Club des Responsables d Infrastructure et de Production. L Essentiel des Conférences CRiP Thématiques. Les Essentiels.

Transcription

1 Les Essentiels Club des Responsables d Infrastructure et de Production L Essentiel des Conférences CRiP Thématiques Saison

2 Sommaire des Essentiels ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain p 3 Essentiel n 22 du 23 septembre Le Big Data au service des métiers p 7 Essentiel n 23 du 16 octobre Les services IT dans le cloud p 11 Essentiel n 24 du 3 décembre Supervision, orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT p 15 Essentiel n 25 du 21 janvier Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets p 21 Essentiel n 26 du 19 mars Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing p 25 Essentiel n 27 du 27 mars L optimisation des datacenters : une priorité pour les DSI p 29 Essentiel n 28 du 09 avril Outsourcing : sans cesse sur le métier p 33 Essentiel n 29 du 09 avril Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d activité p 37 Essentiel n 30 du 16 avril 2014 A propos du CRiP - Au services des membres du CRiP p 41 - ITES Deauville 2015 : ruptures d usages et de technologies à l horizon 2020 p 51 - Feuille de route des 16 groupes de travail du CRiP p 59 - Près de 300 Grandes Entreprises et Administrations adhèrent au CRiP p 63 - Les 7 bonnes raisons d adhérer au CRiP p 64 - Le CRiP se développe en région et à l international p 65 - IT innovation Forum : la sélection de +120 solutions innovantes p 67

3 Club des Responsables d Infrastructures et et de de Production #22 Novembre 2013 Poste de travail, Mobilité, Collaboration CRiP Thématique ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain L évolution du poste de travail n est pas une option mais un impératif dicté aussi bien par l obsolescence des solutions en place que par les nouvelles demandes des utilisateurs et des métiers. Le modèle du PC pour tous a vécu, et cède la place à une multiplicité de terminaux et de modèles d accès à un environnement de travail capable d accompagner l utilisateur dans ses besoins et ses mouvements. Le contexte La conférence CRiP Thématique du 23 septembre 2013 était organisée par le Groupe de Travail Desktop Nouvelle Génération du CRiP, et parrainée par Jean-Paul Amoros, Directeur de la Production GDF SUEZ. Le Groupe de Travail Desktop Nouvelle Génération se réunit tous les mois pour débattre des évolutions en cours dans le domaine des environnements de travail qui ne se réduisent pas au PC, mais incorporent aussi les nouveaux terminaux (smartphones, tablettes) et sont marqués par l importance croissante de la mobilité. Cette journée d intervention était avant tout composée de retours d expériences avec les témoignages d ADP, de BNP Paribas, du Conseil Général des Hauts-de-Seine, de Damart, de la FNAC, de la Gendarmerie Nationale, de GDF SUEZ et de Praxis. Pierre Mangin, directeur des études du CRiP y a aussi présenté les résultats de l enquête CRiP Index Stratégies des Devices Mobiles consacrée à l adoption des différentes catégories de terminaux mobiles chez les adhérents du CRiP, aux options du ByoD, et au déploiement d outils de type MDM (Mobile device management). 3 En quelques phrases Le poste de travail ne se limite plus au PC La mobilité et le ByoD constituent des horizons inévitables de toute évolution des environnements de travail L identification de types d utilisateurs est une démarche préalable à tout projet d évolution des postes de travail La notion de master monolithique a volé en éclat au profit de masters modulaires Le poste virtuel se propage, même si son modèle économique reste difficile à maîtriser Linux et les logiciels libres constituent des alternatives crédibles, mais qui demandent une vaste gestion du changement

4 Ce qu il faut retenir La coloration générale de l événement ne laisse pas le moindre doute : le temps du PC tailleunique, gris, posé sur le coin du bureau, est fini. La solution qui consistait à proposer un desktop ou un portable sous Windows à la totalité des collaborateurs de l entreprise ne fonctionne plus. Lors d une migration technique, en réponse à une demande métier, pour résoudre un problème ponctuel, la palette de solutions s est ouverte : client riche traditionnel Windows, poste Linux, virtualisation de poste ou d applications, client léger, smartphone, tablette, Desktop-as-a-Service, à chaque entreprise de choisir, de combiner, de décliner les solutions selon ses besoins. La situation est bien résumée par un intervenant qui souhaite «sortir du poste de travail traditionnel : passer à une offre de services de postes de travail, disponibles à tout moment, de partout, depuis tout terminal.» Une démarche qui impose de rendre les différentes couches du poste de travail aussi indépendantes que possible, d assurer la mobilité des données avec une solution de type box en ligne pour faciliter le stockage et le partage, et d utiliser la virtualisation pour garantir un important niveau d élasticité. Différencier les utilisateurs pour différencier les services Aucune entreprise ne peut plus désormais s épargner une sérieuse analyse de sa population d utilisateurs ainsi qu une segmentation selon les usages et les besoins afin de mettre en place un catalogue de services adapté. «Dans certains de nos métiers où la consultation des documents importe plus que leur modification, la tablette s avère suffisante pour une grande partie des usages», témoigne un des intervenants. «Un examen un peu poussé nous a montré qu un poste virtuel accessible depuis un terminal partagé suffisait pour une partie de nos utilisateurs», confirme un autre. Le résultat de cette analyse des usages varie bien entendu selon chaque entreprise en fonction de ses activités : pas question de se baser sur une typologie standard. Cependant, quatre grands profils apparaissent avec régularité : l utilisateur commercial fortement mobile qui doit pouvoir se connecter de partout, le travailleur du savoir (knowledge worker) qui a besoin d un poste bureautique riche et complet, l utilisateur qui n a besoin que d une messagerie électronique et de quelques logiciels métiers accessibles en mode distant, l utilisateur technique qui exige un poste spécialement musclé aussi bien en matériel qu en logiciel. L établissement de cette nomenclature basée sur les usages est une étape préliminaire qui permettra par la suite de réaliser les choix techniques adéquats. Ce travail de segmentation a aussi fait évoluer la notion de Master. Le Master inclut désormais une famille de configuration, ou de combinatoires, et non plus une configuration unique, par exemple en proposant plusieurs couches modulaires «Nous avons une couche de base corporate qui comprend la bureautique, les applications d entreprise, les paramètres de sécurité globaux ; une couche de localisation par pays et des couches propres à chaque service ou département. Aucune couche ne peut altérer la sécurité de celles qui se trouvent en dessous d elle», témoigne un des intervenants. Le Poste virtuel : bien ancré dans le paysage La richesse des retours en témoigne : le poste de travail virtualisé sur un serveur (modèle VDI : Virtual Desktop Infrastructure) a fait son entrée dans de nombreuses structures où il a trouvé en quelques années toute sa place. «Ce type de poste de travail peut s appliquer à 80 % des utilisateurs», considère l un des participants qui l a mis en œuvre en réponse à un problème ponctuel, mais compte en étendre le champ d utilisation. En effet, le VDI reste un moyen pratique de résoudre des cas d usage complexes ou à la marge : - éviter tout stockage de données en local, - donner accès à plusieurs environnements nettement isolés depuis un même poste, - assurer un déploiement homogène des configurations sur un nombre important de postes disséminés, - fournir un poste à un prestataire temporaire. 4

