Professional Documents
Culture Documents
O en est UML ?
PAGE 12
n77
ZOOM OUTSOURCING
Ministre des Finances Direction Gnrale des Impts Nadine Chauvire Sous-Directrice des SI de la DGI Les solutions dApplication Intelligence CAST nous aident obtenir une meilleure visibilit de notre parc applicatif au travers de tableaux de bord composs dindicateurs techniques objectifs afin de faciliter le dialogue avec les quipes et avec nos matrises douvrage.
Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingnierie Mobilit La solution CAST de gestion de la soustraitance est un lment cl dans le systme de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constat une attention plus particulire apporte par les SSII la qualit des livrables et la fiabilit des chiffrages depuis quils savent que nous pouvons facilement les auditer.
Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP CAST fournit des critres objectifs dapprciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs ncessaires au suivi de lvolution des applications et constitue au sein de Framatome un outil de progrs partag.
En savoir plus Demandez le Livre Blanc rdig par le Gartner Group et CAST sur ce thme : Information Series on Application Management : www.castsoftware.com/outsourcing Dcouvrez lexprience de plusieurs socits utilisatrices de solutions dApplication Intelligence : www.castsoftware.com/customers
www.castsoftware.com
une technologie avance danalyse de code source. En fournissant des indicateurs techniques aux donneurs dordre, ces solutions permettent de piloter un parc applicatif sous-trait en temps rel, tant en terme de qualit, que de maintenabilit et de cot. Rsultat : le donneur dordre conserve la matrise intellectuelle de ses applications mtier et le contrle de la relation avec son sous-traitant. La valeur ajoute de ce type de solutions dApplication Intelligence est visible chaque tape dune opration doutsourcing, comme dcrit ci-aprs.
Obtenir une image linstant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Rduire la phase dacquisition de la connaissance pour entreprendre plus vite des tches productives Diminuer le cot li la production dune documentation exploitable et maintenable par le prestataire Contrle de la qualit et des cots en cours de projet Suivre lvolution de la maintenabilit et de la qualit pour viter toute drive Etre capable de valider la quantit et la qualit du travail factur Etre en mesure de challenger le sous-traitant lors des ngociations davenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou r-internalisation Dterminer et qualifier les carts entre la prestation prvue et les livrables recetts Disposer des informations techniques caractristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est dailleurs un diteur franais, CAST. Reconnu par les analystes informatiques comme prcurseur du march, CAST compte plus 500 comptes utilisateurs de sa plate-forme dApplication Intelligence dans le monde.
technique Recette
jet pro
Audit de lexistant et prparation des appels doffres Dterminer les caractristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer dinformations de rfrence pour valuer les propositions des soustraitants
Publi-Reportage
dito
2009 : Saas PaaSsera bien ! IT-expert vous souhaite ses meilleurs vux de russite pour cette anne 2009 ! Dsormais, tout est en place pour le dcollage du Saas (voir IT-expert de septembre/octobre 2008). videmment, chacun aromatise le concept sa sauce, quitte le dnaturer. Ainsi, Microsoft ou IBM avancent dans certaines de leurs offres que des Cloud privs pourront exister. Ils cornent ainsi fortement laspect multi-tenant originel du concept : une seule plate-forme proposant une seule et unique version de la solution tous et tout moment. Pourtant, il reste possible de maintenir le lien avec les versions logicielles traditionnelles sans pour autant multiplier des plates-formes dites Saas ! Dailleurs, lditeur CA annonce clairement la couleur en lanant des offres Saas multi-tenant permettant une interaction riche avec ses logiciels traditionnels (dits aussi on premise ou demeure). Par ailleurs, le Paas, cette plateforme favorisant dveloppement et intgration (voir dossier dans ce numro), est annonc chez Microsoft et chez IBM.
Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allgot 92190 Meudon - FRANCE Tl. : 01 46 90 21 21 Fax. : 01 46 90 21 20 http://www.it-expertise.com Email : redaction@it-expertise.com Rdacteur en chef Jos Diz Email : j.diz@it-expertise.com Directeur de publication Aurlie Magniez Email : a.magniez@it-expertise.com Abonnements/Publicit Email : abonnement@it-expertise.com Conception Graphique N. Herlem Email : nico_freelance@yahoo.fr
De la difficult changer dhabits IT-expert a expos maintes fois les avantages du Saas pour les utilisateurs et les entreprises. Cependant, les avantages sont nombreux galement pour les diteurs : revenus rcurrents, possibilits de maintenir des services relle valeur ajoute pour leurs quipes comme pour leurs partenaires, plus aucun problme entre versions logicielles chez le mme client, finies les interminables migrations complexes et parfois prilleuses Un jeune guitariste talentueux dfraie la chronique depuis quelques semaines. En effet, il se produit directement sur Internet et vendrait ses compositions musicales sur Internet plusieurs centaines dexemplaires par semaine. Malgr le piratage et les comportements dcris des internautes! Et certains semblent tonns lorsquil affirme refuser les propositions financires de grandes maisons de disques, en expliquant quil pense que ce modle est le futur de la musique. Quelle lucidit ! Quelle leon ce gamin de moins de vingt ans donne tous ces intermdiaires qui voient leur avenir seffondrer ! Repenser les modles avant de disparatre 2009, un an neuf ?
Parution IT-expert - (ISSN 1961-9855) est un journal dit 6 fois par an, par P&C France, sarl de presse au capital de 60 976,61 e. Avertissement Tous droits rservs. Toute reproduction intgrale ou partielle des pages publies dans la prsente publication sans lautorisation crite de lditeur est interdite, sauf dans les cas prvus par les articles 40 et 41 de la loi du 11 mars 1957. 1996 P&C France. Toutes les marques cites sont des marques dposes. Les vues et opinions prsentes dans cette publication sont exprimes par les auteurs titre personnel et sont sous leur entire et unique responsabilit. Toute opinion, conseil, autre renseignement ou contenu exprims nengagent pas la responsabilit de Press & Communication. Abonnements 01 46 90 21 21 Vous pouvez vous abonner sur http://www.it-expertise.com/ Abonnements/Default.aspx ou nous crire : abonnement@it-expertise.com
Sommaire
6 Dossier
ECLIPSE : bien plus quune claircie pour le dveloppement
De la naissance de cet environnement de dveloppement Java ses dernires volutions, dcouvrez comment et pourquoi Eclipse sest impose face ses concurrents. Bien entendu, les auteurs dtaillent les technologies - schmas lappui, ainsi que les volutions en cours. Indispensable.
12
Technique
O en est UML ?
UML (Unified Modeling Language) a 10 ans. Une excellente occasion pour Pascal Roques, consultant chez A2 et auteur, dexpliquer cette approche dans les projets informatiques. Il aborde les deux approches de la modlisation avec UML : le ModelDriven Engineering et la Modlisation Agile (AM).
18
Actualits Internationales
Les informations marquantes dditeurs, de marchs, dorganisme de standardisation, de dbats en cours et de tendances.
22
29
31
Livres
MDM - Enjeux et mthodes de la gestion des donnes par Franck Rgnier-Pecastaing, Michel Gabassi et Jaques Finet et XML par la pratique - Bases indispensables, concepts et cas pratiques (2me dition) par Sbastien Lecomte, Thierry Boulanger.
