhaite « sortir du poste de travail traditionnel :
passer à une offre de services de postes de travail,
disponibles à tout moment, de partout, depuis tout
terminal. » Une démarche qui impose de rendre
les différentes couches du poste de travail aussi
indépendantes que possible, d’assurer la mobilité
des données avec une solution de type ‘box en
ligne’ pour faciliter le stockage et le partage, et
d’utiliser la virtualisation pour garantir un important
niveau d’élasticité.
Différencier les utilisateurs
pour différencier les services
Le Poste virtuel : bien ancré
dans le paysage
Aucune entreprise ne peut plus désormais
s’épargner une sérieuse analyse de sa population
d’utilisateurs ainsi qu’une segmentation selon les
usages et les besoins afin de mettre en place un
catalogue de services adapté. « Dans certains de
nos métiers où la consultation des documents
importe plus que leur modification, la tablette
s’avère suffisante pour une grande partie des
usages », témoigne un des intervenants. « Un
examen un peu poussé nous a montré qu’un
poste virtuel accessible depuis un terminal partagé
suffisait pour une partie de nos utilisateurs »,
confirme un autre. Le résultat de cette analyse des
usages varie bien entendu selon chaque entreprise
en fonction de ses activités : pas question de se
baser sur une typologie standard.
La richesse des retours en témoigne : le poste de
travail virtualisé sur un serveur (modèle VDI : Virtual
Desktop Infrastructure) a fait son entrée dans de
nombreuses structures où il a trouvé en quelques
années toute sa place. « Ce type de poste de travail
peut s’appliquer à 80 % des utilisateurs », considère
l’un des participants qui l’a mis en œuvre en réponse
à un problème ponctuel, mais compte en étendre le
champ d’utilisation. En effet, le VDI reste un moyen
pratique de résoudre des cas d’usage complexes ou
à la marge :
- éviter tout stockage de données en local,
- donner accès à plusieurs environnements nettement
isolés depuis un même poste,
- assurer un déploiement homogène des configurations sur un nombre important de postes disséminés,
- fournir un poste à un prestataire temporaire.
4
L’investissement initial est cependant plus élevé
qu’avec une infrastructure de postes de travail
classiques, puisqu’il faut des serveurs et du stockage
additionnels, de l’espace en salles machines,
ainsi qu’un réseau correctement dimensionné.
« L’investissement additionnel peut être de 15 à 20 %
affirme un intervenant. Mais dans un second temps, le
cycle de vie du parc s’allonge et passe de 4 ou 5 ans
à 10 ans ». Bien sûr, la gestion des périphériques reste
un vrai problème, qui s’avère parfois insurmontable
et impose de conserver quelques postes avec des
OS natifs. « D’un autre côté, monter un PRA pour les
postes de travail est bien plus facile une fois que vous
avez consolidé vos VM sur quelques serveurs qu’il
est aisé de dupliquer sur un deuxième site », constate
un intervenant.
Une telle migration s’inscrit forcément dans un
projet de longue haleine : choix des standards
ouverts dès 2004, wébisation massive des
applications, choix du mode client léger pour
l’accès à certaines applications ne pouvant pas
passer en mode Web. « La plus grosse adhérence
à surmonter a été l’abandon de la suite Office qui a
demandé une forte gestion du changement ».
Pourtant, le modèle économique global reste
problématique. « Le RoI du poste de travail virtuel
n’est pas évident à établir, les gains à court et même
à moyen terme n’apparaissent pas si évidents.
Même si on s’épargne les déploiements capillaires »,
témoigne un intervenant. « J’avais du mal à trouver
un argument économique convaincant, et ce qui l’a
finalement emporté a été la possibilité de mettre en
œuvre un plan de continuité d’activités automatisable
au niveau des postes de travail, ce que nous étions
jusque-là incapables de faire. Sans cet élément,
nous n’aurions jamais pu vendre le projet à notre
direction », assure un autre. Attention tout de même
« nous avons quelques applications qui demandent
plus de 30 Go de mémoire vive. Celles-là ne sont pas
éligibles à la virtualisation » ; par ailleurs, comme le
note un des intervenants, « Le VDI pose aussi des
problèmes de redimensionnement de réseau et de
datacenter ».
La Mobilité et le ByoD,
compagnons de route
Les questions que pose la mobilité n’étaient déjà pas
simples. Mais voici que mobilité et Bring-your-ownDevice – la possibilité donnée aux collaborateurs
de connecter leurs propres équipements au
système d’information de l’entreprise – paraissent
comme deux enjeux étroitement liés. Au point qu’il
faut les envisager ensemble. « Nous anticipons le
fait que l’accès en mobilité va prendre le pas sur
l’accès fixe, et que le ByoD deviendra une réalité à
plus ou moins long terme. Et enfin, on ne peut pas
offrir moins à nos collaborateurs qu’à nos clients,
pour lesquels nous avons déjà déployé des offres
mobiles », résume un participant. Tout se tient. La
mobilité se répand rapidement dans les usages
personnels, les utilisateurs veulent pouvoir utiliser
leurs terminaux privés pour se connecter au SI
de l’entreprise, et pas question de ne pas fournir
aux collaborateurs ce qu’on sait faire pour les
clients. Le ByoD suppose aussi un travail en amont
d’identification des populations et des services, le
5
L’Essentiel
« Nous avons migré 37 000 postes sous Linux et
comptons en avoir à terme 72 000 », témoigne l’un
des intervenants. La démarche est rare, presque
unique, mais pas impossible. La migration ne sera
cependant pas totale : certains postes Windows
vont perdurer, faute de moyen de s’en passer,
pour des applications spécifiques en particulier.
Les gains d’une telle démarche ont été doubles
dans le cas évoqué. Des économies de licences
significatives ont d’abord été obtenues, mais de
façon tout aussi significative, cette migration a
été l’occasion de refondre entièrement le modèle
de déploiement et de télé-administration. « Cette
opération nous a permis de réduire de 40 % le
TCO de nos postes de travail, et de limiter les
interventions de techniciens sur sites. Notre seul
coût résiduel, c’est désormais l’équipe technique
en charge de la maintenance ».
CRiP Thématique : ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain
Le poste Linux
Mais la solution VDI présente aussi des avantages
qui incitent à la déployer pour des usages plus
courants : gestion centralisée des politiques de
sécurité, maintenance à distance simplifiée qui
limite les interventions sur site aux seules pannes
matérielles (elles-mêmes pouvant être prises en
charge directement par le fournisseur des matériels),
allongement du cycle de vie des terminaux,
simplification du déploiement pour les entreprises
ayant une implantation très disséminée, etc.
même que nous avons vu s’appliquer aux postes de
travail en général. « C’est particulièrement important
dans une démarche ByoD : quelle population
accepter et pour quels services sont les premières
questions, mais ensuite, il faut aussi se demander
quels modèles de matériel accepter, et quels sont
les risques associés ; par exemple le vol ou la perte
peuvent avoir des effets très différents selon le
type de services auxquels accède le terminal. Plus
généralement, dès que vous faites du ByoD, il y a
un problème de confidentialité et de sécurité ». Or,
ces questions ne sont pas purement techniques,
mais aussi contractuelles et réglementaires. Il est
par exemple à peu près impossible de proscrire
toute fuite de données dans les scénarios ByoD,
sauf à verrouiller lourdement les usages. « Il faut
donc fixer une règle du jeu au moyen d’une charte
adaptée car certains contournements techniques
sont toujours possibles » rappelle un intervenant.
La charte interdira par exemple l’utilisation de
services Cloud pour y stocker des données
d’entreprise. Il faut donc faire passer le principe
selon lequel : « ce n’est pas parce que vous pouvez
le faire que vous avez le droit de le faire ». Dans
la même logique, et toujours en ce qui concerne
Qui dit mobilité et ByoD dit aussi, de façon quasi
obligatoire, le recours à un outil de MDM (Mobile
device management). Comme le soulignent
plusieurs intervenants, il existe de très nombreux
acteurs dans ce domaine, c’est une activité
jeune, avec des solutions qui diffèrent encore
largement, et des choix présentant des impacts
importants sur le périmètre fonctionnel de la
solution. « Nous buttons actuellement sur la
globalisation de notre solution de MDM par
difficulté à trouver un prestataire qui nous offre une
interface d’administration mondiale », témoigne un
participant. La mise en œuvre d’une solution MDM
suppose un processus en trois étapes. Il y a bien
sûr la partie technique qu’un PoC doit valider, mais
il ne faut négliger ni la définition des processus,
ni la formation des collaborateurs. Implémenter
un MDM, c’est d’abord travailler sur le processus
d’accompagnement.
United
Kingdom
Digital Technology & Innovation
Club des Responsables d’Infrastructures et de Production
24 rue Erlanger 75016 Paris - [email protected]
www.crip-asso.fr
En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le
présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP.
6
Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - www.anousdejouer.fr
le Bring-your-own-Device : « Nous avons limité le
nombre et le type d’appareils supportés », explique
un intervenant. ‘Apportez votre propre terminal’
ne signifie donc pas ‘apportez n’importe quel
terminal’.
d’Infrastructures
deProduction
Production
d’Infrastructure etetde
# 23
Novembre 2013
Big Data & Stockage
CRiP Thématique
Le Big Data
au service des métiers
16 octobre 2013
Vaste ensemble de technologies et de pratiques, le Big Data commence
à entrer dans les entreprises pour stocker, contrôler, exploiter et tirer le
meilleur parti de quantités de données très volumineuses. Les métiers
en sont les premiers bénéficiaires.
Le contexte
En quelques phrases
La conférence CRiP Thématique du 16 octobre 2013
Le Big Data a déjà suscité des déploiements ou
amorcé des projets chez un tiers des organisations
adhérentes au CRiP.
a été organisée par le Groupe de Big Data du CRIP,
et parrainée par Bruno Prevost, CTO (SAFRAN). Le
Groupe de Travail Big Data se réunit tous les mois
Le Big Data permet de réduire drastiquement la
durée de certains traitements lourds, et donc
de les effectuer à un rythme plus fréquent pour
disposer d’informations plus souvent actualisées.
La connaissance du client ou consommateur est
un champ d’application de prédilection du Big
Data, mais le stockage et la recherche constituent
aussi des terrains féconds.
pour échanger sur les évolutions en cours dans le
domaine des environnements liés au Very Large Data
Base et de leurs enjeux.
Cette journée reposait avant tout sur des retours
d’expériences avec les témoignages de Baker &
McKenzie, d’EDF, de la BNF, du CNES, de Mappy et
de SFR.
A cette occasion, Valère Dussaux (GCS D-SISIF), co-
Il n’est pas indispensable de disposer de budgets
importants pour lancer un projet Big Data :
il existe des briques Open Source fonctionnant sur
matériel banalisé.
pilote du Groupe de travail Big Data, et Bruno Prévost,
ont fait le point sur une première année de travaux et
ont présenté les grandes lignes d’un futur Livre blanc
Big Data prévu pour 2014.
Le Big Data impose de se doter de compétences
idoines, ou de former des équipes à de nouvelles
méthodes.
Ces analyses mettent en jeu la règle des 3V,
Volume, Vélocité et Variété. Il s’y ajoute un 4éme V
pour Valeur ajoutée.
7
2 - Vélocité
La vélocité représente à la fois la fréquence à laquelle les
données sont générées, capturées et partagées. Les données
arrivent par flux et doivent être analysées en temps réel pour
répondre aux besoins des processus chrono-sensibles.
Les systèmes mis en place par les entreprises doivent être
capables de traiter ces données avant qu’un nouveau cycle
de génération n’ait commencé. Autrement dit, elles doivent
effectuer du Data stream mining.
Les 4 ‘V’ :
1- le Volume
En ouverture de la journée, une synthèse de l’’enquête
‘benchmark’ Big Data du CRIP auquel une centaine
d’entreprises adhérentes ont répondu, a apporté un éclairage
nouveau : il apparaît que, pour un tiers d’entre elles, le Bigdata
a déjà été implanté ou est en phasee projet.
Un intervenant résume ainsi sa problématique : « Tous les
matins, nous étions en retard ; tous les 2 ans, en limite de
capacité ; et, dans les faits, la machine était saturée après
3 mois. Les montants à investir devenaient de plus en plus
élevés… et le pire était à venir. Depuis la mise en place de
cartes de compression de données à la volée et d’une machine
dédiée à ces traitements, fini les retards et un meilleur TCO ».
Un autre ajoute : « La loi de Moore est respectée pour la
puissance CPU, le stockage et les prix, mais pas pour le débit
des disques. Une solution est de passer au massivement
parallèle ». Résultat : des temps de traitement quotidien
pouvant durer 36h ramenés à 1h50.
Les orateurs ont pu constater des gains de 2 à 10 sur les temps
de traitement, bien en deçà de ce qui était annoncé par les
fournisseurs, mais justifiant pleinement le choix de la rupture
Extrait de l’enquête benchmark CRiP - index - Oct. 2013
Il est vrai que le Big Data s’impose progressivement du seul fait
que le stockage des données croit d’une façon exponentielle.
Selon une étude IDC, les données numériques créées dans le
monde seraient passées de 1,2 zettaoctets par an en 2010
à 1,8 zettaoctets en 2011, puis 2,8 zettaoctets en 2012 et
s’élèveront à 40 zettaoctets en 2020. Les réseaux sociaux
généreraient plusieurs dizaines de téraoctets de données
chaque jour.
Les projets scientifiques combinent à la puissance de calcul
des volumes de traitement gigantesques : le projet GAIA traité
par le CNES, qui consiste à créer une cartographie 3D de notre
proche galaxie, générera à terme 3 Po de données concernant
290 milliards d’objets avec 1000 connexions concurrentes à
la base.
technologique.
3 - Variété
Le volume des Very Large Data Base (VLDC) met les
entreprises devant un réel défi : la variété des données. Il
ne s’agit pas de données relationnelles traditionnelles, ces
données sont brutes, semi-structurées voire non structurées.
Ces données, d’origines diverses, sont au format web
(Web mining), texte (Text mining) et images (Image mining),
formats qui les rendent quasiment inexploitables avec des
outils traditionnels.
Les nombreux outils de collecte des données permettent
d’amasser toujours plus de données. Et les analyses sont
d’autant plus complexes qu’elles portent de plus en plus sur
les liens entre des données de nature différente.
Un autre projet conséquent proposé par un des intervenants
concerne la création d’une base de donnée documentaire
à partie de données non structurées extraites du Web: taille
actuelle 370 To, accroissement de 100 To annuel, accès
permanent à toutes les données collectées.
Variété et sa déclinaison: la véracité
La véracité des données est un autre élément important
pour maitriser les volumes et dépend de la raison d’être de
la base de données.
La question est de connaitre le seuil au-delà duquel il est
indispensable de passer au Big Data. Pour certains, c’est 5To
pour d’autres c’est 1,5To. Mais ce seuil physique n’est pas le
seul paramètre en prendre en compte. Le temps de traitement,
la nature et la structure des données, l’évolution à terme de
la taille des bases peuvent devenir prépondérants pour faire le
Un intervenant fait ce constat : quel est l’intérêt d’une base
de 60To si on ne sait pas de quoi elle est constituée et si
les données historiques n’ont plus de résonnance ? Un
autre a, au contraire, comme mission légale d’archiver des
documents de façon exhaustive sans se préoccuper de leur
contenu.
choix du traitement massivement parallèle.
La cohérence des logs doit permettre de vérifier que les
données sont suffisamment riches pour sortir des données
pertinentes.
8
4 -Valeur ajoutée
La valeur ajoutée est la grande justification du Big Data.
A travers les process du Big Data, c’est la certitude d’avoir
une connaissance approfondie de son modèle économique
en temps réel et d’optimiser son patrimoine ‘data’, de le
gérer finement, et surtout de permettre le repérage des
signaux faibles.
Peu de solutions pré-intégrées
L’analyse permet de stabiliser la base clients, d’anticiper
les zones de friction, d’augmenter le revenu moyen par
client, de trouver des relais de croissance sur des marchés
de niche, émergents ou de nouvelles habitudes et attentes
des consommateurs, et de créer un axe de différentiation et
d’anticipation concurrentiel.
L’Essentiel
Concernant la partie logicielle des solutions, une grande
partie de l’offre est aujourd’hui d’origine Open source, ce qui
induit des coûts d’acquisition initiaux faibles. Bien entendu,
les coûts de fonctionnements sont plus difficiles à déterminer
car liés à l’accès au support. Il faut aussi prendre en compte
les besoins de développements spécifiques liés à la faible
offre de solutions intégrées. Dernier poste de dépenses
soulevé : l’acquisition des compétences nécessaires à la
mise en œuvre du projet sur un marché extrêmement tendu
s’agissant des ressources humaines.
La législation sur les données personnelles impose qu’une
donnée collectée et stockée corresponde à un usage (voir le
volet juridique en p. 4).
Il existe encore peu de solutions intégrées. Il faut donc
s’attendre à beaucoup de développement spécifique.
Comme le résume un participant pour évoquer l’émergence
des solutions Big Data : « Il y a un syndrome poule et œuf :
pas de projet, pas d’écosystème… Mais cela s’améliore
nettement depuis deux ans ».
Un intervenant a eu pour mission de protéger sa base
clients en analysant les comportements d’usages et l’offre
du client afin de modéliser un score de probabilité du départ
du client en quasi temps réel.
Voici le process :
- les clients à risque sont identifiés et étudiés ;
- les outils de la gestion de campagne marketing sont
alimentés pour faire réduire le désabonnement ;
- le Next Touch Point (hot line, site Web, boutique…) est
déterminé afin d’éviter au client les parcours perdants.
Tout cela a été rendu possible grâce l’utilisation d’un
traitement des données en mode massivement parallèle qui
a apporté la capacité à:
• croiser des données de log afin de trouver les grandes
typologies de parcours ,
• traiter / monitorer en temps réel ces parcours types afin
d’influer positivement dessus,
• restituer dans l’ensemble des canaux le « parcours » à date
des clients.
Les coûts
Aujourd’hui, la rareté des déploiements opérationnels rend
l’analyse des coûts et le calcul du RoI des projets Big Data
difficiles à établir. Cependant, « les promesses de maîtrise
des coûts et d’amélioration des performances sont réelles,
en particulier dans les domaines de l’archivage actif et
de l’offloading applicatif », affirme un intervenant. Un
autre considère que l’utilisation de fermes de serveurs
banalisés permet de minimiser et de mutualiser les coûts
d’acquisition et d’exploitation des solutions Big Data. Les
retours d’expérience présentés montrent bien que la mise
en exploitation de solutions Big Data a pu se faire sur
des clusters de machines équipées de processeurs x86
d’entrée de gamme, parfois même sur des machines aux
performances jugées dépassées pour les applications
les plus exigeantes. Le Big Data ne requiert donc pas de
machines surpuissantes. Et, comme l’indique un participant
« vous pouvez investir sans arrière-pensée sur d’éventuelles
pertes, car le matériel pourra facilement être redéployé, et
peut aussi provenir de recyclage interne ».
Les points positifs
D’importants gains de vélocité dans certains traitements
doivent permettre de sortir de situations de saturation des
systèmes existants (par exemple en BI) ou de réaliser des
traitements beaucoup trop coûteux, jusqu’ici, en temps de
calcul.
C’est une technologie peu coûteuse à développer et
déployer, en infrastructures comme en logiciels, du fait
de l’existence de solutions Open Source fonctionnant sur
matériel x86 banalisé.
Le Big Data permet de s’affranchir des limites de taille des
bases de données, de traiter des contenus faiblement ou
pas structurés.
9
CRiP Thématique : Le Big Data au service des métiers
Voici quelques solutions mentionnées par les intervenants :
• Les solutions sont majoritairement d’origine Open source,
et notamment Hadoop (associé à Mapreduce), qui est
implanté dans un retour d’expérience sur trois, du fait de sa
forte capacité d’extension (scalability) en charge massive,
• Les SBA (Search Base Applications) ou moteurs
sémantiques, permettent, via une interface de type
Google, de chercher dans les logs de manière phonétique ;
elles disposent d’un dictionnaire intégré.
• Des cartes de compression de données à la volée
améliorent la vélocité à l’accès des données ; elles
permettent de faire de l’hybride.
Les métiers ne sont pas complètement matures sur l’usage
possible des datas ; il faut travailler en collaboration pour
améliorer les compétences.
Les technologies connexes sont une bonne opportunité
pour les services Production d’apporter des réponses aux
problématiques métiers et de se positionner en force de
propositions.
On constate une carence des profils du type « Data
Scientists » capables de collecter et exploiter au mieux
la masse des données disponibles pour en extraire des
résultats pertinents, sources de nouvelles activités.
Le Big Data n’est pas incompatible avec les solutions déjà
existantes et reste ouvert à des solutions hybrides.
Les points de vigilance et les freins
Le cadre légal est contraignant, comme la justification de la
finalité de la collecte des données, l’anonymisation, la durée
de rétention des données.
L’écosystème est encore peu structuré aussi bien du côté
des fournisseurs que des utilisateurs. Il y a donc un risque de
s’engager sur des solutions peu pérennes, ce qui ne facilite
l’argumentation d’un projet Big Data en interne.
L’architecture à mettre en œuvre tranche par sa nouveauté,
ce qui peut susciter des résistances au changement.
La dImEnsIOn juRIdIquE : un POInt sEnsIbLE
Avocat (cabinet Baker & McKenzie) ex-secrétaire général de
la CNIL, Yann Padova a évoqué le bon usage des données
personnelles dans ce contexte.
Big Data et règles d’utilisation des données personnelles
semblent antagonistes en de nombreux points.
En effet, le droit prévoit les principes de finalité des
traitements de données et de proportionnalité dans la
collecte des données personnelles :
• Les données personnelles doivent être collectées pour
des finalités explicites, légitimes et spécifiques.
• Elles ne doivent pas faire l’objet d’un traitement ultérieur
incomptable avec ces finalités.
• La proportionnalité ne permet pas de collecter plus de
données que nécessaire à l’usage.
• La durée stockage est limitée proportionnellement à
l’usage.
• Le consentement des personnes doit être libre, spécifique,
renseigné et non ambigu.
Il y a donc des risques juridiques dans les projets Big Data
de pratiques illégales. Alors que faire ?
• Anonymiser les données pour lever la contrainte de la loi
applicable aux données personnelles,
• Faire labéliser ses codes de conduite par les organes de
contrôle,
• Organiser le contrôle de leurs données par les personnes
concernées,
• Mettre en avant l’intérêt légitime du responsable de
traitement,
• La pseudonymisation enfin, consiste à « attribuer à une
personne un identifiant qui permettrait de la distinguer
dans un groupe statistique mais sans pouvoir la réidentifier en temps que personne physique »
United
Kingdom
www.crip-asso.fr
10
Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - www.anousdejouer.fr
Or, la raison d’être du Big Data est de collecter toutes les
sources d’informations pour permettre la recherche, le
croisement et la corrélation des données. Cette démarche
risque de ne pas respecter pas la notion de finalité ni celle
de proportionnalité : on récolte des données sans idée
claire de l’exploitation qui en sera faite par la suite.
d’Infrastructures
deProduction
Production
# 24
Janvier 2014
Cloud computing
Conférence CRiP Thématique
Les services IT dans le cloud
3 décembre 2013
Le Cloud computing est mature. Ses développements et implémentations
se caractérisent par la pertinence des services Iaas, PaaS ou encore
par l’avènement du Cloud hybride, entre Cloud privé et Cloud public.
Il reste encore des points à régler comme la sécurisation des données,
la responsabilité juridique ainsi que l’application du Cloud au PRA en vue
de sa continuité de service. Bref, l’expansion de solutions Cloud nécessite
encore une argumentation qui doit être soutenue par une communication
et une promotion en interne dans les entreprises.
Le contexte
En quelques phrases
Cette Conférence CRiP Thématique du 3 décembre
2013, parrainée par Romain Lahoche, directeur du
service ‘hosting’ d’Oxylane (Décathlon), a bénéficié de la
contribution du cabinet d’avocats Gérard Haas.
Cette journée était organisée par le Groupe de Travail
Cloud computing du CRiP* piloté par Stéphane Geissel
(SFR) et Stéphane Lafon (Sanofi). Elle a permis de faire un
point sur les avancées des solutions de Cloud computing,
et d’en comprendre les grandes tendances, tant en termes
de technologies que de services et de nouveaux usages.
A travers des témoignages issus de sociétés membres
du CRiP d’horizons très divers (compagnies d’assurance,
opérateurs télécoms, groupe pharmaceutique, chaînes de
distribution, portails d’e-commerce et géant de la publicité),
il a notamment été question de l’évolution des services
SaaS, Iaas et PaaS, de l’hybridation entre Cloud privé et
Cloud public, de la sécurisation des données sur le Cloud,
de la responsabilité juridique qui en découle et de la réalité
des engagements de continuité de service dans ces offres.
Cette journée a également donné lieu à une restitution d’un
benchmark CRIP Index intitulé «Cloud : quelle maturité du
SaaS, PaaS et IaaS».
• Le Cloud fait partie du changement. Même si ce
n’est qu’un moyen tactique.
• Les partenaires - « boosters de services » - sont
nécessairement sur le Cloud, co-acteurs de
co-innovation.
• On réussit seulement si on a essayé. Donc, il faut
lancer, tester, précéder la vague de l’innovation
– et ainsi ne pas changer de techno tous les 2 ans.
• Rapatriement, réversibilité ? Il faut vérifier la
capacité à ramener les services hébergés, ce
qui permet de gagner en agilité.
• Le Cloud fait disparaître les silos ou, du moins,
tend à les faire disparaître.
• Financièrement, on passe d’un modèle CAPEX
à un modèle OPEX (location de services).
• Le Cloud n’est pas nécessairement moins cher.
Mais les gains sont là si l’on s’attaque aux ETP
et PCA.
• Le Cloud coûte moins cher pour évolution.
En infrastructure, il ne fait rien gagner ou presque.
*Actif depuis 2009, le GT Cloud Computing a publié en juin 2013 son 4ème Livre
blanc (Aspects juridiques, ROI, achat de prestations Cloud, offres IaaS et tendances PaaS. Un 5ème Livre blanc est en préparation.
11
(par exemple, Salesforce). « A travers la mise en place d’un
Cloud public, il est intéressant d’apprendre, de ce modèle, la
migration vers un Cloud privé ».
Les freins à la mise en place
d’un Cloud hybride
La perspective du Cloud hybride est partagée par tous comme
intéressante et inéluctable. Mais un intervenant a recensé au
moins 7 freins à la mise en place d’un Cloud hybride :
• Réversibilité et migration
• Distance entre sites
• Transmission et sécurité des données
• Fiabilité et SLA
• Sécurité
• Conseils techniques
• Transparence
Enquête Benchmark CRIP Index Cloud : Les applications cibles du Cloud (oct. 2013)
Quel ROI sur le Cloud ?
Définition : le Cloud sous diverses
formes
Tout le monde a retenu que le Cloud fait passer d’un
modèle CAPEX (capital expenditure ou investissements en
immobilisations) à un modèle OPEX (operation expenditure ou
location de services). Mais le Cloud ne serait pas moins cher
pour autant...
Que recouvre aujourd’hui le terme Cloud computing. Plusieurs
formes de Cloud se confirment et un intervenant a tenu a
présenté un nouveau découpage possible, toujours révisable :
• Cloud privé : il a été développé pour une utilisation interne,
utilise des ressources internes et appartient à l’entreprise qui
l’utilise ;
« Des gains peuvent se vérifier surtout si l’on tend à diminuer les
ETP et si l’on développe des scénarios de continuité de service
(PCA) », constate le DSI d’une compagnie d’assurance.
•
Cloud dédié (privé) : il est hébergé avec des ressources
spécifiques ;
Le Cloud coûte moins cher dans une logique d’évolution. Mais
en infrastructure, il ne ferait rien gagner ou presque rien.
• Public : il est mutualisé ; le modèle standard appartenant à
l’hébergeur ;
Le modèle ‘pay as you use’ ne permet pas de construire
aisément un budget prévisionnel mais il a été constaté, par
un intervenant, une baisse significative des coûts concernant
l’application transférée sur le Cloud.
•S
ouverain : il est soutenu et financé par un Etat
•H
ybride : il ‘mixte’ toutes les formes de Cloud.
Un pilote du GT résume l’équation avec cette formule : « Il est
encore difficile de prouver que cela rapporte plus. Mais cela
coûterait plus cher de ne pas le faire !».
La distinction entre les formes de services est désormais
banalisée : SaaS (Software as a Service, ou application
disponible en ligne, sans module ‘client’ préinstallé), IaaS pour
les services d’Infrastructure, et PaaS, pour les plateformes de
développement.
Et que montre l’analyse des coûts ? « Les gains sont plutôt
positionnés sur les services PaaS. En revanche, sur l’IaaS, c’est
moins favorable sauf si l’on intègre tous les services. Auquel
cas, c’est identique. »
Un opérateur télécoms témoigne d’un choix possible du Cloud
public pour certaines applications SaaS. En revanche, il a
développé un Cloud interne pour des offres de type PaaS « car
beaucoup d’éditeurs proposent le service intégré ».