5 Mais la solution VDI présente aussi des avantages qui incitent à la déployer pour des usages plus courants : gestion centralisée des politiques de sécurité, maintenance à distance simplifiée qui limite les interventions sur site aux seules pannes matérielles (elles-mêmes pouvant être prises en charge directement par le fournisseur des matériels), allongement du cycle de vie des terminaux, simplification du déploiement pour les entreprises ayant une implantation très disséminée, etc. L investissement initial est cependant plus élevé qu avec une infrastructure de postes de travail classiques, puisqu il faut des serveurs et du stockage additionnels, de l espace en salles machines, ainsi qu un réseau correctement dimensionné. «L investissement additionnel peut être de 15 à 20 % affirme un intervenant. Mais dans un second temps, le cycle de vie du parc s allonge et passe de 4 ou 5 ans à 10 ans». Bien sûr, la gestion des périphériques reste un vrai problème, qui s avère parfois insurmontable et impose de conserver quelques postes avec des OS natifs. «D un autre côté, monter un PRA pour les postes de travail est bien plus facile une fois que vous avez consolidé vos VM sur quelques serveurs qu il est aisé de dupliquer sur un deuxième site», constate un intervenant. Pourtant, le modèle économique global reste problématique. «Le RoI du poste de travail virtuel n est pas évident à établir, les gains à court et même à moyen terme n apparaissent pas si évidents. Même si on s épargne les déploiements capillaires», témoigne un intervenant. «J avais du mal à trouver un argument économique convaincant, et ce qui l a finalement emporté a été la possibilité de mettre en œuvre un plan de continuité d activités automatisable au niveau des postes de travail, ce que nous étions jusque-là incapables de faire. Sans cet élément, nous n aurions jamais pu vendre le projet à notre direction», assure un autre. Attention tout de même «nous avons quelques applications qui demandent plus de 30 Go de mémoire vive. Celles-là ne sont pas éligibles à la virtualisation» ; par ailleurs, comme le note un des intervenants, «Le VDI pose aussi des problèmes de redimensionnement de réseau et de datacenter». Le poste Linux «Nous avons migré postes sous Linux et comptons en avoir à terme », témoigne l un des intervenants. La démarche est rare, presque unique, mais pas impossible. La migration ne sera cependant pas totale : certains postes Windows vont perdurer, faute de moyen de s en passer, pour des applications spécifiques en particulier. Les gains d une telle démarche ont été doubles dans le cas évoqué. Des économies de licences significatives ont d abord été obtenues, mais de façon tout aussi significative, cette migration a été l occasion de refondre entièrement le modèle de déploiement et de télé-administration. «Cette opération nous a permis de réduire de 40 % le TCO de nos postes de travail, et de limiter les interventions de techniciens sur sites. Notre seul coût résiduel, c est désormais l équipe technique en charge de la maintenance». Une telle migration s inscrit forcément dans un projet de longue haleine : choix des standards ouverts dès 2004, wébisation massive des applications, choix du mode client léger pour l accès à certaines applications ne pouvant pas passer en mode Web. «La plus grosse adhérence à surmonter a été l abandon de la suite Office qui a demandé une forte gestion du changement». La Mobilité et le ByoD, compagnons de route Les questions que pose la mobilité n étaient déjà pas simples. Mais voici que mobilité et Bring-your-own- Device la possibilité donnée aux collaborateurs de connecter leurs propres équipements au système d information de l entreprise paraissent comme deux enjeux étroitement liés. Au point qu il faut les envisager ensemble. «Nous anticipons le fait que l accès en mobilité va prendre le pas sur l accès fixe, et que le ByoD deviendra une réalité à plus ou moins long terme. Et enfin, on ne peut pas offrir moins à nos collaborateurs qu à nos clients, pour lesquels nous avons déjà déployé des offres mobiles», résume un participant. Tout se tient. La mobilité se répand rapidement dans les usages personnels, les utilisateurs veulent pouvoir utiliser leurs terminaux privés pour se connecter au SI de l entreprise, et pas question de ne pas fournir aux collaborateurs ce qu on sait faire pour les clients. Le ByoD suppose aussi un travail en amont d identification des populations et des services, le L Essentiel CRiP Thématique : ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain 5

6 même que nous avons vu s appliquer aux postes de travail en général. «C est particulièrement important dans une démarche ByoD : quelle population accepter et pour quels services sont les premières questions, mais ensuite, il faut aussi se demander quels modèles de matériel accepter, et quels sont les risques associés ; par exemple le vol ou la perte peuvent avoir des effets très différents selon le type de services auxquels accède le terminal. Plus généralement, dès que vous faites du ByoD, il y a un problème de confidentialité et de sécurité». Or, ces questions ne sont pas purement techniques, mais aussi contractuelles et réglementaires. Il est par exemple à peu près impossible de proscrire toute fuite de données dans les scénarios ByoD, sauf à verrouiller lourdement les usages. «Il faut donc fixer une règle du jeu au moyen d une charte adaptée car certains contournements techniques sont toujours possibles» rappelle un intervenant. La charte interdira par exemple l utilisation de services Cloud pour y stocker des données d entreprise. Il faut donc faire passer le principe selon lequel : «ce n est pas parce que vous pouvez le faire que vous avez le droit de le faire». Dans la même logique, et toujours en ce qui concerne le Bring-your-own-Device : «Nous avons limité le nombre et le type d appareils supportés», explique un intervenant. Apportez votre propre terminal ne signifie donc pas apportez n importe quel terminal. Qui dit mobilité et ByoD dit aussi, de façon quasi obligatoire, le recours à un outil de MDM (Mobile device management). Comme le soulignent plusieurs intervenants, il existe de très nombreux acteurs dans ce domaine, c est une activité jeune, avec des solutions qui diffèrent encore largement, et des choix présentant des impacts importants sur le périmètre fonctionnel de la solution. «Nous buttons actuellement sur la globalisation de notre solution de MDM par difficulté à trouver un prestataire qui nous offre une interface d administration mondiale», témoigne un participant. La mise en œuvre d une solution MDM suppose un processus en trois étapes. Il y a bien sûr la partie technique qu un PoC doit valider, mais il ne faut négliger ni la définition des processus, ni la formation des collaborateurs. Implémenter un MDM, c est d abord travailler sur le processus d accompagnement. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - contact@crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 6

7 Club des Responsables d Infrastructures et et de de Production #23 Novembre 2013 Big Data & Stockage CRiP Thématique Le Big Data au service des métiers 16 octobre 2013 Vaste ensemble de technologies et de pratiques, le Big Data commence à entrer dans les entreprises pour stocker, contrôler, exploiter et tirer le meilleur parti de quantités de données très volumineuses. Les métiers en sont les premiers bénéficiaires. Le contexte La conférence CRiP Thématique du 16 octobre 2013 a été organisée par le Groupe de Big Data du CRIP, et parrainée par Bruno Prevost, CTO (SAFRAN). Le Groupe de Travail Big Data se réunit tous les mois pour échanger sur les évolutions en cours dans le domaine des environnements liés au Very Large Data Base et de leurs enjeux. Cette journée reposait avant tout sur des retours d expériences avec les témoignages de Baker & McKenzie, d EDF, de la BNF, du CNES, de Mappy et de SFR. A cette occasion, Valère Dussaux (GCS D-SISIF), copilote du Groupe de travail Big Data, et Bruno Prévost, ont fait le point sur une première année de travaux et ont présenté les grandes lignes d un futur Livre blanc Big Data prévu pour En quelques phrases Le Big Data a déjà suscité des déploiements ou amorcé des projets chez un tiers des organisations adhérentes au CRiP. Le Big Data permet de réduire drastiquement la durée de certains traitements lourds, et donc de les effectuer à un rythme plus fréquent pour disposer d informations plus souvent actualisées. La connaissance du client ou consommateur est un champ d application de prédilection du Big Data, mais le stockage et la recherche constituent aussi des terrains féconds. Il n est pas indispensable de disposer de budgets importants pour lancer un projet Big Data : il existe des briques Open Source fonctionnant sur matériel banalisé. Le Big Data impose de se doter de compétences idoines, ou de former des équipes à de nouvelles méthodes. Ces analyses mettent en jeu la règle des 3V, Volume, Vélocité et Variété. Il s y ajoute un 4 éme V pour Valeur ajoutée. 7