32
Rubrique brac
Concernant le nom mme dEclipse, les avis divergents. Certains, potiques, avancent quEclipse est n pour clipser Sun. Dautres, plus pragmatiques, affirment quil sagissait surtout dclipser Visual Studio.
Pour information, plus on a dinfluence sur lcosystme ou la plateforme Eclipse, plus on doit participer financirement la fondation. Par exemple, un membre stratgique pourra payer jusqu 500 000 dollars (en fonction de son chiffre daffaires) ou fournir des dveloppeurs plein temps.
riche que celle quon aurait eue sous Eclipse. Innoopract vend non seulement des formations RAP mais, comme Genuitec, vend sa solution de distribution la demande , nomme Yoxos. La socit Actuate, compagnie de conseil et dveloppement en RIA (Rich Internet Application), est co-leader du projet BIRT (Business Intelligence Reporting Tool), outil permettant la gnration de rapport et dtats dcisionnels. Grce aux avances sur ce projet et sa notorit grandissante, Actuate russit vendre une solution de reporting, nomme simplement Actuate BIRT. Enfin, il convient galement de citer IBM, qui intervient dans de trs nombreux projets de la fondation, en particulier tourns autour de la modlisation et de la mthodologie (dont RUP). La socit vend des prestations de conseil en dveloppement bases sur la plateforme et propose aussi damliorer lorganisation des entreprises grce un outillage bas sur Eclipse. Il faut aussi noter le cas de la Nasa qui, limage dIBM ses dbuts, a dvelopp un mini-co systme bas sur Eclipse. La plateforme Eclipse a t retenue pour concentrer les outils de la Nasa ainsi, les diffrentes quipes lagrmentent de nouvelles fonctions. Pour certaines parties gnriques, les dveloppeurs bnficient du travail de leurs collgues et apportent aussi leur pierre ldifice. Ainsi, les images venant de Mars ont-elles t interprtes sous Eclipse !
Cest l quEclipse prend toute la puissance : la dclaration. Le projet Equinox dEclipse implmente le framework OSGI (Open Services Gateway Initiative) fournissant ainsi un cadre de rfrence au couplage lche des plug-ins. En effet sur une simple dclaration, le plug-in dclarant peut exploiter lensemble des paramtres et des ressources fournis par le contributeur, sans connatre jusqu lexistence mme de ce dernier. Un point dextension se matrialise sous la forme dun fichier exsd (Extension XML Schema Definition) dcrivant la grammaire utiliser pour dclarer la contribution. Les types utiliss peuvent tre des types simples, comme des types complexes, des ressources fichier, images ou des classes. Les classes doivent cependant implmenter une interface ou une classe abstraite fournie par le dclarant pour tre manipule par ce dernier.
Extension Contributeur
La magie dun anonymat devenu possible Un plug-in dclarant fournit des fonctions sous la forme dun point dextension. Ce point dextension permet la dfinition des conditions de dclaration dune extension par le plug-in Contributeur. Ds lors, lorsque le plug-in dclarant est sollicit, il demande au registre des extensions quelles sont les dclarations faites sur la base du point dextension. Chaque attribut prsent dans le point dextension peut alors tre exploit. Dans le monde Java, on ne peut pas instancier directement une classe que lon ne connat pas. Or dans notre cas, le dclarant ne connat pas le contributeur. Cest ce moment que les mcanismes dEquinox prennent le relais. Linstanciation de la classe se fait sur la base de son nom qualifi (appel aussi forme canonique) dclar par le contributeur. Par consquent, sans mme connatre lobjet ainsi cr, le dclarant peut lexploiter.
intelligible. GEF (Graphical Editing Framework) achve le processus de construction pour produire, par lintermdiaire dun paramtrage les outils ncessaires la manipulation des objets dans un modle. Ces outils sont un diteur, une palette dobjets et une mthode de reprsentation. Ainsi, lutilisation de ces trois plug-ins permet de faire dune reprsentation intellectuelle, un outil de reprsentation oprationnel et partageable par la simple adjonction du plug-in produit dans lenvironnement Eclipse. Tout cela en moins dune heure pour un modle simple et une bonne connaissance de ces plug-ins. Et peu dIDE sont capables doffrir ce type de prestations.
10
plus la plateforme Flex (Adobe) trs rpandue sur le terrain des applications multimdias en client lourd mais galement en client lger. La concurrence sur les RIA (Rich Internet Application) est quant elle bien plus prsente. Les frameworks divers comme Rubis on Rails, GWT (Google Web Toolkit) ou jBoss Seam sont des prtendants trs srieux face Flex et RAP. lexception du portage en client lger, la seule plateforme capable de couvrir le mme spectre est NetBeans. La plus grosse faiblesse dEclipse, qui est galement sa plus grande force, repose sur le dveloppement des plug-ins. Jadis, ces dveloppements pouvaient paraitre chaotiques dans la mesure o les plug-ins ntaient gnralement pas livrs en mme temps que la plateforme. Toutefois depuis la version 3.2, la fondation sinvestie dans une politique de releasing commune autour des diffrents plug-ins. Ainsi, dans la mesure du possible, les versions de la plateforme Eclipse et une grande partie des plugins Eclipse proposent une nouvelle version de manire simultane et concerte. Il est donc possible dexploiter les fonctions des projets comme EMF, GMF et consorts ds la release de la nouvelle plateforme sans subir le dlai, gnralement constats, dadaptation des produits annexes, pour des raisons dopacit ou de programmation concurrente, trs connues dans le monde du logiciel sur tagre. Dautres plug-ins dvelopps par des diteurs ou des communauts indpendantes de la fondation entrent galement dans cette dmarche comme le plug-in SVN de Polarion : Subversive.
Les preuves de lefficacit du modle OSGI ayant t faites dans le monde du client riche, puis dans le monde du client lger (RAP), les diteurs et communauts des serveurs dapplications entrent dans cette mme approche, comme Glassfish (i.e. Sun AS). Les plateformes RCP et RAP sont de parfaits supports pour le dveloppement dapplications composites ou dapplications portail. Lapplication typique savrant le poste de travail unifi: utiliser une interface commune, normalise, laissant peu de place limprovisation, mais proposant toutes les fonctionnalits ncessaires laccs aux applications. Un tiers prsentation flexible mais guid. Avec le dveloppement de lapplication RAP on pourrait aller jusqu imaginer dobtenir un jour une plateforme unique proposant lensemble des services ncessaires nimporte quel poste de travail de lentreprise, de lassistante au dveloppeur. Noublions pas que lIDE Eclipse reste une application RCP. quand donc les IDE de dveloppement, les applications de supervision ou les applications mtiers, intgralement en client lger sous la forme dun poste de travail unifi, voir universel?n
Acteur majeur du conseil et des services informatiques en Europe, Sopra Group propose lensemble des prestations ncessaires aux entreprises pour faire voluer leurs organisations et leurs systmes dinformation. Sopra Group compte aujourdhui plus de 12 000 collaborateurs. Son positionnement est global, depuis la rflexion stratgique en amont des projets dans une approche de direction gnrale, jusqu la conduite de grands projets dintgration de systmes et loutsourcing applicatif. Le Groupe poursuit, par ailleurs, le dploiement mondial de son activit dintgration dapplications et de gestion des processus mtiers travers sa filiale Axway, avec une gamme complte de solutions et de services.
