Vers un pilotage solidaire des risques et de la conformité PAGE 14

Transcription

1 Comment l industrie européenne du logiciel et des services informatiques encaisse-t-elle la crise? PAGE 6 Vers un pilotage solidaire des risques et de la conformité PAGE 14 Sécurité des mots de passe : le partage confidentiel ou SAPM PAGE 25 Bimestriel - juillet/août 2009 n 80 SilverLight 3.0 PAGE 30 Process to application : une approche de références PAGE 35

2 ZOOM OUTSOURCING L avis des Directions Informatiques Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI «Les solutions d Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d ouvrage.» Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité «La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu ils savent que nous pouvons facilement les auditer.» Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP «CAST fournit des critères objectifs d appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l évolution des applications et constitue au sein de Framatome un outil de progrès partagé.» En savoir plus Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : «Information Series on Application Management» : Découvrez l expérience de plusieurs sociétés utilisatrices de solutions d Application Intelligence :

3 La maîtrise des applications et des prestataires dans une opération d outsourcing De la valeur ajoutée de l Application Intelligence pour piloter efficacement un parc applicatif sous-traité Les entreprises, devenues plus mûres vis-à-vis de l outsourcing, sont désormais capables d opérer des externalisations plus stratégiques. On l a récemment observé dans l automobile avec Renault ou dans la grande distribution avec Carrefour. Dans l externalisation des applications métier, c est surtout la volonté d accroître l efficacité opérationnelle de l informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. Comme dans n importe quelle opération d outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. C est là que le bât blesse : l externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L externalisation réussie d applications métier est donc le fruit d une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d Application Intelligence, basées sur une technologie avancée d analyse de code source. En fournissant des indicateurs techniques aux donneurs d ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. La valeur ajoutée de ce type de solutions d Application Intelligence est visible à chaque étape d une opération d outsourcing, comme décrit ci-après. Recette technique Fin de contrat Cycle de vie d'une opération d'outsourcing Contrôle des coûts Appels d'offres Suivi de projet Audit de l existant et préparation des appels d offres Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer d informations de référence pour évaluer les propositions des soustraitants Transfert de connaissances Obtenir une image à l instant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Réduire la phase d acquisition de la connaissance pour entreprendre plus vite des tâches productives Diminuer le coût lié à la production d une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet Suivre l évolution de la maintenabilité et de la qualité pour éviter toute dérive Etre capable de valider la quantité et la qualité du travail facturé Etre en mesure de challenger le sous-traitant lors des négociations d avenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d Application Intelligence dans le monde. Publi-Reportage

4 édito Informatique à crédit et crédit de l informatique Massy Palaiseau, un mercredi matin de juin à 9h30. Je descends du RER pour me rendre aux Ulis. Je fouille mécaniquement dans mes poches. Et soudain, stupéfaction : plus de portefeuille! Et me voilà bloqué loin de chez moi, sans papiers, sans argent, et pire encore sans titre de transport. Une excellente occasion de tester l efficacité informatique de tous mes pourvoyeurs de cartes de crédit. Première bonne surprise : la RATP me redonne une carte Navigo (avec sa puce et ma photo) en moins d une minute! Je peux rentrer chez moi. Je respire. Pendant le trajet, je contacte American Express, qui me fera parvenir une carte de remplacement totalement fonctionnelle dans deux jours, avant envoi de ma carte définitive. Arrivé chez moi, je me rends à mon agence du Crédit Mutuel, qui m annonce l envoi de mon code par la poste et ma carte à l agence dans les sept jours. La sécurité optimale a un coût! Je me rends ensuite au Crédit Agricole (carte de ma société) qui m annonce 12 à 15 jours, pour le même service! Effectivement, tous ces délais maximaux seront respectés : six jours pour le premier et dix pour le second. Admettons que l attribution des codes pour carte à puce soit longue. Pourquoi autant de différences entre deux banques? Par ailleurs, le Pass Navigo contient lui aussi une puce, et chaque guichet peut l émettre. Les systèmes fermés et propriétaires seraient-ils finalement plus performants? Deux jours après la perte, j ai reçu par la poste mon portefeuille et tout son contenu. J ai alors détruit consciencieusement mes cartes annulées. Et surtout, je n aurais pas à tester les circuits Carte Vitale et Carte d identité José Diz Rédacteur en Chef Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot Meudon - FRANCE Tél. : Fax. : redaction@it-expertise.com Rédacteur en chef José Diz j.diz@it-expertise.com Directeur de publication Aurélie Magniez a.magniez@it-expertise.com Abonnements/Publicité abonnement@it-expertise.com Conception Graphique Nicolas Herlem nico_freelance@yahoo.fr Parution IT-expert - (ISSN ) est un journal édité 6 fois par an, par P&C France, sarl de presse au capital de ,61 e. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l autorisation écrite de l éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n engagent pas la responsabilité de Press & Communication. Abonnements Vous pouvez vous abonner gratuitement sur Abonnements/Default.aspx ou nous écrire à : abonnement@it-expertise.com 4 IT-expert n 80 - juillet/août 2009

5 IT-expert n 80 - juillet/août 2009 Sommaire 6 Dossier Comment l industrie européenne du logiciel et des services informatiques encaisse-t-elle la crise? Directeur du cabinet d études PAC (Pierre Audoin Consultants), Mathieu Poujol fait le point sur l économie informatique dans les grands pays européens. Excellente occasion de découvrir les secteurs et technologies ayant le vent en poupe, et de découvrir pourquoi la France semble bien moins impactée que ses voisins. 14 Technique Vers un pilotage solidaire des risques et de la conformité Gestion des risques et de la conformité. Nouvel eldorado des éditeurs et prestataires ou réelle préoccupation dans la stratégie des entreprises. Les auteurs expliquent clairement les notions liées au risque et montrent pourquoi les outils semblent insuffisants pour traiter une problématique qui va bien au-delà des seuls aspects juridiques. 22 Actualités Internationales Les informations marquantes d éditeurs, de marchés, d organisme de standardisation, de débats en cours et de tendances. 25 Comment ça marche? Sécurité des mots de passe : le partage confidentiel ou SAPM Comment assurer la sécurité des accès avec de nombreux responsables de haut niveau (administrateurs) ou dans le cadre d une entreprise étendue? Coffre partagé ou centralisé, le SAPM ou Shared Account Password Management reste un marché de niche, bien qu il réponde à une attente forcément stratégique 29 Livres Systèmes d information organisationnels, ouvrage collectif coordonné par Pascal Vidal et Vincent Petit et IT Gouvernance - Management stratégique d un système d information par Frédéric Georgel. 30 Quoi de neuf docteur? SilverLight 3.0 Le concurrent de la technologie Flash d Adobe par Microsoft débarque en version 3.0. L auteur, spécialiste de ce type de technologie, explique comment SilverLight devient un environnement de choix pour créer des applications en ligne ou offline, compatibles aussi bien sur PC que sur Mac. 35 Rubrique à brac Process to application : une approche de références Implication de l utilisateur final, référentiel unique, nouvelles technologies Dans de nombreux cas, toutes ces évolutions semblent ne pas suffire pour aboutir à une application satisfaisante pour l utilisateur. Cette nouvelle démarche apporte sa pierre à l édifice. Un panorama sur les nouveaux outils illustre ces concepts. IT-expert n 80 - juillet/août

6 Comment l industrie européenne du logiciel et des services informatiques encaisse-t-elle la crise? Contrairement à la précédente crise de 2001, liée au surinvestissement en technologie de l information, la crise actuelle prend ses racines dans des domaines différents engendrant des conséquences diverses. En effet, la récession actuelle n affecte pas de manière uniforme les principaux pays européens. Son impact varie en fonction de leur exposition au secteur immobilier et à la finance et, dans une moindre mesure, à certains secteurs industriels comme l automobile ou leur dépendance aux exportations de certaines matières premières, comme les hydrocarbures. 6 IT-expert n 80 - juillet/août 2009

7 Dossier & Interviews Un passage en revue de la situation dans les 3 principaux pays de l Union européenne (le Royaume uni, l Allemagne et la France) amène à constater des éléments et facteurs communs. Ces trois pays représentent plus de 50 % de la dépense informatique européenne. Et bien que leurs situations soient différentes, elles présentent plusieurs similitudes concernant leurs dépenses informatiques en temps de crise. Le Royaume-Uni : prix serrés et budgets repoussés Pour les entreprises utilisatrices, la situation des investissements informatiques s avère très difficile, avec des restrictions fortes : blocages de budgets avec des budgets discrétionnaires qui ne reviendront probablement pas avant 2010, les dépenses informatiques devraient diminuer de 2 % ; RSI (Retour Sur Investissement) à court terme et un focus de nouvelles missions d externalisation doivent générer des économies d échelle en 2009 ; une attention toute particulière quant à la solidité financière du fournisseur. Certains sujets se maintiennent néanmoins en phase d investissement : la virtualisation, le stockage, la Business Intelligence, le SaaS Logiquement, les prestataires de services et les éditeurs informatiques souffrent du manque de visibilité sur les signatures attendues pour la seconde moitié 2009, même si la demande sous-jacente de nouvelles missions d externalisation semble solide. La pression sur les prix persiste, avec des fournisseurs qui acceptent d offrir des réductions lorsqu ils ont encore des marges de manœuvre à ce niveau (plus d offshore, plus d automatisation). La fin du RSI? C est une autre question importante, car on a vu quelques RSI partir sans être remplacés. Leurs rôles, seront-ils définitivement éliminés? Le Royaume-Uni ayant poussé très loin la logique d externalisation, les métiers peuvent vouloir travailler directement avec leurs fournisseurs de technologie. Les relations commerciales évoluent entre les deux parties. Ainsi, l assistance technique est en pleine mutation et les contrats s orientent très largement vers des prix fixes et des prestations au forfait. Les clients explorent aussi de plus en plus des modèles de facturation basés sur la valeur et sur les résultats métiers, mais le conservatisme prévaut encore dans la prise de décision finale. En revanche, les clients sont de plus en plus disposés à s engager dans de grands contrats d externalisation avec des fournisseurs exclusifs - cela permet de plus grandes économies d échelle et une certaine tranquillité. Les principales affaires signées Contrats-clés de prestation de services informatiques au Royaume-Uni au premier semestre 2009 Client Vendeur Projet Aviva EDS Contrat de 10 ans et 700 millions de livres pour l administration de deux centres de données, supposant le transfert de 300 salariés. 4U Group TCS Contrat d externalisation d une valeur de 100 millions de dollars pour la prestation de services, incluant TMA et DMI. Service d identité et passeports CSC Projet de 10 ans visant la mise à niveau du système d identité et passeports de l agence britannique. Ministère de la Défense Atlas consortium Une extension de contrat de 191 millions de livres pour le programme de rafraîchissement de l importante infrastructure informatique des forces armées. Morrisons Wipro Contrat de fourniture de développement d applications et support, pour une standardisation sous plateforme Oracle. IT-expert n 80 - juillet/août