8 Ce qu il faut retenir Les 4 V : 1- le Volume En ouverture de la journée, une synthèse de l enquête benchmark Big Data du CRIP auquel une centaine d entreprises adhérentes ont répondu, a apporté un éclairage nouveau : il apparaît que, pour un tiers d entre elles, le Bigdata a déjà été implanté ou est en phasee projet. 2 - Vélocité La vélocité représente à la fois la fréquence à laquelle les données sont générées, capturées et partagées. Les données arrivent par flux et doivent être analysées en temps réel pour répondre aux besoins des processus chrono-sensibles. Les systèmes mis en place par les entreprises doivent être capables de traiter ces données avant qu un nouveau cycle de génération n ait commencé. Autrement dit, elles doivent effectuer du Data stream mining. Un intervenant résume ainsi sa problématique : «Tous les matins, nous étions en retard ; tous les 2 ans, en limite de capacité ; et, dans les faits, la machine était saturée après 3 mois. Les montants à investir devenaient de plus en plus élevés et le pire était à venir. Depuis la mise en place de cartes de compression de données à la volée et d une machine dédiée à ces traitements, fini les retards et un meilleur TCO». Un autre ajoute : «La loi de Moore est respectée pour la puissance CPU, le stockage et les prix, mais pas pour le débit des disques. Une solution est de passer au massivement parallèle». Résultat : des temps de traitement quotidien pouvant durer 36h ramenés à 1h50. Extrait de l enquête benchmark CRiP - index - Oct Il est vrai que le Big Data s impose progressivement du seul fait que le stockage des données croit d une façon exponentielle. Selon une étude IDC, les données numériques créées dans le monde seraient passées de 1,2 zettaoctets par an en 2010 à 1,8 zettaoctets en 2011, puis 2,8 zettaoctets en 2012 et s élèveront à 40 zettaoctets en Les réseaux sociaux généreraient plusieurs dizaines de téraoctets de données chaque jour. Les projets scientifiques combinent à la puissance de calcul des volumes de traitement gigantesques : le projet GAIA traité par le CNES, qui consiste à créer une cartographie 3D de notre proche galaxie, générera à terme 3 Po de données concernant 290 milliards d objets avec 1000 connexions concurrentes à la base. Un autre projet conséquent proposé par un des intervenants concerne la création d une base de donnée documentaire à partie de données non structurées extraites du Web: taille actuelle 370 To, accroissement de 100 To annuel, accès permanent à toutes les données collectées. La question est de connaitre le seuil au-delà duquel il est indispensable de passer au Big Data. Pour certains, c est 5To pour d autres c est 1,5To. Mais ce seuil physique n est pas le seul paramètre en prendre en compte. Le temps de traitement, la nature et la structure des données, l évolution à terme de la taille des bases peuvent devenir prépondérants pour faire le choix du traitement massivement parallèle. Les orateurs ont pu constater des gains de 2 à 10 sur les temps de traitement, bien en deçà de ce qui était annoncé par les fournisseurs, mais justifiant pleinement le choix de la rupture technologique. 3 - Variété Le volume des Very Large Data Base (VLDC) met les entreprises devant un réel défi : la variété des données. Il ne s agit pas de données relationnelles traditionnelles, ces données sont brutes, semi-structurées voire non structurées. Ces données, d origines diverses, sont au format web (Web mining), texte (Text mining) et images (Image mining), formats qui les rendent quasiment inexploitables avec des outils traditionnels. Les nombreux outils de collecte des données permettent d amasser toujours plus de données. Et les analyses sont d autant plus complexes qu elles portent de plus en plus sur les liens entre des données de nature différente. Variété et sa déclinaison: la véracité La véracité des données est un autre élément important pour maitriser les volumes et dépend de la raison d être de la base de données. Un intervenant fait ce constat : quel est l intérêt d une base de 60To si on ne sait pas de quoi elle est constituée et si les données historiques n ont plus de résonnance? Un autre a, au contraire, comme mission légale d archiver des documents de façon exhaustive sans se préoccuper de leur contenu. La cohérence des logs doit permettre de vérifier que les données sont suffisamment riches pour sortir des données pertinentes. 8

9 La législation sur les données personnelles impose qu une donnée collectée et stockée corresponde à un usage (voir le volet juridique en p. 4). 4 -Valeur ajoutée La valeur ajoutée est la grande justification du Big Data. A travers les process du Big Data, c est la certitude d avoir une connaissance approfondie de son modèle économique en temps réel et d optimiser son patrimoine data, de le gérer finement, et surtout de permettre le repérage des signaux faibles. L analyse permet de stabiliser la base clients, d anticiper les zones de friction, d augmenter le revenu moyen par client, de trouver des relais de croissance sur des marchés de niche, émergents ou de nouvelles habitudes et attentes des consommateurs, et de créer un axe de différentiation et d anticipation concurrentiel. Un intervenant a eu pour mission de protéger sa base clients en analysant les comportements d usages et l offre du client afin de modéliser un score de probabilité du départ du client en quasi temps réel. Voici le process : - les clients à risque sont identifiés et étudiés ; - les outils de la gestion de campagne marketing sont alimentés pour faire réduire le désabonnement ; - le Next Touch Point (hot line, site Web, boutique ) est déterminé afin d éviter au client les parcours perdants. Tout cela a été rendu possible grâce l utilisation d un traitement des données en mode massivement parallèle qui a apporté la capacité à: croiser des données de log afin de trouver les grandes typologies de parcours, traiter / monitorer en temps réel ces parcours types afin d influer positivement dessus, restituer dans l ensemble des canaux le «parcours» à date des clients. Les coûts Aujourd hui, la rareté des déploiements opérationnels rend l analyse des coûts et le calcul du RoI des projets Big Data difficiles à établir. Cependant, «les promesses de maîtrise des coûts et d amélioration des performances sont réelles, en particulier dans les domaines de l archivage actif et de l offloading applicatif», affirme un intervenant. Un autre considère que l utilisation de fermes de serveurs banalisés permet de minimiser et de mutualiser les coûts d acquisition et d exploitation des solutions Big Data. Les retours d expérience présentés montrent bien que la mise en exploitation de solutions Big Data a pu se faire sur des clusters de machines équipées de processeurs x86 d entrée de gamme, parfois même sur des machines aux performances jugées dépassées pour les applications les plus exigeantes. Le Big Data ne requiert donc pas de machines surpuissantes. Et, comme l indique un participant «vous pouvez investir sans arrière-pensée sur d éventuelles pertes, car le matériel pourra facilement être redéployé, et peut aussi provenir de recyclage interne». Concernant la partie logicielle des solutions, une grande partie de l offre est aujourd hui d origine Open source, ce qui induit des coûts d acquisition initiaux faibles. Bien entendu, les coûts de fonctionnements sont plus difficiles à déterminer car liés à l accès au support. Il faut aussi prendre en compte les besoins de développements spécifiques liés à la faible offre de solutions intégrées. Dernier poste de dépenses soulevé : l acquisition des compétences nécessaires à la mise en œuvre du projet sur un marché extrêmement tendu s agissant des ressources humaines. Peu de solutions pré-intégrées Il existe encore peu de solutions intégrées. Il faut donc s attendre à beaucoup de développement spécifique. Comme le résume un participant pour évoquer l émergence des solutions Big Data : «Il y a un syndrome poule et œuf : pas de projet, pas d écosystème Mais cela s améliore nettement depuis deux ans». Voici quelques solutions mentionnées par les intervenants : Les solutions sont majoritairement d origine Open source, et notamment Hadoop (associé à Mapreduce), qui est implanté dans un retour d expérience sur trois, du fait de sa forte capacité d extension (scalability) en charge massive, Les SBA (Search Base Applications) ou moteurs sémantiques, permettent, via une interface de type Google, de chercher dans les logs de manière phonétique ; elles disposent d un dictionnaire intégré. Des cartes de compression de données à la volée améliorent la vélocité à l accès des données ; elles permettent de faire de l hybride. Les points positifs D importants gains de vélocité dans certains traitements doivent permettre de sortir de situations de saturation des systèmes existants (par exemple en BI) ou de réaliser des traitements beaucoup trop coûteux, jusqu ici, en temps de calcul. C est une technologie peu coûteuse à développer et déployer, en infrastructures comme en logiciels, du fait de l existence de solutions Open Source fonctionnant sur matériel x86 banalisé. Le Big Data permet de s affranchir des limites de taille des bases de données, de traiter des contenus faiblement ou pas structurés. L Essentiel CRiP Thématique : Le Big Data au service des métiers 9