11
O en est
UML ?
Aprs plus de 10 ans dexistence, o en est UML? Dun ct, les tenants des mthodes agiles en vogue actuellement, telles que XP (eXtreme Programming) et Scrum, ne parlent quasiment pas de modlisation, ou semblent mme sen mfier. De lautre, certaines entreprises ont engag dnormes investissements sur une approche dirige par les modles (Model-Driven Engineering) et prtendent gnrer presque 100% de leur code applicatif automatiquement. Quen est-il vraiment? Ces deux approches dutilisation dUML sont-elles vraiment inconciliables ?
12
Technique
13
dindustriels dont lobjectif est de standardiser autour des technologies objet, afin de garantir linteroprabilit des dveloppements. LOMG comprend actuellement plus de 800 membres, dont les principaux acteurs de lindustrie informatique, mais aussi les plus grandes entreprises utilisatrices dans tous les secteurs dactivit (www.omg.org).
UML 2.2
03/2005
Industrialisation
03/2003 : rvision 1.5 UML 1.5
Sept diagrammes comportementaux : - Diagramme de cas dutilisation (montre les interactions fonctionnelles entre les acteurs et le systme ltude) - Diagramme dactivit (montre lenchainement des actions et dcisions au sein dune activit) - Diagramme dtats (montre les diffrents tats et transitions possibles des objets dune classe) - Diagramme de squence (montre la squence verticale des messages passs entre objets au sein dune interaction) - Diagramme de communication (montre la communication entre objets dans le plan au sein dune interaction) - Diagramme de vue densemble des interactions (fusionne les diagrammes dactivit et de squence) - Diagramme de temps (fusionne les diagrammes dtats et de squence)
Diagram
Standardisation
Structure Diagram Behavior Diagram State Machine Diagram
Unification
10/1994 Booch'93 + OMT-2
Class Diagram
Component Diagram
Activity Diagram
Deployment Diagram
G. Booch Booch-91
J. Rumbaugh OMT-1
Fragmentation
Sequence Diagram
Historique dUML
Source : site OMG
UML se dfinit comme un langage de modlisation graphique et textuelle destin comprendre et dcrire des besoins, spcifier et documenter des systmes, esquisser des architectures logicielles, concevoir des solutions et communiquer des points de vue. UML unifie la fois les notations et les concepts orients objet. Il ne sagit pas dune simple notation graphique, car les concepts transmis par un diagramme ont une smantique prcise et sont porteurs de sens au mme titre que les mots dun langage. UML 2 (officiellement adopt depuis mars 2005 par lOMG) sarticule autour de 13 diagrammes diffrents, rpartis en deux grands groupes : Six diagrammes structurels : - Diagramme de classes (montre les briques de base statiques : classes, associations, interfaces, attributs, oprations, gnralisations, etc.) - Diagramme dobjets (montre les instances et leurs liens statiques) - Diagramme de packages (montre lorganisation logique du modle) - Diagramme de structure composite (montre lorganisation interne dun lment statique complexe) - Diagramme de composants (montre des structures complexes, avec leurs interfaces fournies et requises) - Diagramme de dploiement (montre le dploiement physique des artefacts sur les ressources matrielles)
14
Technique
(diag. de classes)
Les principales bonnes pratiques de modlisation agile sont les suivantes : Crez plusieurs modles en parallle, utilisez le diagramme le plus adapt la situation, tournez-vous vers un autre diagramme ds que vous tes bloqus pour continuer avancer une allure stable. Modlisez en petits incrments et avec les autres, au lieu dessayer de crer le modle magique qui englobe tout depuis votre tour divoire Prouvez vos modles avec du code pour montrer que vos ides marchent vraiment en pratique et pas seulement en thorie. Utilisez des notations simples afin que le contenu de vos modles soit facile valider, avec les outils les plus simples. Focalisez-vous uniquement sur les aspects que vous devez modliser et nessayez pas de crer tout prix un modle trs dtaill. Modlisez plusieurs, montrez vos modles publiquement sur les murs ou un site web, appliquez le principe XP de proprit collective. Ne vous embarrassez pas de modles temporaires, et ne mettez jour vos modles que quand a fait mal Pour les tenants de lAM, la valeur ajoute principale de la modlisation (comme pour la planification, dailleurs) rside dans lactivit de modlisation elle-mme, et non pas dans le modle obtenu. Craig Larman va jusqu dire : Tout modle est faux ! Et cest OK ! .
15
PIMs
PSMs
EJB CORBA Web Services
Code
Faire des modles indpendants des plateformes (PIM) S pcifier des rgles de passage (mapping) vers les modles
Le processus de conception peut alors tre vu comme un ensemble de transformations de modles, chaque transformation prenant des modles en entre et produisant des modles en sortie, jusqu' obtention d'artfacts excutables. Ainsi, quand on doit driver un nouveau produit, qu'il soit simple volution d'un produit existant ou nouvelle variante, on peut se contenter de rejouer automatiquement la plus grande partie du processus de conception, en changeant simplement quelques dtails ici et l.
Il convient pour cela disposer doutils particulirement puissants, permettant de dfinir des transformations de modles, des gnrations de documents et des templates UML (squelettes de code et patterns) adapts au contexte de chaque projet. Et ce point incarne prcisment la principale difficult dans lapplication pratique du MDE : comment travailler en itratif et en incrmental, plusieurs sur le mme modle de rfrence ? Les outils actuels ne rpondent pas forcment avec efficacit la ncessit de fusion/diffrence de modles, etc.
Pascal Roques est consultant senior chez A2, avec plus de vingt ans dexprience dans la modlisation des systmes complexes (SADT, OMT, UML, SysML). Il est lauteur des livres UML 2 en action (2007), UML 2 par la pratique (2008), Cahier du programmeur UML 2 (2008) et Mmento UML (2005) chez Eyrolles. Pascal Roques a obtenu la certification OMG-Certified UML Advanced Professional propose par lOMG. Il est galement ScrumMaster certifi.
16
Parlons-en !
> Archivage > Business Process Management > Dmatrialisation - Facturation lectronique > Editique - Output management > Etudes et Conseil > Fournisseur de contenu, infomdiaires > Gestion de catalogues > Gestion de contenu > Gestion de contenu multilingue, traduction > Gestion de documents > Gestion des actifs numriques > Indexation - Recherche et catgorisation > Intelligence conomique > Intranet > Knowledge Management > Lecture automatique de documents > Moteur de recherche > Open Source > Portail dinformations > Publications multicanaux > Scurit, signature lectronique > Sret de linformation > Travail Collaboratif > Veille > Video Content Management > Web 2.0
internationales
Bientt un quatrime oprateur mobile 3G franais ?