8 Effet Royaume-Uni Etats-Unis Autriche Belgique Bresil Suisse 05 Canada Suède 04 Chine Espagne République tchèque Slovaquie 01 Danemark 00 Russie Finalnde Roumanie France Portugal Allemagne Pologne Hongrie Légende : de 6 (effet négatif très fort) à 0 (aucun) Norvège Pays-Bas Japon Italie Inde L effet de la récession mondiale par pays La demande en prestation offshore est de mise pour la plupart des nouveaux contrats au Royaume- Uni. Certains clients sont disposés à s engager dans de plus grandes durées contractuelles afin de diffuser les coûts du projet sur le plus long terme possible. De même, le financement du vendeur est une option attractive pour beaucoup de clients, ce qui favorise les grands fournisseurs. Quels sont les marchés verticaux les plus dynamiques? Le secteur public : le récent plan de relance va générer un nouvel élan dans toutes les composantes de l administration. Les services publics avec des programmes majeurs de modernisation de l infrastructure en cours : infrastructures de transports, énergie, assainissement Quelles sont les industries affectées? Les dépenses informatiques sont faibles dans la vente au détail : baisse d activité dans un secteur fragile - à part quelques grands projets transformationnels chez M&S et Morrisons. Les différentes composantes de la City ont mis en veilleuse beaucoup de projets et le reste de l industrie financière reste au mieux, atone. British Airways réduit ses investissements informatiques au strict minimum. Quels services horizontaux se vendent bien? Datacenter: la demande pour encore de l espace est accentuée par la réduction de la disponibilité conjuguée à l accroissement de la demande. TMA: l activité solide et croissante dans le TMA, couvrant la gestion/l hébergement, ensuite des services de test et de recette autonomes sur SAP et Microsoft Dynamics. Quelles offres sont les plus affectées? Ventes de progiciels applicatifs. Les services associés, car les nouvelles ventes de licences de logiciel ayant été interrompues, cela affecte fortement les projets traditionnels d assistance à maîtrise d oeuvre de PGI ou du CRM. 8 IT-expert n 80 - juillet/août 2009

9 Dossier & Interviews En Allemagne : quand l auto va mal, tout flanche Comme au Royaume-Uni, de nombreux secteurs souffrent de la crise. Les industries automobile et de la construction mécanique, qui caractérisent le marché allemand, dépendent fortement des exportations et sont donc les plus affectées. Cette baisse des exportations engendre des effets systémiques qui atteignent toute la chaîne de sous-traitance. Les premiers signes de reprise apparaissent, mais une grande incertitude règne, et la baisse des ventes se poursuit dans la plupart des secteurs, combinée avec l augmentation du chômage. Seule certitude pour l informatique : des mesures d économies avec des investissements et des projets réexaminés, annulés ou différés. Au total, baisse de 2 % des dépenses informatiques totales en avec sur certains secteurs jusqu à 4 % de baisse. Seule l infogérance continue de progresser (un peu) et les délocalisations aussi, même s il y a toujours un verrou culturel en Allemagne à ce sujet. Pour les fournisseurs de technologie, la situation se durcit, en particulier pour les distributeurs et les éditeurs de logiciel. Sur son propre marché, SAP fait face à une diminution conséquente de ses ventes. Tous les projets sont réévalués et les dépenses courantes comprimées, tandis que les nouveaux projets ont été ajournés s ils ne sont pas critiques. Cependant, certaines zones d investissement, comme l optimisation dans les chaînes de production et de logistique industrielle, ou la SEPA (Single Euro Payments Area ou Espace unique de paiement en euros) devraient générer des investissements informatiques conséquents. Courants d affaires Contrats clefs de prestation de services informatiques en Allemagne en H Client Vendeur Projet Bureau Fédéral de l Engagement SAP (Accenture) Mise en oeuvre et exploitation du PGI SAP (PGI SAP; financiers, RH) dans la plus grande agence allemande. Linde AG T-Systems Contrat paneuropéen de services de stockage et infocentre pour 7 ans. BMW Accenture Accenture a été choisi pour gérer plus de 500 applications dans le cadre d un contrat de 5 ans. Celesio HP Contrat de 7 ans de gestion de l infrastructure, avec le transfert de 300 salariés. Hochtief Capgemini Contrat prolongé + extension (externalisation complète depuis 2001). Rheinmetall IBM Contrat prolongé + extension (externalisation complète depuis 2002). Quels sont les marchés verticaux les plus dynamiques pour investir? L administration et les services publics sont les plus stables : Moins cycliques que d autres secteurs avec peu de concurrents, Ces secteurs sont obligés d investir en informatique, en particulier d adopter diverses directives de l UE, Le gouvernement a lancé l initiative de support au cycle économique par plus d investissements en informatique. Mais ces deux secteurs investissent traditionnellement moins en services externes, et (à la différence du Royaume-Uni) sont assez réticents envers l externalisation. IT-expert n 80 - juillet/août

10 Quelles industries sont affectées? L automobile et la fabrication mécanique sont les plus touchées, à cause d une baisse massive des ventes. En dépit de quelques aides de l État, c est un secteur dangereux pour les vendeurs informatiques dans les mois à venir! Les banques, qui sont en plein marasme, voient leurs budgets informatiques se stabiliser. L aide de l État fédéral a permis d améliorer la situation du secteur et certains investissements, comme la mise en conformité réglementaire, restent nécessaires. La France s en sort plutôt mieux Pour les entreprises utilisatrices de technologie, en particulier les multinationales, le sentiment est que la France n est pas aussi sévèrement affectée que d autres pays européens. C est un sentiment partagé par bon nombre d éditeurs et de prestataires de services informatiques. Mais le marché reste difficile. Les résultats du premier semestre montrent un brusque ralentissement dans les dépenses sur logiciels et services informatiques face à Q4 2008, où les utilisateurs avaient dépensé toutes leurs queux de budgets. Il y a encore peu d annulations, mais surtout des retards. Il n y a donc pas d arrêt brutal dans la dépense pour des services informatiques. En règle générale, la dépense pour des services informatiques et les logiciels devrait baisser de 1 % en Les clients s attendent à ce que les fournisseurs les aident avec leurs difficultés courantes pour en améliorer l efficience pour en réduire les coûts! La crise est le moment propice au changement, car elle sert de catalyseur à l avènement de nouvelles pratiques : Des forfaits flexibles, Une plus grande mise en concurrence de tous les fournisseurs, Une manière différente de délivrer du logiciel : logiciel libre, SaaS, Offshore, méthodes agiles Des contrats de licence revisités avec des paiements qui suivent la courbe d amortissement Industrialisation et référencement. Pour les acteurs sur le marché de services, face à une baisse concomitante des volumes et des prix, les problèmes de trésorerie se font pressants pour les petites structures et ils se sont accentués à la fin du semestre. Les services de conseil informatique enregistrent une baisse abrupte de la demande, avec une nouvelle approche de la mission de conseil. Les contrats à prix fixes sont «flexibilisés». 10 IT-expert n 80 - juillet/août 2009

11 Dossier & Interviews La demande en progiciels est très faible, comme en témoigne le prochain plan social d Oracle. En revanche, les investissements ne se sont pas taris sur le développement spécifique, qui est plus vu comme source de différenciation (permettant souvent de préserver ses équipes internes ). Cela montre aussi que les décideurs informatiques pensent certes que leur plus gros challenge est la baisse des coûts - 58 % selon une enquête PAC de février 2009 auprès de 500 RSI-, mais qu il faut aussi se préparer à l après-crise. Même si les pressions sur les prix subsistent, l infogérance, la TMA, le test et la tierce recette résistent plutôt bien. L offshore est en pleine explosion en France, poursuivant ainsi une tendance amorcée avant la crise. Contrats clefs de prestation de services informatiques en France en H Client Vendeur Projet EDF Euriware Développement et support d un nouveau système ECM. Europcar Unisys Extension pour 5 ans du contrat actuel Primagaz Total Gaz Vivarte IBM Logica Atos Origin Extension pour 5 ans d un contrat de fourniture de support informatique dans sept pays européens. Déploiement d un nouveau système BI pour supporter l analyse des indicateurs d affaires internes et externes. Extension pour 5 ans d un contrat de gestion de 135 serveurs distribués et de postes de travail. Quels sont les marchés verticaux les plus dynamiques pour investir? Comme dans la plupart des pays, le terme public est porteur : Secteur public avec de grands projets, même si comparativement aux autres pays le plan de stimulation direct est très limité. Services publics, avec des grosses vagues d investissement en cours en particulier dans l énergie. Dans une moindre mesure, le transport avec la fin des grands contrats pour Quelles industries sont affectées? La vente au détail, La banque, L automobile, avec de fortes ré-internalisations, les télécommunications - croissance du volume, mais très forte pression sur les prix ainsi qu une industrialisation forcée. Quels services horizontaux se vendent bien? Services liés à l infrastructure et à l optimisation : virtualisation, consolidation, RIM Services liés aux applications : recettes, TMA, SOA, BI Quelles zones sont affectées? Conseil informatique «autonome» Investissements matériels ERP Conclusion : le secteur public fait de la résistance Ces trois marchés phares donnent une bonne idée de la situation des dépenses européennes en logiciel et services. Tous les marchés sont affectés, même si la France semble moins touchée. L impact de la crise est fortement corrélé avec la structure sectorielle de ces différentes économies ; la constante sur les trois pays est la bonne résistance du secteur public et des services publics. IT-expert n 80 - juillet/août