10 Les technologies connexes sont une bonne opportunité pour les services Production d apporter des réponses aux problématiques métiers et de se positionner en force de propositions. Le Big Data n est pas incompatible avec les solutions déjà existantes et reste ouvert à des solutions hybrides. Les points de vigilance et les freins L écosystème est encore peu structuré aussi bien du côté des fournisseurs que des utilisateurs. Il y a donc un risque de s engager sur des solutions peu pérennes, ce qui ne facilite l argumentation d un projet Big Data en interne. Les métiers ne sont pas complètement matures sur l usage possible des datas ; il faut travailler en collaboration pour améliorer les compétences. On constate une carence des profils du type «Data Scientists» capables de collecter et exploiter au mieux la masse des données disponibles pour en extraire des résultats pertinents, sources de nouvelles activités. Le cadre légal est contraignant, comme la justification de la finalité de la collecte des données, l anonymisation, la durée de rétention des données. L architecture à mettre en œuvre tranche par sa nouveauté, ce qui peut susciter des résistances au changement. La dimension juridique : un POInt sensible Avocat (cabinet Baker & McKenzie) ex-secrétaire général de la CNIL, Yann Padova a évoqué le bon usage des données personnelles dans ce contexte. Big Data et règles d utilisation des données personnelles semblent antagonistes en de nombreux points. En effet, le droit prévoit les principes de finalité des traitements de données et de proportionnalité dans la collecte des données personnelles : Les données personnelles doivent être collectées pour des finalités explicites, légitimes et spécifiques. Elles ne doivent pas faire l objet d un traitement ultérieur incomptable avec ces finalités. La proportionnalité ne permet pas de collecter plus de données que nécessaire à l usage. La durée stockage est limitée proportionnellement à l usage. Le consentement des personnes doit être libre, spécifique, renseigné et non ambigu. Or, la raison d être du Big Data est de collecter toutes les sources d informations pour permettre la recherche, le croisement et la corrélation des données. Cette démarche risque de ne pas respecter pas la notion de finalité ni celle de proportionnalité : on récolte des données sans idée claire de l exploitation qui en sera faite par la suite. Il y a donc des risques juridiques dans les projets Big Data de pratiques illégales. Alors que faire? Anonymiser les données pour lever la contrainte de la loi applicable aux données personnelles, Faire labéliser ses codes de conduite par les organes de contrôle, Organiser le contrôle de leurs données par les personnes concernées, Mettre en avant l intérêt légitime du responsable de traitement, La pseudonymisation enfin, consiste à «attribuer à une personne un identifiant qui permettrait de la distinguer dans un groupe statistique mais sans pouvoir la réidentifier en temps que personne physique» United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - contact@crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 10

11 Club des Responsables d Infrastructures et et de de Production #24 Janvier 2014 Cloud computing Conférence CRiP Thématique Les services IT dans le cloud 3 décembre 2013 Le Cloud computing est mature. Ses développements et implémentations se caractérisent par la pertinence des services Iaas, PaaS ou encore par l avènement du Cloud hybride, entre Cloud privé et Cloud public. Il reste encore des points à régler comme la sécurisation des données, la responsabilité juridique ainsi que l application du Cloud au PRA en vue de sa continuité de service. Bref, l expansion de solutions Cloud nécessite encore une argumentation qui doit être soutenue par une communication et une promotion en interne dans les entreprises. Le contexte Cette Conférence CRiP Thématique du 3 décembre 2013, parrainée par Romain Lahoche, directeur du service hosting d Oxylane (Décathlon), a bénéficié de la contribution du cabinet d avocats Gérard Haas. Cette journée était organisée par le Groupe de Travail Cloud computing du CRiP* piloté par Stéphane Geissel (SFR) et Stéphane Lafon (Sanofi). Elle a permis de faire un point sur les avancées des solutions de Cloud computing, et d en comprendre les grandes tendances, tant en termes de technologies que de services et de nouveaux usages. A travers des témoignages issus de sociétés membres du CRiP d horizons très divers (compagnies d assurance, opérateurs télécoms, groupe pharmaceutique, chaînes de distribution, portails d e-commerce et géant de la publicité), il a notamment été question de l évolution des services SaaS, Iaas et PaaS, de l hybridation entre Cloud privé et Cloud public, de la sécurisation des données sur le Cloud, de la responsabilité juridique qui en découle et de la réalité des engagements de continuité de service dans ces offres. Cette journée a également donné lieu à une restitution d un benchmark CRIP Index intitulé «Cloud : quelle maturité du SaaS, PaaS et IaaS». *Actif depuis 2009, le GT Cloud Computing a publié en juin 2013 son 4 ème Livre blanc (Aspects juridiques, ROI, achat de prestations Cloud, offres IaaS et tendances PaaS. Un 5 ème Livre blanc est en préparation. 11 En quelques phrases Le Cloud fait partie du changement. Même si ce n est qu un moyen tactique. Les partenaires - «boosters de services» - sont nécessairement sur le Cloud, co-acteurs de co-innovation. On réussit seulement si on a essayé. Donc, il faut lancer, tester, précéder la vague de l innovation et ainsi ne pas changer de techno tous les 2 ans. Rapatriement, réversibilité? Il faut vérifier la capacité à ramener les services hébergés, ce qui permet de gagner en agilité. Le Cloud fait disparaître les silos ou, du moins, tend à les faire disparaître. Financièrement, on passe d un modèle CAPEX à un modèle OPEX (location de services). Le Cloud n est pas nécessairement moins cher. Mais les gains sont là si l on s attaque aux ETP et PCA. Le Cloud coûte moins cher pour évolution. En infrastructure, il ne fait rien gagner ou presque.