Le 12 janvier, Franois Fillon, Premier ministre, accompagn dric Besson, alors encore secrtaire dtat au dveloppement de lconomie numrique, ont prsent les modalits de dploiement des rseaux 3G et fibre optique, sans pour autant fixer dchances prvues par le plan France numrique 2012. Dcision importante : il y aura bien attribution dune 4me licence doprateur mobile 3G, dont les frquences seront attribues avant lt 2009. Lappel candidature concerne trois lots de frquences 5 MHz dont un rserv un nouvel entrant fin damliorer les offres des oprateurs, annonce Franois Fillon, et dassurer une meilleure couverture du territoire. Une nouvelle qui ravit Iliade-Free, candidat dclar une licence mobile. Nanmoins, loprateur refuse de surpayer ce type de licence ou souhaite au moins un talement de paiement. La dernire licence avait t value 619 millions deuros, mais avec des frquences de 15 MHz et non de 5 MHz Mme si Free emporte lattribution, loffre ne devrait pas tre disponible avant 2010, voire plus (rseau et antennes dployer). Les ministres ont galement annonc une consultation publique par lArcep fin fvrier sur les modalits dun appel candidatures conjoint dans les bandes 790 862 MHz et 2,6 GHz pour le trs haut dbit mobile et la tlvision mobile personnelle (TMP) pour attribution fin 2009. Enfin, les dcrets dapplications de la LME (Loi de modernisation de lconomie) pour favoriser le dploiement de la fibre optique devraient tre publis sous peu, y compris les conditions dans lesquelles les btiments construits et rnovs devront tre fibrs, a expliqu le Premier ministre. Et la caisse des dpts et consignations (CDC) crera un outil de financement spcifique vis--vis des collectivits territoriales qui sengagent dans des investissements importants en matire de ralisation de rseaux en fibre optique. n
Actualits
18
Actualits internationales
SAP paie Sun pour que ses clients dansent encore en Java 1.4.2
multiplier les versions de plates-formes, on accentue les risques pour les clients ayant dvelopp des programmes sur ces frameworks, et cr une dpendance. Exercice complexe de contorsionniste. Ainsi, pour permettre aux clients de sa plate-forme NetWeaver de continuer utiliser la version 1.4.2 de Java SE sous Windows et Linux (Intel 32, 64 bits, et Itanium pour les deux), SAP vient de signer un accord pluriannuel avec Sun Microsystems. Ce dernier assurera la mise jour et lenvoi de correctifs sur sa suite applicative Java SE for Business Premium Plus. Et les clients de SAP peuvent continuer utiliser les applications SAP NetWeaver 2004 et SAP NetWeaver 7.0 sur les deux systmes dexploitation sans obligation de signer un contrat de licence distinct avec Sun Microsystems. De la problmatique des patchworks Le support a t ngoci pour une priode de quinze ans, alors que Sun avait annonc au printemps 2008 que le support serait dornavant payant raison de 10 12,5 dollars par employ et par mois. n
19
20
Actualits internationales
Il faut croire que les frustrations lies Vista (malgr lautosatisfaction trop manifestement et unanimement affiche par les quipes de Microsoft) ont gnr une forte attente pour un systme dexploitation plus souple et moins gourmand en ressources. Il convient de prciser aussi que lditeur avait limit 2,5 millions le nombre de cls dactivation de Windows 7 bta ! n
21
Les dveloppements (en .Net ou J2EE par exemple) tant souvent perus comme gratuits, parce que lon se focalise sur le prix des licences en oubliant les cots cachs de linfrastructure, fort peu dentreprises sont explicitement la recherche de nouvelles solutions. Pourtant, le succs du PaaS est indniable, grce aux multiples bnfices quil procure : rduction et matrise des cots, facilit et rapidit de dveloppement et de mise en uvre, dport des problmatiques dexploitation, recentrage sur le mtier, souplesse et facilit dintgration Autant datouts qui plaident en faveur de cette approche.
Alors, quen est-il vraiment ? Quels sont les concepts et composants essentiels ? Quels sont les bnfices attendus, mais aussi les risques ? Quelles leons peuton dj tirer ?
22
SAS 70 (Statement on Auditing Standards no.70) est une norme dorigine Amricaine reconnue au niveau international, notamment comme lment de conformit SarbanesOxley.
Services
Applications / Services Workflow / BPM Python Java APIs Audit Authentification Runtime (env. d'excution) Stockage PHP
Un rseau robuste et prenne Composant essentiel de toute offre SaaS, le rseau est lessence mme du modle SaaS /PaaS, lment cl assurant accessibilit et performance. Une question revient souvent : Je suis Paris et les serveurs sur un autre continent, cela aura-t-il un impact sur les performances?. La rponse est non ! Et cela grce lun des secrets les mieux gards que sont les accords de peering ou raccordement des rseaux avec les oprateurs tlcom. Ce maillage est extrmement important pour garantir les performances dune plateforme PaaS. Dans lapproche PaaS, lessentiel ne consiste pas connatre les dtails techniques qui peuvent tre amens voluer, mais plutt se poser les questions de la prennit, du respect des normes et du maillage rseau du fournisseur.
Infrastructure
Matriel (serveurs, CPUs ) Green IT Energie Compliance Audit SAS 70 Scurit SLA Peering Rseau
23
Dans le cas dune approche de type mutualisation, les ressources sont partages : OS, stockage, etc. Cette approche moins flexible pour les choix darchitecture et de services, reste aussi tributaire des APIs disponibles (voir ci-dessous). En revanche, lexploitation est simplifie car il nest plus ncessaire de prvoir un nombre de machines, de processeurs, de mmoires etc. La plate-forme tant conue ds lorigine pour assurer les montes en charge. Le choix entre les deux types dapproches dpend des besoins, mais elles savrent complmentaires. Services de gestion : tat de sant en temps rel Les services de gestion regroupent lensemble des outils permettant de visualiser ltat de la plate-forme, en termes de ressources utilises (CPU, stockage, mmoire, transactions), de disponibilit, de niveau dutilisation des applications, etc. Une plateforme sera dautant plus riche que ces services de gestion sont nombreux et accessible travers un tableau de bord simple lire. APIs et langages : des matriaux essentiels Points cls surtout pour les plateformes mutualises, ces APIs permettent aux dveloppeurs de concevoir les applications et des services. Cest un lment structurant pour le choix de la plate-forme. Au-del des APIs, la disponibilit de langages de programmation connus et reconnus permet une accessibilit un grand nombre de dveloppeurs. Il est galement intressant de voir apparatre des technologies tout spcialement conues pour ces environnements, tels que Apex, syntaxiquement trs proche de java mais adapt un environnement multi-tenant (partag), et qui permet par exemple de garantir que le code des uns nimpacte jamais les performances des autres. Composants applicatifs : aller beaucoup plus loin Dans cette catgorie on retrouvera par exemple : la gestion des identits, les services type workflow, un gnrateur dinterface utilisateur, des composants analytiques de type dashboard, les composants multi-langues, multi-devises, etc.
services peuvent venir sy greffer un moindre cot. Lmergence du PaaS a t favorise par lapproche SaaS, enrichie par la suite de services personnalisables. Le PaaS incarne donc un moyen trs accessible et moindre cot de fournir des services extensibles aux entreprises, comme au grand public.