En pratique, il est vrai que chaque société a son propre mode
de fonctionnement.
Commentaire : « Le choix du cloud privé ou public est
directement dépendant de la criticité de l’application et du
type de données auxquelles elles donnent accès : moins c’est
critique, plus c’est ouvert au Cloud public ».
Avec le Cloud, constate un industriel, la facturation s’applique
à l’usage mais il reste les coûts de développement et de
fonctionnement du projet. Ces coûts du projet étant à la charge
de la DSI, seuls les coûts du ‘run’ sont facturés.
« Pour démarrer son Cloud privé, explique le CTO d’un grand
portail d’e-commerce, il ne faut pas hésiter à commencer petit
pour apprendre. C’est d’ailleurs une garantie d’agilité »
Pour une société d’assurance, les coûts sont affectés à la DSI
et les partenaires, les agents paient une redevance forfaitaire.
Le coût d’étude reste donc supporté par la SI.
Le Cloud privé présente un autre avantage : le rapatriement
de services utilisés ou développés sur des Clouds externes
Certaines grandes organisations constatent qu’il n’est pas
possible sinon difficile de chiffrer le coût des infras.
12
Cloud et PRA : la continuité
de service en question
L’actualité de l’année 2013 a été riche en matière de sécurité,
notamment suite aux révélations d’Edward Snowden, l’ex
-agent de l’organisation fédérale NSA.
« Tout le monde se doutait que les Américains avaient des
capacités d’écoute. Mais pas à ce point-là », relève un
intervenant.
On savait que le Patriot Act américain permettait de lire et
analyser les données des filiales américaines implantées dans
le monde, mais aussi leurs partenaires directs – ou toutes
sociétés ayant travaillé avec des sociétés américaines, surtout
si elles disposent de filiales aux Etats-Unis.
Une compagnie d’assurance témoigne sur le choix d’un ‘back
up’ de certaines de ses données chez un fournisseur, un
géant du hosting, avec des connexions Internet sécurisées. Le
contrat prévoit que l’entreprise n’affecte pas de personnel par
exemple pour les mises à jour des ‘firewalls’ : la mission est
confiée au provider du service qui en la responsabilité juridique
et l’expertise.
Un autre hébergeur est venu expliquer comment il est
possible de préparer son PRA et avec quelles précautions. Il
recommande tout d’abord de hiérarchiser la criticité des VM
(machines virtuelles) afin de cerner celles qui sont stratégiques,
indispensables pour le business de l’entreprise.
L’Essentiel
Sécurité et géopolitique
A partir de là, il convient de fixer un RTO (délai de retour en
fonctionnement) et un RPO (le volume d’informations non
disponibles ou perdues que l’entreprise peut supporter). Si l’on
veut un RPO court, cela implique une réplication des données
en mode quasi synchrone. Une exigence qui va dépendre du
secteur d’activité et du métier.
En Europe, certains projets informatiques orientés Cloud ont
été annulés à cause de ces nouvelles objections de sûreté
soulevées par cette affaire – qui a suivi celle de WikiLeaks
(Julian Assange, informé par Bradley Manning).
Ce contexte américain légitime et booste un peu plus le
développement du Cloud souverain – à savoir Numergy et
Cloudwatt en France.
Certains Etats, dont la Suisse, investissent aussi dans le Cloud
souverain avec la volonté d’une sécurisation des données
notamment dans les domaines de la défense et du secteur
bancaire.
La distance entre sites constitue un autre critère important, qui,
là encore, dépend souvent des contraintes métier.
Enfin, un PRA peut être institué entre deux ‘providers’: il n’est
plus utile de reposer sur un datacentre pour le secours : le
backup est confié au provider.
La configuration dite ‘Cookbook’, autour d’un Cloud «triplehybride», a également été évoquée.
Les données sur le Cloud :
des clauses contractuelles
La récente enquête Benchmark index du CRiP sur le Cloud
montre que 63% des répondants considèrent le manque de
sécurité comme un frein.
Un géant de la distribution a témoigné sur le recours ou non aux
outils du prestataire.
« La supervision repose sur un outil interne (Nagios) qui
récupère les données fournies par l’hébergeur. Charge à nous
de traiter et analyser ces données. En revanche, pour le backup et le provisioning, nous nous en remettons aux outils de
l’hébergeur ».
Les données vitales ne sont pas censées sortir de l’entreprise.
Or il faut rappeler que les risques de fuites sont à 90% en
interne. Cloud ou pas, la sécurité reste une problématique
transversale. Il faut faire confiance aux experts sécurité,
témoigne un CTO, car ils savent peser les risques et proposent
les bonnes pratiques à appliquer sur le Cloud.
A terme, cependant, pour devenir plus indépendants de son
hébergeur, et pour assurer la continuité de service au meilleur
prix, cette entreprise prévoit de faire appel à des ‘brokers’
de cloud, dès lors qu’ils commencent à apparaître. Cela
supposera, il est vrai, de disposer d’interfaces (API) multiples,
plus ou moins spécifiques, selon les brokers.
Les risques d’atteinte à l’image de marque font que l’on ne
confie pas ses données à un éditeur ou à un opérateur qui ont
rencontré des problèmes de réputation.
De l’importance de la promo
et de la communication interne…
Aujourd’hui, un contrat de droit français signé avec un provider
l’oblige à stocker et sauvegarder les données personnelles ou
critiques uniquement en Europe.
Une compagnie d’assurance a fait le bilan d’un projet pilote
orienté PaaS. Selon son responsable, les clés du succès sont
dans la bonne communication auprès des utilisateurs cibles :
il faut baptiser le projet, lui donner un logo, le communiquer à
tous, etc. Il faut impliquer le top management dès le démarrage
et sur toute la durée du projet, sans oublier les CFO dès
l’établissement du cahier des charges. Le catalogue doit être
lisible, simple et orienté métiers. Les contraintes métiers doivent
être bien comprises par l’IT.
Le cabinet d’avocats présent a observé qu’il n’était pas
toujours possible de négocier les clauses juridiques des
contrats avec des opérateurs étrangers. En conséquence, il est
de la responsabilité du donneur d’ordres de mettre en place
les mesures de sécurité indispensables (cf. l’encadré en p. 4).
13
Conférence CRiP Thématique : Les services IT dans le cloud.
Avec ses propres outils
ou ceux du prestataire ?
Enfin, il faut se garder de mettre en route trop de fonctionnalités
ou services en même temps. Donc mieux vaut déployer
les services au fur et à mesure, en fonction des besoins des
métiers.
Les BU insatisfaites vont plus facilement accepter de migrer sur
le Cloud pour résoudre leurs problèmes – quitte à assumer un
risque de dysfonctionnement dès le départ.
Le passage au Cloud est également bienvenu lors d’une
migration vers de nouvelles versions logicielles ou nouvelles
générations d’applications.
Interne contre externe ?
Un faux débat
Mais il faudra des gains en performances, en
fonctionnalités et en ergonomie.
« Le Cloud n’est pas une rupture technologique pour la DSI,
mais c’est un challenge pour les départements financier,
juridique et pour les métiers », constate un intervenant.
Dans tous les cas de figure, mieux vaut bien négocier
le contrat SLA (Service level agreement), que surtout
il ne soit pas en deça du standard existant dans l’entreprise.
Ce n’est pas seulement un projet technique IT :
« Le Cloud, c’est certes de la technique, mais ce ne doit pas
être une contrainte car c’est surtout l’occasion de s’imprégner
des attentes des métiers ».
Vers un réel ‘delivery’
avec catalogue de services
Un autre intervenant, dont l’organisation a renoncé à Exchange
pour une messagerie sur le Cloud public (Amazone), souligne :
« L’innovation étant dans les gènes de l’entreprise, les salariés
sont très favorables au changement ».
Avec le Cloud comme ailleurs, l’automatisation des processus
reste une opération délicate à mener. « Mais progressivement,
tout rentre dans l’ordre et les bonnes habitudes reprennent
le dessus», constate un CTO. Les équipes d’infra et les
développeurs doivent coopérer de façon optimale. Au bilan,
force est d’admettre que la migration vers le Cloud est une
mission peu aisée «parce qu’il faut d’abord documenter (d‘où
la nécessité d’un référentiel CMDB), sécuriser, standardiser et
homogénéiser, automatiser… ».
Un autre témoin ajoute : « On attend de la DSI qu’elle opère
ou encadre au mieux les services, qu’ils soient en interne ou
en externe. Donc elle est responsable du bon fonctionnement,
sachant que les choix vont au plus facile et au plus rapide.
Ce n’est pas un match interne contre externe ».
La seule définition du Cloud a son importance :
« C’est un mode de traitement de données d’un
client dont l’exploitation est faite par Internet sous la
forme de services fournis par un prestataire ».
Plusieurs témoignages ont convergé sur la nécessité
d’affermir son expertise juridique, s’agissant des
contrats Cloud. Il ne s’agit pas seulement de se
rassurer sur les risques mais être en conformité
avec la réglementation, par exemple sur le pays
où les données vont être stockées, et dans quelles
conditions.
Dans tous les cas, mieux vaut anticiper : « Il est
toujours plus facile de gérer un litige potentiel ou une
sortie de contrat avant qu’après », a expliqué Gérard
Haas, avocat spécialisé dans la sécurité des SI.
De même, il est préférable de négocier les clauses de
pénalités dès le départ.
Autre point important : la responsabilité concernant
les données personnelles, il faut notamment vérifier
que le prestataire respecte les dispositions légales.
Cette vérification va jusqu’à la programmation des
audits de contrôle.
United
Kingdom
www.crip-asso.fr
14
Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr
NE Pas sous-EstImER La dImENsIoN juRIdIquE
d’Infrastructures
deProduction
Production
# 25
Mars 2014
Outillage Production
CRiP Thématique
Supervision, Orchestration,
Automatisation, CMDB, ITSM et ITIL
pour fluidifier la Production IT
21 janvier 2014
La Production IT s’appuie sur une kyrielle d’outils permettant d’optimiser le
‘run’, jusqu’à l’automatisation. Les solutions de supervision et d’orchestration
gagnent en efficacité. Sous l’influence du Cloud computing, les solutions ITSM
gagnent en légitimité. Les bases CMDB, de suivi des changements, toujours
plus justifiées, nécessitent d’être actives. Il faut rapprocher la gestion des
process et l’opérationnel. Dans ce contexte, le principe d’une gouvernance
pour l’IT est acquis, sans être la panacée.
Le contexte
En quelques phrases
La conférence Thématique « Supervision, Orchestration,
Automatisation et Méthodologie ITIL », du 21 janvier
2014 au Pavillon Dauphine à Paris était parrainée par
Patrick Chauvin, responsable Gouvernance & Process
(CA-CIB).
La matinée était dédiée à la supervision de
l’infrastructure IT et des applications métiers, avec
le témoignage de deux grands comptes (assurance
et hyper-marché) et d’un leader du prêt-à-porter.
Des solutions souvent Open source ou mixant des
offres commerciales, jusqu’au capacity planning.
L’après-midi concer nait l’automatisation et
l’orchestration : un groupe automobile, qui automatise
le traitement des incidents, et un opérateur télécoms
qui traite les alarmes via un flow d’orchestration
générique. Deux autres témoignages - déploiement
ITSM, avec ITIL, et revitalisation d’une base référentielle
CMDB - ont retenu l’attention.
Les Groupes de travail ITIL, AutomatisationOrchestration et Supervision du CRiP ont complété,
notamment sur le ‘catalogue de services ».
• La prolifération des VM, la poussée du Cloud
Computing remodèlent les process et le ‘delivery’
des services IT.
• Les silos, cloisonnant, par exemple, ‘computing’
et stockage, tombent.
• L’automatisation de l’exploitation s’impose vite.
• Les nouveaux orchestrateurs ou des gestionnaires
de process du type ITSM changent la donne.
Les solutions de pilotage et de monitoring, dans
et hors de la CMDB, s’affirment.
• Mais l’outillage ne va pas tout résoudre.
Un catalogue de services, par exemple, impose
au préalable une organisation claire.
• Priorité à la méthode : les objectifs et le périmètre
doivent être bien définis.
• Un outil ITSM, inspiré d’ITIL ou non, doit rallier
d’abord la DSI et anticiper la difficulté du
changement.
• Les retombées positives sont multiples : reporting
sur la qualité, suivi du ‘service desk’ en temps
réel, etc.
15
1
Supervision de l’infra IT : l’option
« hybride » (Open source et autre)
Le contexte de la Production IT a beaucoup changé
ces 4 dernières années. La virtualisation des systèmes
(serveurs, stockage, réseau…), la poussée du Cloud
computing –y compris le Cloud privé - ont changé les
modes opératoires. Ils ont entraîné la multiplication des
objets à suivre et à gérer au quotidien, en provisioning,
maintenance, mise à jour, dépannage, surveillance…
L’un des témoignages de la matinée présentait le cas
d’une supervision d‘équipements réseau, téléphonie et
énergie au sein d’une grande mutuelle d’assurance.
Il s’agit de contrôler deux salles informatiques réunies
en un datacentre et du réseau desservant les agences
de la mutuelle en France, via des plateformes régionales
connectées à haut débit. Deux opérateurs (Orange et
Completel) assurent la continuité de service, y compris
sur le réseau connectant les partenaires.
Les modalités de fourniture des services IT ont
également beaucoup changé. Ils sont de plus en plus
soumis à des engagements de qualité, d’agilité ou
rapidité de mise à disposition, ou encore liés, réellement
ou potentiellement, à une refacturation.
Tous les éléments actifs des agences et plateformes
sont supervisés. Jusque là, l’outil Whatsup Gold
permettait juste de savoir si la connexion était tombée
ou non. Il devenait critique d’améliorer la réactivité des
équipes IT en suivant, en temps réel, les incidents, et
sans surcoût important. C’est l’outil Open source Nagios
qui a été retenu pour la collecte des informations, et,
en sur-couche, Centreon comme configurateur web.
Pour la partie visualisation sur les écrans, c’est l’offre
commerciale NDS qui a été choisie.
Dans ce contexte, de nombreux outils des années 90
et même 2000 se révèlent obsolètes. Cette journée a
permis de vérifier, à travers des témoignages, comment
des outils ITSM, associés à des processus ITIL, peuvent
accompagner et faciliter ces transformations de l’IT. Ou
comment un système orchestrateur permet de ne pas
se laisser déborder par la prolifération des alertes.
D’autres cas d’entreprise ont montré que les solutions
de supervision ou d’orchestration nécessitent des
prérequis incontournables, dont la nécessité de bien
définir les objectifs et le périmètre de la solution. Enfin,
un voire plusieurs sponsors doivent être mobilisés au
sein de l’organisation.
Avec la nouvelle plateforme, en place depuis fin 2012,
chaque équipe technique dispose désormais de 8
écrans, avec, parfois un écran physique pour 2 ‘vues
’ – avec report possible sur des tablettes.
Le dispositif supervise le coeur de réseau et les réseaux
régionaux, le coeur de réseau avec la commutation
vers les serveurs, le siège et son extension, les services
réseaux, les liaisons vers les partenaires et les accès
Internet, les agences et les sites annexes (près de
600 nœuds). Un 8ème écran apporte la visualisation
des équipements de téléphonie et de l’environnement
(énergie, onduleurs, hygrométrie, températures) .
5 enjeux majeurs pour fluidifier
la Production IT
En introduction, Patrick Chauvin (CA-CIB) a résumé 5
enjeux majeurs :
1 - améliorer les process, notamment ceux du support.
La Production IT se doit d’innover, par exemple,
autour d’un catalogue de services ; elle doit pouvoir
facturer ses prestations ;
Il s’agit donc bien d’une supervision complète à travers
des vues « maps » en temps réel, y compris la connexion
sur les caméras de vidéosurveillance.
2 - coopérer avec les métiers ;
Supervision des infras IT et
des applications métier
3 - choisir les bons outils, bien gérer les ruptures
technologiques ; il faut savoir « vendre » les solutions
retenues, en justifier le ROI, en assurer la bonne
‘urbanisation’, pouvoir les raccorder aux portails déjà
en place, etc ;
Un autre témoignage, celui d’un leader du prêt-àporter, présentait le cas d’une vision centralisée de
l’ensemble de l’administration des systèmes, répartis
sur 3 datacentres dans le monde (Etats-Unis, Europe,
Asie), soit 250 applications. Ici, le choix s’est également
orienté vers une solution Centreon.
4 - traiter les demandes de bout en bout, avec le bon
commissionnement de l’environnement (système,
logiciel) ;
Vu l’ambition du projet –suivre en temps réel les pannes
et incidents sur cette infra globale, le bilan s’avère
aujourd’hui mitigé : certes, le nombre d’outils a été
restreint à une vision centralisée, d’où une configuration
homogène, donc relativement peu complexe. Mais,
de ce fait, il manque la couverture des plateformes
‘middleware’.
5 - déterminer les cas d’usage et savoir les superposer
selon une urbanisation pertinente. La réponse ne vient
généralement pas des éditeurs et l’accumulation ou
la juxtaposition d’outils n’est pas un objectif. Il faut
construire une architecture en fonction d’un ou
plusieurs systèmes d’information cibles.
2
16
« On nous reconnait une bonne réactivité quand des
incidents, avec rupture de service, surviennent. Mais
nous avions une difficulté à les anticiper », explique un
responsable en charge de ce projet innovant.
On comprend que ce déploiement a nécessité de
redéfinir tous les process et la qualification des incidents.
Avant d’investir sur de nouveaux outils, il a été décidé
de mieux détaillé la définition et le suivi des process,
notamment pour la gestion des niveaux de services
(SLA). Plusieurs niveaux d’intervention sont à considérer:
services d’exploitation, processus, organisation et choix
des technologies et des outils.
Pour commencer, ce sont les environnements de tests,
sur machines virtualisées, qui ont été ciblés, avant un
élargissement à toutes les plateformes virtualisées de la
Production IT.
« Le but était d’anticiper les ajustements de ressources
nécessaires, en adéquation avec les besoins réels et
pour améliorer le ‘cash back’ », commente ce même
chef de projet.
Les rôles et les responsabilités doivent être clairement
définis, avec des niveaux de compétence adéquats. Il
est important que la Production IT soit bien présente
dans les instances de décisions, qu’elle ait une bonne
connaissance du métier et qu’elle puisse être impliquée
en amont dans les projets applicatifs.
L’Essentiel
Une vue consolidée de l’ensemble devient nécessaire.
L’une des difficultés évoquées est de savoir où
positionner les équipes, et de déterminer ce qui peut
être externalisé ou non, afin de conserver la maîtrise des
solutions.
L’outillage lui-même a été installé sur un portail en
4 heures, reposant sur une plateforme VMware.
Il ne nécessite pas d’installer des ’agents’ sur les
équipements. Toutes les données de supervision
entrantes sont fournies et alimentent la gestion de
capacité. Chaque matériel entrant dispose d’un
référentiel. « Il est important d’injecter le référentiel dans
la complétude de la mise en œuvre du projet », souligne
le responsable.
L’hypothèse d’une automatisation partielle de certaines
procédures est retenue, « même si dans 80 % des cas,
une analyse restera à faire ».
Ce projet n’a pas souffert de dissensions ni de tensions,
toujours possibles dans le relationnel entre les Etudes, la
Production et les métiers. Ces derniers ont toujours été
les interlocuteurs prioritaires. Les équipes ont participé à
tous les comités ‘projet’. Tous les investissements infra
(CAPEX) ont bien été intégrés dans les projets. C’est le
chef de projet qui fait le choix d’investir dans l’infra ou
non. Chaque initiative métier a une vue complète sur ses
investissements et sur le ou les arbitrages à faire.
Toutes les personnes concernées par cette supervision
disposent du même outil, sur un même portail. Les
jauges, avec indicateurs verts, rouges, renvoient aux
ressources CPU, mémoire, quantité de serveurs virtuels.
Le résultat est là : les 25 datastores utilisés affichaient
un taux d’allocations supérieur à 85%. « Cela nous
donne une prévision sur 5 à 6 volumes risquant d’être
saturés, deux à trois mois à l’avance. Cela évite des
surinvestissements inutiles. Il se confirme que les
réserves de capacité de volumes disques sont encore
très importantes ».
Témoignage sur le ‘capacity planning’
adapté aux infrastructures SI.
Beaucoup de CTO rêvent, à juste titre, d’étendre leur
visibilité de l’IT jusqu’à une gestion prévisionnelle des
ressources. C’est tout l’enjeu d’une solution originale de
capacity planning, présentée par un géant de la grande
distribution.
« L’essentiel, au-delà du projet technique, c’est de
développer une culture, en incluant l’ensemble des
acteurs. Chacun doit avoir une vue sur les données
techno des autres acteurs », conclut le responsable du
projet.
Ce dernier dispose de près de 2000 serveurs, multiplateformes (Intel, Windows, Unix et IBM iSeries, ex AS
400). La volumétrie des data sur disques est plus que
consistante : 1,4 péta-octets sur des configurations
SAN/NAS.
Les outils de supervision les plus utilisés.
Source : enquête Benchmark Crip Index, nov-déc. 2013.
17
CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT
Pour la mise en œuvre, le processus a été défini en
s’inspirant d’ITIL. L’outil choisi est Know and Decide.
Le projet a été conduit, sur un an, par les managers
opérationnels et un spécialiste certifié ITIL.
Le témoignage d’une grande mutuelle ‘santé’ a permis
d’apprendre comment gérer au plus près la croissance
constante des ressources informatiques (environ 300
nouveaux serveurs par an sur un parc qui en compte
1.600), en raison d’opérations de fusion/consolidation.
« Il ne s’agit pas de créer un nouveau référentiel, mais
d’assurer une construction dynamique, permettant
d’agréger l’ensemble des composants et de détecter
leurs interactions », explique le responsable architecture
SI de cette mutuelle Santé.
Pour rappel, le secteur de la Santé se voit imposer des
obligations réglementaires sur les données personnelles,
médicales, etc.
D’où la « nécessité d’un schéma de positionnement
entre CMDB, SKMS et orchestration ».
Quelle démarche adopter ?
Démarrer un solution d’orchestration
« Il convient de bien définir l’architecture globale des
systèmes et des applications (choix de SOA), en
positionnant bien les technologies au bon niveau dans
le schéma directeur, avec le bon budget pour mener à
bien les projets les plus critiques ».
La troisième priorité vise, précisément à démarrer une
solution d’orchestration, l’objectif étant d’abaisser les
coûts « pas forcément là où on l’on croyait ». Il s’agit
notamment de faciliter les opérations de changement.
Calendrier des actions :
Les grandes orientations convergent vers la
virtualisation des serveurs (logiciel Postgre), l’innovation
technologique (Big data) et de premières initiatives
de Cloud computing. .
Pour l’optimisation continue de la production, le
choix des produits est important mais il y a aussi
l’organisation. L’architecture opérationnelle doit être bien
pensée. Le défi, c’est la bonne coordination de toutes
les applications avec les métiers.
« Les projets SI ne suffisent plus à moderniser le SI,
il faut identifier d’autres projets techniques connexes,
orientés vers les nouveaux usages ».
En résumé : il faut se concentrer sur une « trajectoire
d’architecture unique », sur la maîtrise des objets de
production, puis sur l’automatisation (orchestration,
capacity planning, analyse prédictive…).
De la nécessité d’une CMDB et du SKMS
Le deuxième axe retenu ici concerne la nécessité de faire
vivre une base référentielle du type CMDB , associée à
un SKMS (service knowledge management system, ou
système de gestion de connaissances des services).
La structuration des projets de supervision, orchestration jusqu’au capacity planing et déploiement automatisé
4
18
L’Essentiel
Tout le SI ne figure pas dans ce dispositif. C’est une
approche ‘bottom-up’, un moteur de règles fonctionnant
comme un référentiel « esclave » : les données fournies
doivent être exactes.
Conférence CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT
L’optimisation de la Production IT
grâce à une CMDB et au SKMS
Deux cas d’automatisation :
incidents et alarmes
Ordonnanceur versus orchestrateur
Enfin, une recommandation à retenir : l’accès à
l’orchestrateur doit être sous contrôle. «L’ordonnanceur
ne fait que soumettre des travaux tandis que
l’orchestrateur les gère. Ce sont deux mondes différents.
Si l’on facilite l’accès à l’orchestrateur, il y a un risque de
dérive de l’outil».
Organisation centralisée ou décentralisée de
l’automatisation? Deux cas de figure ont été présentés,
l’un centralisé pour l’automatisation de la gestion des
incidents ; l’autre, décentralisé, pour les alarmes.
Automatisation de la gestion des incidents :
Bien choisir et implémenter
un outil ITSM
Un grand compte du secteur automobile a présenté une
organisation décentralisée permettant d’automatiser le
traitement des incidents répétitifs.
Une filiale d’ingénierie d’un géant de l’énergie a témoigné
sur son choix en faveur d’un outil ITSM. Deux solutions
ont été retenues en ‘short list’ : Easyvista et Frontrange.
C’est la deuxième qui a été sélectionnée parce qu’elle a
impressionné par son intégration dans un vaste ensemble
de solutions (non demandées, en fait…).
L’automatisation existe depuis longtemps, en fait, a
expliqué un responsable du groupe. Le problème,
ce sont les ‘scripts’, le codage et les nombreux silos
techniques.
L’orchestrateur est constitué de milliers de briques qui
agissent sur les processus pour les automatiser. Chaque
brique fait l’objet d’un paramétrage. Cela impacte tout
un ensemble de composants informatiques.
Le déploiement a été effectué, avec l’aide d’un
prestataire, sur le modèle des process ITIL : gestion
des incidents, portail utilisateurs pour les changements,
activation de la base référentielle CMDB, capacity
planning et self care.
« Dans un « flow », il y a 80 %de connaissances métier
et 20 % de technique orchestration », constate le
responsable de la solution. Il reste toujours possible au
pupitreur d’intervenir manuellement.
Parmi les résultats obtenus figure le reporting automatique
d’activités et des tickets. Certains mécanismes se sont
montrés difficiles à utiliser. «Ce fut plus long à mettre en
place que prévu. Il a fallu rajouter des guides d’usage
postérieurement à la mise en production », constate le
manager du projet.
Les applications sont diverses :
- provisionning : arrêter et relancer de façon contrôlée la
bonne marche des applications ;
- contrôle, maintenance : résolution d’incidents, analyse
automatique du taux d’utilisation des ressources et
détection d’agents de contrôle disponibles.
Il reste que le nombre de tableaux obtenus est vaste. Et
l’outil s’intègre bien dans les process ITIL.
Automatisation du traitement des alarmes :
Les gains à venir concernent une gestion proactive des
problèmes, la gestion des éléments de configuration,
une bonne visibilité managériale sur l’ensemble de la
DSI, une vision efficace du planning des changements.
Deuxième cas, chez un grand opérateur télécoms,
cette fois : un flow d’orchestration générique pour le
traitement d’alarmes.
L’apport d’une CMDB
dans la production IT
Le parc cible concerne 15.000 serveurs (dont 75%
virtualisés), sur un périmètre total de 30.000. Initialement,
il s’agissait d’orchestrer la supervision des VM.
L’orchestrateur pilote le process de ‘server automation’
et de ‘network automation’
Pour clore la journée, le témoignage très pertinent d’une
compagnie d’assurances a permis de réactualiser
la nécessité et les multiples avantages d’une base
référentielle CMDB (Configuration management data
base) – à condition qu’elle soit réellement « vivante ».
L’organisation retenue ici est décentralisée : tous les
administrateurs ‘systèmes’ peuvent potentiellement
développer des automates propres à leur métier. Un
seul chef de projet, contre deux auparavant, gère la
supervision et l’orchestration. Les outils de supervision
ont, en effet, été intégrés.
Pour rappel, c’est la base de données qui contient tous
les éléments de configuration IT reliés entre eux (services
métiers,..). Elle donne la dimension opérationnelle
d’analyse d’impact, une représentation graphique des
services métier, le comptage des composants logiciels
et la possibilité d’interroger le modèle et d’en extraire
des données.
Deux scénarios sont programmés: acquittement ou
escalade. L’orchestrateur est lancé pour chaque alarme,
même si la même alarme revient de façon récurrente. Il
n’y a pas (encore) de corrélation. La phase 1 reste donc
manuelle.
En pratique, le dispositif repose sur la réconciliation
entre deux bases : l’une interne et et l’autre externe.
Un premier outil découvre automatiquement, filtre et
synchronise des données réunies (Dataset ADDM).
C’est un process ‘top- down’.
Le plus important est de neutraliser les alarmes inutiles
ou fausses alarmes.
Les contraintes de traçabilité sont respectées. Toutes
les alarmes sont vues par l’orchestrateur.
5
19
Les étapes clés sont l’identification des éléments,
le contrôle et la gestion de la fiabilité de l’ensemble
– devant permettre l’extraction et la publication des
informations de configuration utiles. Le démarrage
d’un outil de BUILD est en cours (avec fusion de la
CMDB et des processus ITSM).
Cette CMDB ne contient que des données techniques
(et non pas métier).