12 (par exemple, Salesforce). «A travers la mise en place d un Cloud public, il est intéressant d apprendre, de ce modèle, la migration vers un Cloud privé». Les freins à la mise en place d un Cloud hybride La perspective du Cloud hybride est partagée par tous comme intéressante et inéluctable. Mais un intervenant a recensé au moins 7 freins à la mise en place d un Cloud hybride : Enquête Benchmark CRIP Index Cloud : Les applications cibles du Cloud (oct. 2013) Ce qu il faut retenir Définition : le Cloud sous diverses formes Que recouvre aujourd hui le terme Cloud computing. Plusieurs formes de Cloud se confirment et un intervenant a tenu a présenté un nouveau découpage possible, toujours révisable : Cloud privé : il a été développé pour une utilisation interne, utilise des ressources internes et appartient à l entreprise qui l utilise ; Cloud dédié (privé) : il est hébergé avec des ressources spécifiques ; Public : il est mutualisé ; le modèle standard appartenant à l hébergeur ; Souverain : il est soutenu et financé par un Etat Hybride : il mixte toutes les formes de Cloud. La distinction entre les formes de services est désormais banalisée : SaaS (Software as a Service, ou application disponible en ligne, sans module client préinstallé), IaaS pour les services d Infrastructure, et PaaS, pour les plateformes de développement. Un opérateur télécoms témoigne d un choix possible du Cloud public pour certaines applications SaaS. En revanche, il a développé un Cloud interne pour des offres de type PaaS «car beaucoup d éditeurs proposent le service intégré». Commentaire : «Le choix du cloud privé ou public est directement dépendant de la criticité de l application et du type de données auxquelles elles donnent accès : moins c est critique, plus c est ouvert au Cloud public». «Pour démarrer son Cloud privé, explique le CTO d un grand portail d e-commerce, il ne faut pas hésiter à commencer petit pour apprendre. C est d ailleurs une garantie d agilité» Le Cloud privé présente un autre avantage : le rapatriement de services utilisés ou développés sur des Clouds externes Réversibilité et migration Distance entre sites Transmission et sécurité des données Fiabilité et SLA Sécurité Conseils techniques Transparence Quel ROI sur le Cloud? Tout le monde a retenu que le Cloud fait passer d un modèle CAPEX (capital expenditure ou investissements en immobilisations) à un modèle OPEX (operation expenditure ou location de services). Mais le Cloud ne serait pas moins cher pour autant... «Des gains peuvent se vérifier surtout si l on tend à diminuer les ETP et si l on développe des scénarios de continuité de service (PCA)», constate le DSI d une compagnie d assurance. Le Cloud coûte moins cher dans une logique d évolution. Mais en infrastructure, il ne ferait rien gagner ou presque rien. Le modèle pay as you use ne permet pas de construire aisément un budget prévisionnel mais il a été constaté, par un intervenant, une baisse significative des coûts concernant l application transférée sur le Cloud. Un pilote du GT résume l équation avec cette formule : «Il est encore difficile de prouver que cela rapporte plus. Mais cela coûterait plus cher de ne pas le faire!». Et que montre l analyse des coûts? «Les gains sont plutôt positionnés sur les services PaaS. En revanche, sur l IaaS, c est moins favorable sauf si l on intègre tous les services. Auquel cas, c est identique.» En pratique, il est vrai que chaque société a son propre mode de fonctionnement. Avec le Cloud, constate un industriel, la facturation s applique à l usage mais il reste les coûts de développement et de fonctionnement du projet. Ces coûts du projet étant à la charge de la DSI, seuls les coûts du run sont facturés. Pour une société d assurance, les coûts sont affectés à la DSI et les partenaires, les agents paient une redevance forfaitaire. Le coût d étude reste donc supporté par la SI. Certaines grandes organisations constatent qu il n est pas possible sinon difficile de chiffrer le coût des infras. 12

13 Sécurité et géopolitique L actualité de l année 2013 a été riche en matière de sécurité, notamment suite aux révélations d Edward Snowden, l ex -agent de l organisation fédérale NSA. «Tout le monde se doutait que les Américains avaient des capacités d écoute. Mais pas à ce point-là», relève un intervenant. On savait que le Patriot Act américain permettait de lire et analyser les données des filiales américaines implantées dans le monde, mais aussi leurs partenaires directs ou toutes sociétés ayant travaillé avec des sociétés américaines, surtout si elles disposent de filiales aux Etats-Unis. En Europe, certains projets informatiques orientés Cloud ont été annulés à cause de ces nouvelles objections de sûreté soulevées par cette affaire qui a suivi celle de WikiLeaks (Julian Assange, informé par Bradley Manning). Ce contexte américain légitime et booste un peu plus le développement du Cloud souverain à savoir Numergy et Cloudwatt en France. Certains Etats, dont la Suisse, investissent aussi dans le Cloud souverain avec la volonté d une sécurisation des données notamment dans les domaines de la défense et du secteur bancaire. Les données sur le Cloud : des clauses contractuelles La récente enquête Benchmark index du CRiP sur le Cloud montre que 63% des répondants considèrent le manque de sécurité comme un frein. Les données vitales ne sont pas censées sortir de l entreprise. Or il faut rappeler que les risques de fuites sont à 90% en interne. Cloud ou pas, la sécurité reste une problématique transversale. Il faut faire confiance aux experts sécurité, témoigne un CTO, car ils savent peser les risques et proposent les bonnes pratiques à appliquer sur le Cloud. Les risques d atteinte à l image de marque font que l on ne confie pas ses données à un éditeur ou à un opérateur qui ont rencontré des problèmes de réputation. Aujourd hui, un contrat de droit français signé avec un provider l oblige à stocker et sauvegarder les données personnelles ou critiques uniquement en Europe. Le cabinet d avocats présent a observé qu il n était pas toujours possible de négocier les clauses juridiques des contrats avec des opérateurs étrangers. En conséquence, il est de la responsabilité du donneur d ordres de mettre en place les mesures de sécurité indispensables (cf. l encadré en p. 4). Cloud et PRA : la continuité de service en question Une compagnie d assurance témoigne sur le choix d un back up de certaines de ses données chez un fournisseur, un géant du hosting, avec des connexions Internet sécurisées. Le contrat prévoit que l entreprise n affecte pas de personnel par exemple pour les mises à jour des firewalls : la mission est confiée au provider du service qui en la responsabilité juridique et l expertise. Un autre hébergeur est venu expliquer comment il est possible de préparer son PRA et avec quelles précautions. Il recommande tout d abord de hiérarchiser la criticité des VM (machines virtuelles) afin de cerner celles qui sont stratégiques, indispensables pour le business de l entreprise. A partir de là, il convient de fixer un RTO (délai de retour en fonctionnement) et un RPO (le volume d informations non disponibles ou perdues que l entreprise peut supporter). Si l on veut un RPO court, cela implique une réplication des données en mode quasi synchrone. Une exigence qui va dépendre du secteur d activité et du métier. La distance entre sites constitue un autre critère important, qui, là encore, dépend souvent des contraintes métier. Enfin, un PRA peut être institué entre deux providers : il n est plus utile de reposer sur un datacentre pour le secours : le backup est confié au provider. La configuration dite Cookbook, autour d un Cloud «triplehybride», a également été évoquée. Avec ses propres outils ou ceux du prestataire? Un géant de la distribution a témoigné sur le recours ou non aux outils du prestataire. «La supervision repose sur un outil interne (Nagios) qui récupère les données fournies par l hébergeur. Charge à nous de traiter et analyser ces données. En revanche, pour le backup et le provisioning, nous nous en remettons aux outils de l hébergeur». A terme, cependant, pour devenir plus indépendants de son hébergeur, et pour assurer la continuité de service au meilleur prix, cette entreprise prévoit de faire appel à des brokers de cloud, dès lors qu ils commencent à apparaître. Cela supposera, il est vrai, de disposer d interfaces (API) multiples, plus ou moins spécifiques, selon les brokers. De l importance de la promo et de la communication interne Une compagnie d assurance a fait le bilan d un projet pilote orienté PaaS. Selon son responsable, les clés du succès sont dans la bonne communication auprès des utilisateurs cibles : il faut baptiser le projet, lui donner un logo, le communiquer à tous, etc. Il faut impliquer le top management dès le démarrage et sur toute la durée du projet, sans oublier les CFO dès l établissement du cahier des charges. Le catalogue doit être lisible, simple et orienté métiers. Les contraintes métiers doivent être bien comprises par l IT. L Essentiel Conférence CRiP Thématique : Les services IT dans le cloud. 13