Risques
Fournisseurs : attention aux lois
Les risques pour les fournisseurs sont en fait trs faibles. En effet, linfrastructure est gnralement dj en place pour des services de type SaaS avec garantie de qualit de service. Le risque le plus important pourrait tre une trop grande utilisation de la plate-forme PaaS au dtriment des services SaaS. Les obligations lgales et rglementaires reprsentent aussi un risque, car elles peuvent augmenter les besoins de reporting, de traabilit, daudit, etc. Cela peut induire une complexification des architectures et donc des cots associs. Nanmoins ces rglements ou lois touchent aussi les plateformes SaaS.
24
et proposent des solutions de type PaaS. Cest bien entendu un raccourci, mais il devient clair que certains acteurs majeurs apportent un socle de stabilit, tandis que des startups participent linnovation. Finalement, le nombre dacteurs du PaaS tmoigne aujourdhui de lessor du phnomne.
La technologie avance
Le modle multi-tenant, adopt par Google, Salesforce, Omniture et bien dautres, permet une vitesse dinnovation largement suprieure au modle traditionnel. De plus, le respect des standards permet dagrger des solutions dorigines diffrentes, pour, l encore, proposer plus de valeur lutilisateur final. Les mashup dentreprises en sont un bon exemple : lintgration (enfin !) simple mettre en uvre et transparente pour lutilisateur. Et la surprise, par dfinition, est apparue l o on lattendait le moins : ce que les dmarches de type SOA promettaient dans lunivers traditionnel on premise, devient, dans le monde du PaaS, une ralit bien plus rapide. Et le nouveau mot dordre devient : Connecting the Clouds
25
PaaS : 3 questions Frdric Charles, Responsable Stratgie & Gouvernance du SI la Lyonnaise des Eaux (Suez Environnement)
n De nombreuses entreprises envisagent les solutions et architectures la demande, mais hsitent franchir le pas de ce nouveau modle. Quen est-il dans votre entreprise ? Le modle nest pas nouveau dans son concept pour les DSI car depuis plus de 20 ans les entreprises ont par exemple externalis des applications entires comme la paie. La nouveaut rside dans la capacit dtendre le systme dinformation de lentreprise avec une infrastructure partage, quelle soit technique comme les PaaS (Platform as a Service), applicative comme le SaaS (Software as a service) ou collaborative. Cette anne nous avons par exemple mis en ligne un service denvoi de mails avec des pices jointes jusqu 2 Go, et ce afin de rpondre aux besoins des utilisateurs manipulant des documents de plus en plus volumineux. Pour cela nous sommes alls chercher une infrastructure externe (MyCoursier.com). Aprs quelques jours dintgration, la plateforme nous tait ddie et accessible de faon transparente depuis notre intranet. Le plus long, et cest un aspect ne pas ngliger avec ce modle, a t la partie contractuelle. En effet, nous avons d tablir les engagements et responsabilits respectives avec notre partenaire pour cette extension de notre SI. Dans la mme logique, Webex le systme de web-confrence de toutes les socits du groupe GDF Suez est galement en mode la demande. Nous achetons aussi des donnes gographiques lunit via des web services offerts par Google Maps, pour complter nos applications mtier de localisation quand nous en avons besoin. Cette capacit complter son infrastructure technique de faon ractive est donc une promesse trs intressante pour les entreprises. Mais elle permet aussi au niveau applicatif une extension du SI pour rpondre des besoins mtiers, gnralement standards. Tous les domaines fonctionnels sont concerns plus ou moins long terme. Le commercial, les ressources humaines ou la logistique achats ds maintenant. n Quels sont pour vous les gains, dune part, et les risques ventuels dautre part, lis ces architectures ? Les gains se situent au dpart dans la rduction des dlais de mise en uvre et lattention du projet sur les processus, le paramtrage ou le reporting et non sur les aspects techniques puisque la plateforme est dj oprationnelle. Ensuite les mises jour sont plus frquentes et plus faciles dployer. Et sur ce point, salesforce.com avec ses versions par saison a clairement cr un standard. Cest aussi, comme avec les progiciels, une incitation pour les entreprises rsister au chant du dveloppement spcifique, car les utilisateurs voient de suite leur application. Dailleurs pour ce type de projets les mthodes agiles sont alors plus adaptes que le traditionnel cycle en V. Le dveloppement des comptences des informaticiens sur ces mthodes est alors ncessaire, aussi bien en interne que chez les intgrateurs qui parfois peuvent tre dstabiliss par un projet SaaS ou PaaS, bouleversant leurs repres. Il reste bien sr la question de lintgration des applications en mode SaaS ou PaaS avec le reste du SI. Cette question remet au got du jour les approches tires par les processus et lurbanisation. Par exemple dans le domaine des achats, le traitement de la demande dachat est plus simple avec un processus complet en mode SaaS, de la cration de la demande la rception des marchandises et de sa facture, pour viter une intgration complexe avec lERP comptable qui rduirait la promesse de gains de mise en uvre. n Pensez-vous que le modle la demande, et en particulier le PaaS, soit aujourdhui assez mature et quil apporte une valeur ajoute particulire ? Tout fait et un aspect lillustre bien : nous sommes attentif au dveloppement de ce modle pour le domaine du collaboratif. Il sagit de la gestion des interactions non structures de lentreprise, centres sur le document et linformation, avec des acteurs internes ou externes. Tirs par les offres grand public, la bureautique en ligne et les services de stockage et de traitement de documents se dveloppent grande vitesse. Lintgration entre Google Docs et Saleforce.com est intressante sur le plan fonctionnel car elle permet de mettre de faon intelligente du collaboratif dans un processus trs structur. Mais je vois surtout dans ce rapprochement le signal dun nouveau niveau de maturit, celui de linteroprabilit. Aprs le partage des standards du web, cette interoprabilit permet maintenant de partager le document, que lon soit dans une application ou dans son environnement bureautique ou collaboratif. Les assistantes commerciales peuvent complter les comptes rendus des commerciaux et ces documents ne sont plus en silos dans lapplication commerciale, peuvent tre indexs et retrouvs depuis lintranet si on en a les droits. Cela ouvre des perspectives dorganisation du travail et de collaboration centres sur le dveloppement commercial. Le SaaS et le PaaS reprsentent donc une tendance forte dans lindustrie, tendance que nous suivons depuis plusieurs annes et en 2008 la DSI de Lyonnaise des Eaux est membre fondateur du Saas User Group France, au ct dacteurs aussi divers que Valeo, Essilor, ou Rhodia.
26
Finalement
Microsoft, avec Azure, proposera ses technologies habituelles, mais cette fois en ligne. Pour le dveloppeur, les habitudes et le savoir faire ne changent pas, ce qui permet de capitaliser sur les savoir-faire actuels, mais finalement ne changent pas vraiment les choses : il faut construire et reconstruire, et non assembler. Une application prend autant de temps quavant construire, et finalement la complexit nest pas rduite. Cest un premier pas vers le Cloud Computing, mais on est encore loin du compte. Dautres, comme IBM ou Amazon, proposent principalement de la puissance machine en ligne. L encore, on dplace linfrastructure, ce qui est le sens de lhistoire, mais une fois encore la complexit est toujours au rendez-vous. Certaines offres, par contre, sont beaucoup plus dans la philosophie du cloud computing : ainsi Facebook propose un rel changement de paradigme pour raliser rapidement, en ligne, des applications sur le crneau du rseau social. Google et Salesforce, avec des approches diffrentes (assez technique pour lun, plus oriente composants prts lemploi pour lautre), mais plus gnriques et plus ouvertes, ouvrent la voie : Connecting the Clouds, cest--dire assembler des solutions la demande, est sans doute la vraie nouveaut et le profond changement des annes venir. n
Les principaux acteurs du PaaS sont dj clairement identifis. Leurs offres sont dailleurs plus complmentaires quelles nentrent en concurrence Cependant, les niveaux de maturit sont encore trs disparates.