12 Ainsi, la France s en sort mieux grâce à l importance de sa dépense publique et de sa position de champion mondial sur les marchés des services publics (énergie, assainissement ), des secteurs qui sont toujours en pleine phase d investissements. La consommation étant restée bonne, la distribution n a pas trop souffert et continue d investir. De plus, ces trois pays sont protégés par leur taille, par leur niveau d excellence sur certains métiers, par leur R&D, mais aussi par le fait qu ils sont les pays d origine de grandes sociétés multinationales, qui souvent vont plus désinvestir à l étranger que sur leur sol national. Reste maintenant à savoir qui sortira le plus rapidement de la crise Les mêmes raisons qui ont protégé la France de la crise pourraient être celles qui vont la ralentir lors de la sortie de crise. n Mathieu Poujol, Directeur Fondé par Pierre Audoin en 1976 (Paris), PAC est le seul groupe européen avec une couverture globale : de fortes compétences locales et réponse globale. PAC est le spécialiste de l industrie du logiciel et des services informatiques : des fournisseurs de logiciels et services informatiques, des utilisateurs de services informatiques, des influenceurs et des organismes publics. Son approche intégrée couvre toute la chaîne de valeur de nos clients : des rapports prêts à l emploi, des services de commercialisation & conseil. 12 IT-expert n 80 - juillet/août 2009

13 L agenda de cet informaticien est déjà bien rempli! 24 septembre - PARIS CNIT - La Défense - 11h-21h 15 octobre - RENNES Stade Rennais - 11h-19h 26 novembre - LYON Espace Tête d Or - 11h-19h Janvier PARIS CNIT - La Défense - 11h-21h Février LILLE Salle du Gymnase - 11h-19h Mars NANTES Cité Internationale des Congrès - 11h-19h Mars GENÈVE Centre International des Conférences - 10h-18h Liste des postes et pré-inscription sur

14 Vers un pilotage solidaire des risques et de la conformité Un renversement de tendance est annoncé dans la 6 ème édition du Baromètre du Risk Management réalisé par le cabinet de conseil Protiviti en mars Cette enquête auprès de 100 directeurs financiers des grandes entreprises françaises cotées et non cotées révèle la suprématie des risques externes par rapport aux risques internes. 14 IT-expert n 80 - juillet/août 2009

15 Technique Quels sont réellement les risques externes? «Si l abeille disparaissait de la surface du globe, l homme n aurait plus que quelques années à vivre» aurait prophétisé Albert Einstein. D ailleurs, les experts de l industrie agroalimentaire évaluent à 153 milliards d euros le chiffre d affaires réalisé grâce à ces hyménoptères. Quels sont ici les risques identifiés? Comment piloter les causes en amont? Et quelles sont les entreprises concernées? Comment répondre à ces risques? Dans un autre registre, face à la crise financière actuelle, certains proposent un changement de cap radical, exceptionnel, loin des recettes classiques. Guy Verhofstadt, ancien premier ministre de Belgique, et excandidat à la présidence européenne, prône des transformations audacieuses, profondes, qui tracent résolument les contours du champ politique mondialisé de demain et ouvrent la voie à une économie durable. Il explique la crise économique actuelle par l absence de régulation européenne, par l absence d instance politique forte pilotant les risques financiers. Faut-il imaginer une instance européenne capable de réguler la nouvelle économie à travers de nouvelles lois? Face à cette situation, les autorités renforcent les réglementations. Par exemple, la transposition dans le Droit français de la huitième Directive européenne relative au contrôle légal des comptes annuels et des comptes consolidés va accroître de façon très sensible l environnement réglementaire autour du contrôle interne et de la gestion des risques pour les sociétés cotées. Le rapport du Président doit désormais décrire les procédures de contrôle interne et de gestion des risques. Quel est le niveau de prise de conscience de ces évolutions dans les entreprises et comment les ont-elles intégrées dans leur organisation, et pour quelles conséquences? Comment peuventelles adresser les nouveaux challenges liés à l émergence de nouveaux risques et d un écosystème élargi? Que peuvent-elles tirer comme bénéfices de l intégration de cette nouvelle donne dans leur organisation? À chaque division ses propres risques? Dans les années 90, les risques étaient gérés en silos, car ils restaient directement liés à l activité de l entreprise, elle-même organisée en conséquence. Ainsi, chaque activité ou service gérait ses propres processus et identifiait les risques et les plans d action attenants. Cette organisation se reflétait dans la composition du Comité Exécutif, où chacun portait les actions dédiées à sa fonction : un problème d image était réglé par la communication, un problème de fabrication par le responsable industriel, etc. La notion de risque (délais de livraison par un fournisseur trop long, double facturation d un client) était intimement intégrée à la gestion du processus appartenant à l équipe métier dédiée. La règlementation adoptait un schéma identique, et édictait des règles, normes et lois ad hoc, que chaque service reprenait à son compte. L exemple bancaire, au travers de la règlementation Bâle I et II, reflète cette vision, en basant ses fondements sur les 3 typologies de risques liés à l activité bancaire : les risques de crédit, les risques de marché et les risques opérationnels. Bien que la notion de risques opérationnels élargisse la ouverture à une vision plus transverse des risques et des processus opérationnels, 80 % d entre eux s apparentent de fait à du risque de crédit. Le règlementaire visant à réduire les risques liés à l activité bancaire se focalise sur l écosystème interne et les métiers spécifiques de la banque. Chaque typologie de risques est alors portée par des entités différentes, et les outils supportant cette initiative pour adresser chacune des typologies de risques sont souvent disparates. L objectif du règlementaire vise à obliger les institutions financières à couvrir leurs risques par un «capital at risk», calculé sur la base des pertes attendues et inattendues issues des 3 typologies de risques. L intention adaptée dans la banque s avère pourtant très difficile à mettre en œuvre, et des résultats probants se font encore attendre. Risque et conformité : au-delà de la loi Pour l entreprise, la gestion du risque s attache à identifier les risques qui pèsent sur sa pérennité, comme les actifs de l entreprise, ses valeurs au sens large, y compris son personnel. Le terme de conformité, ou encore de compliance, est utilisé pour désigner le respect des dispositions législatives et réglementaires propres aux activités financières, industrielles ou de service public. Il englobe aussi le respect des normes professionnelles et déontologiques, ainsi que des orientations de l organe délibérant ou des instructions de l organe exécutif. Les normes applicables aux entreprises ne sont pas uniquement émises et écrites par des institutions officielles gouvernementales ou assimilées, mais aussi par des instances non gouvernementales. La «Loi» peut désormais ne pas être écrite, mais avoir un impact tout aussi important pour l entreprise. IT-expert n 80 - juillet/août

16 Les scandales financiers font renaître la responsabilisation Le début des années 2000 a vu une multiplication des scandales et de chutes vertigineuses d entreprises, notamment des scandales dans les institutions financières. La fraude n est pas un élément nouveau dans le monde économique, mais l accès à l information étendue, le parti pris de tout consommateur ou observateur avec les moyens de communication dont il dispose, et le renforcement des instances de contrôle ont mis à jour plus rapidement et «à voix haute» ces scandales. Les règlementations se sont démultipliées, plus de textes voient le jour tous les ans en Amérique du Nord, mettant en avant un nouveau concept fort : la responsabilisation. La loi de Sarbanes Oxley (Sox) en est un bon exemple, car elle rend le signataire des comptes responsable des chiffres publiés auprès des auditeurs et des analystes. Mais la tendance commence à changer : la gestion des risques qui était surtout tirée par les règlementaires liés aux processus financiers comme Bâle ou Sox, ou encore spécifiques aux secteurs d activités, se transforme petit à petit pour devenir transversale à l ensemble des processus métier de l entreprise. Une fonction Risque à renforcer dans l entreprise Désormais, la notion de cartographie des risques émerge et regroupe à la fois l identification géographique, organisationnelle et structurelle, et leur impact aussi bien qualitatif que quantitatif. Cette cartographie, complexe et longue à mettre en œuvre, est alors portée par de nouvelles fonctions au sein de l entreprise, dédiées à cette activité. Les plus grosses structures se dotent en effet de CRO (Chief Risk Officer) ou Manager des Risques, ayant pour objectif de cartographier les risques et de mettre en place un dispositif centralisé d indicateurs de pilotage, de définir les stratégies en termes de réponse, de plans d action, de transfert ou encore d assurance des risques identifiés. Même si l effort de cartographie est global, il reste très focalisé sur les risques financiers, et de ce fait, travaille en étroite collaboration avec les services de contrôle interne, dont la liste des tâches est essentiellement alimentée par les contrôles financiers évalués par les auditeurs internes et externes. Des outils encore trop déconnectés Des outils dédiés à la gestion des risques apparaissent sur le marché, principalement conçus pour répondre aux règlementations financières, permettant la cartographie sur l ensemble des processus métiers de l entreprise, et leur mise sous contrôle. Le contrôle étant l action permettant de réduire l émergence du risque, ou son impact. Cependant, ces outils sont indépendants des systèmes opérationnels de l entreprise, et reflètent une organisation où la place du manager des risques reste une place à part. L autre difficulté majeure pour ces nouvelles fonctions est de faire vivre cette cartographie. La raison principale vient du manque de maturité ; aussi bien des opérationnels pour cette nouvelle démarche de recensement des risques, que des outils disponibles sur le marché. Conséquence principale : les risques sont loin d être tous cartographiés, et qu ils continuent de survenir sous des formes nouvelles, générant un impact méconnu et donc non maîtrisé par les entreprises. Au-delà du financier et des préoccupations internes Si l enjeu majeur de cette démarche règlementaire est la moralisation de l entreprise, l enjeu de l entreprise reste focalisé sur l impact purement financier : la mise en conformité obligatoire pour réduire les pénalités, et surtout pour garder sous contrôle l impact que le non-respect des nouvelles normes pourrait avoir sur son image et sur sa crédibilité sur le marché. La démarche révèle encore une prise en compte réduite des risques, car elle se limite au périmètre de l entreprise. Ce sont les activités de l entreprise qui guident la cartographie, et non pas ce qui se passe à l extérieur de celle-ci. Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l analyse approfondie des risques de l entreprise impose une veille étendue qui peut s assimiler à de l intelligence économique. Cette prévention des risques pesant sur les actifs aboutit à établir une grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique, juridique, social, environnemental, culturel). Solution Gestion des Risques Open pages Compliance RVR Paisley Protiviti Archer technologies Metric stream Mega Oracle Approva Achiever Cura Software Solutions Axentis Axentis SAS SAP Ids Scheer Mega Bwise Enablon Movaris Sources Guido Wagner / GRC Technology - Competitive Analysis / Nov et Gartner IT-expert n 80 - juillet/août 2009