« Le challenge, c’est d’en faire un référentiel incontournable »
Parmi les leçons à tirer, il est conseillé d’utiliser
strictement le modèle proposé par l’outil : «L’ajout
d’utilisations hors du standard peut compromettre
le modèle» - s’agissant notamment de la maîtrise de
coûts…
Elle s’inscrit dans une démarche applicative : tout
changement technique, dûment notifié, implique une
analyse d’impact.
L’alimentation de la CMDB est automatique.
L’identification s’effectue avec les référents techniques.
Des règles de sécurité et de confinement sont à
respecter.
AveC L’AIde d’ITIL
Analyse de coûts, qui a permis de faire le point sur
les moyens nécessaires pour fournir tel ou tel service,
ou de constater, par exemple, que lorsqu’un coût
n’apparait pas dans le RUN, il est important qu’il soit
notifié quelque part et payé ou facturable.
Les prochains thèmes concernent l’amélioration des
pilotages des opérations informatiques, la relation
client (BRM/SLM), le déploiement de nouveaux
processus.
United
Kingdom
www.crip-asso.fr
20
Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr
Le groupe de travail ITIL du CRIP, piloté par Eric
Bouvet (Arkema) et Lionel Rolland (GDF–Suez) ont
résumé leurs avancées sur la gestion intégrée des
relations avec les métiers, la gestion des demandes
et la coordination ‘design’ coordination. Les travaux
les plus récents ont porté sur le Catalogue de
services et de facturation. Certaines organisations
refacturent, d’autres non.
Une réunion commune a été tenue avec le GT
d’Infrastructures
deProduction
Production
# 26
Avril 2014
Sécurité
CRiP Thématique
Cybercriminalité, cybersécurité et
réglementation, SOC, gestion de la sécurité
opérationnelle, sécurité dans les projets
du 19 mars 2014
L’état des menaces impose plus que jamais aux organisations de gagner en
maturité dans la sécurisation de leurs SI. Il faut industrialiser les dispositifs de
sécurité et adopter une approche processus de la sécurité opérationnelle.
SOC, gestion des vulnérabilités, gestion des comptes à privilèges, sécurité
dans les projets sont autant de leviers pour améliorer la sécurité des SI.
Le contexte
En quelques phrases
Cette conférence CRiP Thématique a été organisée
par le Groupe de Travail Sécurité du CRiP piloté par
Thierry Manciot, RSSI SFR, et Jean-Pierre Blanc, RSI
Bouygues Télécom, avec le parrainage de Brigitte
Declerck, Responsable du pôle Production & Sécurité
de la DSI des fédérations AGIRC ARRCO. Un point
a été fait sur les tendances du moment en matière
de menaces et de sécurité des SI. L’ANSSI (Agence
Nationale de la Sécurité des Systèmes d’Information),
la BEFTI (Brigade d’Enquête sur les Fraudes aux
Technologies de l’Information, de la Direction Régionale
de la Police Judiciaire de Paris), l’OWASP (Open Web
Application Project) et le CLUSIF (Club de la Sécurité
de l’Information Français) ont dressé un état des
menaces.
Des spécialistes sécurité de SFR, Safran, Bouygues
Télécom et Generali ont apporté un éclairage sur
certains aspects de la sécurité des SI, tandis que le
GT Sécurité du CRiP a présenté une synthèse de ses
travaux. La journée a été ponctuée de deux tables
rondes réunissant les intervenants.
• Le paysage actuel de la sécurité des SI est marqué
par une augmentation générale très vive des
attaques et de leurs impacts, en particulier des
attaques ciblées et des attaques métier.
• La cybercriminalité galopante pousse les
organisations à industrialiser leurs dispositifs
de sécurité et le législateur à renforcer le cadre
réglementaire entourant la sécurité des SI.
• La mise en place d’un processus de gestion des
incidents sécurité est un jalon essentiel dans
l’installation d’un SOC, laquelle demande du temps.
• L’approche processus de la sécurité opérationnelle
est le levier pour élever son niveau de maturité en
matière de sécurité des SI.
• La gestion des vulnérabilités, qui s’assimile à un
processus de gestion de risques, doit couvrir les
aspects humains, process et outillage.
• Les comptes à privilèges sont un facteur de risques
qui nécessite la mise en place d’une solution de
contrôle en temps réel des accès et de traçabilité
des actions associées.
• Les risques métier et techniques d’un projet doivent
être analysés et le respect des exigences de sécurité
doit être contrôlé à chaque phase du cycle projet.
21
1
transverse avec la gestion de crise et des incidents et la
capitalisation des retours d’expérience. Pour cela, des
méthodes, normes et bonnes pratiques existent dans
les domaines de la sécurité des SI (ISO 27001:2013,
27005, 22301, ANSSI, EBIOS, etc.), de la Production
(ISO 20000, ITIL) et des Etudes (PMBOK, OWASP, etc.),
sur lesquels les organisations peuvent s’appuyer.
Menaces et cybercriminalité
Dans les faits marquants de 2013 en matière de
sécurité des SI, on retient la cybermenace relative à
l’appropriation massive de données personnelles (plus
d’un demi-milliard de données personnelles ont été
volées dans le monde en 2013; cf. l’affaire Target aux
Etats-Unis) et la cybermenace étatique (affaires APT1 et
Prism/NSA). Au-delà des analyses croisées de la BEFTI
et du CLUSIF, émergent les tendances suivantes :
La protection des données passe par une sécurité à
plusieurs strates : données (chiffrement), applications
(gestion des accès, patterns sécurisés), socles
techniques (antivirus, patchs, sécurité physique), réseau
(firewalls, DMZ, filtres). Les mesures de prévention
doivent aussi et notamment inclure la sensibilisation des
utilisateurs, la réalisation de sauvegardes, de tests et
audits de vulnérabilité et d’intrusion.
- les méthodes d’attaque se multiplient et se diversifient
(méthode du ‘point d’eau’, attaques ciblées, attaques
destructrices/incapacitantes, phishing basé sur
l’ingénierie sociale, etc.),
En France, la cybersécurité est dotée d’un cadre
réglementaire
(opérateurs
de
communications
électroniques, opérateurs d’importance vitale (OIV),
etc.). L’agence gouvernementale ANSSI appuie les
Services de l’Etat et les OIV dans la sécurisation de
leurs SI sensibles. Elle labellise des solutions de sécurité,
émet des recommandations en matière de sécurité des
SI. Ce cadre règlementaire a été renforcé par la Loi de
Programmation Militaire 2014-2019, qui place les OIV
sous la surveillance étroite des Services du Premier
Ministre concernant la sécurité de leurs SI.
- les attaques ciblant les processus métier connaissent
une croissance inquiétante,
- les attaques ciblées (APT) ne cessent d’augmenter, le
nombre de malwares sur mobile explose (2,47 millions
en 2013), les ransomwares (type Cryptolocker) sont en
très forte croissance,
- cybercriminalité et criminalité traditionnelle collaborent,
- l’hacktivisme historique (type Anonymous) cède le
pas à la cybercriminalité financière et à l’hacktivisme
étatique/para-étatique,
- l’offre de produits et de services de cybercriminalité,
disponible en ligne, ne cesse de se développer et de
se professionnaliser.
SOC : une mise en place entre
industrialisation et expertise
Les craintes pour le futur portent sur les vulnérabilités
issues de la fin du support de Windows XP et du
développement des objets connectés ainsi que sur la
faiblesse, d’une façon générale, des moyens consacrés
à la cybersécurité et à la formation.
Au sein d’une organisation, l’entité COS (Centre des
Opérations de Sécurité; SOC en anglais) constitue le point
focal de gestion de la sécurité. Son rôle va des actions de
prévention à la gestion des incidents, crises et investigations
associées, en passant par la mission cœur de détection.
La mise en place d’un COS est un processus long qui
passe par des jalons (sondes IDS, gestion de logs, gestion
de crise, dispositif H24, etc.), dont celui, essentiel, de la
mise en œuvre d’un processus de gestion des incidents
sécurité. Le COS communique avec les entités de sécurité
externes (ANSSI, DCRI, CERT) et les Directions internes
de la Communication, du Juridique et du Service Client.
Il interagit avec les équipes IT de Production autour de la
sécurité opérationnelle et avec les Métiers et départements
internes en charge de la fraude, des enquêtes et de
l’intelligence économique autour des investigations et de
la planification de la surveillance. Autour du processus de
gestion des incidents sécurité, le COS mène un travail
d’information régulier auprès des équipes de Production
et d’astreinte pour les garder mobilisées et aptes à réagir
rapidement. Il accompagne les équipes susceptibles de
remonter des incidents sécurité et les aide à adopter les
bons réflexes. Le COS capitalise sur ses connaissances
(veille, surveillance, REX sur les incidents, etc.) pour une
amélioration continue de son efficacité.
Cybersécurité, bonnes pratiques
et cadre réglementaire
La cybersécurité est aujourd’hui une exigence aiguë :
les attaques, leurs types, leurs durées et leurs impacts
augmentent, l’informatique distribuée est moins
nativement sécurisée, les nouveaux usages (mobilité,
BYOD, etc.) progressent avec de nouvelles vulnérabilités.
Autre constat : le délai moyen de détection d’une
attaque ciblée est supérieur à un an et les cibles sont
visées en fonction du ROI espéré.
Face à ce contexte, les organisations doivent déployer
un processus de sécurité en boucle, s’appliquant tant au
Build qu’au Run. Cela commence au niveau stratégique
(RSSI) avec l’analyse des risques, se poursuit au niveau
opérationnel (RSI) avec le traitement des risques identifiés,
puis au niveau technique (Production, Infrastructures)
avec la détection des attaques grâce aux technologies
et outils déployés à cet effet et, enfin, jusqu’à un niveau
2
22
Une base de vulnérabilités est constituée et mise à jour
à l’issue de chaque étape de ce processus. La gestion
des vulnérabilités gagnerait à voir cette base intégrée
dans la CMDB.
On distingue 3 niveaux croissants de maturité des
organisations en matière de sécurité des SI : zone dite
d’humiliation, sécurité élémentaire, sécurité maîtrisée.
L’objectif de tout RSSI est de sortir de la zone d’humiliation.
C’est en adoptant une approche processus de la
sécurité opérationnelle et en l’appliquant tant au niveau
du Build que du Run qu’il peut y parvenir. Par exemple,
en matière d’antivirus, les organisations pensent être
protégées en déployant des produits fonctionnellement
riches et matures provenant d’éditeurs reconnus. De
nombreuses questions restent pourtant en suspens: les
agents installés sur les postes le sont-ils correctement
(userID unique, version conforme…) et sont-ils actifs ?
Les postes sont-ils bien déclarés dans la console ? La
partition stockant les signatures virales est-elle pleine ?
Gestion des comptes à privilèges
La criticité du risque que présentent les comptes à
privilèges pour la sécurité des SI provient de plusieurs
facteurs qui se conjuguent. Cette criticité est accrue par
la grande complexité des SI : les droits d’administration
sur le SI ouverts aux administrateurs sont extrêmement
étendus (réseau, OS, applications, sécurité). Ils ouvrent
autant de possibilités pour des actes de malveillance; les
administrateurs peuvent accéder au SI à distance (par
exemple, dans le cas d’une infogérance et/ou après
avoir quitté leur employeur); leurs actions ne sont pas
tracées ni traçables (forts de leurs privilèges, ils peuvent
effacer leurs propres traces). Ceci rend impossible
l’imputation d’une action erronée ou malveillante. Et il
est très difficile de savoir ce qui a été fait sur un actif
du SI. Cette situation requiert la mise en place, les logs
ne suffisant plus, d’une solution assurant, en temps
réel, un contrôle centralisé des accès et une traçabilité
des actions effectuées à partir de comptes à privilèges.
L’architecture de ce type de solution peut être une
gestion des accès intégrée à la gestion des identités et
des habilitations, à une CMDB (serveurs, applications) et
à un SIEM. La mise en place de ce type de solution peut
répondre aussi à des exigences de conformité.
Un processus ad hoc prévoira donc, en phase projet,
de comprendre chaque cas de non-fonctionnement,
d’identifier les postes à traiter et de corriger, puis,
en phase d’exploitation, d’identifier les postes non
protégés, de lancer des scans réguliers, de lancer et
suivre les actions correctives. Tous les autres domaines
de la sécurité opérationnelle doivent être couverts par
cette approche processus : mots de passe, droits et
comptes, correctifs, réseaux, accès distants, gestion
des identités, gestion des incidents sécurité, etc.
Pour bâtir ces processus, il conviendra, pour chaque
domaine, de recenser les tâches relevant du Build
et celles relevant du Run. Ceci permettra d’élaborer
respectivement un plan projet (diagramme de Gantt,
plan de traitement des risques) et un plan annuel
d’exploitation (calendrier détaillé et précis des actions de
contrôle).
Sécurité dans les projets
La sécurité dans les projets doit s’envisager d’un bout
à l’autre du cycle projet. Elle commence avec l’analyse
des risques :
Gestion des vulnérabilités :
approche méthodologique
- analyse des risques métier par les Métiers (sur la base
des risques majeurs identifiés pour l’entreprise via une
démarche type EBIOS/ANSSI intégrant le REX lié à la
gestion des incidents sécurité, les autres risques étant
adressés en gestion de crise),
La gestion des vulnérabilités, qui correspond à une
gestion des risques, commence avec l’identification des
ressources et actifs critiques à risque du SI : utilisateurs
(comportements/habitudes), processus (complexité),
middleware et éléments d’infrastructure (multiplicité
des briques, technologies et acteurs). La mitigation de
ces risques passe respectivement par la formation/
sensibilisation des utilisateurs, une rigueur de conception
et des contrôles/audits des processus. La coopération
de la chaîne des acteurs concourt à la sécurité du
SI (RSSI, architectes, responsables d’exploitation,
administrateurs, etc.). Elle s’appuiera pour cela sur des
normes et référentiels (ITIL, ISO 27xxx, CMMI, CoBIT,
etc.) et une palette de moyens techniques (firewalls,
antivirus, SIEM, PSI, gestion des accès et des identités,
etc.). La gestion des vulnérabilités s’apparente, là aussi,
à un processus : signalement (veille, alertes CERT/
éditeurs, déclarations d’incident, rapports de tests
d’intrusion et d’audits, alertes de supervision), analyse
(criticité, études d’impacts, recherche et planification
- analyse des risques techniques, portée par le RSSI
(cadrée par la gestion des exigences de sécurité et
s’appuyant sur des contrôles tout au long du cycle
projet).
Selon que le projet est évalué comme sensible ou
non (mesure DICP), les équipes Sécurité, aux moyens
contraints face à des projets nombreux et à un timeto-market raccourci, iront contrôler que les exigences
de sécurité ont été prises en compte (conception/
réalisation) et sont respectées (phases de tests/
recette et d’exploitation) ou s’appuieront sur la
responsabilisation des acteurs (MOE, Production). Ces
équipes s’impliqueront fortement sur la gestion des
incidents sécurité avec un objectif de capitalisation.
3
23
L’Essentiel
des correctifs/mesures de protection), validation (par le
RSSI/Comité de Sécurité), déploiement.
CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets
Sécurité opérationnelle
et approche processus
United
Kingdom
www.crip-asso.fr
4
24
Rédaction : Pierre-Yves Henry & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr
Les exigences de sécurité pour les projets web pourront
utilement s’appuyer sur les principales vulnérabilités web
constatées, compilées chaque année par l’OWASP
pour son Top 10.
La gestion des données sensibles doit être adressée sous
un angle fonctionnel, en amont du projet (classification,
principes d’usage, cycle de vie). La recette sécurité sera
menée directement par les équipes Sécurité pour les
projets sensibles (audits et tests d’intrusion) et déléguée
pour les autres.
Club
Club des
des Responsables
Responsables
d’Infrastructures
d’Infrastructure et
etde
deProduction
Production
# 27
Mai 2014
Mobilité et Cloud Computing
CRiP Thématique
Les enjeux de la mobilité, du BYOD et le lien
avec les perspectives du Cloud Computing
du 27 mars 2014
Entre ‘Mobilité’ et ‘Cloud Computing’, les passerelles se concrétisent. Au-delà des solutions
de messagerie déjà existantes sur le Cloud (Google, Microsoft), il est clair que l’avenir est
aux accès mobiles vers toutes les applications, y compris celles des métiers. Ces accès
mobiles s’annoncent possibles à partir de tous types d’équipements (cf. le phénomène
BYOD, bring your own device). Ce document de synthèse présente des scénarios différents,
dans des contextes de la grande distribution et du domaine bancaire, avec des contraintes
de sécurité plus ou moins exigeantes. Dans ces contextes assez divers, l’adoption des
diverses formes de Cloud diffère également. Certes, la mobilité et le Cloud sous-tendent un
nouveau mode de ‘delivery’ des services IT. Mais toutes les applications sont-elles vouées à
migrer sur le Cloud pour autant ?
Le contexte
En quelques phrases
Le CRiP Nord Pas de Calais a organisé le 27 mars
2014 la première session thématique du CRiP en
région. Parrainée par Michel Barbasso, CTO de
KIABI, elle était dédiée aux thèmes de la Mobilité et
au Cloud computing - et le lien entre ces deux ‘items’.
Des témoignages de la grande distribution -fortement
ancrée dans le Nord- ont été confrontés à d’autres,
dont celui d’un géant de la banque.
Il en ressort que la mobilité reste un chantier majeur
au sein des organisations. Face au déferlement des
smartphones et des tablettes, la question du principe
BYOD n’est pas partout résolue.
De même, l’utilisation des tablettes, à titre professionnel
et personnel, vient renforcer la nécessité d’ouvrir
de nouveaux scénarios. Les incidences sur la DSI
sont loin d’être minimes. Les standards applicatifs
et sécuritaires, par rapport au poste «mastérisé»,
deviennent inopérants. De plus, la fin du support de
Windows XP oblige les responsables IT à réexaminer
la pertinence de la migration naturelle Windows 7 ou
8, versus les divers OS -Linux, Android, iOS... car la
plateforme applicative est à revalider, conduisant à
intégrer des développements, de facto, multi-devices.
En conclusion de la session, une table ronde a mis
en exergue les diverses options possibles en fonction
des terminaux (ceux fournis par l’entreprise et ceux
qui ne le sont pas), en fonction des utilisateurs et des
applications rendues accessibles ou non à l’extérieur
du VPN de l’entreprise -et selon quelles restrictions de
sécurité.
• Les usages de l’IT mobile personnelle continuent
de bousculer l’IT d’entreprise: le phénomène de la
‘consumérisation’ n’est pas démenti...
...mais comment faire la part des choses entre
domaine pro et perso? Les 2 mondes s’entremêlent
de plus en plus
• La solution idéale? Ce pourrait être des services web
directement accessibles en réseau WAN et/ou en
3G ou 4G, en se débarrassant des serveurs locaux
• Autre idéal : les accès any applications, any time,
anywhere, any device...
...mais l’iOS d’Apple finit par coûter cher
• Avec le bureau virtuel, l’accès à distance reste
identique à celui d’un poste local.
• Avec les clients légers, attention à blinder les
recettes applicatives !
• Il faut que la couche de présentation s’adapte au
‘device’, et non plus l’inverse.
• Mobilité et Cloud computing contribuent
directement à la transformation de l’IT en un
nouveau modèle de service
• Le nouveau mode du ‘quick delivery’, combiné
aux besoins de mobilité, pousse au déploiement
du Cloud
• Faut-il réinvestir sur l’infra existante ou plutôt partir
dans le Cloud, en commençant par les solutions
IaaS et SaaS ?
• Tout n’est pas ‘cloudifiable’ : toutes les applications
ne sont pas vouées à migrer sur le Cloud
• La sécurité est un prérequis incontournable mais
ne doit pas inhiber les projets. Le 0 risque n’existe
pas. Tout est une question de bon ‘tuning’.
1
25
Consolider, rénover, urbaniser,
construire ?
stratégiques s’inscrit explicitement dans cette logique
de connexion «any» (en tous lieux, avec tous ‘devices’,
pour toutes applications, accessibles 24h/24 7 jours/7).
Cette application concerne celle de 6.000 utilisateurs
responsables de la fabrication, des approvisionnements
et de la logistique à travers le monde. « Le critère de
mobilité devient primordial », explique le directeur
technique. « Tous ces personnels doivent avoir accès
à Internet et, ainsi, à toutes les applications, depuis
n’importe quel site. Cela implique des outils de
connectivité mobile à Internet, et la mise en oeuvre de
bonnes pratiques pour en optimiser l’utilisation ».
La mobilité et le Cloud computing sont deux facteurs
clés qui accompagnent la transformation de l’univers
IT vers le modèle du service. « Il faut désormais se
faire à ce concept issu du Cloud computing : l’ITaaS,
ou IT as a Service », a expliqué d’entrée de jeu, Michel
Barbasso, CTO de KIABI, qui a été le parrain de cette
journée.
Pour les entreprises détenant de nombreux sites
dispersés ou des établissements décentralisés, cela
conduit à alléger les infrastructures locales. Dans
de très nombreux cas, ce sont les accès réseau qui
vont primer, y compris les accès sans fil du fait de la
poussée de la mobilité. Et, de ce fait, tous les types
de terminaux vont prétendre à des connexions «any
application», «anywhere» et «any time».
Côté solutions, il peut aussi bien s’agir de solutions
Cloud, d’applications publiées sur Internet ou de celles
très sécurisées accessibles sur l’intranet de l’entreprise
ou même, à terme, d’applications «client» sécurisées
comme l’ERP (SAP, en l’occurrence).
Pour l’option «any device», la règle est que tout le
monde puisse, avec tout device, accéder à Internet
et à toutes les applications. Certains terminaux, même
s’ils appartiennent à l’entreprise, peuvent ne pas être
totalement «intégrés». Du coup, la nécessité qu’ils
soient administrés par l’IT s’impose moins. « Leur
configuration n’est pas sujette à de fortes contraintes
d’infrastructure ». Mais, de ce fait, « l’utilisateur doit
pouvoir également utiliser son propre équipement :
cf. le phénomène BYOD (bring your own device), à partir
du navigateur de son choix et quel que soit l’OS ».
En introduction, les points suivants sont relevés :
• La mobilité soulève des questions clés : comment
conserver la maîtrise des coûts du poste de travail ?
Comment faire la part des choses entre le domaine
professionnel et celui personnel ? « Les deux
mondes s’entremêlent de plus en plus »,
• Deux autres remarques s’ajoutent: « Il n’est pas
possible de céder à la mode du tout dernier device
commercialisé. La fuite en avant technologique
n’est pas la solution ».
Seule restriction : les applications « client lourd »
ne peuvent être installées que sur les équipements
fournis et maintenus par l’entreprise, qui les répertorie.
Donc, l’utilisateur doit pouvoir travailler avec le terminal
de son choix sans contraintes techniques.
Par ailleurs, la sécurité, en matière de mobilité, est un
point important, mais il ne faut pas en faire trop. « Il
faut sécuriser avec le bon tuning ».
« On rêve d’un service de ‘hot spot’ mondial, à terme ».
Les applications seront à «publier», sur le Cloud ou non.
Certaines seront rendues accessibles à des partenaires
extérieurs, tandis que les applications plus lourdes,
comme SAP, seront limitées à certains utilisateurs.
« Cela implique un gros effort de compatibilité,
notamment en termes de format d’écrans
(tactiles ou non...). Il n’y a plus de «réseau
interne». On est sur le web, un point c’est tout! »,
souligne l’intervenant.
Garder la maîtrise du réseau
et s’interroger sur la réversibilité
Avec ces perspectives où l’on a constamment besoin
des ressources IT, « le réseau devient crucial. Il faut
en garder la maitrise, y compris en termes de coûts ».
Autre point critique avec le Cloud: la réversibilité.
« Peut-être qu’il n’y aura pas de retour arrière. Si l’on
songe à Google ou Microsoft, on n’en voit guère. Les
témoignages sur ce sujet sont bienvenus ».
Mais, selon lui, il semble impossible encore d’aller aussi
loin avec tous les devices: « Avec les laptops, on a fait
ce qu’il faut pour sécuriser. Aujourd’hui on accepte
le BYOD mais avec certaines restrictions d’usage.
En pratique, nous n’avons pas la possibilité d’installer des
clients lourd sur des postes appartenant au personnel.
Nous ne pouvons pas en prendre la responsabilité».
Pour le ‘quick delivery’ des services, un benchmarking
de ce qui est proposé sur le marché (Amazon AWS,
ou Google, etc.) reste fort utile. Et parmi les usages
nouveaux du Cloud, celui lié au plan de secours (PRA)
intéresse beaucoup de monde.
Deux navigateurs ont été retenus, dont Chrome.
A propos de services de messagerie sur le Cloud, se
pose la question de la réversibilité? « Combien de temps
faudrait-il pour rapatrier toutes nos données ?!».
La connexion anywhere, any-device, any-application..
Le deuxième témoignage de cette journée provenait
d’un géant de la distribution. L’un de ses projets IT
2
26
Autre constat: les utilisateurs souhaitent pouvoir
utiliser le terminal de leur choix . « Il faut que le choix
soit réellement possible et opérationnel », observe
l’intervenant.
Sur les lieux de vente de ce champion de la grande
distribution, 70% des postes mis à disposition sont
partagés entre différents ‘jobs’ -vendeurs, chefs de
rayon, managers… La même session tourne sur tous
les postes, mais l’accès aux applications est différent
selon les jobs.
Pour parvenir à cet objectif, ce géant de la distribution
a pris deux orientations majeures:
1 - simplifier, par nécessité : un site de production en
Asie subit régulièrement des coupures de courant.
Son système d’alimentation de secours ne tient
que 3 heures. Et donc la probabilité que les
serveurs se mettent hors service est très élevée.
D’où la solution de généraliser des applications en
web-services. Celles-ci doivent être accessibles
en réseau WAN et/ou en 3G, sans installation de
serveurs locaux ;
Au quotidien, l’un des problèmes majeurs était la
nécessité de relancer le log-in, de ressaisir le mot de
passe 30 à 40 fois par jour. Et les sessions ne doivent
pas restées ouvertes ni lisibles dès lors que le poste
n’est plus utilisé.
Il a été décidé de développer un concept dit MBM
pour ‘Mon Bureau Mobile’. Chaque utilisateur dispose
de sa session propre. La connexion est facilitée, « de
façon ultra-rapide ». L’authentification est du type
SSO (Single sign on).
2 - pas de bureau virtuel, pas d’infrastructure VDI :
l’hypothèse d’un poste de travail virtuel sur une
infrastructure VDI (Virtual desktop infrastructure)
n’a pas été retenue. Pour des raisons diverses,
dont le problème de sécurité des données « qui
reste un point critique ». Pour 95% des problèmes
rencontrés dans le projet de ‘mobilité’, c’est, selon
lui, la sécurité qui est en cause.
Pour le client léger, c’est Citrix XenApp 6.5 qui a été
retenu. La gestion du SSO et des connexions par
badge repose sur la solution Ilex. L’administration
de l’environnement virtualisé des postes s’appuie
sur VUEM (Virtual User Environment Manager) de
Norskale et la gestion des applications locales sur
VDX de RES Software. Avec ces solutions, 3500
clients légers ont ainsi été déployés, accédant à 176
serveurs virtuels. A terme, 8300 utilisateurs, avec
4000 connexions simultanées, sont concernés.
Trois grands projets ont été mis sur pied:
1 - un poste de travail allégé: l’option retenue est celle
de plusieurs «devices» possibles, mais intégrés.
« A terme, pour certains usages, nous pourrions
aller jusqu’au concept du ‘Chrome book’ » ;
Les résultats sont là : 93% des utilisateurs se déclarent
satisfaits. Avec moins de pannes (comparativement
aux PC classiques), les sollicitations du support ‘help
desk’ ont fortement chuté, ainsi que le coût des
déploiements applicatifs. De substantielles économies
ont été réalisées sur les migrations de Windows.
2 - un mode de ‘delivery’ et de stockage des données
sur le cloud : les applications et la gestion de
documents s’exécutent dans le Cloud, avec une
synchronisation locale.
Les gains sont là mais plusieurs points de vigilance
sont relevés :
Tous les documents peuvent être installés sur le
cloud. Mais certains utilisateurs travaillent sur des
documents avec des liens entre eux. Donc, la solution
Cloud n’est pas applicable partout.
• la conduite du changement est un point crucial pour
les équipes IT (helpDesk, infra, développement...);
3 - des solutions de connectivité Cloud: des ‘hot spot’
existent dans les différents pays. Mais l’idée est
de pouvoir se passer de tous les composants
physiques, grâce à des solutions Cloud du type
SaaS.
• la compatibilité et la validation des applications
sont critiques: « Il faut veiller à bien gérer la recette
applicative, notamment en blindant celle des postes
clients légers »
• le budget en investissement (CAPEX) reste
conséquent, notamment en matière de stockage.
Autre scénario :
Mobilité et virtualisation du poste
de travail
Le ‘multi-devices’ anywhere
dans un contexte bancaire
Autre géant de la distribution, autre scénario. Le
témoignage suivant a affiché des orientations
différentes, reposant sur la virtualisation des postes
de travail installés en magasin.