Aprs plusieurs annes au sein de grandes administrations, Jean-Louis Baffier a travaill plus de 14 ans chez Oracle, dans diverses fonctions techniques et de management, en France et en Californie. Depuis dbut 2008, il a rejoint Salesforce. com en tant que Directeur Avant-Vente pour lEurope du Sud. Il est galement lun des administrateurs de lASP Forum. SALESFORCE.COM est le leader mondial des solutions Cloud Computing dentreprises, et fournit aujourdhui via internet un large panel dapplications, dont sa suite CRM et son offre de PaaS appele Force.com, plus de 1 100 000 utilisateurs, assurant le succs de plus de 58 300 clients de par le monde. Salesforce.com est galement prcurseur en proposant un nouveau modle global de donations (en fonds, en temps de ses employs et en licences gratuites) dont bnficient plus de 3500 organismes non lucratifs dans 52 pays.
Aprs un doctorat en Physique, Laurent Guiraud a travaill chez Oracle et Trilogy, dans diverses fonctions techniques et de conseil en Europe. Depuis 2005, il a rejoint Google en tant que Directeur Technique dans la division Enterprise. GOOGLE Enterprise a t fonde en vue dadapter une technologie plbiscite par le grand public lenvironnement des entreprises. Auparavant, les technologies professionnelles taient davantage axes sur la finalit que sur lindividu. Les applications matrielles et logicielles conues par et pour des experts ont souvent pch par un manque de considration pour lutilisateur final. Le Web va toutefois lencontre de cette tendance en permettant de choisir des applications et des services accessibles, efficaces et en adquation avec ses besoins.
Enterprise
IT-expert n77 - janvier/fvrier 2009 27
PARTICIPEZ AUX PROCHAINES CONFERENCES IDC, EVENEMENTS INCONTOURNABLES QUEL QUE SOIT VOTRE SECTEUR DACTIVITE !
Risk Management
CRM
VERITABLES FORUMS DINFORMATION ET DECHANGE ENTRE ANALYSTES, DIRECTEURS ET RESPONSABLES INFORMATIQUES, EXPERTS DU MARCHE
INSCRIVEZ-VOUS GRATUITEMENT
Sur notre site : http://www.idc.com/france/events/conferences.jsp en prcisant le code invitation ITX Ou en contactant Edith Tricheux : etricheux@idc.com - tel. : 01.56.26.26.91
IDC, cabinet leader de conseil, et dtudes dans les technologies de linformation.
29
n Pourriez-vous nous prsenter le mtier de votre socit et ses clients ? Jean-Philippe Rigaud : Toluna est le premier fournisseur indpendant en Europe de panels pour les tudes en ligne et de solutions hberges denqutes en ligne. Toluna a acquis une forte rputation pour son expertise de cration et de gestion de panel ddi B2B et B2C allant de quelques centaines plusieurs dizaines de milliers de membres. Deux solutions intgres ASP PanelPortal et AutomateSurvey ont t dveloppes par notre socit. PanelPortal est une solution de gestion de panels on demand qui permet aux professionnels du marketing et des tudes de march de bnficier dun consumer insight plus rapide, plus approfondi et plus efficace. Avec les communauts VIP de marque, les utilisateurs peuvent aussi mettre en place des forums de discussion, en posant des questions aux membres VIP et enrichir linformation par les commentaires et ractions des autres membres. Avec AutomateSurvey, nos clients peuvent produire on demand des questionnaires en ligne laide dune vaste gamme de types de questions, et selon une multitude de logiques de filtres et de renvois et bnficier dune souplesse de cration optimale tant pour les questionnaires que pour les e-mails, afin de maintenir une cohrence totale avec lhabillage visuel et graphique de leur marque.
n Pourquoi avoir mis en place un projet sappuyant sur une infrastructure la demande plutt quune solution dite classique ? Jean-Philippe Rigaud : En tant que fournisseur de service, nous exploitons et dveloppons aujourdhui notre plateforme SaaS de plus dune centaine de serveurs, de fait nous tions peut tre plus facilement lcoute de solution on demand. Nanmoins, la DSI groupe a droul les diffrentes phases dapprobation au produit Salesforce. Ce qui a fait la diffrence pour nous, cest la souplesse et la facilit de dploiement que nous offraient Salesforce par rapport une solution traditionnelle. Avec la possibilit dintgrer facilement des flux dinformation vers et depuis Salesforce les dernires barrires se sont rompues. Puis le produit lui-mme nous a conquis.
n Quelles difficults avez-vous eues rsoudre ou contourner ? Jean-Philippe Rigaud : Les plus grosses difficults rencontres lors du dploiement ont t les problmes de mise en forme des fiches contacts ou bien encore la finalisation de la fiche de suivi projet. Les difficults taient plus lies notre activit ou la gestion interne de linformation commerciale quau produit lui-mme. Je pense que nous aurions t confronts aux mmes questions avec une solution classique, mais avec peut-tre davantage dassistance par des consultants produits ou de formation.
n Dans quel contexte travaillez-vous ? Jean-Philippe Rigaud : Toluna est un oprateur de marketing online dont les structures oprationnelles sont aux tats-Unis (Dallas, New York, Seattle), en Grande-Bretagne (Londres), en France (Paris), en Allemagne (Frankfurt), Pays-Bas (Amsterdam), Sydney (Australie). Avec des clients internationaux, il fallait donc trouver une solution technique permettant doffrir un dploiement multiagence, multilangue, international avec par ailleurs des connexions itinrantes. Nous recherchions une solution souple permettant de consolider toutes les informations sur les contacts commerciaux, les propositions faites, avec une gestion de lhistorique commerciale complte, sur 7 pays, pour plus de 50 utilisateurs, avec une gestion de la monnaie locale et une monnaie de rfrence corporate. Afin que loutil de force de vente soit pertinent, il tait indispensable que le reporting et les tableaux de bord permettent une granularit de consolidation des actions et rsultats de chaque individu, des quipes, du pays, du groupe. Le marketing aussi devait pouvoir bnficier de loutil.
n Quels enseignements en tirez-vous aujourdhui ? Jean-Philippe Rigaud : Le on demand est clairement aujourdhui une solution offrant les mmes fonctions et possibilits que les solutions classiques. Elle peut grce aux diffrentes API offrir une complmentarit avec les outils de lentreprise comme toute autre solution dploye en interne.