17 Technique Le phénomène de cause à effet est de plus en plus délicat à analyser avec l effet systémique que peut présenter désormais la mondialisation financière et l économie ouverte et globalisée. Au suivi des risques tels que - l insatisfaction client, les concurrents, les systèmes d information et la sécurité informatique, l image de marque et la réputation - s ajoutent désormais des risques indépendants de l entreprise, comme les risques environnementaux globaux, intercontinentaux, les risques liés à la mondialisation. La nature du risque à identifier et à piloter évolue. Le risque n est plus seulement endogène à l activité de l entreprise mais bien exogène, il n est plus hexagonal mais bien planétaire. La problématique est bien l association du changement de la nature des risques à une conformité plus complexe, car étendue à l ensemble des parties prenantes, impliquant dans le même temps, l absence de maîtrise de l entreprise sur le risque lui-même et une gestion solidaire avec tous les acteurs le pilotage commun du risque identifié. Il en découlera une gestion collaborative et organisée de différents acteurs économiques (entreprises), politiques (villes, régions, pays ) et sociétaux (collaborateurs, élus, ONG ). Si la relation Risques-Réglementation existe et persiste, nous constatons une complexification de la matrice des risques liés à l urgence environnementale et sociétale à l échelle planétaire, et qui génère un suivi des risques à long terme. Des réglementations issues du dialogue Le nombre de réglementations augmente et s accumule, car les instances émettrices se développent (ex: DRIRE, législation nationale, européenne). La Directive européenne REACH (Registration, Evaluation & Authorization of Chemicals) qui vise à faire face aux enjeux essentiels d une meilleure protection de la santé et de l environnement à l égard des substances chimiques en est peut-être un premier exemple. Ce règlement exige des producteurs et importateurs d apporter la preuve de l innocuité pour la santé ou de la maîtrise des risques pour plusieurs milliers de substances produites ou importées à plus d une tonne par an sur le marché communautaire. Il s agit de contrôler des données opérationnelles, techniques, de vérifier tous les flux et processus, les quantités concernées. Ce cas précis illustre également la relation de l entreprise avec le législateur en l occurrence européen qui devient partie prenante en définissant le risque, décidant d un plan d action à 11 ans, demandant à l entreprise de rendre compte de l achat, de la transformation, de la production et de la vente de certaines substances et de leur usage. Le KRI (Key Risk Indicator) devient ici exogène à l entreprise, le plan d action remédiant au risque est aussi imposé, demandant de justifier, documenter ses activités avec ses fournisseurs, d expliquer ses opérations de production et de sécuriser la mise sur le marché de ses produits. Deux axes collaboratifs sont ici nécessaires qui sont la communication du plan d action à l UE qui se fait via l interface IUCLID (International Uniform ChemicaL Information Database), des contrôles, des instances d échanges (ECHA : European Chemicals Agency, SIEF : Substance Information Exchange Forum), mais aussi l obligation de collaborer et d échanger avec ses fournisseurs et clients. L entreprise et son activité sont encapsulées à la fois par son écosystème et les différentes strates politiques (municipalité, département, région, nation, internation comme UE). La gestion des risques est pilotée par les décideurs-acteurs. REACH présente un double intérêt dans l illustration du bouleversement des paramètres. Cette Directive a été rédigée après une consultation préalable sans précédent : plus de contributions ont été reçues en provenance d États membres, d États étrangers à l Union européenne, de fédérations professionnelles, d ONG, de particuliers Plusieurs dizaines d études d impact ont été engagées sur le projet de règlement par la Commission, les États membres et l industrie. Parce qu il s agissait de prévenir les risques chimiques sur l Homme et son Environnement, toutes les parties prenantes ont participé au débat. IT-expert n 80 - juillet/août

18 REACH est une illustration de la nouvelle écolonomie qui s impose. Les «3 P» («Planet, People, Product») sont désormais indissociables. La définition et le pilotage des risques sont dictés par «Planet» et «People», le «Product» ne peut que respecter les deux premiers. La collaboration plus efficace que la coercition La norme ISO (responsabilité sociétale des organisations) qui devrait être prête en 2010 suit le même schéma de «fabrication». Elle aura été conçue après 5 ans de débats et presque 10 réunions internationales, la participation de 92 pays et 40 organisations internationales. Ce nouveau type de conformité intègre la pression de l ensemble des parties prenantes et des observateurs, quels qu ils soient au sein des activités de l entreprise. Cette «soft law» n a en apparence pas de caractère contraignant (pas de pouvoir de coercition). Les entreprises appliquent pourtant et revendiquent ces normes. Évolution très intéressante : certaines «surveillances par tiers» permettent une application très fidèle des principes énoncés par cette «soft law». On pourra citer comme exemple l action retentissante d un activiste à l encontre de l entreprise Nike. Cette affaire avait été portée devant la Cour Suprême en 2003 par Mark Kasky qui dénonçait le décalage entre la politique sociale et environnementale affichée par Nike et la réalité des pratiques de l entreprise à l égard des sous-traitants. A la suite de ce procès gagné par Mark Kasky, Nike s est engagé à verser 1,5 million de dollars pour aider à la mise en place de programmes d audits ainsi qu à financer des programmes d éducation et de crédits. L intégralité a été versée à la Fair Labor Association, organisation américaine rassemblant entreprises, universités, associations de consommateurs et ONG dont la mission est de travailler sur l évaluation des conditions de travail et l amélioration des pratiques chez les sous-traitants de ses adhérents. On constate que les ONG jouent un rôle d observateur et de dénonciateur puissant. Au-delà de la sanction détournée citée ci-dessus, se met en place un mécanisme incitatif bien plus puissant qui est celui de l exemplarité. Comment ne pas faire au moins comme les autres, comment ne pas être au moins aussi vertueux? La cartographie devient donc matricielle, multi niveaux et pluridisciplinaire consultable par tous. 18 IT-expert n 80 - juillet/août 2009

19 Technique Les bénéfices d un outil de pilotage de risques efficace Il n est plus possible de gérer seul le risque, mais il est nécessaire de le standardiser, le normer et de le partager avec l écosystème élargi de l entreprise pour assurer sa qualification, son identification, les plans d actions attenants, et son pilotage. Les entreprises devant désormais justifier, tracer et documenter leurs activités, on entre dans le règne du principe de précaution, de la qualité et de l auditabilité totale. Une solution de nouvelle génération de pilotage des risques et de conformité réglementaire devrait intégrer et optimiser toutes les activités liées à la gouvernance, aux risques et à la conformité afin de résoudre les problèmes dus à la fragmentation de l organisation et à la disparité des approches en matière de Gouvernance, Risques et Conformité (GRC). Ainsi, une seule plateforme, qui constitue un socle technique commun, paraît essentielle pour accéder aux informations pertinentes au sein des applications de gestion de manière à évaluer les risques et appliquer les contrôles directement au niveau des processus de gestion. Il en résulte une plus grande transparence et une meilleure prévisibilité. Les solutions intégrées de GRC interopèrent entre elles et contribuent à automatiser les activités de la GRC à tous les niveaux : gouvernance et contrôle d entreprise, gestion des risques, gestion des tests de contrôle et des plans d action de couverture des risques, autorisations et accès des utilisateurs, environnement, santé et sécurité, traçabilité logistique étendue (sur les flux amonts et avals). On soulignera l importance : d aller d une gestion de risque réactive à une gestion de risque proactive, de considérer les risques non pas uniquement de manière négative mais également comme des opportunités d améliorer la rentabilité et d augmenter les parts de marché, d agréger au niveau exécutif. La plupart des solutions de gestion de risques documentent et quantifient les risques mais n offrent pas de vue agrégée, en particulier dans le processus de prise de décision stratégique. Une gestion de la conformité intégrée pour un pilotage avisé L approche globale à l égard de la gouvernance, des risques et de la conformité, offre une arme stratégique pour protéger la réputation et la marque de l entreprise, maîtriser les aléas, piloter de manière conjointe à la fois les aspects humains et environnementaux liés aux produits et aux profits. On retrouve les 4 piliers fondamentaux du développement durable «People, Planet, Product, Profit». Il apparaît désormais clair que la fragmentation des processus, par l existence de différentes organisations, est un frein à l innovation, à la croissance, et ne contingente pas les risques actuels. Il sera donc nécessaire d instituer des outils collaboratifs avec ses fournisseurs, ses clients et potentiellement toute organisation gouvernementale. L intégration au SI d une seule solution centralisée de gestion des risques et de la conformité, permet un lien permanent et en temps réel avec les organes vitaux de l entreprise, évite ainsi la fragmentation, facilite la prise de décision et crée de la valeur, en aidant à mettre en place des processus proactifs et collaboratifs destinés à équilibrer opportunités et risques financiers, légaux et opérationnels. Cette intégration est nécessaire pour aller vers une cartographie transverse étendue, en amont et en aval de l entreprise, mais aussi collaborative avec l ensemble des parties prenantes dans et à l extérieur de l entreprise. Elle permet de gérer, centraliser, et piloter une conformité plus complexe. Une telle solution fournit un cadre de bonnes pratiques permettant d identifier les risques d entreprise, d analyser ces risques de façon collaborative, d y apporter des réponses prédéfinies, de surveiller les risques en continu et d élaborer des états de sorte à anticiper et à faire face à l évolution des conditions économiques. Des indicateurs clés permettent de surveiller l ensemble du portefeuille de risques et d alerter immédiatement la direction de l entreprise dès que des risques à fort impact et à forte probabilité dépassent les seuils définis. Les responsables peuvent analyser les risques en termes de gravité et d ampleur, et surveiller les activités de la GRC ainsi que les plannings au niveau le plus fin ; ces informations sont automatiquement agrégées pour créer des vues synthétiques et des réseaux de risques. IT-expert n 80 - juillet/août