En dernière partie de cette session, le témoignage
de la filiale Investissement d’une grande banque
a confirmé comment la mobilité peut susciter la
transformation et le changement.
L’objectif principal était de centraliser les services
afin de diminuer les coûts (helpdesk, mises à jour...),
La nouvelle offre de mobilité, issue d’un programme
3
27
L’Essentiel
d’alléger le matériel en magasin (avec le ‘client léger’),
de répondre à l’obsolescence de Windows XP et de
s’ouvrir aux nouveaux usages des nouveaux ‘devices’
(smartphones, tablettes).
CRiP Thématique Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing
Quels choix de terminaux ?
‘corporate’, doit permettre à 12.000 collaborateurs
d’accéder à la messagerie, au calendrier et aux
bases de contacts (Active Directory), à partir de tous
terminaux : PC portables (environ 2.500), smartphones
(3.800), tablettes... Pour les PC portables, fournis par
l’entreprise, la connectivité est élargie à toutes les
applications ‘métiers’, grâce notamment à la solution
VPN Pulse.
Le besoin de se connecter au SI, où que l’on se
trouve, a été clairement sponsorisé par les topmanagers: eux-mêmes se déplacent fréquemment
dans les 30 pays où la banque est implantée et ils
tiennent à afficher une image très ‘high tech’ vers les
partenaires.
Progressivement, les utilisateurs vont accéder à
toutes leurs applications depuis n’importe quel
‘device’. « Ceci suppose d’interconnecter ou fédérer
les messageries, et d’ouvrir certaines applications
au télétravail ou ‘home office’ », explique l’un des
intervenants.
L’accès aux applications de la banque est confié à
des plateformes Citrix. « A partir de là, il sera facile de
passer à HTML 5 ». Pour l’accès sécurisé des laptops
personnels, la solution Movis (Mobile office via Internet
services) a été retenue. Elle ne permet le transfert
qu’en mode connecté, et pas de maintenance à
distance.
Toutes les fonctionnalités ne seront pas accessibles à
tous les métiers (des restrictions visent, par exemple,
les ‘traders’).
Comparativement, le réseau VPN Pulse est beaucoup
plus sécurisé : il concerne exclusivement les laptops
fournis et maintenus par l’entreprise (contrôle de la
conformité, vérification du chiffrement des données,
de la clé PKI, avec un annuaire spécifique. Une gestion
des connexions est assurée en temps réel (GRANT) et
un verrouillage par des pare-feux SEP.
Une forte culture de mobilité
Les OS retenus sont Windows Phone et Android,
sans oublier iOS.
Le service de visio-conférence est ajouté
progressivement; il s’agit de permettre une connexion
en point à point aux systèmes de visioconférence
déjà en place, y compris avec les salles dédiées à
la vidéoconférence. Il est même prévu d’embarquer
Lync sur des tablettes (Lync Mobile).
EnquêTE CRiP IndEx
Autre information intéressante : 50% des entreprises
consultées ont déjà ou envisagent un Cloud privé. Et
43% des répondants ont déjà migré ou sont en train
de migrer des services/applications dans le Cloud
public.
La messagerie, du fait de la mobilité, première
application sur le Cloud public
Cette session du CRiP Nord a été l’occasion de
résumer les tendances révélées par la récente
enquête CRiP Index sur le Cloud et la sécurité. Elle
montre que le premier service transféré sur un Cloud
public est la messagerie, du fait de l’impact de la
mobilité. Les 3 premiers services d’infrastructure
cibles du Cloud public sont, par ordre d’importance,
les services de messagerie (pour 39% des
répondants), suivis de la visio-conférence (20%), et
des plateformes de développement IT (8%).
United
Kingdom
www.crip-asso.fr
4
28
Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - www.anousdejouer.fr
L’outil MDM de gestion des postes retenu a été
initialement Good for Enterprise, mais étant verrouillé
le RSSI l’a récusé. Pour les smartphones, les options
Blackberry sont toujours en vigueur. « Cela reste
l’offre la plus sécurisée pour la messagerie (…) Mais Il
est plus probable que nous allions vers l’option BYOD
avec Android, Windows Phone, et avec un autre MDM
mieux adopté, moins coûteux.»
d’Infrastructures
deProduction
Production
# 28
Mai 2014
Datacenter
CRiP Thématique
L’optimisation des datacenters :
une priorité pour les DSI
du 09 avril 2014
L’évolution des technologies transforme radicalement le monde de l’infrastructure :
densification des équipements, transformation des facteurs de forme, virtualisation
massive… Dans une recherche permanente d’optimisation, le DSI ne doit plus
s’intéresser au seul contenu de sa salle informatique. Le contenant, les ‘facilites’
de nos amis anglo-saxons, fait aussi l’objet de nouvelles attentions : réduire le
nombre et les surfaces des datacenters, la consommation électrique et les besoins
de climatisation, intégrer des sources d’énergie renouvelables. Loin d’être une
mode, le « green datacenter » est une évidence pour toute entreprise soucieuse
de Responsabilité Sociale et Environnementale (RSE).
Le contexte
En quelques phrases
Cette conférence a été organisée par le Groupe
de Travail Datacenter & IT Durable, animé par
Dominique Roche (Orange) et André Eledjam
(Société Générale), la journée étant parrainée
par Frédéric Sevestre (CTO de Carrefour).
Les intervenants ont partagé diverses expériences
d’amélioration
de
l’éco-responsabilité
:
consolidation de datacenters existants, rénovation
de salle, construction d’un nouveau datacenter.
Même si les moyens techniques existent, les
résultats obtenus ne sont pas toujours au rendezvous des attentes espérées au démarrage
du projet. D’où la nécessité d’améliorer la
normalisation sur l’efficacité énergétique du
datacenter. Le GT Datacenter & IT Durable veut
être force de proposition et représenter les intérêts
des utilisateurs du CRIP et de CTO Alliance.
La réflexion du développement durable doit être
menée jusqu’à la fin de vie des équipements.
La directive européenne sur les DEEE impose
la collecte et le recyclage des équipements en
fin de vie. Dans certains cas, la responsabilité
de la fin de vie incombe au client, lui aussi
sensibilisé à l’éco-citoyenneté.
• Il est temps de réconcilier le monde de l’IT et
celui des ‘Facilities’.
• Le déménagement des équipements a été
l’occasion de faire le ménage.
• On n’urbanise pas un datacenter juste pour
gagner sur sa facture EDF, le premier gain
c’est l’efficacité opérationnelle.
• L’esthétique du datacenter apporte clarté et
netteté.
• Le PUE n’est qu’un chiffre direct, il ne permet
pas d’identifier d’où vient le problème.
• Même si on a des outils de mesure fournis
par le constructeur, il vaut mieux savoir ce
qu’on mesure et avoir ses propres systèmes
de contrôle.
• Un seul élément peu efficace dans la chaîne
peut complètement faire basculer le niveau
de performance globale du système.
• Sans documentation, sans repérage, sans
transfert de connaissances, un datacenter
peut régresser très vite.
• La collecte sélective ne représente que
30% des équipements électriques et
électroniques mis sur le marché.
29
1
L’urbanisation ne doit pas être considérée
comme une ‘dernière cartouche’ : « Il faut
penser à l’urbanisation le plus en amont
possible. Lorsqu’on construit un DC, son
rendement d’origine va se dégrader au long de
sa vie, l’urbanisation va permettre de revenir
vers le rendement d’origine ». Double effet kisscool : « On n’urbanise pas juste pour gagner sur
sa facture EDF, le premier gain, c’est l’efficacité
opérationnelle ». La construction de nouveaux
bâtiments permet de bénéficier de l’état de l’art,
afin, par exemple, de bâtir « un hangar ajouré
avec des containers à l’intérieur, permettant de
faire du ‘free cooling’, et de réaliser au final 143
kW d’économie annuelle».
Consolider, rénover, urbaniser,
construire ?
La poursuite d’un objectif de durabilité du
datacenter n’est pas qu’une volonté de
l’entreprise d’afficher qu’elle lave plus vert.
C’est également un moyen de réduire ses
coûts informatiques, en agissant sur la facture
énergétique. Mais avant d’en obtenir des gains
substantiels, la ‘greenitude’ du datacenter passe
par une nécessaire étape d’investissement. De
quelques semaines et quelques dizaines de
milliers d’euros pour rénover un local informatique
de 100 m² à quelques années et quelques
millions d’euros pour bâtir un datacenter ‘from
scratch’ de 1000 m², la palette des solutions est
large. Le choix de la consolidation se fait souvent
pour s’aligner avec des objectifs stratégiques
de l’entreprise. Un témoin déclare : « La raison
d’être de ce programme, c’était véritablement
de sécuriser nos applications critiques (salles
non sécurisées, serveurs obsolètes, logiciels
plus maintenus) ». Mais un autre explique: « Les
7 DC existants étaient relativement vétustes et
nous avions besoin d’une disponibilité 24x7 ».
Lorsque la consolidation n’est pas nécessaire, la
rénovation est une alternative. Un autre témoin
voulait « tester l’optimisation énergétique d’une
salle pilote de 100 m² et passer d’une salle
aux ‘bons standards des années 80/90’ à un
standard actuel ».
Normalisation :
le GT en pole position
L’indicateur PUE (Power Usage Effectiveness)
proposé par le consortium Green Grid a fait long
feu. Peu fiable, trop dépendant des conditions
dans lesquelles il a été mesuré, ne tenant pas
compte de la ‘propreté’ de l’énergie consommée,
la communauté est à la recherche de nouveaux
indicateurs indiscutables. Le PUE n’est plus
qu’un vague indicateur car « ce n’est qu’un
chiffre qui ne permet pas d’identifier d’où vient
le problème. Il a fallu que nos experts fassent un
audit détaillé pour comprendre ce qui n’allait pas ».
Et même en l’absence de problème, sa valeur
est discutable : « même si on a des outils de
mesure fournis par le constructeur, il vaut mieux
savoir ce qu’on mesure et avoir ses propres
systèmes de contrôle ».
Bref, il est urgent de se ranger autour de nouveaux
indicateurs plus fiables et de préférence
normalisés pour éviter toute interprétation.
Le GT a été force de proposition auprès des
organismes de normalisation en défendant les
intérêts des utilisateurs. « Pour éviter d’être
considérés comme trop franco-français par les
instances de normalisation européennes, on a
créé la CTO Alliance [dont le CRiP est l’un des
piliers] reconnue par la Commission Européenne.
Il a ensuite fallu constituer, en accord avec
l’ETSI, le comité ISG (Industry Specification
Group) OEU (Operational energy Efficiency for
Users) qui émet des ‘position papers’ et des
spécifications de référence pour les futurs sites
et réseaux ».
Reconnaissance du data centre «Green label»
30
Le GT poursuit ses travaux en proposant un
« cadre ouvert pour récupérer les données
énergétiques en étant indépendant des
constructeurs et pour mener des analyses. Ceci
passe par un état des lieux sur les protocoles
de transmission des informations techniques, le
recensement des besoins des utilisateurs via des
enquêtes notamment auprès des membres du
CRIP, ceci dans le but de produire un ‘position
paper’ proposant des pistes pour minimiser
le nombre de protocoles et réduire les coûts
d’exploitation».
Les énergies renouvelables
La trop grande dépendance aux énergies
fossiles oblige les pouvoirs publics à proposer
des modes alternatifs. Gros consommateurs
d’énergie, les datacenters ne sont pas exclus
de la réflexion. Après une étude détaillée
démontrant, sur l’emplacement prévu, une
meilleure efficacité énergétique du « Natural
Free Cooling », un intervenant a détaillé cette
réalisation originale, évoquée plus haut, d’un
nouveau datacenter au Royaume-Uni conçu
comme un « hangar ajouré avec des containers
à l’intérieur ». Selon le niveau de température
et le degré d’humidité extérieure, le NFC est
complété par un refroidissement adiabatique
ou un mécanisme classique d’eau réfrigérée.
En complément du free cooling, des panneaux
solaires ont été installés. Mais « la partie énergie
renouvelable est très marginale car ce qui est
produit par les panneaux photovoltaïques est
peu perceptible. Nous avons calculé avec des
simulations qu’il faudrait couvrir l’équivalent de
1000 places de parking supplémentaires pour
un DC de 500 m² pour que ce soit significatif.
L’impact du photovoltaïque n’est visible que si
vous pouvez installer une véritable ferme solaire
à côté de votre DC sur un grand site ». L’histoire
ne dit pas si une implantation, par exemple, dans
le sud de la Californie aurait changé le résultat
des simulations…
Mais qu’en est-il de la responsabilité de collecte
pour l’entreprise ? Pour les équipements mis sur
le marché avant le 13/08/2005, « les détenteurs
d’EEE professionnels sont responsables de
la fin de vie de ces équipements, sauf en cas
de remplacement par un nouvel équipement
équivalent (reprise par le fournisseur) ». Et pour
les équipements mis sur le marché après le
13/08/2005 ou d’équipements plus anciens
repris dans le cadre d’un remplacement,
« les producteurs sont responsables de leur fin
de vie ». Du point de vue de la responsabilité
de collecte sélective des DEEE, il est donc
préférable de privilégier les équipements récents,
et pour les plus anciens, de les faire reprendre
(comme votre bon vieux réfrigérateur) par le
fournisseur qui vous aura vendu les nouveaux
en lieu et place !
3
31
L’Essentiel
Une démarche d’éco-responsabilité du
datacenter ne doit pas seulement s’intéresser à
la partie « run ». Elle doit aborder le « build » mais
aussi traiter la fin de vie des équipements. C’est
la démarche suivie par la directive européenne
DEEE qui « impose une écoconception des
équipements électriques et électroniques pour
favoriser le réemploi et le traitement en fin de vie ».
Les équipements sont classés en 10 catégories,
depuis les gros appareils électroménagers
(catégorie 1), les petits appareils électroménagers (catégorie 2) jusqu’aux équipements
de distribution automatique (catégorie 10).
Les équipements informatiques et de
télécommunication constituent la catégorie 3,
qui « représente environ 22% des mises sur le
marché en nombre et environ 7% en tonnage »
(chiffres France 2012). Pour pouvoir recycler
les équipements, il faut d’abord procéder à une
collecte sélective, avec des objectifs de plus
en plus ambitieux. « La Directive européenne
évolue, on va passer d’un objectif de 4 kg par
habitant en 2006, vers des objectifs de 10 kg
par habitant à partir de 2016 (soit 45% des
mises sur le marché)».
CRiP Thématique L’optimisation des datacenters : une priorité pour les DSI
Le traitement des Déchets
des Equipements Electriques
et Electroniques (DEEE)
L’objectif est atteint : « Un nouvel indicateur
alternatif au PUE existe : le DCEM (Datacenter
Efficiency Management) qui mesure la
performance énergétique des DC. Il fait intervenir
4 KPI objectifs : consommation énergétique,
efficacité de traitement, réutilisation d’énergies
et utilisation d’énergies renouvelables. Notre
proposition est une classification des datacenters
sur une échelle absolue de 9 niveaux de A à I
(comme la classification des bâtiments) ».
ANAlyse theRmoGRAPhIque
L’analyse thermographique d’une salle non optimisée
peut révéler quelques failles. Un client raconte :
« On avait bien de l’air froid dans les faux planchers,
mais pas là où il devait être ! ». Des mesures de première
urgence sont prises : « On a bouché les trous, obturé
les racks avec des cache-U, optimisé le soufflage et
canalisé les flux d’air. On s’est dit : c’est bon, on
a gagné ! ». Constat similaire chez un autre client :
« Il faut positionner des baffles et des directeurs dans
les planchers techniques pour bien canaliser l’air
dans les allées ». Mais l’analyse thermique ne doit
United
Kingdom
www.crip-asso.fr
4
32
pas s’arrêter en bas des racks : « Les mesures de
température à 1 mètre du sol étaient bonnes, mais on
avait 42° à 45°C en haut des baies ! ». Une analyse
complémentaire a montré qu’une poutre provoquait
un flux circulaire en rouleau. « Nous y avons remédié,
et très vite nous sommes revenus à des bons niveaux ».
Idéalement l’analyse thermographique doit être
réalisée de façon récurrente, de façon à « mettre en
évidence tout mauvais comportement des flux d’air
et affiner si besoin les températures, les pressions
d’air et optimiser les modes de refroidissement ».
d’Infrastructures
deProduction
Production
# 29
Mai 2014
Outsourcing
CRiP Thématique
Outsourcing :
sans cesse sur le métier…
du 09 avril 2014
Si l’infogérance est presque aussi vieille que l’informatique elle-même, elle se transforme
au gré des mutations de l’IT. Elle doit proposer des services plus flexibles, satisfaire les
exigences de qualité de service des métiers, et évidemment dégager des réductions de
coûts. Autant de problématiques et de stratégies d’entreprise, autant de prestataires et de
services d’infogérance différents. Devant faire le grand écart entre un niveau d’exigence
sur une qualité de service toujours plus élevée, et un tarif des services qui s’érode année
après année, l’infogérant doit sans cesse remettre son ouvrage sur le métier pour garder la
confiance de la DSI et de l’entreprise.
Le contexte
En quelques phrases
Cette conférence a été organisée par le GT
Outsourcing, animé par Philippe Guyé (OCDE) et
David Perreau (CEA), la journée étant parrainée par
Frédéric Sevestre (Carrefour). Cette journée a illustré la
diversité des attentes liées à la taille de l’entreprise. Elle
a également traité des primo-contrats aussi bien que
des renouvellements. Les retours d’expérience sont
unanimes sur l’extrême nécessité de bien planifier le
passage de témoin, des équipes internes vers celles
de l’infogérant, ou la transition d’un infogérant sortant
à un infogérant entrant. Même, et surtout, si cette
transition implique des facteurs humains, le succès
de l’opération sera très dépendant de la formalisation
en amont des processus, et de la complétude du
contrat en aval. Ce dernier doit naviguer entre deux
écueils : être suffisamment détaillé pour éviter toute
interprétation en cas de recours, mais être assez
souple pour ne pas brider flexibilité et réactivité au
quotidien. L’infogérance, c’est un peu comme un
mariage. La non-atteinte des SLA conduit au divorce.
Pour l’éviter, la relation saine doit prévaloir, même si la
confiance n’exclut pas le contrôle…
• Il faut mettre en place un modèle adapté à sa
maturité : l’offshore low-cost ne fonctionne pas
forcément bien avec tout type de client.
• Dans notre stratégie, on voulait un acteur local
surtout parce qu’il y avait beaucoup de réticence
des équipes.
• Il faut impliquer les équipes delivery au plus tôt
dans le projet pour éviter une bascule violente.
• On allait être mariés pendant 5 ans. Si on
démarre la prestation en mettant les gens dans
un mode conflictuel, la relation contractuelle va
prédominer sur la relation humaine.
• Une fois qu’on a signé le contrat, c’est
extrêmement compliqué de changer une virgule.
• On ne choisit pas de quitter le confort de
l’existant pour l’inconnu s’il n’y a pas de fortes
économies à la clé.
• La réversibilité est une phase qu’on a souvent
tendance à négliger et surtout à ne jamais tester.
• Le prestataire sortant est un animal blessé, il fait
tout pour survivre et pour conserver le contrat.
• Si vous faites 1 comité de pilotage par mois,
au bout du 3ème mois vous avez déjà 3 mois de
retard.
33
1
Le modèle de maturité
démarrer quoi que ce soit. Il faut s’appuyer sur des faits
plutôt que des croyances ». Et même si « on connait
les points forts et les points faibles de son infogérant »,
on sait qu’on « ne saura pas demander à un crabe de
marcher droit, mais au moins on sait à quel angle il
avance ».
Aujourd’hui, il existe de nombreux modèles d’infogérance :
infrastructures, applications, postes clients, réseaux,
téléphonie, centres d’appels…. Et plusieurs modes de
fourniture des services : en délégation de personnel
sur site, avec des centres de service partagés situés
en France, dans un pays proche (nearshore) ou lointain
(offshore), avec des personnels parlant plus ou moins
bien le français. Et selon qu’on se lance dans son
premier projet d’infogérance (primo-entrant), ou qu’on
soit un habitué (multi-récidiviste), les avantages d’un
modèle pour l’un peuvent être perçus comme des
inconvénients par l’autre. Un multi-récidiviste avoue :
« On a un modèle d’infogérance qui repose beaucoup
sur l’offshore, c’est quelque chose à prendre aux sérieux
avec l’infogérant pour choisir le bon modèle. Il faut se
poser les bonnes questions sur son modèle de maturité
et mettre le curseur au bon endroit. L’offshore low-cost ne
fonctionne pas forcément bien avec tout type de client ».
Un primo-entrant confirme : « On voulait un acteur
local surtout parce qu’il y avait beaucoup de réticence
des équipes, et aussi parce qu’on avait un niveau
de maturité faible sur l’outsourcing d’exploitation. ».
Un multi-récidiviste complète : « Pour les primoutilisateurs, aller signer des contrats en Inde en Chine
ou au Mali peut se révéler compliqué ». Les barrières
de langue et de culture ne s’estompent pas facilement.
« On a un modèle d’infogérance qui repose beaucoup
sur l’offshore, c’est quelque chose à prendre aux
sérieux avec l’infogérant pour choisir le bon modèle ».
Même si la recherche d’économies substantielles attise
les convoitises (« ce n’est pas le genre de manip qu’on
fait pour gagner 7 ou 8%, il y a trop de risques »), il faut
raison garder avec le low-cost (« la raison d’être de ce
programme était de sécuriser nos applications critiques »).
Et pourtant, les préjugés peuvent avoir la vie dure :
« On pensait fermement que, depuis des années, on
payait 20% de plus que les prix du marché », on n’est
pas à l’abri d’une surprise agréable « alors qu’en fait on
était à -3% ! ». En résumé, « il faut avoir envie, penser
que le fournisseur peut s’améliorer » et « considérer que
c’est un partenaire avec lequel on va vivre pendant x
années. Nos collaborateurs vont travailler avec ses
collaborateurs même s’ils sont situés dans un pays
distant».
La confiance n’exclut pas le contrôle, c’est la raison
d’être des comités de pilotage qui doivent être réunis à
haute fréquence, surtout au démarrage du contrat, car
«si vous faites 1 comité de pilotage par mois, au bout du
3ème mois vous avez déjà 3 mois de retard ! ».
Quel portail de services ?
La plupart des contrats d’infogérance modernes
proposent un portail de services à leurs clients. Pour
un contrat d’infogérance de datacenters, le catalogue
donne « une vision claire des services et d’assurer un
lien fort entre services et architecture ». Ce client dispose
même de « deux types catalogues de services. Celui
proposé par l’infogérant liste les services qu’il fournit à
l’entreprise. Le second type est destiné à nos clients
internes. Il a été construit par notre organisation, qui se
positionne en tant que fournisseur de services internes,
et masque les infogérants qu’il peut y avoir derrière les
services proposés ». Chez un autre client, « le portail
de service avait l’avantage de délester le service desk
d’appels sans réelle gravité ». Le portail intègre un
certain nombre d’informations, d’outils de ‘self-healing’
permettant à l’utilisateur lambda de se débrouiller dans
les cas les plus fréquents et pour les incidents les plus
bénins. « Le seul problème c’est de savoir ce que l’on
veut mettre dans le catalogue de services. A partir
d’une analyse des historiques d’appels, nous avons pu
déterminer les 10 demandes les plus fréquentes. C’est
par celles-là que nous avons commencé à remplir le
catalogue, puis nous avons complété peu à peu ».
Une nécessaire relation de confiance
L’infogérance, comme toute prestation de service,
s’appuie sur une relation humaine entre les équipes IT
et les utilisateurs du client ainsi que les employés du
prestataire. Certains doivent vaincre des réticences et
« montrer comment on s’inscrit sur un apport de valeur
au pays et pas une perte de pouvoir, leur expliquer
qu’au lieu que ce soit eux qui soient réveillés la nuit
pour une barrette mémoire, ce serait nous, idem pour
les passages de patchs… ». Les réticences peuvent se
transformer en force d’inertie, « quand vous avez des
équipes entières qui pensent que l’infogérant sortant
est nul, il faut rétablir une relation de confiance avant de
2
34
de comprendre les stratégies de chacun ».
Qu’il s’agisse d’un premier contrat ou d’une
reconduction, c’est avant le démarrage et pendant la
phase de ‘due-diligence’ que se cimentent les bases
de la réussite du contrat. « Les 3 premiers mois sont
relativement tendus, explique un grand compte,
parce qu’il y a tous les ateliers à mettre en place,
le paramétrage de l’outil (ITSM) qui devait changer,
remettre nos processus à plat pour le nouvel outil. Il a
fallu également caler tous les transferts de compétences,
ensuite refaire une validation documentaire de ce qui
nous avait été fourni…car la documentation de l’ancien
infogérant n’était ni toujours complète ni totalement à
jour ». Les ateliers sont primordiaux car « les livrables
non contractuels sont issus de tous les ateliers. C’est
le client qui a la maîtrise de ce qu’il est censé fournir à
l’infogérant. C’est le moment de documenter ce qui ne
l’était pas ».
Il arrive que le prestataire en cours ne soit pas reconduit,
ce qui a pour effet immédiat de tendre la passation de
pouvoir avec le suivant. « L’infogérant en place a refusé
de donner les mots de passe avant le dernier jour à
19h00. C’était très compliqué d’avoir la nouvelle équipe
en place dans les starting blocks jusqu’au dernier
moment ». Ce que confirme un autre témoignage :
« L’ancien fournisseur avait les manettes jusqu’à 5h59 le
jour J. Ce qui nous a valu une petite minute d’angoisse
lorsque nous avons coupé les consoles de supervision
de l’ancien infogérant et que nous avons basculé sur
celles du nouveau». Mais comment faire autrement ?
Même avec de la bonne volonté, il est difficile –voire
impossible- de faire se chevaucher les 2 contrats
utilisant des processus différents, des outils différents…
L’Essentiel
L’importance de la préparation
Certains infogérants laissent parfois un cadeau d’adieu :
« Le Service Desk s’est retrouvé le 1er jour avec 600
tickets en backlog laissés par le précédent infogérant ».
Le besoin de formalisation est confirmé par un autre
témoignage : « On a fait la due-diligence pendant 6
semaines avec 4 à 5 ateliers par jour. C’est un processus
extrêmement formalisé, il faut noter toutes les questions
car cela sert pendant les premiers temps du contrat
lorsque le prestataire vous dit ‘je ne savais pas que…’ ».
Dans la ‘due-diligence’ « il faut être exhaustif et traçable »
et accepter le fait que « la phase de collecte des
informations est coûteuse en temps et en ressources,
mais elle permet de faire le point en interne».
Les clauses de réversibilité permettent-elles de limiter
ce genre d’effets négatifs ? Un témoin déclare : « La
réversibilité c’est une phase qu’on a souvent tendance
à négliger et surtout à ne jamais tester ». Il conseille de
« la tester 1 fois par an, sans forcément effectuer une
réversibilité totale, mais au moins faire une réversibilité
documentaire et passer un peu de temps pour s’assurer
que toutes les documentations sont au carré et qu’elles
ont été rafraichies au moins une fois au cours de l’année
écoulée ». Et de conclure : « La dernière année, faites-la
2 fois 6 mois avant la fin de contrat et à la fin de contrat ».
CRiP Thématique Outsourcing : sans cesse sur le métier…
Car prudence est mère de sureté, surtout si « on avait
peur de tomber sur un prestataire qui nous impose
avenant sur avenant parce qu’on aurait oublié ceci ou
cela ».
Est-ce facile de changer
d’infogérant ?
A la fin naturelle du contrat, ou de façon parfois anticipée,
se pose la question du renouvellement. Même si l’on
ne dépend pas des marchés publics obligeant à une
nouvelle consultation formelle, nos témoins confirment
que la tacite reconduction fait désormais place à un
processus de mise en concurrence. Certains ont décidé
« d’anticiper la fin de contrat dans une renégociation de
gré à gré ». Pour autant, si ce client choisit de ne lancer
les négociations qu’avec son prestataire en place, celuici est prévenu : « Si, au milieu de la négociation, on n’a
pas trouvé d’accord, on met une appel d’offres sur le
marché ».
Pour un autre « la short list a été faite avec le prestataire
en cours et un nouvel entrant possible » Il poursuit : « Si
vous avez le temps, rédigez le modèle de contrat avec
les 2 entreprises, cela vous permet d’avancer plus vite et
3
35
Le BenChmaRk OutsOuRCIng du CRiP
Les contrats d’outsourcing sont utilisés à peu près
à égalité pour l’infogérance de datacenters ou
de postes de travail. Ensuite sont mentionnés la
maintenance applicative, les réseaux et télécom et
la maintenance système. Est-ce une manifestation
de l’exception française ? Une écrasante majorité
de contrats ont été signés avec des intégrateurs
ou sociétés de service, loin devant les opérateurs
télécoms et éditeurs ou constructeurs.