n Quels sont vos prochains grands chantiers ? Jean-Philippe Rigaud : Dvelopper le suivi afin davoir le ROI de nos campagnes marketing dans Salesforce. Nous envisageons dintgrer davantage notre gestion de projets pour obtenir une visibilit complte du workflow de lentreprise. Cela sera possible au travers de dveloppement men en interne et aussi de produits dj existant dans lappExchange. Cela devrait reprsenter 100 nouveaux utilisateurs Toluna sur Salesforce rapidement. Ces projets sont fondamentaux pour accompagner la croissance de la socit Toluna sur tous ses marchs. n
30
Livres
MDM - Enjeux et mthodes de la gestion des donnes
Le Master Data Management a pour objectif dassurer la qualit des donnes tout en assurant leur cohrence au sein du systme informatique de lentreprise. Rdig par trois auteurs complmentaires et de terrain, ce livre y gagne en pratique et en approche concrte dans une discipline ou les discours thoriques et soporifiques sont lgions. Et pour cause, le pool dauteurs est compos de : Franck Rgnier-Pcastaing, responsable de loffre de services MDM chez Logica Management Consulting (socit de services informatiques) ; Michel Gabassi, ingnieur la Direction informatique et tlcom dEDF/GDF et responsable du catalogue des solutions pour le middleware et les progiciels ; et Jacques Finet, galement ingnieur la direction informatique et tlcom dEDF/GDF. Organis en trois parties, cet ouvrage commence par une initiation aux concepts, aux besoins et enjeux de la gestion des donnes. Une fois ces dfinitions et enjeux expliqus, le livre aborde les bonnes pratiques, les architectures et les solutions pour amliorer cette gestion. Le cur de louvrage navigue au sein de la problmatique MDM. La dernire partie sattaque aux mthodes et organisations sappuyant sur le concept cl de gouvernance des donnes. Il faut bien passer par l. Dailleurs, le peu de cas rserv ces aspects a priori rbarbatifs amne souvent des checs prvisibles. Cest pourquoi les auteurs ont vit linventaire la Prvert autant que la charte psychorigide.
MDM - Enjeux et mthodes de la gestion des donnes Franck Regnier-Pecastaing, Michel Gabassi, Jaques Finet ditions Dunod 336 pages - environ 35 E
XML par la pratique Bases indispensables, concepts et cas pratiques (2me dition)
Espranto des documents numriques et du Web, le standard XML (eXtensible Markup Language) sorganise selon une hirarchie de balises. Qualifi de simple, structur ou encore trs maniable par les dveloppeurs et les webmasters, il peut aisment se combiner avec les feuilles de styles pour organiser un site web tout en respectant une charte graphique. Ds la premire dition de ce livre en 2003, son auteur Sbastien Lecomte (responsable de projets Internet et webmaster) a cherch et russi rendre le XML accessible tous. Pour cette seconde dition, Thierry Boulanger (dveloppeur freelance) a actualis louvrage pour lenrichir des dernires volutions essentielles la matrise du langage. Bien entendu, la premire partie est consacre lexpos des concepts fondamentaux, indispensable la pratique de tout langage et de toute syntaxe. Mieux vaut comprendre les raisons structurelles pour viter les bourdes ! Et mme sur ces aspects, louvrage sappuie sur des cas pratiques que le lecteur pourra aisment concevoir et essayer. Outre la syntaxe et les rgles de validit de tout document XML, les auteurs abordent tous les aspects XML et la plupart des technologies ou le XML apporte une relle valeur ajoute : DTD, Schmas XML, RELAX NG ; liaisons Xlink et XPointer, requtes XQuery, le XSL (eXtensible StyleSheet Language), PDF et donnes XML, XML et SOAP, changes entre JavaScript, DOM et XML, RSS, SMIL, XHTML, XFORM
XML par la pratique Bases indispensables, concepts et cas pratiques (2me dition) Sbastien Lecomte, Thierry Boulanger ditions ENI 347 pages - environ 26 E
31
ISO 27001
normalise la scurit de linformation
En 2005, lISO/IEC publie lISO 27001, la premire norme dune nouvelle famille ddie la scurit de linformation. Depuis 3 ans, les principes de cette norme ont entran des modifications profondes dans les dmarches scurit des organisations. Aujourdhui, ces principes, en particulier la prise en compte systmatique des risques et le cycle damlioration Plan-Do-CheckAct (PDCA), contribuent faire de cette norme une vritable rfrence pour les organisations.
32
Rubrique brac
La norme ISO 27001 fait donc son chemin en France, o elle commence acqurir une base importante dutilisateurs. Lanalyse ci-dessous, ralise auprs de 50 grands comptes, montre que plus de la moiti des organisations ont lanc des actions orientes vers lISO 27001. Ces initiatives sont aujourdhui trs varies et restent majoritairement centres sur une analyse dcarts avec les exigences de la norme. Mais cest un premier pas vers une adoption des principes de la norme, voire vers une certification de certaines activits comme pour quasiment 10 % des sonds.
47%
33%
9%
12%
27013 Guide pour le secteur de lindustrie Propose 27015 27016 27031 27032 27033-x Guide pour laccrditation Audits et revues Continuit dactivit Cyberscurit (Internet) Scurit des rseaux Propose Propose Draft Draft Draft Draft Draft Publie
27034-1 Guide pour la scurit applicative 27035 Gestion des incidents de scurit
Publie
27799
33
proches de leur cur de mtier. Cest le cas par exemple de Quanta Medical sur ses activits dessais thrapeutiques et/ ou pidmiologiques ou encore de la Franaise des Jeux sur les activits lies la loterie. A linternational, le niveau dadoption de la certification ISO 27001 est trs htrogne dun pays lautre. Certains sont trs en avance, en particulier le Japon. Dautres (tats-Unis, Inde, Allemagne) sont en train de rattraper leur retard suite la publication de lISO 27001 comme norme internationale. Dbut janvier 2009, 5190 certifications ISO 27001 ont t prononces dans le monde (source : www.iso27001certificates.com).
Lamlioration continue : Comme les systmes de management de la qualit (ISO 9001) et de lenvironnement (ISO 14001), un SMSI ISO 27001 repose sur le cycle de progrs PDCA : Plan, Do, Check, Act, galement appel Roue de Deming. Ce cycle vise une amlioration continue reposant sur une logique simple : dire ce que lon fait, faire ce que lon a dit, puis contrler et corriger les carts. Il est donc ncessaire de crer un cycle de rvaluation annuel pour lintgralit du SMSI. Les revues de direction marqueront la finalisation dun tel cycle, avec la ralisation dun bilan visant valuer lefficacit du SMSI, mais galement valider les orientations venir. Limplication du management : Le management joue un rle cl dans le fonctionnement dun SMSI. Son implication ne se rsume pas un accord officiel pour lancer le projet. Il sagit dune interaction bien plus forte, car cest bien le management qui va orienter le SMSI et prendre les dcisions relatives aux risques quil est prt accepter. Son implication est essentielle pour russir les tapes de lanalyse de risques, mais aussi pour nommer les diffrents acteurs mettant en uvre le SMSI et fournir les moyens ncessaires. Le management doit aussi communiquer vers les acteurs du primtre pour marquer sa volont de mettre en uvre cette dmarche damlioration de la scurit de linformation. Le management intervient dans la dure, il est lacteur cl de la revue de direction qui se droule a minima annuellement. Lapproche processus : La norme ISO 27001 prconise que toutes les activits lies au SMSI soient conues et formalises sous la forme de processus. Cette approche processus est probablement un des lments les plus importants de la norme, mais aussi lun des moins explicits par celle-ci. Les porteurs et acteurs des diffrentes actions contribuant la scurit doivent donc tre identifis tout comme lenchanement des actions mener pour chaque processus de scurit. Attention il ne sagit pas ici de formaliser les processus mtier (comme pour lISO 9001) mais uniquement les processus lis la scurit de linformation.