20 Toutes ces activités sont surveillées par le biais de tableaux de bord et d états destinés à tous, afin de garantir la transparence à tous les niveaux de l entreprise : des responsables de ligne de production aux dirigeants d entité, de pays, de division et de région, tous bénéficient dès lors d une visibilité sur les mesures clés de risques et sur la conformité aux réglementations. Un projet de toute l entreprise étendue À l image des thématiques suivies par les risques, le projet de gestion du risque doit devenir un projet transverse stratégique et opérationnel. On recensera dans l équipe projet élargie chaque représentant d une entité de la chaine de valeur de l entreprise. Les organisations tierces (ONG, groupements professionnels) seront consultées. L objectif sera de convenir d une nouvelle approche des risques (cartographie matricielle autour des 4P - Planet, People, Profit, Product/service - en horizontal/vertical réglementaire, en externe, en interne, selon des critères de performance), de convenir des contrôles à associer. Les aspects organisation du projet, définition des acteurs, création d une culture commune, sont les étapes préliminaires au démarrage du projet et qui en portent le succès. La phase «technique-informatique» reste simple dans la mesure où l outil choisi permet l intégration avec les opérations, l enrichissement rapide de la matrice, et la traduction financière des KRI. De nombreux bénéfices associés La valeur créée pour l entreprise est principalement financière dans un premier temps, car elle permet de réduire les coûts de diverses manières : la baisse des pénalités de non-conformité ; la réduction des fraudes et des erreurs ; les économies d échelles liées à la centralisation d un système de gestion des risques et de la conformité. Si on considère de manière holistique la dimension «People, Planet, Product, Profit», la gestion des risques permet aussi de réduire la consommation d énergie, d assurer la sécurité et la santé des hommes, de garantir la qualité et la sécurité des produits lancés sur le marché, tous ces éléments étant aujourd hui nécessaires au maintien de l entreprise sur le marché, la mettant dans une dimension nouvelle et indispensable pour appréhender les nouveaux défis actuels. n Monique Ventura-Delatour, Consulting Manager, Field Services GRC Hub Lorraine Gevrey, Business Development EMEA, Sustainability Avec la participation de Jean-Bernard Rolland, Director Solution Management SAP est le premier fournisseur mondial de solutions de gestion d entreprise. SAP propose des applications et services qui permettent à toutes les entreprises, de toutes tailles et dans plus de 25 industries, d optimiser leur résultat. Avec plus de clients (incluant les clients issus de l acquisition de Business Objects), dans plus de 120 pays, l entreprise est cotée sur plusieurs marchés financiers, notamment la bourse de Francfort et de New York sous le symbole «SAP». Pour de plus amples informations, veuillez consulter : 20 IT-expert n 80 - juillet/août 2009

21 COMMENT ASSURER LA SOLIDITE DES FONDATIONS INFORMATIQUES DE L ENTREPRISE LES INFRASTRUCTURES IT DANS UN CONTEXTE DE BAISSE GENERALISEE DES BUDGETS INFORMATIQUES? Basculer vers le cloud computing, une réalité pour répondre à la crise? IDC vous donne rendez-vous lors de la conférence IDC, cabinet leader de conseil, et d études dans les technologies de l information. Infrastructure IT & Cloud Computing 2009 Jeudi 24 septembre, 2009 (9h 16h15) Centre d affaires Paris-Victoire, Paris 9ème En partenariat avec Au programme des éléments de réponses concrets à travers la vision des analystes d IDC, des experts majeurs du marché et d utilisateurs : Comment renforcer la maîtrise du coût de possession des infrastructures (TCO) et assurer un alignement optimal de l informatique sur les problématiques métiers? Les gains financiers liés à la centralisation et à la virtualisation des infrastructures informatiques ne sont-ils pas remis en cause par la nécessité de renforcer la sécurité du système d information? Comment piloter efficacement le système d information de l entreprise pour qu il délivre une qualité de service optimale aux utilisateurs internes et externes? Quels modèles d informatique permettront de répondre aux conséquences d une crise dont personne ne connaît la durée exacte? Quelle démarche d accompagnement mettre en œuvre? Le Cloud Computing apporte-t-il des réponses à court terme / moyen terme ou représente-t-il une vision de long terme portée par les offreurs du marché IT? Avec le retour d expérience de : * Jean-Pierre DEHEZ, ex-président de l Information Technology Center (ITC), ALSTOM INSCRIVEZ-VOUS GRATUITEMENT Sur notre site : en précisant le code invitation «ITX» Ou en contactant Edith Tricheux etricheux@idc.com tel. :

22 Actualités internationales L État français lance son agence de sécurité des réseaux L Agence nationale de la sécurité des systèmes d information (ANSSI) a été lancée le 9 juillet par Patrick Pailloux, ancien directeur de la Direction centrale de la sécurité des systèmes d information (DCSSI). Il assurera la direction de cet organisme dédié à la «défense proactive» des réseaux gouvernementaux. L acte de naissance de l ANSSI date du 8 juillet, via publication du décret du premier ministre au Journal officiel (8 juillet 2009). La concrétisation d une action annoncée Rattachée au secrétariat général de la Défense, cette agence a pour mission de mettre en place et de maintenir un dispositif sécurisant les communications électroniques du Président et du gouvernement. Ses spécialistes devront prévenir attaques et intrusions et veiller à disposer des outils les plus efficaces. Cette nouvelle entité, créée par le Premier ministre François Fillon (à une époque ministre des Télécommunications ), suit la publication du livre blanc sur la défense et la sécurité nationale, commandé par le Président de la République Nicolas Sarkozy en Ce dernier prônait «de passer d une position défensive à une posture offensive», en renforçant les moyens de la lutte contre les attaques informatiques venant d États ou de groupes criminels. Enfin! Mais réellement? Déjà dotée d une centaine d employés, l ANSSI comptera bientôt 250 collaborateurs, chargés entre autres de créer un label de sécurité certifiant les solutions informatiques utilisées par l administration publique. Toutefois, à quel point cette agence disposera-t-elle de réels moyens d investigation? On peut se réjouir que les administrations se posent enfin la question de la politique globale de sécurité informatique. En effet, l e-adminsitration est un objectif stratégique du gouvernement, mais cette ouverture rime aussi avec problématiques de confidentialité, d accès et de sécurisation des flux. Il serait intéressant de dresser un bilan des actions menées par cette agence dans un an. À moins que l on oppose aux médias le fameux secret-défense n Le Sénat adopte la loi Hadopi V2 Après le rejet de la version 1 suite à un jeu de cache-cache burlesque, la loi Hadopi 2 a été votée par les sénateurs à 189 voix contre 142. Quelques heures de débats ont suffi pour obtenir une majorité en faveur du cette deuxième mouture du texte. Le seul amendement voté en séance a été présenté par Alima Boumediene-Thiery (Verts), et prévoit que toute personne suspectée ou poursuivie peut être convoquée, ou entendue à sa demande, par la Hadopi (Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet) et y être assistée d un avocat. Frédéric Mitterand a salué le vote et affirmé que c était «l étape de la discussion pour la meilleure rémunération des créateurs et pour la meilleure diffusion des offres à l usage des internautes». Le 21 juillet, le texte devrait logiquement être adopté par l Assemblée nationale. Et si le vote se déroule sans modification du texte, la loi sera promulguée. Sinon, une commission mixte paritaire adoptera les modifications nécessaires pour valider le texte. Cette loi sera donc promulguée pour la rentrée scolaire. Il sera intéressant de suivre ce qui se passera lorsque les premiers interpellés porteront l affaire devant un tribunal européen n 22 IT-expert n 80 - juillet/août 2009