Le Groupe de Travail a lancé l’initiative d’un
Benchmark Outsourcing au sein du CRIP. Le
questionnaire, comportant 21 questions, a été
envoyé durant le 1er trimestre 2014 à un échantillon
représentatif de 254 sociétés membres du CRIP. A
ce jour 91 réponses ont été collectées, ce qui permet
d’avoir une première photographie des attentes des
membres vis-à-vis de l’outsourcing. Les résultats
sont en ligne avec les études menées par les grands
analystes du marché.
CRiP BenChmaRk ‘OutsOuRCIng’
Q12. avec quel(s) prestataire(s) le contrat a-t-il été signé ?
United
Kingdom
www.crip-asso.fr
4
36
Q3. dans quel(s) domaine(s), un contrat d’outsourcing ?
d’Infrastructures
deProduction
Production
# 30
Mai 2014
PRA / PCA
CRiP Thématique
Mieux maîtriser et maintenir les PRA :
les nouveaux enjeux de la continuité
d’activité
du 16 avril 2014
L’omniprésence de l’informatique dans l’activité de l’entreprise rend les directions
générales de plus en plus exigeantes sur la nécessité de restreindre au minimum,
voire supprimer totalement les interruptions non planifiées du S.I. Certes, la notion
de PRA (plan de reprise d’activité) est aussi vieille que l’informatique elle-même,
ou presque. Mais son périmètre a évolué. Désormais, les directions Métier s’invitent
à la table des discussions sur la définition, les tests et l’audit du PRA, qui doit
progressivement s’élargir du PRA au PCA. Mais l’objectif du zéro-RTO est-il réaliste,
non seulement techniquement, mais également financièrement ?
Le contexte
En quelques phrases
Cette Conférence CRiP Thématique a été organisée
par le Groupe de travail PRA/PCA, piloté par François
Tête (président du CCA, Club Continuité d’Activité)
et Pascal Antier (ADP). L’événement était parrainé
par Jean-François Pasquier, Group IT Infrastructure
Director chez Tarkett. Six témoignages d’entreprises,
déjà engagées ou démarrant un projet de PRA/PCA,
ont illustré les diverses facettes, la méthodologie, les
aspects techniques mais également fonctionnels –
autant de paramètres nécessaires pour rendre un PRA
le plus opérationnel possible. Pas de recette miracle,
même si quelques invariants existent, car chaque PRA
est spécifique à chaque entreprise. Le PRA n’est plus
un problème technique qui doit être seulement traité
par les spécialistes de la DSI. Les Directions Métier
sont de plus en plus impliquées, pour s’assurer que
le PRA réponde aux attentes ‘business’ en cas de
sinistre. Si les métiers aimeraient tendre vers le zéroRTO, il faut mettre en regard les coûts induits avec les
risques métier encourus. Les éléments techniques ont
été abordés dans cette journée. Mais les témoignages
ont permis de partager diverses expériences sur des
éléments souvent plus importants, parfois intangibles,
de l’optimisation du PRA.
• Qu’est-ce que les métiers sont prêts à payer ?
L’enjeu est de placer le curseur entre les risques
et les moyens de les contingenter.
• Le PRA est un projet graduel qu’il faut stratifier,
et pour lequel il faut trouver le bon niveau de
granularité.
• L’adhérence entre applications nous oblige à
traiter ces applications en blocs homogènes.
Nous sommes pris entre deux feux : limiter
le nombre de blocs en y intégrant le plus
d’applications possibles, ou bien multiplier le
nombre blocs avec peu d’applications, donc plus
souples à basculer.
• C’est le critère « revenu généré par l’application »
qui détermine son niveau de criticité.
• Le métier définit les scénarios, les plans de tests,
et effectue puis valide les tests.
• Se préoccuper du ‘fail-over’ sur le site secondaire
ne suffit pas : il faut également penser au retour
vers le site primaire lorsque l’incident est clos.
• Un audit n’est réussi que s’il apporte de la valeur
ajoutée à toutes les parties prenantes.
• Grâce au travail de tous sur le PRA, nous avons
constaté une baisse de 10% de nos incidents
classés ‘sévérité 1’ sur 3 ans, malgré la croissance
des volumes applicatifs sur la période.
37
1
Gérer le PRA comme un projet à part
entière
Comment tendre vers la continuité
d’activité ?
Tous les intervenants reconnaissent que le
PRA/PCA doit être géré comme un projet, et
disposer d’un sponsorship de niveau managérial
pour pouvoir disposer des moyens humains
et financiers. Pour l’un, « le projet commence
6 mois avant la date du test. Le week-end du
test mobilise une équipe de 220 personnes ».
Chez un autre, « chaque année le projet de test
démarre pendant l’été pour un test réel en novembre.
Une semaine de préparation intensive avant le
jour J permet de minimiser les risques ». Pour un
troisième, « la préparation mobilise 8 ETP sur un an
pour réaliser plus de 400 tests unitaires. L’exercice
de bascule dure 36 heures, dont 12 sur site unique,
et implique 120 intervenants IT». Un autre témoin,
disposant d’une équipe de production d’une dizaine
de personnes, a dû « renforcer les équipes pour
passer le cap, et maintenir le PRA en état de marche
une fois le test terminé ». La planification du test du
PRA est donc un véritable projet qui doit adresser
plusieurs facettes. Pour l’un des intervenants, il faut
« effectuer une préparation rigoureuse des exercices
sur 5 axes : technique, fonctionnel, organisationnel,
logistique et sous l’angle de la communication ». Ce
que confirme un autre témoin : « On a besoin d’une
précision chirurgicale des équipes du projet. Il faut être
hyper carré pour éviter de se perdre dans les détails,
ou oublier les objectifs d’ensemble du PRA ». Mais
même si le projet DRP est reconnu comme important
pour l’entreprise, « il entre en conflit avec la vraie
production, les vrais nouveaux projets, le périmètre est
mouvant ». L’organisation de tests de PRA a parfois
rendu évidente la création de profils de Business
Relationship Managers (BRM): « Entre le business
et l’IT, les équipes n’ont ni le même langage, ni les
mêmes objectifs. Le BRM aide à fluidifier la gestion
des incidents durant le PRA ». Une fois le test réalisé,
« un plan d’amélioration global est découpé en plans
d’améliorations spécifiques à chaque business ».
On peut ainsi faire entrer le PRA dans un processus
d’amélioration continue.
Le groupe de travail PRA/PCA du CRiP a déjà
classifié les notions de PCI/PRA/PCA… Pour la
plupart des entreprises, rependre son activité après
un sinistre c’est bien, mais continuer son activité
malgré un sinistre c’est encore mieux. La continuité
d’activité dépasse le cadre de l’IT, elle doit traiter les
problèmes liés aux employés, aux postes de travail,
aux bâtiments, aux fournisseurs. C’est une cellule
de gestion de crise qui va mobiliser tous les maillons
critiques de l’entreprise (y compris l’informatique,
mais pas seulement) pour passer le cap de l’incident
pour lequel la cellule aura décidé d’activer le Plan de
Continuité. « Il est important de disposer des Business
Continuity Plans, car en cas de sinistre la cellule de
crise va interagir avec la DSI pour déclencher le PCIT
» commente un intervenant. Il faut prévoir le scénario
du pire, comme l’avoue un autre intervenant : « Nous
avons identifié les tâches les plus importantes à
réaliser même en cas de black-out total. Nous avons
défini les traitements à réaliser manuellement jusqu’au
rétablissement de l’informatique ».
L’objectif de réduction des RPO et RTO trouve des
réponses techniques, ce que confirme un témoin :
« Le PRA c’est une chose, la continuité de service
en est une autre. Les technologies permettent de
s’approcher du zéro RTO, mais à quel prix ? ». Et,
autre question préalable, toutes les applications de
l’entreprise doivent-elles tendre vers le zéro-RTO ? Un
des témoins explique : « Sous l’égide de la Direction
Financière, nous avons catégorisé nos applications
en 3 blocs : mission critique, business critique et
business standard ». Mais dans certains cas, les
contraintes géographiques rendent impossible,
ponctuellement ou non, un RTO nul, et même pour
une application critique : « Ce processus critique pour
notre métier implique 127 applications et plus de 100
serveurs. Avec 2 datacenters distants de 800 km
pour pallier un incident régional, comment faire pour
avoir un RPO même presque égal à zéro ».
2
38
L’objectif ultime d’un PRA n’est pas tant de redémarrer
le système d’information que de relancer a minima les
applications critiques, de reconnecter les utilisateurs, et
de pouvoir assurer à l’entreprise une Reprise d’Activité.
Cela suppose que quelqu’un ait défini des applications,
ou des blocs d’applications par type de criticité. Certains
ont réalisé ce travail de classification sous l’égide du
Directeur Financier Groupe. Pour d’autres, « c’est le
revenu généré par l’application qui détermine son niveau
de criticité ». Tous les intervenants ont convenu que les
métiers sont de plus en plus impliqués dans le PRA
et les exercices annuels. Pour l’un, « c’est le business
qui définit les scénarios, les plans de tests, qui réalise
et valide les tests ». Pour un autre, « les plans de tests
sont conçus et testés par les métiers. Sinon ce sont les
études qui s’y collent ».
Selon l’activité de l’entreprise, on peut même être amené
à intégrer plusieurs fonctions transverses comme «
les finances, les ressources humaines, la gestion des
marchandises, le développement, les magasins ». Une
fois le test engagé, « tous les domaines fonctionnels se
connectent, et ce sont eux qui lors d’une conférence
téléphonique donnent leur GO/NOGO à la poursuite du
test, ou au repli en condition ‘normale’ ». Cela va sans
dire, pour limiter, voire éviter les risques sur la production,
les tests se déroulent le week-end de façon générale.
Malgré tout, « c’est de plus en plus difficile de trouver un
créneau sur lequel tous les intervenants sont disponibles ».
Et « pendant le test, aucun impact métier n’est toléré ».
Quelles perspectives pour le PRA ?
Cette journée riche en retours d’expérience a été
focalisée sur la vision du PRA côté datacenter. La
table ronde finale a permis de soulever quelques
points annexes. A la question « qui lance le PRA
dans l’entreprise», la réponse quasi-unanime était :
« Aujourd’hui c’est la DG qui décide de lancer le projet
PCA, même si la DSI fait des choses dans son coin ».
Mais un intervenant souligne que, pour les tests,
« c’est plutôt la DSI qui décide, car la DG ne voit pas
tous les impacts découlant d’un PCA ». La question
de l’accès des utilisateurs en cas de PRA peut trouver
une réponse dans le travail à distance (sous réserve
d’accords préalables et de la sécurisation des accès
réseau), et avec l’accès d’une partie des utilisateurs à
des centres de repli spécialisés.
Jusqu’où doit-on tester son PRA ?
Chacun doit faire le grand écart entre la complétude
des tests, les coûts humains induits et le risque
encouru si le test est incomplet. Doit-on aller jusqu’à
simuler un sinistre réel non planifié, ou rester dans
le cadre d’un exercice au périmètre bien défini
par avance ? Pas de dogme sur le sujet. Si l’un
« active le PRA une semaine par an en production sur
toutes les bases de production SAP », un autre « ne
bascule pas réellement la production pendant le test.
Elle est momentanément fermée aux clients durant
la bascule ». Si certains jouent le jeu jusqu’au bout «
simulant un sinistre en coupant les réseaux, sans toucher
aux bases de données », la majorité préfère procéder
à un test planifié, qui permet de procéder à « un arrêt
propre des applications, des outils d’exploitation, des
bases de production ».
De l’avis des intervenants, les sinistres logiques (tels
une corruption de base de données, un virus ou une
intrusion) ne sont pas redevables de PRA. Ils sont
plutôt assimilables à des incidents d’exploitation.
Néanmoins, en fonction de la profondeur ou de la
virulence de l’incident « logique », il est envisageable
de recourir au PRA, en espérant que les sauvegardes
3
39
L’Essentiel
La question de prévenir les utilisateurs fait débat,
un intervenant avoue même « avoir renoncé à les
prévenir désormais, car au moment du premier
test, une surcharge d’incidents avait été signalée,
dont une grande partie n’avait pas trait au PRA ».
Pour éviter de mauvaises surprises lors du grand
test annuel, certains imposent des tests préalables
unitaires par application ou bloc d’applications,
d’autres réalisent « des tests réguliers de bascule
de ‘clusters’ de bases de données », et mettent
« leurs pilotes d’exploitation en condition de PRA sur
le site de secours tous les mois ». En parallèle, des
exercices d’alerte inopinés permettent de « simuler en
combien de temps les acteurs se mettent en ordre
de marche pour redémarrer le site secondaire durant
la journée, la nuit ou le week-end ». Une fois le test
réalisé, les enseignements en sont tirés, pour agir sur
les points faibles, et aller plus avant lors de l’exercice
suivant. L’un souhaite « élargir le périmètre du test
aux serveurs hors SAP (serveur de fichiers, serveurs
d’infrastructure, serveurs d’accès distants …) » tandis
que l’autre « se mettra dans des conditions plus
proche d’un sinistre réel ». Le facteur financier s’invite
à la réflexion pour un troisième : « Nous effectuons
actuellement deux tests annuels, mais nous nous
demandons si nous n’allons pas espacer les tests ».
CRiP Thématique Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d’activité
L’implication croissante des métiers
composants matériels. La perte d’un nœud ne
compromet pas l’aboutissement de l’application.
C’est elle qui gère sa disponibilité et pallie les
défaillances matérielles. Mais est-il concevable
de réécrire les applications d’un PRA pour leur
faire gérer elles-mêmes la haute disponibilité ?
Le Software Defined Datacenter (SDDC) apporterat-il des réponses à l’évolution du PRA ?
aient été immunisées. Dans les perspectives
d’évolution du PRA, quel impact peut jouer le Cloud
(public)? Les intervenants ont admis manquer, à ce
jour, de retour d’expérience sur le sujet. Le Cloud
offrira-t-il une solution de PRA low-cost ? Comment
pourra-t-il satisfaire les contraintes de qualité de
service demandées par les directions métier ?
Et comment s’engager sur un RPO court sans devoir
répliquer fréquemment les données vers le Cloud de
secours ? La volatilité du Cloud n’obligera-t-elle pas à
la multiplication des tests ?
Si les évolutions technologiques repoussent les
frontières du possible, les contraintes du business
déplacent les limites de l’impossible « pour tangenter
l’asymptote du zéro-RPO et zéro-RTO ». Ce qui laisse
à penser que le sujet du PRA/PCA a encore de beaux
jours devant lui.
Certaines technologies, comme Hadoop ou les
‘clusters’ de serveurs de calcul HPC par exemple,
ne font plus dépendre leur disponibilité sur les seuls
la part de certains qui y voient un outil répressif.
Et d’ailleurs, cette question se pose : l’audit
doit-il être réalisé en externe ou en interne (sous
réserve de disposer de compétences certifiées) ?
Pour garder son degré d’indépendance, l’auditeur
interne est de préférence rattaché directement à la
Direction Générale et au comité d’audit. Une des
clés de la réussite est « de construire des relations
solides. Il faut démontrer la valeur ajoutée, faire
accepter le jeu par la DSI dans une relation
gagnant/gagnant, et éviter un audit répressif en
aidant la DG à faire avancer le PRA ». De toutes
façons, « avant de démarrer l’audit réel, on fait un
diagnostic et on bâtit un programme de travail »,
car in fine « un audit n’est réussi que s’il apporte de
la valeur ajoutée à toutes les parties prenantes ».
Le sujet est d’importance. Le groupe de travail
PRA/PCA a rédigé une fiche destinée à « préciser
à l’audité le contenu d’un audit de la continuité
d’activité » et « prendre en compte l’audit de la
continuité d’activité, plutôt que se limiter à l’audit
du PRA / PCA ». La fiche portera sur « le Système
de Management de la Continuité d’Activité –
SMCA » et « les services rendus aux clients selon
la norme ISAE 3402 ». Faisant suite au standard
SAS 70, la norme ISAE 3402 (International
Standards for Assurance Engagements) permet
aux utilisateurs de prestations externalisées
d’obtenir une assurance sur la fiabilité du dispositif
de contrôle interne de leurs prestations de services
(voir : isae3402.com). La démarche d’audit doit
souvent affronter des freins psychologiques de
United
Kingdom
www.crip-asso.fr
4
40
Comment audIteR son PRa ?
Moteur de l’innovation et
de la transformation digitale
Vraie vie
Influencer l’écosystème
Apprentissage collectif
Contenu agnostique
Indépendance VIS-A-VIS des fournisseurs
Partage d’expériences
Valoriser l’innovation
comme avantage économique
Un Cercle de confiance pour permettre aux Responsables
d’Infrastructure et de Production d’être plus performants dans leurs métiers
41
8 raisons
d’adhérer au CRiP
Être à la pointe de l’innovation
et de la transformation digitale
”En 2 European Summits nous avons eu une vision
concrète des technologies sur lesquelles nous
devons concentrer nos efforts et former nos
équipes.Subtile alchimie entre Networking
et Innovation dans un cadre inhabituel et donc
toujours propice à la concentration.
L’iTES …The place to be“.
Un réseau pour rencontrer ses pairs
dans un cercle de confiance
«Un networking avec mes pairs et des leaders
« d’IT opinion » dans un cercle de confiance.»
Pierre aUGUstE,
Directeur de l’Ingénierie des
Infrastructures, PUBLICIs
Bruno PRévost
Directeur Infrastructures It, safRan
veille technologique et
benchmarking pour prendre
les bonnes décisions stratégiques
”l’IT European Summit : une organisation très
riche en échange et en contenu. L’exercice n’est
pas simple d’arriver à satisfaire les attentes de
chacun mais je suis sûre que chaque participant en
repart avec éléments qui faciliteront ses décisions
stratégiques“.
Marie-Charlotte BoUCHERY
Cto, BonDUELLE
Profiter de l’expérience de mes pairs
pour accélérer mon time-to-market
et ma productivité
”Le CRiP est un espace d’échanges sereins sur
des sujets concrets dans un monde en perpétuelle
mutation, où nos sociétés nous demandent d’aller
toujours plus vite “.
Dominique BaRtHoUx
Head of Group Infrastructure,
UnIBaIL-RoDaMCo
Une information utile
indépendante des fournisseurs
”Partage et indépendance résument bien l’esprit du
CRIP. J’apprécie surtout les retours d’expérience qui
permettent de se forger un avis sur l’impact réel de
nouvelles technologies“.
Kathleen MILstED
Directrice Programme
Cloud for Internal It, oRanGE
42
Une passerelle vers
d’autres associations de métiers
“Le CRiP est une instance efficace et pragmatique
sur laquelle s’appuyer pour faire face aux défis de la
transformation numérique et être en phase
avec les nouvelles attentes métiers.”
Gery BontE
Cto, saInt-GoBaIn
Me situer par rapport
à mes pairs internationaux
”L’apport de gourous des universités américaines
et l’éclairage des sociétés «capital risk» sont
une aide précieuse pour mieux appréhender
le futur paysage de l‘IT“.
Lionel vERLaInE
Cto, oRanGE
Des événements de qualité
toujours plus innovants
”Bravo pour Reims. C’est vraiment une superbe
manifestation. Nous avons eu la vision des venture
capitalists qui nous aident à mieux comprendre
le futur proche, et sur un futur plus lointain avec
Watson (IBM), un nouvel éclairage de l’utilisation
du big data et des données, et de la place que
pourraient prendre dans l’entreprise des systèmes
cognitifs sur des fonctions à très forte
valeur ajoutée“.
Jean-Paul aMoRos
Cto, GDf sUEZ
8 raisons
L’Édito
d’adhérer
au CRiP
du Président
Notre Horizon 2020
faire de l’Infrastructure et la Production
Être à la pointe
l’innovation
Informatique
un desde
moteurs
de l’Innovation
et
de
la
transformation
digitale
et du Digital et un contributeur à la
”En 2 European
nous avons eu une vision
compétitivité
deSummits
l’entreprise
Meséquipes.Subtile
chers collègues,
alchimie entre Networking
et Innovation dans un cadre inhabituel et donc
Grâce
à vous,
en à7 laans,
le CRiP est devenu une
toujours
propice
concentration.
association
reconnue
L’iTES …The
place to du
be“.monde de l’IT, comptant
plus de 3500 membres, représentant près de 300
Entreprises adhérentes.
Bruno PRévost
Directeur Infrastructures It, safRan
Nos crédos du début sont restés inchangés :
- indépendance des fournisseurs,
- retours d’expériences de la vraie vie,
- travail
collaboratif au seinet
de nos groupes de
veille
technologique
travail,
benchmarking
pour prendre
- aider nos membres à être plus performants
lesdans
bonnes
décisions
leur métier à travers stratégiques
la production de
contenus
agnostiques
: Livres
Blancs, très
Fiches
”l’IT European
Summit : une
organisation
Pratiques,
Essentiels
IT, Exécutive
notesn’est
et
riche
en échange
et en contenu.
L’exercice
CRiP
Thématiques.
pas
simple
d’arriver à satisfaire les attentes de
repart
avec éléments
faciliteront
décisions
Mais
le monde
change…quiFusion
entreses
informatique
stratégiques“.
personnelle
et professionnelle, le shadow IT,
le Cloud Computing, le Big data, les pressions
Marie-Charlotte
BoUCHERY
budgétaires font que
notre mission
et notre rôle au
sein de l’Entreprise évoluent.
Cto, BonDUELLE
Il est donc nécessaire que le CRiP se ré-invente pour
apporter encore plus de services à nos adhérents
et
leur permettre
de contribuer pro
à la
Profiter
de l’expérience
deactivement
mes pairs
mutation digitale de leur entreprise.
Nous
devons
naturellement garder les ingrédients
et ma
productivité
qui ”Le
constituent
force
d’attraction
CRiP est unnotre
espace
d’échanges
sereinsmais
sur les
compléter
avec
de nouveaux
nouvelles
des sujets
concrets
dans un services,
monde en de
perpétuelle
passerelles
lessociétés
métiersnous
de l’entreprise
et vers
mutation, vers
où nos
demandent d’aller
l’international.
faut“. aussi positionner notre métier
toujours plusIlvite
vis-à-vis de ces nouvelles fonctions (Digital Officers,
Dir. Innovation) qui ontDominique
pour mission
d’utiliser le
BaRtHoUx
digital et l’innovation
un avantage
Head ofpour
Groupconférer
Infrastructure,
compétitif à leur entreprise.
UnIBaIL-RoDaMCo
C’est pourquoi nous avons lancé
Un réseau
pour: rencontrer ses pairs
de nouveaux
services
- Un outil
sondage et
demes
benchmarking
qui nous
«Unde
networking
avec
pairs et des leaders
permet
rapidement
de dresser
une
cartographie
« d’IT
opinion » dans
un cercle
de confiance.»
représentative des grandes tendances et des
maturités d’usage et de technologie sur les sujets
qui nous intéressent.
Pierre aUGUstE,
- Ce sont des compléments
pour
Directeur degratuits
l’Ingénierie
des les
membres du CRiP ayant
participé à PUBLICIs
ces études.
Infrastructures,
Ce sont aussi des outils performants de partage
de veille technologique, de vote en ligne, et de
stimulation de l’innovation.
- Enfin nous avons aussi donné un nouveau
« design » à notre réseau social BeeCRiP pour
passerelle
vers
queUne
nos membres
puissent
d’une part, échanger,
se d’autres
rencontrer,
partager
dansdeunmétiers
cercle de
associations
confiance, et, d’autre part, trouver une information
agnostique.
sur laquelle s’appuyer pour faire face aux défis de la
Les passerelles vers les métiers :
Pour répondre aux grands enjeux de la recherche
d’avantages économiques et deGery
la BontE
mutation
digitale le CRiP a noué Cto,
des saInt-GoBaIn
liens avec des
associations sœurs :
- Le CRAI, Club des Responsables Achats
Informatiques
- Le CDO Alliance qui regroupe les Digital Officers
- Le Cercle des Directeurs de l’Innovation
Les passerelles
vers internationaux
l’international :
à mes pairs
- Grande Bretagne : CTO Alliance UK qui
”L’apport
gourous
des universités américaines
regroupe
lesde
CTOs
britanniques
et l’éclairage
sociétés «capital
sont
- IT Forum
Africa des
qui regroupe
les DSIrisk»
africains
une
aide
précieuse
pour
mieux
appréhender
francophones
Nous sommes convaincus que vous serez nombreux
Lionel vERLaInE
à nous rejoindre.
Cto, oRanGE
Philippe sERsot
Président
du CRiP
Des événements
de qualité
CTO Crédit Agricole CIB
Une
information utile
nos objectifs pour ces prochaines années :
indépendante
des fournisseurs
le le
futur proche,
et sur un et
futur
plus lointain
1) Maintenir le cercle de confiance
2) Avoir une voix qui porte sur
3) Promouvoir,
anticiper
sur les avec
dans le cadre
de groupes résument bien
marché
de nos métiers.
”Partage
et indépendance
l’espritpour
du le bénéfice de
Watson (IBM),changements
un nouvel éclairage
de l’utilisation
de travail
qui constituent
le retours d’expérience
nos entreprises
devrons positionner
les que
CRIP.
J’apprécie
surtout les
qui : nous devons
du big data etNous
des données,
et de la place
fondement de notre association et
pour cela aussi profiter de la
membres du CRiP comme les
permettent
de
se
forger
un
avis
sur
l’impact
réel
de
pourraient
prendre
dans
l’entreprise
des
systèmes
dont la qualité des livrables doit
possibilité d’inscrire le CRiP
interlocuteurs IT des nouveaux
nouvelles
technologies“.
cognitifs sur des
fonctions
à très forte et
toujours pousser
le CRiP vers le
dans un réseau international
métiers
de transformation
haut. Pour se faire, nous devons
permettant à ses membres
de ajoutée“.
comme force de proposition
valeur
toujours veiller à maintenir active
se benchmarker avec leurs pairs
dans la mutation digitale de
Kathleen
MILstED
l’intelligence collective et les
hors des frontières et de peser
l’entreprise. Positionner le CTO
Directrice
Jean-Paul
aMoRos
travaux des contributeurs
sur Programme
sur les choix des fournisseurs.
comme le référent
technologique.
des sujets quiCloud
doivent
forapporter
Internal It, oRanGE
Cto, GDf sUEZ
un avantage économique à leurs
entreprises.
43
En savoir plus
sur le
Le CRiP, Association Loi de 1901, compte parmi ses adhérents, des grands comptes,
entreprises et administrations, qui utilisent des technologies de l’information.
Le CRiP rassemble une communauté de membres, tous Responsables d’Infrastructures
et/ou de Production.
Le CRiP est un cercle de confiance, un lieu d’échanges, de partage et de discussions
en toute confidentialité entre ses membres confrontés aux mêmes défis financiers,
technologiques et organisationnels.
Objectifs
Rendre nos membres plus performants dans leurs métiers à travers l’actualisation de
connaissances, l’échange de bonnes pratiques, le partage de veille technologique, l’élaboration
de prospectives, la promotion des métiers de l’Infrastructure et de la Production au sein d’un
cercle de confiance indépendant des fournisseurs :
- Partager les visions et les retours d’expérience
- Echanger et travailler sur les technologies, les ressources humaines, les organisations et
processus, les approches financières des projets, les relations avec les offreurs
- s’appuyer sur les travaux du CRiP pour promouvoir un projet au sein de son entreprise
- Promouvoir leur fonction au sein des Entreprises
- Créer un réseau de communication rapide et efficace entre dirigeants.
Conseil Administration du CRiP
Le bureau est constitué de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de
grandes entreprises et administrations françaises, élus lors de l’Assemblée Générale. Philippe Sersot,
CTO de Crédit Agricole-CIB en est le Président.
Philippe SERSOT
CREDIT AGRICOLE CIB - CTO
Président du CRIP
Marc BEGUE
CNES - CTO
Vice-Président exécutif
Thierry DESVIGNES
CNP - DSI
Vice-Président
Hervé MAGNIER
AÉROPORTS DE PARIS - CTO
Vice-Président
Jean-Paul AMOROS
GDF SUEZ - DSI Corporate
Vice-Président exécutif et secrétaire
Gery BONTE
ST GOBAIN - CTO
Vice-Président
Frédéric DIDIER
ARVAL - DSI
Philippe MICHON
ALLIANZ - CTO
Vice-Président
Daniel JONDET
GENERALI - CTO
et trésorier
Jean-Marc CERLES
VEOLIA - Directeur de la sécurité
des systèmes d’information
Vice-Président
Jean-Pierre DUMOULIN
PSA PEUGEOT-CITROËN - CTO
Jean-Michel ALCARAS
STIME - CTO
Vice-Président
David DECOVEMACKER
AUCHAN - Directeur Opérations
et Infrastructures
Éric PARMELAND
MINISTÈRE DE L’ÉDUCATION
NATIONALE - Responsable
Organisation de la Production
Nationale
Vice-Président
Pierre AUGUSTE
Directeur de l’ingénierie
des infrastructures - PUBLICIS
Vice-Président
Philippe BARAT
SPIE - CTO
Vice-Président
Brigitte DECLERCK
AGIRC-ARCO
Responsable de la Stratégie de
la Production et de la Sécurite
Vice-Présidente
Olivier DERSCH
L’OREAL - CTO
Vice-Président
Patrick DURIEZ
GROUPE CASINO - CTO
Vice-Président
Olivier HEITZ
BOUYGUES TELECOM - CTO
Vice-Président
Marc LIMODIN
LA POSTE - Direction du courrier - CTO
Bruno PREVOST
SAFRAN - CTO
Lionel VERLAINE
ORANGE - CTO
Philippe LOPEZ
THALES - CTO
Vice-Président
Le Conseil d’Administration est constitué de CTOs et de DSI (Directeurs Infrastructures et Production
Informatique) de grandes entreprises et administrations françaises, élus pour un an lors de l’Assemblée
Générale du CRiP.