14 Enfin, il faut se garder de mettre en route trop de fonctionnalités ou services en même temps. Donc mieux vaut déployer les services au fur et à mesure, en fonction des besoins des métiers. Interne contre externe? Un faux débat «Le Cloud n est pas une rupture technologique pour la DSI, mais c est un challenge pour les départements financier, juridique et pour les métiers», constate un intervenant. Ce n est pas seulement un projet technique IT : «Le Cloud, c est certes de la technique, mais ce ne doit pas être une contrainte car c est surtout l occasion de s imprégner des attentes des métiers». Un autre intervenant, dont l organisation a renoncé à Exchange pour une messagerie sur le Cloud public (Amazone), souligne : «L innovation étant dans les gènes de l entreprise, les salariés sont très favorables au changement». Un autre témoin ajoute : «On attend de la DSI qu elle opère ou encadre au mieux les services, qu ils soient en interne ou en externe. Donc elle est responsable du bon fonctionnement, sachant que les choix vont au plus facile et au plus rapide. Ce n est pas un match interne contre externe». Les BU insatisfaites vont plus facilement accepter de migrer sur le Cloud pour résoudre leurs problèmes quitte à assumer un risque de dysfonctionnement dès le départ. Le passage au Cloud est également bienvenu lors d une migration vers de nouvelles versions logicielles ou nouvelles générations d applications. Mais il faudra des gains en performances, en fonctionnalités et en ergonomie. Dans tous les cas de figure, mieux vaut bien négocier le contrat SLA (Service level agreement), que surtout il ne soit pas en deça du standard existant dans l entreprise. Vers un réel delivery avec catalogue de services Avec le Cloud comme ailleurs, l automatisation des processus reste une opération délicate à mener. «Mais progressivement, tout rentre dans l ordre et les bonnes habitudes reprennent le dessus», constate un CTO. Les équipes d infra et les développeurs doivent coopérer de façon optimale. Au bilan, force est d admettre que la migration vers le Cloud est une mission peu aisée «parce qu il faut d abord documenter (d où la nécessité d un référentiel CMDB), sécuriser, standardiser et homogénéiser, automatiser». NE Pas sous-estimer La dimension juridique Plusieurs témoignages ont convergé sur la nécessité d affermir son expertise juridique, s agissant des contrats Cloud. Il ne s agit pas seulement de se rassurer sur les risques mais être en conformité avec la réglementation, par exemple sur le pays où les données vont être stockées, et dans quelles conditions. Dans tous les cas, mieux vaut anticiper : «Il est toujours plus facile de gérer un litige potentiel ou une sortie de contrat avant qu après», a expliqué Gérard Haas, avocat spécialisé dans la sécurité des SI. De même, il est préférable de négocier les clauses de pénalités dès le départ. La seule définition du Cloud a son importance : «C est un mode de traitement de données d un client dont l exploitation est faite par Internet sous la forme de services fournis par un prestataire». Autre point important : la responsabilité concernant les données personnelles, il faut notamment vérifier que le prestataire respecte les dispositions légales. Cette vérification va jusqu à la programmation des audits de contrôle. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - contact@crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 14

15 Club des Responsables d Infrastructures et et de de Production #25 Mars 2014 Outillage Production CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT 21 janvier 2014 La Production IT s appuie sur une kyrielle d outils permettant d optimiser le run, jusqu à l automatisation. Les solutions de supervision et d orchestration gagnent en efficacité. Sous l influence du Cloud computing, les solutions ITSM gagnent en légitimité. Les bases CMDB, de suivi des changements, toujours plus justifiées, nécessitent d être actives. Il faut rapprocher la gestion des process et l opérationnel. Dans ce contexte, le principe d une gouvernance pour l IT est acquis, sans être la panacée. Le contexte La conférence Thématique «Supervision, Orchestration, Automatisation et Méthodologie ITIL», du 21 janvier 2014 au Pavillon Dauphine à Paris était parrainée par Patrick Chauvin, responsable Gouvernance & Process (CA-CIB). La matinée était dédiée à la supervision de l infrastructure IT et des applications métiers, avec le témoignage de deux grands comptes (assurance et hyper-marché) et d un leader du prêt-à-porter. Des solutions souvent Open source ou mixant des offres commerciales, jusqu au capacity planning. L après-midi concernait l automatisation et l orchestration : un groupe automobile, qui automatise le traitement des incidents, et un opérateur télécoms qui traite les alarmes via un flow d orchestration générique. Deux autres témoignages - déploiement ITSM, avec ITIL, et revitalisation d une base référentielle CMDB - ont retenu l attention. Les Groupes de travail ITIL, Automatisation- Orchestration et Supervision du CRiP ont complété, notamment sur le catalogue de services». En quelques phrases La prolifération des VM, la poussée du Cloud Computing remodèlent les process et le delivery des services IT. Les silos, cloisonnant, par exemple, computing et stockage, tombent. L automatisation de l exploitation s impose vite. Les nouveaux orchestrateurs ou des gestionnaires de process du type ITSM changent la donne. Les solutions de pilotage et de monitoring, dans et hors de la CMDB, s affirment. Mais l outillage ne va pas tout résoudre. Un catalogue de services, par exemple, impose au préalable une organisation claire. Priorité à la méthode : les objectifs et le périmètre doivent être bien définis. Un outil ITSM, inspiré d ITIL ou non, doit rallier d abord la DSI et anticiper la difficulté du changement. Les retombées positives sont multiples : reporting sur la qualité, suivi du service desk en temps réel, etc. 151