23 Actualités internationales EMC emporte Data Domain, NetApp grimace Ah la déduplication! Un enjeu majeur au cœur d une bataille qui a vu s affronter depuis plusieurs semaines EMC (leader mondial du stockage) et son challenger NetApp pour racheter Data Domain spécialiste de la discipline. La déduplication utilise des algorithmes de factorisation afin de réduire le volume de données à stocker. Plus simplement, le système identifie ce qui se répète et ne l inscrit qu une fois. Outre le gain de place, ces technologies permettent aussi de réduire les volumes de données transportées sur les réseaux. Une partie de poker mouvementée Le 20 mai 2009, le spécialiste américain du stockage NetApp faisait une proposition aux dirigeants de Data Domain pour une acquisition amicale de 1,5 milliard de dollars. Malgré cette négociation, EMC surenchérissait auprès de Data Doamin le 1 er juin à hauteur d environ 1,8 milliard de dollars (30 dollars par action). Deux jours après, NetApp s alignait sur ce montant, en ajoutant que les deux sociétés offraient une plus grande complémentarité. Les choses semblaient arrêtées, et le 9 juillet EMC portait son offre à 2,1 milliards de dollars (33,5 dollars par action). Cette fois, Data Domain acceptait définitivement l offre de leader mondial, à la barbe de NetApp. Ce dernier pourra toujours se consoler en recomptant l indemnité de 57 millions de dollars versée en dédommagement. n Les versions de PHP se suivent et s enrichissent Le langage PHP (Pre-HyperTexte-Processor) est certainement le plus utilisé dans la monde du Web (mais pas uniquement). Il fait d ailleurs partie des suites LAMP (Linux, Apache, MySQl, PHP) ou WAMP (Windows, Apache, MySQl, PHP). Ce sont les choix de la plupart des hébergeurs de la planète. Le 22 juin, l équipe en charge de la destinée de PHP a annoncé la disponibilité de PHP Cette numérotation qui semble une évolution mineure, est pourtant importante. En effet, elle élimine plus de 100 bogues, dont une faille de sécurité liée à la manipulation de fichiers JPEG corrompus. En outre, de multiples fuites et corruptions de mémoire ont été corrigées. Autant d amélioration qui plaide pour une rapide mise à jour par tous les intéressés. Bien entendu, PHP poursuit son chemin, et devrait être disponible lorsque vous lirez ces lignes. Parmi les nouveautés majeures : le support des namespaces, la résolution statique à la volée, une nouvelle librairie d accès aux bases de données MySQL, l extension SQLite3 n Software AG annonce WebMethods 8 L éditeur allemand lance la nouvelle version de sa solution leader des architectures SOA. Déjà utilisé chez certains clients depuis fin juin, WebMetods 8 sera disponible pour tous en décembre L éditeur précise que cette version majeure est le fruit d une collaboration de deux ans entre les équipes WebMethods (plus orientée BPM) et Software AG (apportant son expertise de Gouvernance). Nouveauté majeure, le référentiel unique CentralSite ActiveSOA recense et gère l ensemble des objets métier et techniques (processus et service). Face à la multiplication problématique des référentiels d entreprise, Software AG lance son initiative CentraSite pour favoriser la collaboration entre référentiels. Des sociétés rallient déjà ce projet comme Mega ou Progress. Une attitude encourageante! Avec WebMethods 8, les développeurs disposeront d un environnement de conception unifié Eclipse pour créer, déployer et gérer des projets tout le long du cycle de vie SOA, ainsi que pour le BPM ou l intégration. Le nouveau broker webmethods Mediator est maintenant intégré à l ESB pour maîtriser et fluidifier les relations entre consommateurs et producteurs de services. n L iphone 3GS quand même! Trois jours après le lancement de son iphone 3GS le 19 juin, Apple revendiquait avoir vendu un million d unités de son nouveau smartphone. Le nouveau système d exploitation iphone 3.0, utilisable sur les versions précédentes du téléphone, aurait séduit 6 millions d utilisateurs dans le même laps de temps. L iphone semble donc se maintenir au rang de star de la téléphonie mobile. Si Orange était le seul opérateur français à proposer l iphone 3GS dès le 19 juin, SFR et Bouygues prenaient le relais le 24 du même mois. Certains analystes semblent constester le chiffre d un million pour le ramener plutôt à Néanmoins, avec le peu de différences affichées, cela demeure pourtant un exploit! Enfin, le nombre de téléchargements du système d exploitation n est pas remis en cause. Cependant, il est gratuit, et apporte réellement des nouveautés attendues par les utilisateurs! n IT-expert n 80 - juillet/août

24 Microsoft dévoile Silverlight 3 Après la présentation de la version de test au MIX09 de Las Vegas en mars dernier, Microsoft propose de télécharger la version 3 définitive du plug-in (concurrent d Adobe Flash) pour Windows et Mac OS X. Bien entendu, la technologie SilverLight s appuie sur la plate-forme.net de Microsoft qui procure des résultats très performants. SilverLight 2 s était illustré par la fonction «Deep Zoom», la version 3 brillera grâce au Smooth Streaming (streaming adaptatif). En effet, le débit des vidéos s ajuste en temps réel à la bande passante entre le serveur et la machine de l utilisateur. Une fluidité appréciable, et une attente presque imperceptible! Silverlight 3 supporte maintenant les formats H.264 et AAC, et les programmeurs pourront même créer des codecs pour d autres formats audio et vidéo. Filtres graphiques, perspectives 3D, support des thèmes l éditeur de Windows apporte de nombreuses nouveautés. Et surtout, les développeurs peuvent créer des applications aussi bien pour le Web qu en mode déconnecté et autonome sur le poste de travail. n RueDuCommerce se met Alapage.com La star des sites d e-commerce rachète le spécialiste des loisirs culturels (livres, DVD, etc.) alapage.com à France Télécom E-commerce. Créé en 1996, alapage.com annonce une audience de 2,5 millions de visiteurs uniques par mois, 3,2 millions de clients. Avec ses 8 millions de visiteurs uniques par mois, rueducommerce.com devient l une des premières plateformes de e-commerce en France, avec ses trois enseignes virtuelles : TopAchat.com, Clust.com et Alapage.com. Les dirigeants de rueducommerce.com précisent que l acquisition d Alapage.com sera effective d ici au 1 er septembre Et justement, la rentrée et le dernier trimestre sont généralement les plus propices aux ventes de biens culturels. n Avec VirtualBox 3.0, Sun apporte le «multiprocessing» La version 3 de la solution de virtualisation de Sun, VirtualBox, est disponible pour Windows, Mac OS X, Linux et Solaris. La version open source a été allégée de quelques fonctions. En effet, le modèle open source de Sun consiste à proposer plus en «version packagée et supportée». Désormais, VirtualBox supporte des processeurs multiples pour les systèmes d exploitation virtualisés. Ainsi, une machine virtuelle peut se répandre sur un total de 32 processeurs, avec des processeurs intégrant les «fonctions évoluées de virtualisation». Prudence De même, VirtualBox peut gérer deux cœurs d un même processeur comme deux processeurs virtuels indépendants. Il peut même encore découper, mais au détriment des performances. Des caractéristiques qui séduiront forcément les développeurs d applications SMP. n Kaspersky : la cuvée 2010 couvre aussi les netbooks Kaspersky a lancé début juin Kaspersky Antivirus 2010 et Kaspersky Internet Security Nouveauté, la sandbox (bac à sable) permet à SafeRun d exécuter toute application (ou navigateur Web) dans un environnement ne contaminant pas le système. Cette étanchéité, demandée par l utilisateur, est matérialisée par une fenêtre entourant l application ou le navigateur d un halo vert. L URL Advisor identifie les sites potentiellement dangereux dès l affichage des pages de résultats de recherche sur le Web. Selon les logiques de listes blanche et noire, des sites sont référencés comme sains ou dangereux. L internaute peut tout de même s y rendre, mais en connaissance de cause. Le clavier virtuel permet de saisir des informations sensibles pour prévenir les méfaits des logiciels espionnant les actions du clavier. Une version spéciale pour les netbooks sous Windows XP, moins gourmande en ressources, est disponible au même tarif : dès 50 euros environ (30 euros environ pour l antivirus seul). Placé en 4 ème position des éditeurs de sécurité pour le marché professionnel, Kaspersky espère bien parvenir à une meilleure place grâce à ces nouveaux produits. n 24 IT-expert n 80 - juillet/août 2009

25 Comment ça marche? Sécurité des mots de passe : le partage confidentiel ou SAPM Certaines DSI tentent de faire disparaître les mots de passe de leurs utilisateurs au profit de formes d authentification plus sûres ou plus modernes (biométrie, badge RFID etc.). Néanmoins, elles restent confrontées à la gestion d un large parc de comptes partagés qui ne sauraient fonctionner autrement qu avec ces illustres sésames. Ironie de ces comptes des Mille et Une Nuits, ce sont bien souvent eux qui ouvrent les portes de la production, dans le cœur sensible du Système d Information. L arrivée du Shared Account Password Management va-telle simplifier les choses? IT-expert n 80 - juillet/août