La mission du Conseil d’Administration est de fixer l’orientation stratégique du CRiP et de valider le budget.
44
8
raisons
Au
service
des adhérents
d’adhérer
au CRiP
Être à la pointe de l’innovation et
de
la transformation digitale.
Conscient
que l’infrastructuredigitale
et la production
et de la transformation
doivent être force de proposition pour augmenter
la productivité
et la compétitivité de l’entreprise,
le CRiP
de nos
services, de
devons propose
concentrer un
nos ensemble
efforts et former
séminaires
et de alchimie
conférences
autour de l’Innovation
équipes.Subtile
entre Networking
et Digital.
Innovation dans un cadre inhabituel et donc
et du
ITES - Information Technology
European Summit
Bruno PRévost
Un séminaire
annuel
pour présenter
les ruptures
Directeur
Infrastructures
It, safRan
d’usages et de technologies à horizon de 5 ans.
IT innovation Forum
veille
technologique
et
Une
cinquantaine
de solutions
innovantes
sélectionnées
par
un
jury
de CTOs du CRiP,
Directeurs
innovation
et Venture
Capitalists sont
les bonnes
décisions
stratégiques
présentées 3 à 4 fois par an.
”l’IT European Summit : une organisation très
riche en échange et en contenu. L’exercice n’est
stratégiques“.
Innovation
Study
Tour
dans un cercle
de confiance
Des voyages d’étude dans les spots à haute
densité
innovante
(Silicon
Valley,
Israël, etc..)
« d’IT opinion
» dans
un cercle
de confiance.»
www.itiforums.com
Pierre aUGUstE,
L’accès privilégié
à un site
dédié à l’innovation.
Directeur
de l’Ingénierie
des
CRiP Review Innovation
Une veille technologique dédiée à l’innovation.
Cercle Innovation & Cercle des Chief
Digital
Officersvers
Une passerelle
Des
passerelles
avec les associations
d’autres
associations
de métierssœurs et
cercles
regroupant
les
Directeurs
de l’innovation
et les
Digital
officers.
sur Chief
laquelle
s’appuyer
pour faire face aux défis de la
Prendre les bonnes décisions stratégiques
pour préparer l’avenir.
Gery BontE
Cto, saInt-GoBaIn
Le CRiP met à disposition
deBonDUELLE
ses membres des
Cto,
services pour les aider à prendre les bonnes
décisions.
Benchmarking
Complémentaires
aux analyses
des Gartner
pour accélérer mon
time-to-market
et autres, le CRiP produit 5 à 6 synthèses par
et ma productivité
an suite aux sondages effectués auprès de ses
CRiP est un espace
d’échanges sereins
sur grands
300”Le
adhérents.
Ces enquêtes
sur les
des sujets concrets dans un monde en perpétuelle
sujets
(Sécurité, Big Data, Analyse de coûts des
infrastructures,
etc…
toujours plus vite
“. ) permettent aux adhérents
de se benchmarker et de confronter leurs réponses
en one-to-one.
Dominique BaRtHoUx
Review
UnIBaIL-RoDaMCo
Les veilles technologiques thématiques sont
réalisées par les experts des groupes de travail.
Ils
compilent
et publient
Une
information
utile régulièrement dans
CRiP Review, les informations qu’ils estiment
indépendante
fournisseurs
intéressantes
pourdes
la communauté.
”Partage et indépendance résument bien l’esprit du
Kathleen MILstED
Cloud for Internal It, oRanGE
à mes pairs internationaux
Lionel vERLaInE
Cto, oRanGE
valeur ajoutée“.
Jean-Paul aMoRos
Cto, GDf sUEZ
45
Profiter de l’expérience de mes pairs et faire
profiter la communauté de mes expériences
pour conférer des avantages économiques
à mon entreprise.
Groupe de Travail
Essentiels & Executive Notes
C’est le lieu même de l’échange. Le Groupe de
Travail réunit des personnes désirant travailler
sur un sujet commun. Au fil des réunions, le cercle
de confiance se renforce, ce qui permet l’échange
d’informations et d’expériences de la vraie vie de
l’entreprise.
Depuis fin 2011, les CRiP Thématiques sont suivies
par la publication de leurs synthèses, les « Essentiels », distribuées à l’ensemble de la communauté
du CRiP.
Enfin, le CRiP publie régulièrement, depuis
début 2012, des « Executive Notes » qui sont des
synthèses de vulgarisation à destination des
dirigeants. Elles ont pour objectif de présenter
de façon synthétique et stratégique certains
des grands thèmes qui animent le domaine des
Technologies de l’information.
Base Projets
C’est une base de données répertoriant les
projets d’Infrastructures et de Production des
sociétés membres du CRiP, ainsi que leur niveau
d’avancement.
C’est un moyen efficace dans un cercle de
confiance d’accélérer le time to market et de
prendre en compte les bonnes pratiques déjà
étudiées par son correspondant afin d’éviter les
erreurs.
Base Prestataires de confiance
Cette base regroupe les prestataires spécialisés
qui ont été recommandés par au moins un CTO du
CRiP.
Livres Blancs & Fiches Pratiques
Chaque groupe de travail apporte une contribution
importante dans l’élaboration de documents de
référence.
Ils permettent de mesurer et d’observer l’évolution
des enjeux des CTOs et de leurs infrastructures
et de mettre en relief les grandes tendances
liées aux principaux challenges des productions
informatiques.
Tous ces ouvrages deviennent inéluctablement
une référence importante pour les CTOs et leurs
équipes, ils constituent des outils reconnus pour
l’amélioration de la performance opérationnelle
et stratégique.
46
Newsletter : L’actualité du CRiP
L’équipe CRiP édite une newsletter qui passe en
revue les récentes initiatives prises au sein du
Club: les sessions en Région, les nouveaux groupes
de travail, les rendez-vous importants à venir, les
nouveaux outils mis en place sur le portail, la liste
des sociétés qui viennent de signer une nouvelle
adhésion, les rendez-vous, bref, les principales
informations qui rendent compte de la vitalité du
Club et de ses adhérents.
Dîner Cercle Ctos
Une rencontre mensuelle dans un cercle de
confiance exclusif. Au sein de cet espace d’échanges
ouverts et en toute confidentialité, les CTOs traitent
des sujets stratégiques de leur activité et partagent
en direct leur expériences.
8 raisons
De grands événements
deCRiP
rencontre
d’adhérer
au
pour échanger entre pairs
Au service
des adhérents
Conférences Thématiques
& Régionales
Les
clésàde
compréhension
et de la traduction
Être
lalapointe
de l’innovation
opérationnelle
des
services
et
technologies
et de la transformation digitale dans la
vraie vie de l’Entreprise.
”Ensur
2 European
Summits
nous avons
une vision
Basées
les travaux
des groupes
deeutravail
du CRiP
et véritables
«
think
tanks
»,
les
conférences
CRiP
Thématiques
ont
pour
ambition
de
:
équipes.Subtile alchimie entre Networking
et Innovation
dans
cadre inhabituel et des
donc
- fournir
les clés
deuncompréhension
toujours
propice
à
la
concentration.
technologies et solutions des fournisseurs,
- présenter :
• leurs business cases
Bruno PRévost
• les grandes
tendances
Directeur
Infrastructures It, safRan
• le panorama des offres
• et leurs traductions opérationnelles dans la vraie
vie de l’entreprise et des administrations
Plénières
les bonnes décisions stratégiques
Les plénières
organisées
deux
fois par très
an, sont un
”l’IT European
Summit : une
organisation
moment
riched’échanges
en échange etprivilégiés,
en contenu. notamment
L’exercice n’estsur des
thèmes
le domaine
et
pasdépassant
simple d’arriver
à satisfairede
lesl’Infrastructure
attentes de
mais jeinformatique.
suis sûre que chaque participant en
de la chacun
Production
stratégiques“.
Cto, BonDUELLE
Dans
le cadre
agnostique
qui ses
régitpairs
le CRiP
Un réseau
pour
rencontrer
(indépendance
vis-à-vis
des
fournisseurs),
l’objectif
est de permettre à chacun de :
networking
avec mes
des leaders
- se«Un
forger
une opinion
en pairs
touteetindépendance,
- évaluer le business case, les bénéfices et effets de
bords des mises en oeuvre à travers les retours
d’expérience présentés, Pierre aUGUstE,
- rencontrer ses Directeur
pairs, de l’Ingénierie des
- rencontrer les fournisseurs
majeurs.
Infrastructures,
PUBLICIs
Une passerelle vers
d’autres associations de métiers
Convention
annuelle
sur laquelle s’appuyer
pour fairedu
face CRiP
aux défis de la
transformation
en phase
Pendant
deux numérique
jours enet être
juin,
la Convention
rassemble plus de 2000 responsables utilisateurs
IT, membres du CRiP ou non, Gery
met BontE
en avant plus de
100 retours d’expérience
terrain illustrant les
Cto,de
saInt-GoBaIn
déploiements opérationnels au sein des adhérents
du CRiP, en lien avec les Groupes de travail.
Rencontrer les dirigeantsà des
offreurs
mes pairs
internationaux
Cercle
i
A l’issue des plénières, les membres du CRiP se
et ma productivité
retrouvent
lors d’un Networking cocktail avec les
dirigeants
fournisseurs.
Un sereins
trombinoscope
”Le CRiPdes
est un
espace d’échanges
sur
sujets concrets
dans un
en perpétuelle
et undessystème
de prise
demonde
rendez-vous
online
mutation,aux
où nos
sociétés nous
permettent
membres
du demandent
Cercle i d’aller
(CRiP et
fournisseurs)
de se rencontrer.
Lionel vERLaInE
Cto, oRanGE
Promotion des métiers de
la Production
Dominique BaRtHoUx
UnIBaIL-RoDaMCo
Le Club des Responsables d’Infrastructure et de
Production (CRiP) souhaite promouvoir les métiers
de la Direction des Systèmes d’Informations (DSI) et
particulièrement ceux de la Production Informatique
auxindépendante
élèves ingénieursdes
des fournisseurs
écoles et universités ayant
une filière
systèmes
d’informations.
”Partage
et indépendance
résument bien l’esprit du
forger
un avis sur
réel dedes
Cettepermettent
démarchedeaseété
initialisée
à l’impact
la demande
nouvelles
technologies“.
Directeurs de la Technologie (CTO) qui souhaitent
promouvoir leur métier et pouvoir à terme recruter
Kathleen MILstED
plus facilement pour leurs sociétés
respectives.
Marc Bégué, Responsable
de
la
production
Cloud for Internal It, oRanGE du SI au
CNES et Jean-Marc Cerles, Directeur de la Sécurité
Informatique
du groupe
Veolia sont les chefs de
toujours plus
innovants
projet.
”Bravo pour
Reims.
C’est vraiment
une superbe
Un support
vidéo
de quelques
minutes
a été élaboré.
Il décrit
le
système
d’information
dans
une
entreprise
et présente
des témoignages
personnes
exerçant
le futur proche,
et sur un futurde
plus
lointain avec
ces Watson
métiers(IBM),
au sein
des sociétés
du CRiP.
un nouvel
éclairageadhérentes
de l’utilisation
big datade
et donner
des données,
de la place
queet réaliste
Cecidupermet
une et
image
positive
pourraient
prendre
dans l’entreprise
des systèmes
d’une
DSI et de
ses profils
de carrière.
valeur ajoutée“.
Vous souhaitez participer à la promotion de nos métiers ?
Vous avez des contacts dans des écoles d’ingénieurs ?
Jean-Paul aMoRos
Contactez-nous : [email protected]
Cto, GDf sUEZ
47
La vie en région
45 mm
45 mm
45 mm
45 mm
45 mm
Le repère intérieur (43 mm) représente la face avant.
e repère intérieur (43 mm) représente la face avant.Le repère intérieur (43 mm) représente la face avant.Le repère intérieur (43 mm) représente la face avant.
repère
extérieur
mm)
totale (face + repli sur l’arrière).
e repère extérieur (48 mm) représente la surface visible
totale
(face +(48
repli
surreprésente
l’arrière). la surface visible
Le repère
extérieur
représente la surface Le
visible
totale
(face (48
+ repli
surreprésente
l’arrière). la surface visible
Le repère
extérieur
mm)
totale
(face + (48
replimm)
sur l’arrière).
Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l’arrière).
UN
TE
X TE
AS
UR
LE
R
R
UN
TE
X TE
ICI, I L APPA RAÎ TR
UR
LE
R
RE
R
UN
TE
X TE
L’A
R
R I ÈR
E
copyright © 2012 Modern City Records
E
UR
E
R I ÈR
L’A
R
UR
IS
AS
IS
RE
E
PL
E
R I ÈR
L’A
R
UR
IS
PL
R
RE
PL
E
PL
IS
UR
L’A
R
R I ÈR
E
R I ÈR
L’A
R
UR
IS
PL
R
SÉ
LE
IN
UR
EZ
AS
UV
PO
X TE
V OUS
TE
SÉ
UN
IN
R
EZ
RE
E
UV
R
PO
LE
V OUS
UR
SÉ
AS
IN
SÉ
SÉ
X TE
EZ
IN
IN
TE
UV
EZ
EZ
UN
PO
UV
UV
R
V OUS
PO
PO
RE
V OUS
V OUS
E
Le CRiP est également présent dans les régions.
AS
UR
LE
R
E
En cours de création :
CRiP GRAND EST
-pasCRiP
GRAND OUEST
N’oubliez les
de vectoriser
liées. toutes les polices et d’incorporer les images liées.
N’oubliez pas de vectoriser toutes les polices et d’incorporer
images
liées. toutes les polices et d’incorporer
N’oubliezles
pasimages
de vectoriser
N’oubliez pas
de vectoriser
N’oubliez pas de vectoriser toutes les polices et d’incorporer
les images
liées. toutes les polices et d’incorporer les images liées.
Les réseaux sociaux CRiP & ITiforums,
passerelles vers les métiers et l’international
2 réseaux sociaux différents mais complémentaires
*
www.crip-asso.fr
*BEECRiP
C’est un réseau social privé de discussions,
de partage et d’échanges dans un cercle de
confiance réservé uniquement aux Responsables
d’infrastructure et de production, membres du CRiP.
Il permet d’accéder aux informations et contenus
privés et/ou récents du CRiP : compte rendu des
Groupes de travail, Base Projets, Prestataires
spécialisés, ainsi que Livres blancs, Fiches pratiques,
Executive Notes et Benchmarking récents.
WebTV Innovation
www.itiforums.com
C’est un réseau social public d’information qui
rassemble les communautés de l’innovation, du
Digital et de l’Infrastructure et de la Production,
dont les membres du CRiP.
Le réseau ITIforums permet de renforcer la notoriété
du CRiP, de recruter de nouveaux adhérents et
membres pour ses groupes de travail et de lier le
CRiP aux autres communautés métiers.
Il est animé par les community managers
d’ITiforums, du CRiP, du Cercle de l’innovation et du
CDO Alliance. Il est aussi alimenté par des experts
indépendants, avocats, académiques, chercheurs,
membres d’organismes gouvernementaux.
Il permet l’accès aux informations publiques des
cercles et du CRiP.
Passerelle vers les Métiers
- Responsables
Achats informatiques
- Digital Officers
- Cercle des Directeurs
de l’Innovation
Passerelle vers l’International
- CTO Alliance UK
- CTO Alliance Suisse
- CTO Alliance Allemagne
- IT Forum Africa
L’équipe des permanents du CRiP se tient à votre disposition pour vous présenter,
à vous et à vos équipes, les services et activités de l’association lors de vos Comités de Direction internes.
Ainsi, vous pouvez mieux connaître le CRiP et faire partager à vos collaborateurs les bénéfices et les initiatives du CRiP.
48
7
8Les
raisons
groupes
d’adhérer
de Travail du
au CRiP
Dans les Groupes de Travail se déroulent les activités fondamentales du CRiP : partage de connaissances,
témoignages, mise en commun d’informations, élaboration de bonnes pratiques, discussions-débats,
élaboration d’enquêtes et de questionnaires, production de livrables, préparation de conférences.
Les Groupes de Travail sont le creuset où se réalisent les ambitions de notre association : devenir plus
performants dans les métiers de l’Infrastructure et de la Production IT, partager nos bonnes pratiques,
et denos
la transformation
dans
unméthodes,
cercle de
confiance
confronter
expériences, évaluerdigitale
la maturité des technologies
et des
pour
prendre de meilleures
décisions
plus
rapidement
avec
une
meilleure
information.
Les Groupes
Spot visent
apporter
en une
devons concentrer
nosà efforts
et former
nosseule réunion de trois heures des réponses immédiates à un
problème
urgent et/ou
d’actualité.
Les Groupes Flash font le tour en trois ou quatre réunions maximum d’un
équipes.Subtile
alchimie
entre Networking
et Innovation
dans un cadre
inhabituel et donc
sujet ponctuel
et clairement
identifié.
Pierre aUGUstE,
…The
to be“.
Analyse L’iTES
des coûts
deplace
la Production
Gouvernance CTO
Directeur de l’Ingénierie des
Sécurité
Piloté par thierry aRCHaMBaULt
Piloté par Philippe sERsot
Piloté par thierry ManCIot
Architecte Technique
RSSI - SFR
BrunoCTO
PRévost
CNP ASSURANCES
AGRICOLE CIB
et par Jean-Pierre BLanC
Directeur Infrastructures It,CREDIT
safRan
et par Eric PaRMELanD
Responsable PRA
Automatisation & Orchestration
Responsable Organisation
BOUYGUES TELECOM
Piloté par Hugues fonDEUx
de la Production
Une passerelle
vers
Chargé de Mission Èvolution
MINISTERE DE L’EDUCATION NATIONALE
Supervision
Piloté par Ludovic DRoCHon
de l’Infrastructure
d’autres associations
de métiers
PSA PEUGEOT CITROËN
Innovation
Responsable Exploitation
Piloté par David faYon
INTER
MUTUELLES
ASSISTANCE
“Le CRiP est une instance efficace
et pragmatique
Big Data
Competitive Intelligence and
sur laquelleet
s’appuyer
faire face aux défis de la
par Yannpour
PasCaL
les
bonnes
décisions
stratégiques
Piloté par Bruno PREvost
Prospective Manager at IS Department
transformation
numérique
et êtreIntégration
en phase
Sergent
Chef - Equipe
LA POSTE
- DSI COURRIER
Directeur”l’IT
Infrastructures
IT
European Summit
: une organisation
très
BRIGADE
DES SAPEURS
POMPIERS
avec les nouvelles
attentes
métiers.”
SAFRANriche en échange et en contenu. L’exercice n’est
DE PARIS
ITIL
&
Processus
de
Production
Gery BontE
Communication
Unifiée
Collaboratif
Piloté
par Eric BoUvEt
chacun mais
je &
suis
sûre que chaque
participant
en
Cto, saInt-GoBaIn
Piloté par
Kevin
CHantRELLE
Responsable
Département
Opérations
Nord-Pas-de-Calais
Responsable Telecom & Réseaux
& Service Management
stratégiques“.
Piloté par Michel BaRBasso
ARKEMA
STEF
CTO - KIABI
et par stéphane DEGLIn
et par Lionel RoLLanD
Network Lead Architect Marie-Charlotte BoUCHERY
Consulting on IT Service Management
PACA
LA BANQUE POSTALE
Process
Cto, BonDUELLE
Piloté par Jacques novIant
GDF SUEZ
Me situer par
rapport
Responsable
Production
Cloud Computing
AIR FRANCE
Piloté par stephane Lafon
Mainframe
à mes pairs
internationaux
et par Bernard RoUx
Application Cloud Services
Piloté par Bernard DIEtIsHEIM
Directeur
Stratégie Infomatique
”L’apport
de
gourous de
deslauniversités
américaines
SANOFI
Responsable
Système
RENAULT
Transformation
- PRO.BTP
et l’éclairageetdes
sociétés «capital
risk» sont
et par stéphane GEIssEL
pour
accélérerSImon time-to-market
Manager
Technico-Financier
PRA & PCA
Rhône-Alpes
SFR
Piloté par françois tÊtE
et ma productivité
Piloté par Jean-françois stRICHER
Président d’Honneur CCA
Chef de groupe Ingénierie et Sécurité
et
par
Luc
vRIGnaUD
Data centre
&
ICT
éco-efficacité
”Le CRiP est un espace d’échanges sereins sur
Lionel vERLaInE
ERDF
Piloté par
Dominique
RoCHEdans un mondeResponsable
Infrastructure
des
sujets concrets
en perpétuelle
Cto, oRanGE
&
Sécurité
Prod
MACIF
Head of Sustainability
Standardisation
Sud-Ouest
& Operators
Piloté par Marc BEGUE
Open Source
ORANGE - FRANCE TELECOM
Sous-Directeur Exploitation Production
et par andré ELEDJaM
par simon CLavIER
CNES
Responsable Projet Green IT Dominique BaRtHoUx
Responsable OPEN SOURCE
et par Cathy LaCoMME vERBIGUIé
DataCenters - SOCIETE Head
GENERALE
SNCF
of Group Infrastructure,
Sous Directrice Adjointe Exploitation/
et par noël CavaLIERE
UnIBaIL-RoDaMCo
Des événements
qualité
Architecturede
- CNES
Environnement de travail & mobilité
Head of IT Architecture and data
Piloté par vincent PELLEtIER
management Infrastructure toujours plus innovants
Suisse
Responsable Services Line End User
parC’est
Gianfranco
MoIune superbe
”Bravo pourPiloté
Reims.
vraiment
Workplace
Deputy
CIO
manifestation.
Nous
avons eu la vision des venture
AREVA
Outsourcing
DGSI
ETAT
DE GENEVE
et par Loïc BERnaRDEaU
Piloté par Philippe GUYE
capitalists qui
nous
aident
à mieux comprendre
indépendante
des fournisseurs
Responsable
Stratégie
Executive Directorate
ORANGE”Partage
- FRANCE
OECD
etTELECOM
indépendance résument
bien l’esprit du
etd’expérience
par David PERREaU
CRIP. J’apprécie surtout les retours
qui
Pilote des Opérations Informatiques
CEA
valeur ajoutée“.
Kathleen MILstED
Directrice
Programme
• Pour vous inscrire à un
Groupe
de travail, il vous suffit d’adhérer au CRiP Jean-Paul aMoRos
for Internal It, oRanGE
et de contacterCloud
: [email protected]
Consultez le calendrier des réunions des groupes de travail sur www.crip-asso.fr
Cto, GDf sUEZ
49
www.crip-asso.fr
Le portail et réseau social privé du CRiP
Discussions, partage et échanges dans un cercle de confiance, réservé
exclusivement aux Responsables d’infrastructure et de production, membres du CRiP.
CALENDRIER
CONFERENCES
Inscrivez-vous
en un clic
aux réunions
des Groupes de Travail
Inscrivez-vous
en un clic
aux événements
thématiques,
régionaux et
plénières
INDEX & BENCHMARKING
Benchmarkez-vous facilement par rapport aux
sociétés adhérentes
50
ADHÉRENTS
RÉSEAU SOCIAL
REVIEW
BIBLIOTHEQUE
Accédez aux 3500
membres du CRiP
Discutez, partagez,
échangez, dans un
cercle de confiance
exclusivement
utilisateurs
Bénéficiez de la
veille techno pertinente remontée
par les experts des
Groupes de Travail
Téléchargez les
Livres Blancs
agnostiques
produits par les
Groupes de travail
Club des Responsables d’Infrastructure et de Production
24 rue Erlanger 75016 PARIS - [email protected]
www.crip-asso.fr
Ruptures d’usages
et de technologies
à l’horizon 2020
Information Technology
European summit
12 au 14 mars 2015 | Deauville · France
Réservé aux CTOs,
DSI, CDO et Directeurs
de l’innovation IT
«Enfin un événement pour
nous aider à prendre des
décisions stratégiques.
Cela nous a fait prendre
conscience qu’il fallait lancer
une réflexion sur l’adaptation de nos
modèles de production».
Philippe SERSOT
CTO
CREDIT AGRICOLE CIB
«Un networking avec mes
pairs et des leaders
« d’IT opinion » dans un
cercle de confiance».
Pierre AUGUSTE
Directeur de l’Ingénierie des Infrastructures
PUBLICIS
«Le dernier iTES du CRiP est
un évènement intéressant,
bien organisé avec le bon
format. Les échanges avec
mes pairs ainsi qu’ avec les
partenaires invités ont été fructueux
et de grande qualité.
Je participerai à nouveau au prochain.
Merci à l’équipe».
Olivier DERSCH
CTO
L’OREAL
L
’ambition de l’iTES 2015 est de rassembler
plus de 100 CTOs adhérents du CRiP pour
leur faire découvrir les nouveaux usages et
technologies à horizon de 5 ans : 2020.
iTES 2015 reprend la plupart des ingrédients
qui ont fait le succès des iTES précédents et
en particulier celui de l’iTES 2014 de Reims
auquel ont participé une cinquantaine de
CTOs dont vous trouverez les éloges en
dernière page.
Les présentations inédites émanaient,
d’une part de Venture Capitalists (certains
ont investi dans Skype et Dropbox il y a 5
ans) qui présentent leurs investissements
récents, d’autre part de keynotes speakers
du secteur académique tels que George
Cybenco, Professeur au Darmouth College,
une des université US de l’Ivy League sur
le thème « Intersection entre le big data et
la protection des données personnelles ».
(George a donné son nom à un théorème
mathématique et travaille pour une agence
gouvernementale américaine) et enfin de
Gourous technologues des grands acteurs
du digital pour aider les auditeurs à mieux
comprendre le monde de demain.
Les espaces temps consacrés aux échanges
entre pairs du CRiP dans un cercle de
confiance et privé ainsi que les sessions de
networking avec gourous et partenaires
technologiques permettent, en un minimum
de temps, de tisser les liens d’intimité utiles
pour augmenter sa performance dans son
métier.
Un volet Innovation s’ajoute sur l’iTES
2015. Un espace temps sera consacré à la
découverte de solutions très innovantes
et des workshops spécifiques répondront
aux attentes des CTOs.
«Bravo pour Reims.
C’est vraiment une superbe
manifestation.
Nous avons eu la vision
des venture capitalists qui
nous aident à mieux comprendre
le futur proche, et sur un futur plus
lointain avec Watson (IBM), un nouvel
éclairage de l’utilisation du big data
et des données, et de la place que
pourraient prendre dans l’entreprise
des systèmes cognitifs sur des
fonctions à très forte valeur ajoutée».
Jean-Paul AMOROS
CTO
GDF SUEZ
«En 2 European Summits
nous avons eu une vision
concrète des technologies
sur lesquelles nous devons
concentrer nos efforts et
former nos équipes.
Subtile alchimie entre Networking
et Innovation dans un cadre
inhabituel et donc toujours propice
à la concentration.
L’iTES .......The place to be».
Bruno PREVOST
Directeur Infrastructures IT
SAFRAN
98% des participants
ont estimé que l’iTES
allait les aider dans leurs
décisions stratégiques.
51
Comité de
programme
Mission, charte du comité de programme
> Le comité de programme est chargé
de l’élaboration du programme en
conformité avec le cahier des charges
de l’ITES : combiner d’une part les
visions académiques, celles des
Instituts de recherches et des Venture
Capitalists, d’autre part celles des
industriels, et enfin les attentes des
utilisateurs pour présenter le monde
de demain.
> Il valide les messages et les durées des
différentes sessions du programme.
52
> Il sélectionne les speakers.
> Il élabore la charte de présentation et
précise les objectifs des présentations
(sont appréciés, en particulier,
les analyses et constats de la vraie
vie, coût, sécurité, réversibilité et
avantages économiques).
> Il vérifie la conformité des
présentations proposées avec
la charte.
> Il donne son agrément aux
participations des partenaires
technologiques.
Philippe SERSOT
CREDIT AGRICOLE CIB
Brigitte DECLERCK
AGIRC ARRCO
Olivier DERSCh
L’ORÉAL
Jean-Pierre DUMOULIN
Jean-Paul aMOROS
GDF SUEZ
antoine DERaIN
I-BP
Lionel VERLaINE
ORANGE
Pierre aUGUSTE
PUBLICIS
adoté ChILLOh
BIBLIOTHÈQUE
NATIONALE DE FRANCE
Un espace
détente
Travail acharné, détente et soirée de Gala
36 heures intenses pour :
• Sortir la tête du guidon,
• Découvrir les nouveaux usages et technologies,
• Donner les clés pour vous aider à prendre des
décisions stratégiques,
• Permettre de mieux connaître ses pairs, échanger
sur les problèmes de la vraie vie dans un cercle de
confiance,
• Établir une meilleure intimité avec les acteurs
majeurs du digital.
mais aussi …
• Faciliter le networking à travers la découverte
des particularités d’une région, et des visites guidées
(ITES Reims : Cathédrale de Reims, Cave de
Champagne),
• Une soirée de Gala ( ITES Reims : dégustations
de grands crus de Champagne).