16 Ce qu il faut retenir Le contexte de la Production IT a beaucoup changé ces 4 dernières années. La virtualisation des systèmes (serveurs, stockage, réseau ), la poussée du Cloud computing y compris le Cloud privé - ont changé les modes opératoires. Ils ont entraîné la multiplication des objets à suivre et à gérer au quotidien, en provisioning, maintenance, mise à jour, dépannage, surveillance Les modalités de fourniture des services IT ont également beaucoup changé. Ils sont de plus en plus soumis à des engagements de qualité, d agilité ou rapidité de mise à disposition, ou encore liés, réellement ou potentiellement, à une refacturation. Dans ce contexte, de nombreux outils des années 90 et même 2000 se révèlent obsolètes. Cette journée a permis de vérifier, à travers des témoignages, comment des outils ITSM, associés à des processus ITIL, peuvent accompagner et faciliter ces transformations de l IT. Ou comment un système orchestrateur permet de ne pas se laisser déborder par la prolifération des alertes. D autres cas d entreprise ont montré que les solutions de supervision ou d orchestration nécessitent des prérequis incontournables, dont la nécessité de bien définir les objectifs et le périmètre de la solution. Enfin, un voire plusieurs sponsors doivent être mobilisés au sein de l organisation. 5 enjeux majeurs pour fluidifier la Production IT En introduction, Patrick Chauvin (CA-CIB) a résumé 5 enjeux majeurs : 1 - améliorer les process, notamment ceux du support. La Production IT se doit d innover, par exemple, autour d un catalogue de services ; elle doit pouvoir facturer ses prestations ; 2 - coopérer avec les métiers ; 3 - choisir les bons outils, bien gérer les ruptures technologiques ; il faut savoir «vendre» les solutions retenues, en justifier le ROI, en assurer la bonne urbanisation, pouvoir les raccorder aux portails déjà en place, etc ; 4 - traiter les demandes de bout en bout, avec le bon commissionnement de l environnement (système, logiciel) ; 5 - déterminer les cas d usage et savoir les superposer selon une urbanisation pertinente. La réponse ne vient généralement pas des éditeurs et l accumulation ou la juxtaposition d outils n est pas un objectif. Il faut construire une architecture en fonction d un ou plusieurs systèmes d information cibles. Supervision de l infra IT : l option «hybride» (Open source et autre) L un des témoignages de la matinée présentait le cas d une supervision d équipements réseau, téléphonie et énergie au sein d une grande mutuelle d assurance. Il s agit de contrôler deux salles informatiques réunies en un datacentre et du réseau desservant les agences de la mutuelle en France, via des plateformes régionales connectées à haut débit. Deux opérateurs (Orange et Completel) assurent la continuité de service, y compris sur le réseau connectant les partenaires. Tous les éléments actifs des agences et plateformes sont supervisés. Jusque là, l outil Whatsup Gold permettait juste de savoir si la connexion était tombée ou non. Il devenait critique d améliorer la réactivité des équipes IT en suivant, en temps réel, les incidents, et sans surcoût important. C est l outil Open source Nagios qui a été retenu pour la collecte des informations, et, en sur-couche, Centreon comme configurateur web. Pour la partie visualisation sur les écrans, c est l offre commerciale NDS qui a été choisie. Avec la nouvelle plateforme, en place depuis fin 2012, chaque équipe technique dispose désormais de 8 écrans, avec, parfois un écran physique pour 2 vues avec report possible sur des tablettes. Le dispositif supervise le coeur de réseau et les réseaux régionaux, le coeur de réseau avec la commutation vers les serveurs, le siège et son extension, les services réseaux, les liaisons vers les partenaires et les accès Internet, les agences et les sites annexes (près de 600 nœuds). Un 8ème écran apporte la visualisation des équipements de téléphonie et de l environnement (énergie, onduleurs, hygrométrie, températures). Il s agit donc bien d une supervision complète à travers des vues «maps» en temps réel, y compris la connexion sur les caméras de vidéosurveillance. Supervision des infras IT et des applications métier Un autre témoignage, celui d un leader du prêt-àporter, présentait le cas d une vision centralisée de l ensemble de l administration des systèmes, répartis sur 3 datacentres dans le monde (Etats-Unis, Europe, Asie), soit 250 applications. Ici, le choix s est également orienté vers une solution Centreon. Vu l ambition du projet suivre en temps réel les pannes et incidents sur cette infra globale, le bilan s avère aujourd hui mitigé : certes, le nombre d outils a été restreint à une vision centralisée, d où une configuration homogène, donc relativement peu complexe. Mais, de ce fait, il manque la couverture des plateformes middleware. 2 16

17 Une vue consolidée de l ensemble devient nécessaire. On comprend que ce déploiement a nécessité de redéfinir tous les process et la qualification des incidents. Avant d investir sur de nouveaux outils, il a été décidé de mieux détaillé la définition et le suivi des process, notamment pour la gestion des niveaux de services (SLA). Plusieurs niveaux d intervention sont à considérer: services d exploitation, processus, organisation et choix des technologies et des outils. Les rôles et les responsabilités doivent être clairement définis, avec des niveaux de compétence adéquats. Il est important que la Production IT soit bien présente dans les instances de décisions, qu elle ait une bonne connaissance du métier et qu elle puisse être impliquée en amont dans les projets applicatifs. L une des difficultés évoquées est de savoir où positionner les équipes, et de déterminer ce qui peut être externalisé ou non, afin de conserver la maîtrise des solutions. L hypothèse d une automatisation partielle de certaines procédures est retenue, «même si dans 80 % des cas, une analyse restera à faire». Ce projet n a pas souffert de dissensions ni de tensions, toujours possibles dans le relationnel entre les Etudes, la Production et les métiers. Ces derniers ont toujours été les interlocuteurs prioritaires. Les équipes ont participé à tous les comités projet. Tous les investissements infra (CAPEX) ont bien été intégrés dans les projets. C est le chef de projet qui fait le choix d investir dans l infra ou non. Chaque initiative métier a une vue complète sur ses investissements et sur le ou les arbitrages à faire. Témoignage sur le capacity planning adapté aux infrastructures SI. Beaucoup de CTO rêvent, à juste titre, d étendre leur visibilité de l IT jusqu à une gestion prévisionnelle des ressources. C est tout l enjeu d une solution originale de capacity planning, présentée par un géant de la grande distribution. Ce dernier dispose de près de 2000 serveurs, multiplateformes (Intel, Windows, Unix et IBM iseries, ex AS 400). La volumétrie des data sur disques est plus que consistante : 1,4 péta-octets sur des configurations SAN/NAS. Les outils de supervision les plus utilisés. Source : enquête Benchmark Crip Index, nov-déc «On nous reconnait une bonne réactivité quand des incidents, avec rupture de service, surviennent. Mais nous avions une difficulté à les anticiper», explique un responsable en charge de ce projet innovant. Pour commencer, ce sont les environnements de tests, sur machines virtualisées, qui ont été ciblés, avant un élargissement à toutes les plateformes virtualisées de la Production IT. «Le but était d anticiper les ajustements de ressources nécessaires, en adéquation avec les besoins réels et pour améliorer le cash back», commente ce même chef de projet. Pour la mise en œuvre, le processus a été défini en s inspirant d ITIL. L outil choisi est Know and Decide. Le projet a été conduit, sur un an, par les managers opérationnels et un spécialiste certifié ITIL. L outillage lui-même a été installé sur un portail en 4 heures, reposant sur une plateforme VMware. Il ne nécessite pas d installer des agents sur les équipements. Toutes les données de supervision entrantes sont fournies et alimentent la gestion de capacité. Chaque matériel entrant dispose d un référentiel. «Il est important d injecter le référentiel dans la complétude de la mise en œuvre du projet», souligne le responsable. Toutes les personnes concernées par cette supervision disposent du même outil, sur un même portail. Les jauges, avec indicateurs verts, rouges, renvoient aux ressources CPU, mémoire, quantité de serveurs virtuels. Le résultat est là : les 25 datastores utilisés affichaient un taux d allocations supérieur à 85%. «Cela nous donne une prévision sur 5 à 6 volumes risquant d être saturés, deux à trois mois à l avance. Cela évite des surinvestissements inutiles. Il se confirme que les réserves de capacité de volumes disques sont encore très importantes». «L essentiel, au-delà du projet technique, c est de développer une culture, en incluant l ensemble des acteurs. Chacun doit avoir une vue sur les données techno des autres acteurs», conclut le responsable du projet. L Essentiel CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT 17