26 De Jules César à Bruce Schneier L histoire du mot de passe est presque aussi ancienne que celle de l art militaire. Il y a plus de deux mille ans, les légions romaines en faisaient déjà un usage intensif et disposaient même d une fonction dédiée à sa gestion. Dans chaque camp Romain, un tessarius (sorte de sergent de l époque) était ainsi chargé de distribuer aux patrouilles et aux gardes, le code qui permettrait à ces derniers de contrôler l identité des légionnaires rentrant dans le camp. Ce village, c est celui des comptes techniques partagés : logins root des serveurs Unix, administrateurs locaux des machines Windows, sysadmin des bases de données Oracle, comptes admin des routeurs Cisco etc. Contrairement à ceux des utilisateurs usuels - qui par essence sont nominatifs -, ces comptes ont la particularité de ne pouvoir être liés à aucune personne physique spécifique. Plusieurs administrateurs (mais parfois aussi quelques stagiaires!) en partagent ainsi la connaissance. Alors, comment protéger les mots de passe reliés à ces comptes? Plus proche de nous, il s agit du premier et du plus illustre des paradigmes de sécurité informatique. De son compte mail personnel à son poste de travail professionnel, tout un chacun connaît et utilise aujourd hui au moins un secret contrôlant l accès à un service informatique. Bien entendu, à l heure du passeport biométrique, le mot de passe revêt une certaine allure de grand-père. Toutefois, force est de constater qu il reste encore aujourd hui pour le grand public la forme d authentification la plus répandue. En entreprise, l utilisateur informatique est également loin d en avoir fini avec lui. Rares sont en effet les entreprises à fournir à l ensemble de leurs salariés un mode d authentification sans mot de passe. Au point souvent d en écœurer certains utilisateurs, submergés par le nombre de codes confidentiels à retenir, et qui ne trouvent d autres remèdes qu un appel régulier au helpdesk ou l espérance d une solution de Single Sign-On. Par ailleurs, même les entreprises les plus en avance en matière de SSO, d authentification forte ou de biométrie, ne sont pas totalement débarrassées de toute problématique liée aux mots de passe. En effet, dans le Système d Information, un village d irréductibles résiste encore et toujours - et probablement pour très longtemps encore - aux vagues de renforcement du contrôle d accès. Figure 1 : KeePass, un coffre de mots de passe Open Source D aucuns prétendent que les informaticiens adorent la récursivité. En la matière, et au regard des premières initiatives mises en œuvre pour répondre à cette problématique, on serait effectivement tenté de leur donner raison. En effet, quoi de plus naturel pour protéger des mots de passe que d utiliser un mot de passe? C est l option jusqu ici retenue par beaucoup, au travers de logiciels libres tels que KeePass ou Password Safe de Bruce Schneier, star de la sécurité informatique outre-atlantique. Ces logiciels permettent de créer des coffres, chiffrés par des algorithmes de cryptographie tels qu AES ou Twofish, et renfermant les mots de passe à protéger. Pourquoi parler de récursivité? Et bien parce que l ouverture du coffre s effectue par la fourniture d un mot de passe, non nominatif et global au coffre. Les limites des coffres partagés Si l option des coffres à la Keepass ou Password Safe s avère séduisante pour une utilisation domestique, elle atteint rapidement ses limites dans un véritable environnement de production. Difficile en effet d imaginer 10 administrateurs Unix, 15 administrateurs Oracle et 12 exploitants Réseau (soit 37 personnes) partager un unique mot de passe leur permettant d accéder à l ensemble des ressources serveurs du Système d Information. La réponse la plus naturelle à cette problématique de partage revient à scinder ce coffre unique en autant de coffres qu il y a d équipes d administrateurs et d exploitants, soit dans l exemple précédent un coffre pour l équipe Unix, un autre pour l équipe Oracle et enfin un dernier pour l équipe Réseau. Le problème de 26 IT-expert n 80 - juillet/août 2009

27 Comment ça marche? cette réponse est que les architectures informatiques modernes sont loin de ressembler aux blocs monolithiques des années De nos jours une application n est généralement plus portée par un serveur unique, mais bien par un ensemble de briques interconnectées. Ainsi, un administrateur Unix configurant un serveur Tomcat dans cet environnement devra vraisemblablement renseigner un login/mot de passe Oracle pour paramétrer la connexion de son serveur d applications à la base de données applicative. De même, l équipe Réseau pourra vouloir installer une sonde sur un serveur Unix, nécessitant ainsi la connaissance d un compte technique pour cet environnement, etc. Bref, la stratégie du «diviser pour régner», chère à l antique Sénat romain, atteint parfois ses limites dans le XXI ème siècle informatique. L avènement des solutions centralisées Cette problématique de gestion et de partage des comptes techniques, dite SAPM pour Shared Account Password Management, n est évidemment pas nouvelle, mais elle devient de plus en plus visible (et sensible!) à mesure que les Systèmes d Information gagnent en complexité. Face à cette nécessaire rationalisation, de nouvelles solutions éditeurs ont vu le jour. Elles partagent un certain nombre de caractéristiques, dont celle de s attaquer à la multiplication des coffres par une approche centralisée : L architecture classique d une solution de SAPM «moderne» est en effet celle d une application Web, proposant après une phase d authentification nominative (par login / mot de passe personnel, certificat, One Time Password etc.), l accès à des comptes partagés et stockés dans une unique base de données. À l instar des coffres à la KeePass ou Password Safe, cette base est chiffrée, même si du fait de la centralisation il devient beaucoup plus complexe de récupérer le container des mots de passe. Le coffre centralisé est également accessible par API. Dans un tel mode, l appelant présente un certificat préalablement émis par le serveur centralisé afin de valider son identité auprès de lui. Il devient alors possible d éliminer tout mot de passe en clair dans des scripts de démarrage ou de sauvegarde. Grâce à son certificat personnel, le script appelant récupère ainsi dans la base le mot de passe dont il a besoin et uniquement lorsqu il en a besoin. Au-delà de l authentification nominative, les logiciels de SAPM proposent un contrôle d accès basé sur des règles individuelles ou suivant les préceptes du modèle RBAC (Role Based Access Control), bien connu des consultants en gestion des identités et des accès. Une équipe d administrateurs Oracle peut alors partager en lecture seule ou bien en lecture / écriture tout ou partie de ses mots de passe avec une équipe d administrateurs Unix. Certaines solutions intègrent également un moteur de workflow de demandes d accès temporaires ou de mots de passe à usage unique. Figure 2 : Partage des mots de passe dans Manageengine Password Manager Pro Les comptes techniques peuvent être classés et catégorisés et sujets à des contraintes spécifiques, notamment en termes de force des mots de passe, par exemple : 8 caractères minimum dont 2 spéciaux pour les comptes de préproduction, 6 caractères libres pour les comptes de développement, changement obligatoire tous les 3 mois pour les comptes de production, etc. Les solutions de SAPM se veulent aussi être des points d entrée pour l administration des comptes techniques sur les serveurs. Aussi, lorsqu elles sont dotées des connecteurs adéquats, elles permettent à un administrateur de réinitialiser un mot de passe à distance, c est à dire directement dans l interface SAPM, sans avoir à réaliser cette opération sur le système cible. Ces opérations peuvent également être automatisées et corrélées aux politiques de mots de passe. Une telle solution peut par exemple être paramétrée pour modifier automatiquement et régulièrement les mots de passe des comptes administrateurs locaux des postes de travail Windows de l entreprise. Figure 3 : Piste d audit dans Thycotic Secret Server IT-expert n 80 - juillet/août

28 En termes de traçabilité tout accès sur un mot de passe du coffre est immédiatement inscrit dans une piste d audit. Il devient alors possible, dans un cadre de sécurité a posteriori, de connaître les derniers mots de passe récupérés ou modifiés par un individu donné, ou bien les dernières personnes ayant consulté un certain mot de passe. Enfin, ces solutions sont le plus souvent dotées de fonctionnalités de reporting, permettant à des auditeurs, responsables de la sécurité ou de la production d obtenir un véritable tableau de bord pour la gouvernance de ces accès privilégiés : nombre de comptes techniques Oracle, Unix, Windows, etc. dans le SI, comptes techniques de production ne respectant pas la politique de sécurité, synthèse des accès possibles pour tel ou tel administrateur réseau, etc. Encore un marché de niche Deux grands types de solutions sont disponibles sur le marché du SAPM : les produits logiciels et les boîtiers matériels. On peut ainsi citer Manageengine Password Manager Pro (AdventNet) ou Secret Server (Thycotic) pour ce qui relève du pur logiciel ou encore PowerKeeper (Symark) pour le matériel. À noter que certaines solutions telles Entreprise Password Vault (Cyber-Ark) ou CS Password Manager (Cloakware) sont elles, disponibles dans les deux formats. Dans tous les cas, la plage de prix est relativement large, allant de quelques centaines à plusieurs milliers d euros en fonction du produit choisi, de ses options ou connecteurs, du nombre d entrées ou d utilisateurs. Quoi qu il en soit, il est remarquable de constater que les très gros éditeurs n ont pas encore investi la place. Le marché du SAPM prenant une forte ampleur (le Gartner Group prédit que 50 % des grandes entreprises seront équipés d une telle solution d ici à la fin 2010), il y a néanmoins fort à parier qu il sera bientôt le théâtre d acquisitions et d intégrations au sein des suites d IAM (Identity & Access Management) de quelques géants de l informatique. Réussir son déploiement À l instar de nombreuses autres thématiques, la réussite d un projet de SAPM ne saurait toutefois être réduite à l achat d un produit. Le déploiement d une telle solution doit avant tout être précédé d une cartographie des composants existants et des comptes techniques partagés. Une fois ce travail effectué, il convient d identifier qui est maître de la donnée (ex : qui gère ce serveur Unix, qui change le mot de passe root et selon quelle fréquence?), qui en est l utilisateur (ex : l équipe Oracle peut être amenée à utiliser ce compte lors de ses installations), et quelles sont les contraintes qui pèsent sur elle (ex : la demande d accès au compte d administration doit être validée par le responsable de l équipe Support). En sa qualité de manager et d orchestrateur de la sécurité, le RSSI (responsable de la Sécurité du SI) se trouve souvent être sur cette thématique tout à la fois commanditaire, premier sponsor, mais également premier acteur au sein d un projet qui n est finalement rien d autre qu une démarche de gouvernance sur des données ultra-sensibles : les mots de passe partagés. n Bruno Vincent, cofondateur ITekia est un cabinet de conseil indépendant, spécialiste de l Architecture, du Pilotage et de la Sécurité des Systèmes d Information. ITekia conseille et accompagne les grands comptes et les PME, dans leurs projets de rationalisation, d innovation et de refonte de leurs Systèmes d Information. 28 IT-expert n 80 - juillet/août 2009