34
Rubrique brac
Grer le traitement des risques : il consiste piloter lavancement du traitement des risques, en passant par la formalisation des mesures slectionnes (consignes dans la Dclaration dApplicabilit) et par le suivi des diffrents chantiers scurit afin datteindre la cible de diminution des risques valide par la direction. Les activits telles que la conception de la politique de scurit ou le droulement des projets dinfrastructure scurit sont rattaches ce processus.
Zoom sur la dclaration dapplicabilit La Dclaration dApplicabilit (appel en anglais Statement of Applicability ou encore SOA) est un document exig par la norme dans le cadre dune certification, mais il est opportun de le prvoir dans tous les cas, pour servir de guide dimplmentation et de plan daction. Le SOA reprend lensemble des 133 mesures de scurit de lISO 27002 et permet lorganisation de se positionner en indiquant si elle va mettre en uvre ou non chaque mesure, la justification de cette dcision et la manire dont la mesure est mise en uvre. Ce document sera autant un outil de suivi interne, quun support de communication externe ou interne.
Contrler lefficacit : ce processus permet de sassurer que le SMSI est consistant et cohrent et que les actions entreprises sont efficaces. Ce processus est souvent spar en deux volets. Le premier vise contrler le SMSI luimme travers un plan daudit interne et externe incluant par exemple des autocontrles, des audits de conformit, des audits techniques Le second volet du processus consiste raliser des tableaux de bord pertinents partir des indicateurs prvus dans chaque processus : rcupration des indicateurs, consolidation, publication Ces tableaux de bord devront tre orients vers une mesure de lefficacit et pas simplement vers une mesure de lactivit du SMSI, lobjectif tant de constater lamlioration dans le temps.
35
Grer les incidents et les vulnrabilits : La norme impose une gestion efficace des vnements de scurit, tant en correctif (incidents), quen prventif (vulnrabilits). Le processus traitera galement des aspects prventifs: veille scurit (rglementaire et technique), gestion des vulnrabilits, gestion des alertes, etc. Il est galement possible de rattacher ce processus la gestion des actions prventives et correctives si un objectif de certification est vis. Former et sensibiliser : ce processus exig explicitement dans la norme ISO 27001 a pour objectifs de former les acteurs ayant des responsabilits dans le cadre du SMSI (auditeurs internes, gestionnaire du SMSI, administrateurs, etc.) et de sensibiliser les utilisateurs du SMSI aux bonnes pratiques de scurit. La limite entre sensibilisation et formation dpend des responsabilits qui incombent aux acteurs. Plus ces derniers sont responsabiliss, plus il faut correctement les former. Grer la documentation et les preuves : ce processus est essentiel lorsquune certification est recherche. Il sassure que lensemble des documentations ncessaires au SMSI (typiquement la formalisation des processus) est correctement gr (gestion des versions, archivage, validation). Ce processus sassure galement que les preuves qui seront demandes lors de laudit de certification sont collectes et conserves dans le respect de leur confidentialit et intgrit. Dans le cadre dune mise en uvre partielle, il est possible de slectionner un ou plusieurs de ces processus et de les mettre en uvre progressivement. Cependant, lalignement la norme requiert a minima la mise en uvre du pilotage, de lanalyse de risque et du contrle, ceci afin de permettre le fonctionnement de la boucle PDCA.
Cible dterminer
Cible minimum Certification
36
Pil
ote
rl
eS MS
Rubrique brac
matriss, les cycles successifs de la boucle PDCA permettront dlargir progressivement le primtre des risques traits pour couvrir terme lensemble du systme dinformation. En rsum : appliquer ds aujourdhui les bons principes de lISO 27001, mais viser la certification uniquement lorsque le jeu en vaut la chandelle ! n
Solucom group : le SI au service de la performance de nos clients Solucom group est un cabinet de conseil en systme dinformation et management. Solucom group conseille les grandes entreprises sur leur stratgie en systme dinformation, et les accompagne dans la dfinition et le pilotage de leurs chantiers SI. En amont, Solucom conseille galement les entreprises et oprateurs tlcoms en matire de marketing, performance commerciale et transformation mtier. Un positionnement qui se rsume en une mission : le systme dinformation au service de la performance de nos clients. Solucom group est le partenaire des plus grands comptes franais sur leurs projets nationaux et internationaux : Air France-KLM, Alstom, ANPE, Banque de France, BNP Paribas, Bouygues Telecom, Carrefour, Crdit Agricole, EDF, GDF Suez, La Poste, LOral, Ministres de lconomie, de lducation Nationale, de lIntrieur, Neuf Cegetel, Orange, RTE, SFR, SNCF, Socit Gnrale, Total. Solucom a obtenu la qualification entreprise innovante dcerne par OSEO innovation. Solucom a reu la certification ISO/IEC 27001: 2005 pour ses prestations daudits de scurit des systmes dinformation.
souvent long et ambitieux. La certification externe doit donc tre rserve pour le moment aux organisations qui peuvent y trouver un apport direct pour leur cur de mtier. Mais que cela nempche pas chaque entreprise dappliquer ds maintenant les bons principes de la norme, et dacclrer ainsi leur dmarche damlioration de la scurit ! Cest en focalisant dans un premier temps lattention sur le traitement des risques majeurs que lon pourra pleinement tirer partie des enseignements de la norme tout en se donnant un primtre de travail raisonnable. Une fois ces risques majeurs
37
QUELLE MEILLEURE PERIODE, EN EFFET, QUE LES TEMPS DE CRISE, POUR SE POSER LES BONNES QUESTIONS
DSI Symposium
Une journe pour et par les DSI, anime par les experts IDC
Jeudi 19 mars, 2009 Htel The Westin, Paris Un programme articul autour de 3 axes :
Dans une perspective trs court terme : comment faire face alors quil faut assumer toujours plus de projets avec moins de budget ? Quelles sont les priorits stratgiques que le DSI doit simposer et comment en cadencer la mise en uvre dans lurgence ? Pour rflchir lavenir avec une vritable vision prospective : quelles sont les technologies qui vont vritablement compter dans lvolution des systmes dinformation dans dix ans ? Quelles sont les ressources quil va falloir mobiliser ? Quelle stratgie de global sourcing faudra-t-il progressivement mettre en place ? Pour des questions existentielles : quoi doit servir une DSI dans lentreprise ? Quelle gouvernance pour la DSI ? Comment fluidifier les dialogues entre DSI, DG, DAF, achats, directions mtiers ? Comment piloter une DSI et en mesurer la performance ? Comment sassurer de lalignement avec la stratgie ? Comment matriser les budgets ? Contrler les cots ?
En partenariat avec
INSCRIVEZ-VOUS GRATUITEMENT
Sur notre site : http://www.idc.com/france/events/dsi09 en prcisant le code invitation ITX Ou en contactant Edith Tricheux : etricheux@idc.com - tel. : 01.56.26.26.91