18 L optimisation de la Production IT grâce à une CMDB et au SKMS Le témoignage d une grande mutuelle santé a permis d apprendre comment gérer au plus près la croissance constante des ressources informatiques (environ 300 nouveaux serveurs par an sur un parc qui en compte 1.600), en raison d opérations de fusion/consolidation. Pour rappel, le secteur de la Santé se voit imposer des obligations réglementaires sur les données personnelles, médicales, etc. Quelle démarche adopter? «Il convient de bien définir l architecture globale des systèmes et des applications (choix de SOA), en positionnant bien les technologies au bon niveau dans le schéma directeur, avec le bon budget pour mener à bien les projets les plus critiques». Les grandes orientations convergent vers la virtualisation des serveurs (logiciel Postgre), l innovation technologique (Big data) et de premières initiatives de Cloud computing.. «Les projets SI ne suffisent plus à moderniser le SI, il faut identifier d autres projets techniques connexes, orientés vers les nouveaux usages». De la nécessité d une CMDB et du SKMS Le deuxième axe retenu ici concerne la nécessité de faire vivre une base référentielle du type CMDB, associée à un SKMS (service knowledge management system, ou système de gestion de connaissances des services). Tout le SI ne figure pas dans ce dispositif. C est une approche bottom-up, un moteur de règles fonctionnant comme un référentiel «esclave» : les données fournies doivent être exactes. «Il ne s agit pas de créer un nouveau référentiel, mais d assurer une construction dynamique, permettant d agréger l ensemble des composants et de détecter leurs interactions», explique le responsable architecture SI de cette mutuelle Santé. D où la «nécessité d un schéma de positionnement entre CMDB, SKMS et orchestration». Démarrer un solution d orchestration La troisième priorité vise, précisément à démarrer une solution d orchestration, l objectif étant d abaisser les coûts «pas forcément là où on l on croyait». Il s agit notamment de faciliter les opérations de changement. Calendrier des actions : Pour l optimisation continue de la production, le choix des produits est important mais il y a aussi l organisation. L architecture opérationnelle doit être bien pensée. Le défi, c est la bonne coordination de toutes les applications avec les métiers. En résumé : il faut se concentrer sur une «trajectoire d architecture unique», sur la maîtrise des objets de production, puis sur l automatisation (orchestration, capacity planning, analyse prédictive ). L Essentiel Conférence CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT La structuration des projets de supervision, orchestration jusqu au capacity planing et déploiement automatisé 18 4

19 Deux cas d automatisation : incidents et alarmes Organisation centralisée ou décentralisée de l automatisation? Deux cas de figure ont été présentés, l un centralisé pour l automatisation de la gestion des incidents ; l autre, décentralisé, pour les alarmes. Automatisation de la gestion des incidents : Un grand compte du secteur automobile a présenté une organisation décentralisée permettant d automatiser le traitement des incidents répétitifs. L automatisation existe depuis longtemps, en fait, a expliqué un responsable du groupe. Le problème, ce sont les scripts, le codage et les nombreux silos techniques. L orchestrateur est constitué de milliers de briques qui agissent sur les processus pour les automatiser. Chaque brique fait l objet d un paramétrage. Cela impacte tout un ensemble de composants informatiques. «Dans un «flow», il y a 80 %de connaissances métier et 20 % de technique orchestration», constate le responsable de la solution. Il reste toujours possible au pupitreur d intervenir manuellement. Les applications sont diverses : - provisionning : arrêter et relancer de façon contrôlée la bonne marche des applications ; - contrôle, maintenance : résolution d incidents, analyse automatique du taux d utilisation des ressources et détection d agents de contrôle disponibles. Automatisation du traitement des alarmes : Deuxième cas, chez un grand opérateur télécoms, cette fois : un flow d orchestration générique pour le traitement d alarmes. Le parc cible concerne serveurs (dont 75% virtualisés), sur un périmètre total de Initialement, il s agissait d orchestrer la supervision des VM. L orchestrateur pilote le process de server automation et de network automation L organisation retenue ici est décentralisée : tous les administrateurs systèmes peuvent potentiellement développer des automates propres à leur métier. Un seul chef de projet, contre deux auparavant, gère la supervision et l orchestration. Les outils de supervision ont, en effet, été intégrés. Deux scénarios sont programmés: acquittement ou escalade. L orchestrateur est lancé pour chaque alarme, même si la même alarme revient de façon récurrente. Il n y a pas (encore) de corrélation. La phase 1 reste donc manuelle. Le plus important est de neutraliser les alarmes inutiles ou fausses alarmes. Les contraintes de traçabilité sont respectées. Toutes les alarmes sont vues par l orchestrateur. Ordonnanceur versus orchestrateur Enfin, une recommandation à retenir : l accès à l orchestrateur doit être sous contrôle. «L ordonnanceur ne fait que soumettre des travaux tandis que l orchestrateur les gère. Ce sont deux mondes différents. Si l on facilite l accès à l orchestrateur, il y a un risque de dérive de l outil». Bien choisir et implémenter un outil ITSM Une filiale d ingénierie d un géant de l énergie a témoigné sur son choix en faveur d un outil ITSM. Deux solutions ont été retenues en short list : Easyvista et Frontrange. C est la deuxième qui a été sélectionnée parce qu elle a impressionné par son intégration dans un vaste ensemble de solutions (non demandées, en fait ). Le déploiement a été effectué, avec l aide d un prestataire, sur le modèle des process ITIL : gestion des incidents, portail utilisateurs pour les changements, activation de la base référentielle CMDB, capacity planning et self care. Parmi les résultats obtenus figure le reporting automatique d activités et des tickets. Certains mécanismes se sont montrés difficiles à utiliser. «Ce fut plus long à mettre en place que prévu. Il a fallu rajouter des guides d usage postérieurement à la mise en production», constate le manager du projet. Il reste que le nombre de tableaux obtenus est vaste. Et l outil s intègre bien dans les process ITIL. Les gains à venir concernent une gestion proactive des problèmes, la gestion des éléments de configuration, une bonne visibilité managériale sur l ensemble de la DSI, une vision efficace du planning des changements. L apport d une CMDB dans la production IT Pour clore la journée, le témoignage très pertinent d une compagnie d assurances a permis de réactualiser la nécessité et les multiples avantages d une base référentielle CMDB (Configuration management data base) à condition qu elle soit réellement «vivante». Pour rappel, c est la base de données qui contient tous les éléments de configuration IT reliés entre eux (services métiers,..). Elle donne la dimension opérationnelle d analyse d impact, une représentation graphique des services métier, le comptage des composants logiciels et la possibilité d interroger le modèle et d en extraire des données. En pratique, le dispositif repose sur la réconciliation entre deux bases : l une interne et et l autre externe. Un premier outil découvre automatiquement, filtre et synchronise des données réunies (Dataset ADDM). C est un process top- down. 5 19

20 Les étapes clés sont l identification des éléments, le contrôle et la gestion de la fiabilité de l ensemble devant permettre l extraction et la publication des informations de configuration utiles. Le démarrage d un outil de BUILD est en cours (avec fusion de la CMDB et des processus ITSM). «Le challenge, c est d en faire un référentiel incontournable» L alimentation de la CMDB est automatique. L identification s effectue avec les référents techniques. Des règles de sécurité et de confinement sont à respecter. Cette CMDB ne contient que des données techniques (et non pas métier). Elle s inscrit dans une démarche applicative : tout changement technique, dûment notifié, implique une analyse d impact. Parmi les leçons à tirer, il est conseillé d utiliser strictement le modèle proposé par l outil : «L ajout d utilisations hors du standard peut compromettre le modèle» - s agissant notamment de la maîtrise de coûts AveC L AIde d ITIL Le groupe de travail ITIL du CRIP, piloté par Eric Bouvet (Arkema) et Lionel Rolland (GDF Suez) ont résumé leurs avancées sur la gestion intégrée des relations avec les métiers, la gestion des demandes et la coordination design coordination. Les travaux les plus récents ont porté sur le Catalogue de services et de facturation. Certaines organisations refacturent, d autres non. Une réunion commune a été tenue avec le GT Analyse de coûts, qui a permis de faire le point sur les moyens nécessaires pour fournir tel ou tel service, ou de constater, par exemple, que lorsqu un coût n apparait pas dans le RUN, il est important qu il soit notifié quelque part et payé ou facturable. Les prochains thèmes concernent l amélioration des pilotages des opérations informatiques, la relation client (BRM/SLM), le déploiement de nouveaux processus. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - contact@crip-asso.fr En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 20