53
Le programme 2015
VENTURE C
Gourou des grandes universités MIT,
Standford, Europe, ParisTech,
Institut de recherche
George Cybenko,
Dartmouth College était à l’iTES 2014 de Reims
GOUROU AC
GOUROU AG
TECHNO
Les présentations des leaders
du digital : Amazon, IBM, VMWARE,
PIVOTAL EMC, HP, CISCO.
TECHNO
DES ACTEUR
Carlos
CONDE
Michel
TEySSEDRE
Joe
BaGULEy
Russel
aCTON
Paul
JEREMaES
Rajeev
BhaRDwaJ
AMAZON WEB
SERVICES
IBM
VMWARE
PIVOTAL
EMC
HP
CISCO
SOLUTIONS IN
Nouveau
Panel d’échanges entre
Technologues, Gourous et Cripiens.
Des espaces temps privés aménagés
pour faciliter les échanges entre
CTOs Cripiens dans un cercle de confiance.
WORK
ESPACE TE
CERCLE PRIVÉ
NETWORKIN
ET PARTE
54
: 36 heures non stop
CAPITALISTS
Cartographie sectorielle des
investissements récents des VCs.
Next World Capital et Index Ventures
étaient présents à Reims en 2014
CADEMIQUE
GNOSTIQUE
OLOGUE
OLOGUES
RS MAJEURS
NNOVANTES
Les nouveaux enjeux,
les nouveaux métiers du Digital..
Patrick Hoffstetter
Chief Digital Officer
était présent à l’iTES Reims 2014
Découverte de 4 à 5 solutions innovantes
apportant un avantage économique.
1 Start-Up était présente
à l’iTES Reims 2014, eNovance
KSHOP
EMPS CRiP
& CONFIANCE
Des espaces temps réservés aux
partenaires technologiques
pour créer l’intimité.
NG GOUROUS
ENAIRES
55
Les CTOs
de l’iTES
75 CTOs ont déjà participé à cet événement :
Hervé MAGNIER - ADP | Martin VILLEMOT - AFI-ESCA | Eric HANSS - AFI-ESCA | Brigitte DECLERCK - AGIRC ARRCO |
John HARRIS - AIMIA | Caspar GIBILARO - AIMIA | Arnaud ROITG - AIR France | Xavier CHAPUIS - AIR LIQUIDE | Marc Olivier
GLATRON - AIR LIQUIDE | William Davies - AMEY | Stéphane BENHAMOU - ARTELIA | Frédéric DIDIER - ARVAL | Jacques
BAUDOUIN - ARVAL | Clive EDGARASTELLAS - PHARMA EUROPE Ltd | Erik NIGON - AXA TECH | Adoté CHILLOH - BNF |
Marie-Charlotte BOUCHERY - BONDUELLE | Olivier HEITZ - BOUYGUES TELECOM | Frédéric PETIT SINGEOT - CHANEL |
André BOUR - CHOREGIE | Thierry DESVIGNES - CNP ASSURANCES | Khalid KARAMA - CNP ASSURANCES | Patrick
EYMARD - COFELY INEO | Christophe FALOURD - CONGES INTEMPERIES BTP | Philippe SERSOT - CREDIT - AGRICOLE CIB |
Laurent VERDIER - CREDIT AGRICOLE SA | Thierry THOURON - GDF SUEZ | Annelise MASSIERA - DISIC - PREMIER
MINISTRE | Francis BRISEDOUX - EUROPE AIRPOST | Dominique FACE - FRANCE TELEVISIONS | Rob PRINGLE GAZPROM MARKETING & TRADING | Gupta WUPAM - GAZPROM MARKETING & TRADING | Valère DUSSAUX - GCS-DSISIF | Guy GIREAUDOT - GDF SUEZ | Jean-Paul AMOROS - GDF SUEZ | Jean-Pierre LAFFINEUR- GENERALI | Stephen
Golliker - GENESIS OIL & GAS | Scott Ferguson - GENESIS OIL & GAS | David DECOVEMACKER - GROUPE AUCHAN |
Antoine DERAIN - IBP | François CEDELLE - INRA | Emmanuel WILLAME - IT-CE | Michel BARBASSO - KIABI |
Jean-François - ROMPAIS - KIABI | Sean BURKE - LAFARGE | Olivier DERSH - L’OREAL | Leo KRIZMAN - LVMH | Henri
KAYSER - MALAKOFF MEDERIC | Christophe OZIMEK - MEETIC | Eric PARMELAND - MINISTERE DE L’EDUCATION
NATIONALE | Joseph TABET - MUREX | Lionel VERLAINE - ORANGE | Olivier MAST - ORANGE | Sébastien LECOCQ OXYLANE | Jean-Pierre DUMOULIN - PEUGEOT PSA | Vincent SAUGEY - PLASTIC OMNIUM GROUP | Bernard ROUX PROBTP | Rodolphe FRONTCZAK - PSA PEUGEOT-CITROËN | Pierre AUGUSTE - PUBLICIS | Bruno PREVOST - SAFRAN
| Géry BONTE - SAINT-GOBAIN | Olivier MERLEN - SIGMAP MSA | Philippe BARAT - SPIE | Philippe BARAT - SPIE |
Denis BOURDON - SWISSLIFE | Philippe LOPEZ - THALES | Claude FAUCONNET - TOTAL | Olvier FRIEDMAN - UGC |
Jamie WILSON - UNITED BISCUITS (UK) Ltd.
56
Les Technologues
et Partenaires
de l’iTES
23 Gourous ont déjà partagé leurs visions
sur les nouveaux usages, services et technologies du futur
Carlos CONDE - AMAZON WEB SERVICES | Tuqiang CAO - CISCO | Jeff RAYMOND - CISCO | Regis ALLEGRE - CLOUDWATT
| Daniel PAYS - CLOUDWATT | Georges CYBENKO - DARTHMOUTH COLLEGE | Renaud BESANCON - DATA 4 | Don SMITH
DELL | Russell ACTON - EMC | Krishnakumar NARAYANAN - EMC | Raphaël FERREIRA - ENOVANCE L Paul JEREMAES HP | Marc PADOVANI - HP | Wing Kin LEUNG - HUAWEI | Ambuj GOYAL - IBM | Michel TEYSSEDRE - IBM | Bernard
DALLE - INDEX VENTURES | Martin MIGNOT - INDEX VENTURES | Alain TOISON - LRS | Christophe COLINET - MAIRIE
DE BORDEAUX | Matt WATTS - NETAPP | Frédéric HALLEY - NEXT WORLD CAPITAL | Craig HANSON - NEXT WORLD
CAPITAL | Jean-Paul LEROUX - ORANGE BUSINESS SERVICES | Georges NAHON - ORANGE BUSINESS SERVICES |
Patrick HOFFSTETTER - RENAULT | Joe BAGULEY - VMWARE.
22 grands acteurs technologiques ont été partenaires de l’iTES
Miguel ALAVA- AMAZON WEB SERVICES | Stephan HADINGER - AMAZON WEB SERVICES | Christophe WEISS - APL |
Pascal DALLIOUX - APPDYNAMICS | Nicolas LEMOINE - AT&T | Jean-Marc GUIGNIER - BROCADE | Arnaud FAIVRE - BULL |
Raphaël BOUSQUET - CISCO | Olivier DESQUESSE - CISCO | Thierry LOTTIN - CISCO | Gérard DUQUESNE - CLOUDWATT |
Renaud VADON - CLOUDWATT | David DARMON - CTERA | Sharon LYSAGHT - DATA 4 | Sandrine PECULIER - DATA 4 |
Stéphane KELIN - DELL | Lionel OSTERMANN - DELL | Thierry AUZELLE - EMC | Guillaume COHEN - EMC |
Philippe GARDE - EMC | Alfonso RUIZ DE LEON - EMC | Benjamin BRIAL - ENOVANCE | Jean-Marie LEBEC ENOVANCE | Nicolas BOHY - HP | Bruno BUFFENOIR - HP | Emmanuel ROYER - HP | Yves CHEDRU - HUAWEI |
Liyang HE (LEON) - HUAWEI | Xiangqun LIU (SIMON) - HUAWEI | Alexandre COLIN - IBM | Eric COURTIN - IBM | Alain
HENRY - IBM | Juliette MACRET - IBM | Laurent ROULET - IBM | Renzo PARAVICINI - LRS | Eric ANTIBI - NETAPP | Olivier
PICARD- NETAPP | Diana EINTERZ - ORANGE BUSINESS SERVICES | Philippe EON - ORANGE BUSINESS SERVICES |
Gilles SABATIER - ORANGE BUSINESS SERVICES | Hubert SEGOT - ORANGE BUSINESS SERVICES | José DA SILVA SMA SOLUTIONS | Fabrice HACCOUNE - TECH MAHINDRA | Marc FRENTZEL - VMWARE | Thierry PORTIER - VMWARE |
Hervé UZAN - VMWARE.
57
100% de satisfaction !
l’ensemble des CTOs de l’iTES de Reims
souhaitent participer à l’iTES 2015
«The agenda provided an
excellent balance between
technical presentations,
networking and lively
discussions about future
possibilities. This is the way to get
people thinking more creatively about
what we should expect in tomorrow’s
enterprise IT.»
«Un simple message pour
vous remercier de m’avoir
invité à cet événement de
qualité.
Un simple message
pour féliciter toute l’équipe de
l’organisation sans défaut : bravo !!
Une belle réussite, à laquelle je suis
heureux d’avoir participé».
Georges CyBENKO
Dorothy and Walter Gramm Professor
of Engineering
DARTMOUTH COLLEGE
Eric PARMELAND
Responsable Organisation de
la Production Nationale
MINISTÈRE DE L’EDUCATION NATIONALE
«Je tiens à vous remercier
ainsi que toute l’équipe pour
l’organisation et la réussite
de cet événement. Ces 2 jours
m’ont été très enrichissants
et m’ont permis d’échanger sur
de nombreux points avec d’autres
participants, des gourous ou des
sponsors. J’ai déjà lancé un nouveau
projet avec un des partenaires
technologiques.
En bref, un événement hors pair
et très riche !».
«Merci à toute l’équipe du
CRiP pour l’European IT
Forum : sujets et speakers
enrichissants, excellent
partage entre les présents.
En moins de deux jours un executive
briefing de haut niveau avec une
organisation parfaite».
Francis BRISEDOUX
Chef de Groupe Informatique /
IT Manager
EUROPE AIRPOST
«Toutes mes félicitations
pour l’IT européanisé Summit.
Un grand merci pour
l’organisation de ce très bel
événement et toutes mes
félicitations à vous tous qui ont
contribué à sa réussite».
Hervé MAGNIER
Direction des Systèmes d’Information
ADP
«Excellent cocktail de
présentations éclairantes et
de networking de qualité.
Le tout dans une atmosphère
sympa portée par une
organisation impeccable.
Un très grand merci à vous qui avez si
bien préparé ce summit et qui savez
si bien doser ce cocktail. Bravo et à
l’année prochaine».
Gery BONTE
CTO
SAINT-GOBAIN
Brigitte DECLERCK
Responsable Pôle production et sécurité
AGIRC ARRCO
«Je vous remercie pour
ces deux jours qui m’ont
apportés de multiples
informations et pistes
de réflexions pour mon
travail, le tout avec une organisation
impeccable».
Jacques BAUDOUIN
Infrastructure & Security Manager
ARVAL
«Félicitations pour votre
évènement de REIMS, tous
les ingrédients étaient
présents,
- Le choix de la ville et
l’emplacement de l’Hôtel,
- L’organisation,
- L’agenda,
- Qualité des intervenants et des
interventions,
- Qualité des clients présents,
- La soirée et les visites de cave
- Votre accueil.
Ces informations sont remontées
chez EMC».
Alfonso RUIZ DE LEON
Directeur Commercial
EMC
«Excellente organisation de
l’événement, le niveau des
participants est très élevé.
Evénement où il faut être
présent !»
Michel TEySSEDRE
CTO
IBM
«L’apport de gourous des
universités américaines
et l’éclairage des sociétés
«capital risk» sont une
aide précieuse pour mieux
appréhender le futur paysage de l‘IT».
Lionel VERLAINE
CTO
ORANGE
«Je tenais à vous remercier
pour l’organisation de cet
événement très riche en
échange et en contenu.
L’exercice n’est pas simple
d’arriver à satisfaire les attentes de
chacun mais je suis sûre que chaque
participant en repart avec éléments
qui faciliteront ses décisions
stratégiques».
Marie-Charlotte BOUCHERy
CTO
BONDUELLE
«Un grand merci pour ce
CRiP Summit qui s’est tenu à
Reims et bravo à vous pour
cette organisation».
David DECOVEMACKER
Direction Technique Informatique
AUCHAN
«Je voulais remercier tout le
staff du CRiP, pour ce superbe
événement.
C’était pour moi extrêmement
intéressant et instructif, tant
les interventions que la partie «off»
lors des pauses et repas.
J’ai l’impression de faire un peu plus
partie de la «famille» du CRiP et de
ses nombreux CTO - que je n’ai même
pas pu tous rencontrer en 2 jours ...
Et c’est à la fois rassurant de partager
ses expériences et de se sentir un peu
moins seul face à tous les challenges
qui se présentent en permanence».
Olivier FRIEDMAN
Dir. Infrastructures & Support
CTO
UGC Informatique
Information Technology
European summit
58
2015
Pour plus de détails sur l’événement,
contacter : [email protected]
Les Groupes de Travail
Les Groupes de Travail
Mai
d’Infrastructure et ded’Infrastructure
Production
et de Production
2014
Dans les Groupes
Dans
de Travail,
les se
Groupes
développent les
de
activités
Travail,
fondamentales
se développent
du CRi P : partage de
les activités fon
connaissances, connaissances,
témoignages, mise en commun
témoignages,
d’expertises, échanges
mise
d’informations,
en commun
élaboration
d’expertises,
de bonnes pratiques,
de bonnes
discussions-débats,
pratiques,
analyse des
discussions-débats,
tendances, élaboration d’enquêtes
analyse
et de
des tendan
questionnaires, production
questionnaires,
de livrables, préparation
production
de conférences,
de livrables,
contribution àpréparation
l’élaboration de de confére
standards...
standards...
Les Groupes deLes
Travail
Groupes
sont le creusetde
où seTravail
réalisent lessont
ambitions
le de
creuset
l’association
où
: se réalisent les am
devenir plus performants
devenir
dans
plus
les métiers
performants
dans
et de lales
Production
métiers
IT, partager
les bonnes
e
pratiques, confronter
pratiques,
les expériences
confronter
–réussies ou non–,
les évaluer
expériences
la maturité des
–réussies
technologies etou
des non–, évalu
méthodes, pour méthodes,
prendre de meilleures
pour
décisions
prendre
plus rapidement
de meilleures
avec une meilleure
décisions
information. plus rapidem
Depuis quelquesDepuis
mois, certaines
quelques
réunions communes
mois, ont
certaines
été instituéesréunions
entre deux GTcommunes
afin de consolider ont été
leurs travaux surleurs
des sujets
travaux
qui se recouvrent
sur des
(ex. catalogue
sujetsdequi
services,
se recouvrent
réunissant les GT ITIL
(ex.
et Analyse
catalogue d
des coûts, Clouddes
et PRA/PCA).
coûts,
LesCloud
Groupeset
Spot
PRA/PCA).
visent à apporter,Les
en uneGroupes
seule réunion de
Spot
trois heures,
visent à a
des réponses immédiates
des réponses
à un problème
immédiates
urgent et/ou d’actualité.
à unLes
problème
Groupes Flash
urgent
font le tour,
et/ou
en troisd’actua
ou quatre réunions
ouauquatre
maximum,réunions
d’un sujet ponctuel
au maximum,
et clairement identifié.
d’un sujet ponctuel et clairem
Analyse des coûts
Analyse
de la Production
des coûts de la Production
Derniers
sujets
abordés
Ce groupe de travail aCe
pour groupe
objectif de de
travail
a pour
objectif de
déterminer les coûts en prestations
déterminer
les coûts
en de
prestations
- Élaboration
d’un modèle
maturité
délivrés par une production
délivrés
informatique.
par une
production
informatique.
- Mise
en commun d’Unités
d’oeuvre
Prochains
Derniers
sujets àsujets
aborder abordés
- Bonnes
- Élaboration
pratiques, organisation,
d’un modèle de m
outils
- Mise
pour construire
en commun
le modèle
d’Unités d’
- Benchmarking
- Retours
sur les
d’expériences
activités
métho
- Définition
surd’un
la catalogue
mise en
de services
place du modè
génériques
- Partage d’expériences autour
de services avec le GT ITIL
- Retours
méthodologiques
Ce Groupe de Travail a élaboré
Ce Groupe
un
ded’expériences
Travail a
élaboré un
sur la mise en place du modèle
référentiel d’Analyse desréférentiel
coûts de la
d’Analyse des coûts de la
- Partage d’expériences autour du catalogue
Production à partir de Production
celui du CIGREF. à partir
de
celui
du CIGREF.
de services
avec
le GT ITIL
Ce référentiel se composeCe
de 21référentiel se compose de 21
Centres Technologiques
Centres
qui décriventTechnologiques qui décrivent
les activités et leurs inducteurs,
les activités
et d’un et leurs inducteurs, et d’un
modèle général dérivé de
modèle
la méthodegénéral dérivé de la méthode
ABC pour la composition
ABC
de services
pour aux
la composition de services aux
consommateurs à partir
consommateurs
de ces activités.
à partir de ces activités.
Ce référentiel sert à mieux
Cemaîtriser
référentiel
les
sert à mieux maîtriser les
coûts et à les rendre coûts
benchmarkables
et à en
les rendre benchmarkables en
les décrivant finement
les
et en
décrivant
les expliquant finement et en les expliquant
aux consommateurs des aux
services.
consommateurs des services.
Big Data
Big Data
Derniers sujets
abordésexplore le
Ce Groupe de Travail explore
Ce
le Groupe
de Travail
du Big Data et
aux examine
outils
phénomène Big Data,
phénomène
analyse et examineBig- Contribution
Data, analyse
d’exploitation
(analyse deIllogs)
les premiers cas d’usage.
lesIl en
premiers
étudie
cas d’usage.
en étudie
Bonnes pratiques
de mise en œuvre
l’impact sur les Services
l’impact
d’Infrastructures
sur les - Services
d’Infrastructures
- Big Data et services rendus au métier
et de Production, et quels
etnouveaux
de Production, et quels nouveaux
- Relation entre marketing, DSI et métier
services il peut offrir aux métiers.
services
il technologies-clé
peut offrirduaux
métiers.
- Les
Big Data
- Point sur la législation
Derniers
Prochains
sujets àsujets
aborder abordés
- Contribution
du du
Big
aux
- Evolution
de la réglementation
Big Data
Data
d’exploitation
(analyse
de logs
(données
personnelles, finalité,
etc.)
- Bonnes
de mise en
- Impact
du Big Datapratiques
sur les organisations
- Big des
Data
- Inventaire
outils et services rendus au
Relation
- Big- Data
& Cloud entre marketing, DSI
Les
- Big- Data
et technologies-clé
ERP, environnements OS du Big D
- Point
sur la législation
(Open
source…)
Fiche Pratique | Big Data : Transformer
Fiche Pratique
les données en| valeur
Big business
Data :par
Transformer
l’entreprise | Juin 2014
les do
Cloud Computing
Cloud Computing
abordés
Ce Groupe de Travail Ce
explore
Groupe
les usages deDerniers
Travailsujets
explore
les usages
- des
Bonnesdifférentes
pratiques du laaS formes de
concrets des différentes formes
concrets
de
- Premiers retours
sur lePaaS,
PaaS
Cloud Computing : IaaS,
Cloud
PaaS, SaaS,
Computing
: IaaS,
SaaS,
- Le Cloud et
la continuité
d’activité
(PRA,
PCA)
mais aussi toutes les formes
mais
deaussi
Cloud toutes
les
formes
de
Cloud
- L’accompagnement au changement
(privé, public, hybride, souverain…)
(privé, public,
.
hybride, souverain…) .
- Les achats et la facturation
Il étudie les business cases
Il étudie
et préciseles -business
cases
Le SaaS, intégration
au SI et précise
les bonnes pratiques de
les
transformation
bonnes pratiques
deComputing
transformation
- Sécurité et Cloud
pour développer au mieux
pour
des développer
services
des services
- Point au
sur lemieux
Cloud souverain
Cloud, internes ou externes.Les
Cloud,
internes
ou externes.Les
- Cas
d’usage du Cloud
Hybride
- Introduction s’appuient
aux aspects juridiques
recommandations s’appuient
recommandations
sur des
sur des
retours d’expérience desretours
membres. d’expérience des membres.
Livre
Prochains
Derniers
sujets àsujets
aborder abordés
- Inventaire
- Bonnes
des solutions
pratiques
Cloud et Tendances
du laaS
- Urbanisation
- Premiers
des applications
retours
dévelopsur le PaaS
pées
- Le
dans
Cloud
le Cloudet la continuité d’activ
- Le-Cloud
L’accompagnement
5 ans après : tableau de
au chang
l’utilisation
- Les achats et la facturation
- Supervision
- Le SaaS,
et contrôle
intégration
des performances
au SI
- Réinternalisation
- Sécurité/ Réversibilité
et Cloud Computing
- Standardisation
- Point sur
et interoperabilité
le Cloud souverain
- Nouveaux
- Casaspects
d’usage
réglementaires
du Cloud Hybrid
- Introduction aux aspects jurid
Blanc | Cloud Computing 5 | Juin 2014
59
Data Centre & ICT éco-efficacité
Ce Groupe de Travail poursuit ses travaux dans
plusieurs directions : élaboration d’indicateurs
de gestion énergétique pour les Data Centres,
bonnes pratiques pour la conduite de projets
d’ICT durable, catalogue des pratiques
d’urbanisation et des bénéfices associés,
bonnes pratiques pour la gestion des contrats
d’hébergement et de location d’espace en Data
Centres, bonnes pratiques pour la prise
en compte de l’écoconception et de
la fin de vie des équipements ICT.
Derniers sujets abordés
- Bonnes pratiques pour la conduite de projets
d’ICT durable
- Panorama des Data Centres chez les adhérents
du CRiP
- Certification des Data Centres : retours d’expériences
- Déclenchement intempestifs d’alertes incendie et
leurs conséquences
Prochains sujets à aborder
- Méthodologies d’urbanisation adaptées à
l’optimisation des Data Centres
- Gestion des risques d’incidents sérieux
- Gestion énergétique, consommation d’énergie
incluse : normalisation CRiP - ETSI et
Benchmarking
- Ingénierie générale et bonnes pratiques pour la
réalisation de sites ICT performants et durables
(« Green Data Centres »)
- Ecoconception et fin de vie des équipements ICT
- Benchmark des coûts des Data centres
Livre Blanc | Eco-Efficacité et Urbanisation d’un Data Centre | Juin 2014
Dossier technique | Gestion énergétique opérationnelle pour les utilisateurs - (OEU) - KPI Globaux pour les Data Centres | Juin 2014
Environnement de travail & Mobilité
Ce Groupe de Travail étudie les évolutions
actuelles de l’environnement de travail utilisateur,
et tout particulièrement les conséquences
de leur mobilité croissante : gestion des flottes
mobiles, sécurité mobile, virtualisation,
tablettes et smartphones, arrivée des Mac
dans l’entreprise, etc. Il s’intéresse aussi
aux migrations de postes, en particulier aux
conséquences de la disparition de Windows XP,
ainsi que la multiplication des OS. Le périmètre
de ce groupe de travail peut aller jusqu’aux
outils liés à la productivité de l’utilisateur, office
bureautique, la communication & collaboration…
- Le poste de travail 2015 : perspectives
- Vivre avec des OS clients en évolution permanente
- Comment sécuriser les données synchronisées sur
un device mobile
- Contribution de la virtualisation des postes de travail
aux PCA
- Mesurer la valeur d’une migration de Poste de travail
pour l’utilisateur
- Mobilité, MDM, MAM
- Windows 8.1, cas d’usage
- Fin de support XP
- Migration Windows XP vers autre(s) OS
- Suivre le cycle de vie de l’OS imposé par les
éditeurs
- La virtualisation applicative et du poste
- Quelle solution pour la sécurisation des données
de l’entreprise adhérente au terminal
- Quelle authentification utilisée demain
- Gestion des navigateurs
- Retour expérience Windows 8.1 update
- Open source & Poste de travail
- Tour d’horizon des solutions de management
et migration de postes
- Quel avenir pour les GPO
- Télémaintenance : les tendances
- ITIL v3 vs ITIL 2011
- Catalogue de services et facturation (en relation
avec le GT Analyse des coûts)
- Comment améliorer le pilotage des Opérations
informatiques ?
- Enquête ITIL
- BRM/SLM : comment ITIL 2011 transforme le rôle
de SDM connu en ITIL v2 ?
- Knowledge management
- Comment obtenir le soutien du management
préconisé par ITIL pour la mise en place de
processus ? Comment le conserver en exécution
de processus ?
- Conception des services : qui a réussi à sensibiliser
les équipes de développement, et comment ?
Les sujets proposés peuvent être classés en
plusieurs catégories, permettant de mieux
comprendre la dynamique du Groupe
Amélioration continue
- Enquêtes de satisfaction utilisateurs
- Méthode Agile versus ITIL
- Méthodes associées au pilotage des processus :
ishikawa, pareto, 8d, 5 pourquoi, …
- Amélioration continue des services
ITIL & Process de Production
Ce Groupe de Travail analyse les usages
concrets d’ITIL dans les entreprises. Quel
que soit son niveau de maturité (processus
largement déployés ou non), chaque participant
peut faire part de ses interrogations ou de ses
retours d’expérience. La diversité des contextes
(périmètre, outils, organisations) conduit à des
échanges enrichissants, pragmatiques, sur une
multitude de thèmes choisis par le Groupe. La
transversalité de certains sujets peut justifier des
échanges avec d’autres groupes de travail.
Implémentation
- Facteurs clefs de succès : comment les identifier,
comment les utiliser lors du déploiement ou de la
revue des processus ?
Zoom processus
- Processus Gestion des Capacités
- Processus Gestion des Incidents :
qualification d’un incident majeur
Rencontre inter-GT
- Rencontre avec le GT Automatisation /
Orchestration
Fiche Pratique | Améliorer le pilotage des Opérations Informatiques | Juin 2014
Mainframe
Le Groupe de Travail Mainframe, dédié aux
grands systèmes IBM z/OS a notamment travaillé
sur l’optimisation des coûts de cette plateforme.
Il a récemment réorienté ses travaux
vers les problèmes de formation, et plus
particulièrement du renouvellement des
compétences sur cette plateforme.
60
- Maitrise des coûts de la plateforme
- Modèles de coûts du Mainframe
Sujet en cours
Renouvellement des compétences mainframe
face à l’évaporation des compétences liée à
l’évolution de la pyramide des âges :
- Nous recensons les besoins moyen termes en
compétences chez les acteurs mainframe en
France (grands clients et SSII).
- Nous sélectionnons les partenaires susceptibles
de nous aider dans la mise en place d’un cursus
de formation ab initio.
Ce cursus sera accessible à toutes les sociétés
membres du CRiP désirant former de nouvelles
compétences, jeunes diplômés ou collaborateurs
en reconversion professionnelle.
Open Source
Le Groupe de Travail Open Source du CRiP
traite de la promotion et de la mise en oeuvre
des solutions s’appuyant sur des logiciels
Open Source dans une perspective concrète et
opérationnelle. Il met en évidence la pertinence
d’utiliser certains logiciels Open Source et la
façon de gérer leur déploiement. Ce Groupe
de Travail est commun avec le Club CRAI, afin
d’aborder les aspects contractuelles d’achat des
licences et des services associés.
- Quels logiciels Open Source utiliser, dans quels
domaines ?
- Peut-on remplacer les logiciels propriétaires par des
logiciels Open Source ? A quelles conditions ? Quels
sont les domaines les plus favorables ?
- Comprendre les licences Open Source
- Modèles de facturation dans le monde Open Source
- Sourcing des fournisseurs Open Source
- Gestion des compétences Open Source
- Création d’une fiche ‘Standard logiciel Open source’
(Linux)
- Comparatif des solutions Open Source avec
les solutions « commerciales »
- ROI de l’utilisation et économie réelle de l’Open
Source
- Document pour la promotion de solutions Open
Source auprès des décideurs
- Criticité et support
- Axes d’innovation de l’Open Source
- Prises de contacts avec les communautés et
l’éco-système Open Source
Automatisation & Orchestration
Les orchestrateurs renforcent les possibilités
d’automatisation de l’Exploitation en s’attaquant
à des processus complets, sans s’arrêter aux
frontières des métiers et des techniques.
Ce Groupe de Travail examine les bonnes
pratiques pour le choix, la mise en œuvre et
l’exploitation d’un orchestrateur. Il aborde les
problèmes de périmètre d’action, de sécurité,
de coordination avec les outils de Service
Management et de suivi des gains apportés.
- Provisioning de serveurs via l’orchestration
- Traitement automatisé d’incidents
- Supervision fonctionnelle de l’outil d’orchestration
- Processus de mise en production des flows
- Gestion de campagnes de changements
- Gestion des applications au quotidien
- Orchestration et fiabilisation de l’exploitation
- Contractualisation, Gouvernance et Pilotage
des prestations d’outsourcing
- Sécurisation et cloisonnement des données
- Contrôle des prestataires
- Réversibilité
- Modèles de sourcing
- Comment aller vers l’externalisation
- Impacts RH de l’outsourcing
- Bénéfices à attendre d’une prestation
d’outsourcing et bénéfices réellement mesurés
ou constatés ; ROI et services
- Prérequis à l’outsourcing
- Impacts de l’outsourcing sur les relations avec
les métiers
- Point sur les SLA et contrôles PRA et indicateurs
de performance
- La période de transition
- Le PCA et le sinistre régional
- La sauvegarde de recours suite à un sinistre
- Le retour sur Investissement d’un PCA
- L’automatisation et le pilotage d’un PCA
- La continuité d’activité expliquée aux décideurs
- Le PCA et les bases de données
(notamment avec le GT BDD)
- PCA et services en mode Cloud
(notamment avec le GT Cloud)
- Audit de la continuité d’activité
- La reprise applicative
- La validation probante d’un PCA /PRA
- Le PRA dans le cloud
- L’externalisation du secours
Outsourcing
La mise en oeuvre et la gestion de prestations
d’outsourcing font désormais partie intégrante
des métiers de l’Infrastructure et Production.
Ce Groupe de Travail, parmi les plus récents du
CRiP, étudie aussi bien les aspects contractuels
et de sourcing des prestations que les activités
de pilotage et de suivi.
PRA & PCA
Ce Groupe de Travail étudie la mise en place
opérationnelle des plans de reprise d’activité
– plutôt orientés IT – mais aussi des plans
de continuité d’activité. Il définit des bonnes
pratiques et des démarches à la fois techniques
et d’organisation.
Fiche Pratique | L’audit de la continuité d’activité d’un organisme | Juin 2014
Sécurité
En 2014, le GT Sécurité s’attachera à étudier
les conditions qui facilitent le vol de données
au cœur des entreprises et à présenter les
moyens mis en œuvre par les membres
du GT pour s’en affranchir.
• Comment l’attaquant a-t-il pu obtenir le niveau
de privilège suffisant ? : identités, privilèges,
authentification
• Pourquoi la sortie de données n’a-t-elle pas été
détectée ? : traces, supervision, SIEM, SOC
• Pourquoi la médiatisation de l’affaire a-t-elle eu
autant d’impact ? : gestion de crise de sécurité.
- Gestion opérationnelle de la sécurité autour de la
gestion des incidents de sécurité
- Gestion de la sécurité dans les projets (démarche
d’analyse de risques, recette sécurité dans les
projets, sécurité des données sensibles,…)
- Rôle de l’hyperviseur
- Ingénierie de la Supervision
- Profils RH des équipes de Supervision
- Socle technique de Supervision
- Organisation de la fonction Supervision
- Méthode de collecte des besoins de Supervision
en adéquation avec les SLA
- Résultat d’une enquête sur l’existant Supervision
au sein du CRiP
- Elaboration en cours d’un lexique de Supervision
(Ce lexique est commencé et sera modifié avec
les échanges lors des réunions du GT))
- Retours d’expériences
- GT commun avec le GT ITIL sur la supervision des flux
- Supervision et remédiation automatique
- GT commun avec le GT Sécurité pour promouvoir
la sécurité et la supervision dans les projets
- SAP et supervision des travaux.
Supervision
Ce Groupe de Travail, récent, travaille sur les
besoins, l’outillage et les bonnes pratiques en
matière de supervision et pilotage de l’IT. Il vise
notamment à promouvoir la supervision comme
étant garante de la qualité de service.
61
Communication unifiée & Collaboratif
s sujets
abordés
Ce Groupe
de Travail aborde les problématiques
Derniers sujets
abordés
Prochains
sujets à aborder
opérationnelles,
managériales etde
techniques
liées
des solutions de ToiP sur
– VoiPles tarifs
- Benchmarking
sur les chez
tarifs pratiqués
s concrets
des solutions
ToiP –
VoiP- Bénéfices concrets
- Benchmarking
pratiqués
les chez les
la mise
en place de solutions
de ToiPmétiers/
- VoiP et
- Segmentation des
solutions par cibles
métiers/
principaux opérateurs télécoms
tation à
des
solutions
par cibles
principaux
opérateurs
télécoms
utilisateurs - Migration de PABX TDM- Migration
de téléphonie
PABX TDM vers lafull
téléphonie
rs
vers la
IP full IP
de communication unifiée,
- Comparaison des
offres
réseau
distinct ou
non de
celui des data
aison des
offres
sur
réseau IP distinct ou sur
non
deIP celui
des
data
dans
les entreprises. Il s’attache en particulier
- Comparatif entre
Cisco Jabber etdu
Microsoft
- Evaluation
ROI permettant
de lancer ou réactiver
atif entre àCisco
et
Lync
- Evaluation
ROILync
permettant
dedulancer
ou réactiver
recenser Jabber
les bénéfices
liésMicrosoft
au déploiement
- Choix et mise en
oeuvre
de solutions
des projets
de la téléphonie
mise en oeuvre de solutions de
des
projets
dedemodernisation
de de
lamodernisation
téléphonie
de ces solutions et à dresser une typologie des
communication
unifiée
de la migration
vers le poste
nication unifiée
- Accompagnement
de la- Accompagnement
migration vers
le poste
problèmes rencontrés.
- Témoignages sur
le déploiement
deoutils
ToIP
unifié, avec outils de mesure
ages sur le déploiement de ToIP
unifié,
avec
de mesure
réseau liées
à la
- Déploiement,
migration
et conduite du changement
ur les problématiques réseau liées à la - Focus sur les-problématiques
Déploiement,
migration
et
conduite
du changement
Unifiée (LAN/WAN/QOS/
de solution Unifiée
de Communication Unifiée
mmunication Unifiée (LAN/WAN/QOS/ VoIP/Communication
de solution
de Communication
- Offres Cloud
: quelles
offres, quels
atouts, quels
Performances/etc.)
- Offres Cloud : quelles offres,
quels
atouts,
quels
ances/etc.)
- Coûts et modèles
de licencing?
défauts ?
modèles de licencing
défauts
- Evolution des offres
- Stratégies de-migration
vers unedes
nouvelle
solution de téléphonie
Evolution
offres
et de téléphonie et
es de migration vers une nouvelle solution
de téléphonie et/ou
de communication unifiée
communication
unifiée depuis 1 an
honie et/ou de communication unifiée
communication
unifiée depuis
1 an
NEW
Gouvernance CTO
ns sujetsConcernant
à aborder
les productions IT, quels sont
Prochains sujets
à aborder
- Etudier
les impacts induits
- Etudier
par
lesces
impacts
tendances
induits par ces tendances
de
de
fond sur l’organisation etfond
la sur
gouvernance
l’organisation et la gouvernance
de la
de la
les nouveaux modèles de «delivery»
Identifier :
production
: évolution production
des modèles
IT : évolutiond’activité,
des modèles d’activité,
(organisation,
profils & compétences...)
ances de fond
du «nouveau
monde
- les tendances de
fond du «nouveauIT
monde
structures,
des modes
des structures,
de sourcing
des modes...
de sourcing ...
gique»
et les
offres
qui vont
technologique» des
et les nouvelles
offres qui vont
induits
par lanouvelles
révolution digitale
des entreprises
?
- Identifierdes
les
besoins
- Identifier les besoins
et les
d’évolution et les
er le fonctionnement
des
de
structurer le fonctionnement
organisations
de d’évolution
Quels sont les impacts
surorganisations
le positionnement
problématiques
liées auxproblématiques
ressources
liées humaines
aux ressources humaines
on : technologie hadoop,
bases
Nosql,
production : technologie
hadoop, bases Nosql,
et la fonction
de CTO
?
(profils, compétences, accompagnement
(profils, compétences, accompagnement
au
au
s intégrés, gestion de la haute disponibilité
systèmes intégrés, gestion de la haute disponibilité
changement)
changement)
u applicatif, ....
au niveau applicatif,
....
Travailler
la fonction -de
Travailler
CTO
sur la
et
fonction
sa promotion
de CTO et sa promotion
/
/
eaux modes et patterns de développement
- les nouveaux-modes
et patternssur
de développement
évolution
monde évolution
du Digital
dans le monde du Digital
et les impacts associés: devops, «non logiciels et les impacts
associés:dans
devops, le
«non
ase» …
stop release» …
NEW
Innovation
ns sujets Le
à Cercle
aborder
:
des Directeurs
Innovation IT
Prochains sujets
Derniers
à aborder :sujets abordés
Derniers
: sujets abordés :
on ROI de
l’innovation
Ce groupe
de travail partage les visions et les
tion des projets
dans
vraie vie
pratiques autour
de la
l’innovation
numérique,
ons, Concours,
POC,
…) et d’usages ainsi
les ruptures de
technologies
g interne de l’Innovation
que les moyens de créer des passerelles entre
ance & Innovation
IT etet
métiers.
A ce titre,
ce groupe
de
cement équipes
interne
externe
des
projets
tion Travail rassemble les Responsables Innovation IT
et les professionnels
des Infrastructures et de la
l en réseaux,
les partenariats
concernés par l’Innovation.
mmunication Production
en interne
é d’une ITCepropre,
pour
groupe de solide
travail se réunit
également à
ovation fonctionne
l’extérieur pour rencontrer des starts-up, des
nt favoriser
la captation
? des
fonds d’investissements,
desd’idées
gourous, visiter
age sur
l’innovation
du Plateau
grands
parcs technologiques,
... Des voyages à
ogique de Saclay
l’étranger (Californie, Israël,…) sont à l’étude.
Innovation (Silicon Valley, Israël,…)
- de
Les
pré-requis de l’Innovation
- Les pré-requis de l’Innovation
- Evaluation ROI
l’innovation
- Gouvernance
- Gouvernance
de l’innovation
et outillage de l’innovation
- La sélection des
projets dans la vraie vieet outillage
Construire
- Construire
veille technologique
une cellule de veille technologique
(hackathons,-Concours,
POC, …) une cellule de
- Travailler
l’innovation avec
- Travailler
les Métiers
l’innovation avec les Métiers
- Marketing interne
de l’Innovation
- Bonnes pratiques pour
de
l’introduction de
- Gouvernance-&Bonnes
Innovation pratiques pour l’introduction
l’Innovation
- Le financementl’Innovation
interne et externe des projets
- Contact
innovantes
avec des start-ups innovantes
d’Innovation - Contact avec des start-ups
- Témoignage
- TémoignageIssy
sur le programme
Grid
Issy Grid
- Le travail en réseaux,
les partenariats sur le programme
et la communication en interne
- Nécessité d’une IT propre, solide pour
que l’Innovation fonctionne
- Comment favoriser la captation d’idées ?
- Témoignage sur l’innovation du Plateau
Technologique de Saclay
- Voyages Innovation (Silicon Valley, Israël,…)
pe de
• Pour
Travail,
vous inscrire
il vous
à un Groupe
suffit
de Travail,
d’adhérer
il vous suffitau
d’adhérer
CRiP
au CRiP
[email protected]
et de contacter : [email protected]
onsultez le calendrier des
Consultez
réunions
le calendrier des réunions
pes de travail sur www.crip-asso.fr
des groupes de travail sur www.crip-asso.fr
Club
des Responsables d’Infrastructure et de Production
cture et de
Production
www.crip-asso.fr
@crip-asso.fr
www.crip-asso.fr
62
Près de 300 adhérents,
Grands Comptes, Entreprises
et Administrations
ACCOR
ADEO SERVICES
ADP GSI
AELIA
AEROLIA
AEROPORTS DE PARIS
AFI ESCA
AFP (AGENCE FRANCE PRESSE)
AG2R LA MONDIALE
AGENCE FRANCAISE DE
DEVELOPPEMENT
AGIRC ARRCO
AIR FRANCE
AIR LIQUIDE
AIRBUS
ALBIANT-IT
ALGECO
ALLIANZ GLOBAL INVESTMENT
ALLIANZ INFORMATIQUE
AMUNDI
ANCV
APHP
APRIA
AREVA
ARGUS DE LA PRESSE
ARKEMA
ARTELIA
ARVAL
AUCHAN
AVIVA
AXA ASSISTANCE
AXA INVESTMENT
MANAGEMENT
AXA TECHNOLOGY SERVICES
BANQUE DE FRANCE
BANQUE PRIVEE EDMOND DE
ROTHSCHILD
BIBLIOTHEQUE NATIONALE DE
FRANCE
BIC
BIOMERIEUX
BNP PARIBAS
BNP PARIBAS CIB
BONDUELLE
BOULANGER
BOUYGUES CONSTRUCTION
BOUYGUES IMMOBILIER
BOUYGUES TELECOM
BPCE
BRIGADE DES SAPEURS
POMPIERS DE PARIS
CAISSE DES DEPOTS
CANAL +
CARREFOUR
CASINO
CDISCOUNT
CEA
CHANEL
CHOREGIE
CHU NICE
CNAMTS
CNAV
CNES
CNP ASSURANCES
COFELY INEO
COFIDIS
COFINOGA
COFIROUTE
COLLECTE LOCALISATION
SATELITTES
CONFORAMA
CONGES INTEMPERIES BTP
CONSEIL CONSTITUTIONNEL
CG DES BOUCHES DU RHONE
CG DE LA LOIRE ATLANTIQUE
CG DU BAS RHIN
CG DU HAUT RHIN
CG DE LA SEINE MARITIME
CG DES YVELINES
CG DU VAL DE MARNE
CR D’ILE DE FRANCE
CONSORTIUM STADE DE
FRANCE
CORA
CREDIT AGRICOLE CIB
CREDIT AGRICOLE S.A.
CREDIT AGRICOLE SILCA
CREDIT AGRICOLE
TECHNOLOGIES
CREDIT IMMOBILIER DE
FRANCE
CREDIT MUTUEL ARKEA
DAHER
DAMART
DANONE
DARTY
DARVA
DASSAULT SYSTEMES
DCNS
DECATHLON
DEKRA
DESCOURS & CABAUD
DEXIA
DGDDI
DGSI ETAT DE GENEVE
DILA
DIRECTION DE L’AVIATION CIVILE
DISIC - BUREAU DU PREMIER
MINISTRE
DISNEYLAND PARIS
DNSCE
EAU DE PARIS
EDF
EIFFAGE
ELIOR
ELLISPHERE
ERAMET
ERDF
ESSILOR
ETAM
EUROMASTER
EUROPCAR
EUROPE AIRPOST
FDJ (FRANCAISE DES JEUX)
FNAC
FONDS DE GARANTIE
FRANCE TELEVISIONS
GALEC (LECLERC)
GALERIES LAFAYETTE
GCS D-SISIF
GDF SUEZ
GDF SUEZ TRADING
GEMALTO
GENDARMERIE NATIONALE
GENERALI
GEODIS
GIPS
GIRC AGIRC ARRCO
GIVAUDAN
GMF ASSURANCES
GRAS SAVOYE
GROUPAMA
GROUPE CHARLES ANDRE
GCATRANS
GRT GAZ
HEINEKEN
HOP ! BRITAIR
HUMANIS
I-BP
IFP ENERGIES NOUVELLES
IGN
IMPRIMERIE NATIONALE
INA
INFOMIL
INRA
INRIA
INSERM
INSTITUT NATIONAL DU
CANCER
INTER MUTUELLES ASSISTANCE
INVIVO
IPSEN
IRSN
IT-CE
KEOLIS
KIABI
LA BANQUE POSTALE
LA POSTE / DIRECTION DU
COURRIER
LA POSTE / DSI CENTRALE
LACTALIS
LAFARGE
LAGARDERE
LATECOERE
LE CONSERVATEUR
LOMBARD ODIER
L’OREAL
LVMH
MAAF
MACIF
MACSF
MAF ASSURANCES
MAIF
MALAKOFF MEDERIC
MANE & FILS
MANPOWER
MAPPY
MATMUT
MEETIC
METEO FRANCE
MICHELIN
MINISTERE DE LA DEFENSE
MINISTERE DE LA JUSTICE
MINISTERE DE L’AGRICULTURE
MINISTERE DE L’ECONOMIE ET
DES FINANCES
MINISTERE DE L’EDUCATION
NATIONALE
MINISTERE DE L’INTERIEUR
MINISTERE DU
DEVELOPPEMENT DURABLE
MIPIH (MIDI PICARDIE
INFORMATIQUE HOSPITALIERE)
MONDIAL ASSISTANCE
MSA AGORA
MUREX
MUSEE NATIONAL D’HISTOIRE
NATURELLE
MUTEX
NATIXIS
NEXTERSYSTEMS
NORAUTO
NUMERICABLE
OBERTHUR TECHNOLOGIES
OCDE
OGF
ORANGE FT GROUP
PARITEL
PARROT
PETROCI
PIERRE & VACANCES
PIERRE FABRE
PISCINES WATERAIR
PLASTIC OMNIUM
PMU
POLE EMPLOI
PRESSTALIS
PREVOIR
PRO BTP
PSA PEUGEOT CITROEN
PUBLICIS
RATP
RENAULT
RESEAU FERRE DE FRANCE
REUNION DES MUSEES
NATIONAUX - GRAND PALAIS
RHODIA
RIO TINTO
ROLEX
ROQUETTE
RSI
RTE
SACEM
SAFRAN
SAINT-GOBAIN
SANOFI
SCHLUMBERGER
SCOR
SEQUANA
SERES
SERVIER
SESAM VITALE
SFR
SIB
SIGMAP
SIHM
SIMPLY MARKET
SNCF
SOCIETE GENERALE
SODEXO
SOFAXIS
SOMFY
SPIE
STEF
STELA
STIME
SUEZ ENVIRONNEMENT
SUPERMARCHES MATCH
SWISSLIFE
SYNCHROTRON SOLEIL
SYSTALIANS
TARKETT
THALES
THALES ALENIA SPACE
THELEM ASSURANCES
TOTAL
TRANSDEV
TRISKALIA
UFCV
UGC
UNEO
UNIBAIL-RODAMCO
UNIPREVOYANCE
UNIVERSCIENCE
UNIVERSITE DE BORDEAUX
VALLOUREC
VENTE PRIVEE
VEOLIA ENVIRONNEMENT
VETOQUINOL
VILLE DE LEVALLOIS
VINCI CONSTRUCTION
VOLVO
VOYAGES-SNCF.COM
WOLTERS KLUWER FRANCE
YVES ROCHER
Le CRiP, Cercle de confiance pour permettre aux Responsables
63
7 bonnes raisons de rejoindre
le cercle de confiance du CRiP
· Être à la pointe de l’innovation et de la transformation digitale
ITES, IT innovation Forum, Study Tour, Web TV, Review, Cercle Innovation
· Prendre les bonnes décisions pour préparer l’avenir
Benchmarking, Review
· Profiter de l’expérience de ses pairs
Groupes de Travail, Base Projets, Base Prestataires de confiance, Réseau Social
· Bâtir un réseau d‘échanges rapides avec ses pairs
Conférences Thématiques et Régionales, Plénières, Convention, Réseau Social
· Renforcer ses relations avec les fournisseurs
Cercle i
· Promouvoir les métiers de la Production
Groupe gouvernance et programme grandes écoles
· Passerelles vers les métiers et l’international
grâce au réseau social
CDO Alliance,
Cercle innovation,
CRAI,
CTO Alliance UK, Suisse, Allemagne,
IT Forum Africa
64
www.crip-asso.fr
www.crip-asso.fr
Rejoignez le
en région
Un CRiP régional réunit localement des adhérents du CRiP implantés
dans la région et accueille de nouveaux adhérents régionaux.
CRiP NORD-PAS-DE-CALAIS
CRiP GRAND OUEST
et CRiP GRAND EST
sous l’impulsion de :
Michel BARBASSO
CTO
sont en cours de création :
Vous souhaitez devenir parrain
de l’une de ces régions,
Contactez-nous !
[email protected]
45 mm
PO
L’A
R
R I ÈR
V OUS
E
Jean-Sébastien BOULLéE
Directeur département
Architecture et Production
SÉ
PL
IN
IS
EZ
UR
UV
RE
R
UN
TE
X TE
AS
UR
LE
R
CRiP RHONE-ALPES
CRiP POITOU-CHARENTES
Jean-François STRICHER
Chef de groupe Ingénierie
et Sécurité
E
45 mm
N’oubliez pas de vectoriser toutes les polices et d’incorporer les images liées.
AS
UR
LE
R
CRiP PACA
E
V OUS
E
X TE
PO
R I ÈR
TE
L’A
R
UN
UV
EZ
UR
R
SÉ
45 mm
RE
PL
IN
IS
SÉ
PL
IN
IS
EZ
R
UN
TE
X TE
IC
AÎ TR
AS
UR
LE
R
E
I L APPA R
Le repère intérieur (43 mm) représenteI,la
face avant.
Marc BéGUé
Sous-Directeur Exploitation
Production DSI/EP/D
UR
UV
RE
45 mm
E
PO
L’A
R
R I ÈR
V OUS
CRiP SUD OUEST
45 mm
Bernard ROUx
Directeur de la Stratégie
Informatique et Transformation
X TE
AS
UR
LE
R
E
PO
E
TE
R I ÈR
UN
V OUS
R
L’A
R
SÉ
PL
IN
IS
EZ
UR
UV
RE
SÉ
RE
PL
IN
IS
EZ
UR
UV
et Cathy LACOMME VERBIGUIE
Sous-Directrice Adjointe Exploitation /
Architecture DSI/EA/DA
R
UN
TE
X TE
AS
UR
LE
R
E
PO
L’A
R
R I ÈR
V OUS
E
et Olivier DU MERLE
Responsable du Centre
informatique de Valbonne
Un CRiP Régional, c’est :
- Toute la valeur des partages d’expériences au sein du cercle de confiance du CRiP dans votre
région, et sur des sujets qui ne sont pas forcément abordés dans les groupes de travail du CRiP
- L’animation de sous-groupes de travail contributeurs des groupes de travail nationaux
- Des rencontres en région avec les grands fournisseurs
- Partager l’information locale sur le réseau des prestataires pour mieux choisir
- Aborder et étudier les thèmes et enjeux spécifiques à la région
- Réfléchir sur les spécificités et avantages de la Production en région
Nous organisons aussi des conférences CRiP Régionales !
Une thématique est choisie par le groupe local et l’événement est sponsorisé par des fournisseurs locaux
ou nationaux. Tout comme sur un événement national, le pilote du groupe de travail correspondant
présente une restitution des travaux du groupe et des retours d’expériences sont présentés.
Votre groupe
régional sur
votre mobile
Pour chaque région,
il existe sur Bee CRiP (le
réseau social privé du
CRiP) un groupe relatif
à la région, dans lequel
vous pourrez trouver
des informations sur
le sujet ainsi que des
informations pratiques
comme par exemple, la date de la
prochaine réunion …
Faites nous part de vos suggestions pour lancer une conférence dans votre région :
[email protected]
www.crip-asso.fr
www.crip-asso.fr
65
Rejoignez le
CTO Alliance Suisse
Gianfranco MOI
à l’international
CTO Alliance UK
John HARRIS
United
Kingdom
De la même façon que les régions, vous pouvez retrouver,
dans Bee CRiP, le groupe CTO Alliance Suisse dans lequel vous
accéderez à des informations sur le sujet ainsi que des informations
pratiques comme par exemple, la date de la prochaine réunion …
IT Forum Africa
Mohamadou DIALLO
Directeur de la publication de CIO Mag
IT FORUM
Africa
IT forum Africa, le réseau des IT Managers Africains est une plate-forme
d’échanges stratégiques au service des directeurs des systèmes
d’informations et IT Manager.
Lancée en 2013, la CTO Alliance UK est une copie du modèle du CRiP
France.
L’idée étant de vous fournir des informations précieuses recueillies auprès
de professionnels de l’Infrastructure et de la Production au RoyaumeUni. Cette nouvelle communauté, c’est aussi la possibilité aujourd’hui
pour vous de pouvoir vous benchmarker à un niveau européen !
Pour information, sachez que beaucoup de nos livrables ont été traduits
en anglais, n’hésitez pas à nous les demander !
En vous connectant sur
www.itiforums.com, passerelle
vers l’international, vous pouvez
accéder et vous connecter à
ces différentes communautés.
Grâce à une association exclusive entre SAFREM (éditeur de CIO
mag et d’IT Forum Africa) et MAZA exclusive IT (éditeur d’Africa
exclusive IT) qui prend à sa charge la diffusion des contenus publics
et la gestion de la plateforme du réseau social Afrocio.net ainsi que
la communication de ses événements en se rémunérant auprès
des sponsors, IT Forum Africa, construit un modèle économique lui
permettant d’offrir des services gratuits de très haute qualité à ses
membres.
Avec la CTO Alliance, la communauté
du CRiP se structure en un réseau
de pairs internationaux. S’il s’agit
toujours de partager nos expériences
sur les thèmes de l’Infrastructure et
de la Production IT, ces échanges
bénéficieront de la diversité des cadres
e t d es c ul tu re s IT d es pa ys qu i
constituent la CTO Alliance.
Le répertoire de nos bonnes pratiques
s’en trouve donc d’autant plus élargi !
Le CRiP, cercle de confiance pour permettre aux Responsables
66
10 septembre 2014
27 janvier 2015
23 avril 2015
Les ruptures d’usages et de technologies :
Big Data, Cloud, Datacenter & Green IT,
Mobilité, Sécurité, Gouvernance …
IT innovation Forum, c’est :
En quelques mots
• Un formidable accélérateur de notoriété, de visibilité et d’opportunité
de business pour la trentaine de start up et entreprises innovantes
sélectionnées par le jury.
PRIX
DU
JURY
• Une opportunité de découverte et de possibles implémentations de
2014
solutions innovantes par une centaine de CTOs de grands comptes français
(Early Adopters) à la recherche d’ avantages économiques et compétitifs
PRIX
pour leur entreprise.
PUBLIC
DU
En quelques chiffres
• 3 éditions de l’IT innovation Forum en 12 mois
• Une sélection de +120 solutions innovantes Lauréates
2014
LAURÉAT
IT
2014
• Présentation de ces solutions à +500 Responsables d’innovations, CTOs,
Responsables d’Infrastructures IT et DSI des grandes Entreprises et
Administrations Françaises.
Un comité de sélection d’experts
• Une sélection des solutions très stricte qui se fait sur dossier
• La description de la solution, sa différentiation, son innovation, son
avantage économique sont étudiés par les membres du jury
• Les solutions sont classées sur une échelle de A à E (A étant la meilleure).
Les notes D et E sont éliminatoires
• Le jury est composé de CTOs du CRiP ( www.crip-asso.fr), de Responsables
d’Innovation IT et de Venture Capitalists
67
Un format unique
• Inspiré du speed dating avec des solutions innovantes qui s’enchainent
par thème toutes les 5 minutes et sont présentées à un panel de
porteur de projets
• Possibilité pour les responsables d’innovation IT de découvrir 30 à 40
solutions innovantes en un minimum de temps et de les retrouver
dans une Agora propice aux contacts business.
Un événement relayé sur notre WebTV Innovation
Les visiteurs du site www.itiforums.com peuvent :
· Retrouver les start up sélectionnées,
· Visionner leurs présentations grâce à la tuile INNOVATION TV,
· Les contacter et adhérer au réseau social IT INNOVATION.
Appel aux solutions innovantes :
Si vous avez des idées d’acteurs et de solutions innovantes à recommander
ou que vous souhaiteriez rencontrer, n’hésitez pas à nous en faire part :
[email protected]
Trophée
innovation IT
Trophées de l’innovation IT 2014
Catégorie Big Data :
Catégorie Cloud :
Catégorie Datacenter & Green IT :
Catégorie Mobilité / Environnement de travail :
atégorie Optimisation de la performance
C
Outillage de la production :
Catégorie Process & Gouvernance :
Catégorie Sécurité :
Catégorie Stockage & Virtualisation :
68
Les Lauréats 2013-2014
des 3 premières éditions d’IT Innovation Forum :
69

L`Essentiel des Conférences CRiP Thématiques

Transcription

Documents pareils

CRIP - Recrutement consultant évaluateur permanent

AIDE SOCIALE A L`ENFANCE - Conseil départemental de la Nièvre

8082 ATN catre postale.indd

Louer appartement 2 pièces PARIS 16 30m²

Présentation

L`informatique compte encore et la Terre n`est pas plate !

cp223-2015_ - Presse

Télécharger

Cellule de recueil des informations préoccupantes