29 Livres Systèmes d information organisationnels Certes, tout le monde sait aujourd hui que l informatique ne saurait se limiter à déployer matériel, logiciels et réseau dans une entreprise. À l heure des systèmes d information de l entreprise étendue, ces derniers jouent un rôle majeur dans la stratégie opérationnelle, mais aussi dans l organisation de l entreprise. Cet ouvrage collectif explique comment les SI modèlent aussi l entreprise sur un ton pédagogique et le moins technique possible. Chaque chapitre se termine par plusieurs cas pratiques et études de projets d entreprise. De la stratégie aux impacts sociaux Après une première partie revenant sur les évolutions majeures de l informatique, le livre aborde rapidement les éléments majeurs de l informatique : ordinateurs, langages, logiciels et progiciels, réseaux et Internet Un bon débrief pour les non-initiés. La seconde partie consacrée au lien «SI-organisation fonctionnelle» se penche sur le SI stratégique et les grands logiciels structurants comme l ERP ou l aide à la décision. Dans la troisième partie, intitulée «le management des systèmes d information», la notion de projet est disséquée, de la conduite du changement à l organisation du projet, et jusqu aux divers modes d audit des SI. La dernière partie détaille les enjeux majeurs de système d information en abordant les impacts majeurs : sécurité, contrôle interne, dimension juridique et fiscale et impact social. Joli tour de force du groupe d auteurs, coordonné par deux spécialistes (Pascal Vidal et Vincent Petit), qui met à la portée de tous ces thèmes souvent accessibles aux uniques initiés. En outre, le livre propose de nombreux schémas, tableaux et encadrés étayent les propos judicieusement vulgarisés. Systèmes d information organisationnels Collectif coordonné par Pascal Vidal et Vincent Petit Éditeur : Pearson Education 461 pages - environ 35 E IT Gouvernance Management stratégique d un système d information Livre de référence en la matière, IT Gouvernance a été rédigé par un consultant spécialisé en stratégie et gouvernance des systèmes d information, qui fait bénéficier le lecteur de ses expériences sur le terrain dans le cadre de projets menés auprès de grandes entreprises. Support du déploiement de la stratégie opérationnelle de l entreprise, l informatique joue aussi un rôle structurant salutaire. Avec un rôle aussi majeur, impossible de ne pas chercher à piloter et maîtriser le système d information. Ce pilotage passe forcément par la mise en place d une organisation et de processus, généralement inspirés par des approches de types Itil et Cobit. On peut alors évoquer sans excès la notion de gouvernance IT. Vers un management impliqué Au-delà de ces méthodologies, le management doit aussi s impliquer dans un environnement où de nombreux paramètres évoluent et influence le système : maturité du SI et de l organisation, gestion de la performance, management des ressources, maîtrise des risques et des coûts, dispositif de surveillance, etc. L auteur aborde ces thématiques à travers ce guide méthodologique, en expliquant les diverses notions de l IT Gouvernance : management, relationnel, décisionnel, fonctionnel et technique. Un excellent panorama pour appréhender la question. Dans cette troisième édition, de nouveaux chapitres et toujours plus de témoignages d experts. IT Gouvernance - Management stratégique d un système d information Frédéric Georgel Éditeur : Dunod - Collection InfoPro 286 pages - environ 35 E 29

30 Silverlight 3.0 Le web évolue et les standards changent. Il y a dix ans à peine, le web servait juste de vitrine aux campagnes de communication. Aujourd hui, ce média fait presque jeu égal avec la télévision. Et la diffusion de contenu live sur internet devient monnaie courante. Aurait-on imaginé l investiture d un président des États-Unis retransmise en live sur CNN avec une intégration à Facebook? 30 IT-expert n 80 - juillet/août 2009

31 Quoi de neuf Docteur? Un monde dynamique et en relief Désormais, on rêve d un web plus dynamique, plus réactif. De nouveaux métiers émergent et la mode est la «usability», ou en français «utilisabilité». C est-à-dire, l étude des interfaces afin de les rendre accessibles, facilement utilisables. Suite à l étude du comportement des internautes, deux théories se confrontent : la simplicité et le dépouillement de type Google, ou les interfaces desktop genre Facebook. Si la première approche se révèle simple et accessible à tous, elle se heurte parfois à certaines limites. D ailleurs, les derniers sondages auprès des internautes montrent que l interface de Bing (nouveau moteur de recherche de Microsoft) est plus appréciée à tout point de vue. Or, celui-ci opte pour une interface plus complexe avec la présence de filtres sur le côté gauche. Second Life a révolutionné la vision du Web avec l apparition de mondes en 3D. Des jeux en ligne comme Dofus sont plus fréquentés que le plus joué des MMORPG (World of Warcraft). De même, des conférences s organisent dans des «mondes 3D». Plus récemment, Google a présenté Gear pour utiliser ses services en ligne en mode déconnecté, avec synchronisation lors de la prochaine connexion! La plus populaire des messageries internet, Gmail, a donc été rendue accessible sans connexion Internet. Alors que les innovations technologies repoussent les limites du possible en termes d interaction, de nouveaux problèmes surgissent. Le plus gênant : la multiplication des plug-ins à installer avant de pouvoir accéder à ces services aux graphismes et interfaces séduisants. La guerre des plug-ins Tous les éditeurs veulent gagner et conserver leur place en tant que plug-in au cœur du navigateur Web : Google veut dominer le marché des applications web offline et 3D, Yahoo veut dominer le marché de la télévision interactive, Adobe veut dominer le marché des applications riches et 3D, Microsoft veut dominer le marché des applications web offline et riche. Sans compter d autres acteurs, plus modestes, qui tentent de concurrencer les grands acteurs sur des sujets de niches. Cette concurrence complique la vie des utilisateurs, mais permet de stimuler l innovation chez les grands acteurs. C est ainsi qu est né Silverlight. Initiative de Microsoft. Et, en quelques mois, ce plug-in a réussi à s imposer comme un sérieux concurrent à la technologie Flash d Adobe. Le résultat d une veille incroyable La stratégie de Microsoft a consisté à écouter les développeurs, et à adopter une bonne vision du marché. Les développeurs souhaitaient faciliter la création d applications riches, permettre un passage en offline sans trop de programmation, pouvoir gérer des flux vidéo rapidement, obtenir une cohérence entre développeurs et graphistes. En réponse à ces attentes, Microsoft a conçu : Silverlight qui fonctionne sur le web (multi navigateur), sur PC, sur Macintosh et même sous Linux (avec Moonlight), La gamme expression avec notamment Expression Blend et Expression Encoder (pour les vidéos), Windows Server 2008 avec la gestion du streaming vidéo, Une intégration de la gamme expression avec Visual Studio. Autant d avancées qui peuvent satisfaire les développeurs et intégrateurs de solutions web. Mais pour couronner le tout, Microsoft annonce la possibilité de développer des applications mobiles en Silverlight (sur Windows Mobile et Nokia pour le moment). Cela signifie que porter une application web vers le mobile tout en conservant un maximum d interaction devient un jeu d enfant. Aujourd hui, deux options existent : Créer un site web HTML pour tous les mobiles (extrêmement contraignant), Créer une application pour mobile (depuis zéro, ce qui prend beaucoup de temps). L exemple typique est l iphone. Pour profiter des possibilités de l iphone, les développeurs doivent utiliser Objective C. IT-expert n 80 - juillet/août

32 Du web au bureau Imaginez un site internet qui pourrait fonctionner comme une application sur votre bureau. De nombreux éditeurs se tournent vers se genre de solutions. Avec en premier lieu Adobe et son langage Flex, compatible avec Adobe Air (la technologie bureau d Adobe). Ensuite est apparu Prism de Mozilla, puis Silverlight 3.0 qui a rattrapé un long retard sur ses concurrents pour des applications de type business. Mais pourquoi vouloir aller du web au bureau alors que de plus en plus d applications professionnelles s exécutent maintenant dans un navigateur? Justement à cause de ce dernier. Le navigateur n est certainement pas le lieu le plus adéquat pour travailler sur des projets professionnels. C est de loin l application qui plante le plus lors de notre utilisation de l ordinateur. Prenez par exemple les players de radio. Combien de fois le son n est-il pas coupé suite à la fermeture malencontreuse de votre navigateur internet? En pouvant télécharger ce lecteur sur votre bureau, plus de soucis de plantage. Les plus septiques répondront qu ils ont la possibilité d ajouter un flux streaming sur leur Winamp ou itune mais ces deux derniers n auront jamais les fonctionnalités dédiées que peut avoir le player. Exemple : notez une chanson et répercutez le résultat sur le site de la radio. Ou encore la possibilité de voir les photos qui sont en train d être commentées par les animateurs de l émission radio! Et ne parlons pas de la possibilité d accéder à du hardware. L autre avantage plaidant en faveur des applications sur le bureau tient dans la facilité d accès et de lancement de celles-ci. Mais aussi le fait qu elles soient visibles lors de chaque connexion de l utilisateur sur son ordinateur ce qui pousse l utilisateur à utiliser plus souvent l application. Dernier point important de cette évolution, l adaptation des applications web aux habitudes des utilisateurs. Il est beaucoup plus commun pour un utilisateur moyen d ouvrir une application qu un navigateur internet. Comment le web a-t-il connu autant de succès pour les applications professionnelles? D une part, les bandes passantes ont augmenté, ce qui a longtemps freiné l utilisation de l on-line. D autre part, cela offre la possibilité d avoir accès partout et à tout moment à ces applications. Le mode offline Certains en seront ravis et d autres moins. Finis les «Patron, je ne sais plus travailler, internet a encore planté!» car l avenir sera aux applications intelligentes, capables d interpréter l état de connexion et d adapter leur fonctionnement de manière transparente pour l utilisateur. Ainsi, lorsque le poste sera connecté, les informations seront échangées avec le serveur. Si la connexion est perdue, l application stockera tout en local en attendant la prochaine connexion. Lorsqu elle revient, le logiciel synchronisera les données avec le serveur. 32 IT-expert n 80 - juillet/août 2009

33 Quoi de neuf Docteur? Certaines sociétés disposent de sièges sociaux partout dans le monde. Certains de ces sièges se trouvent parfois dans des pays émergents n ayant qu une faible connexion internet (ce qui est le cas pour une grosse partie de l Afrique). Aujourd hui, cela complique le travail des employés nomades qui voyagent en Afrique. Ces soucis sont maintenant en partie réglés, car les applications de collaboration peuvent fonctionner offline avec synchronisation ultérieure. Silverlight 3.0 est une technologie qui permet d aller plus loin dans le fonctionnement des applications web : Création d applications riches Mode online et offline Compatible web et bureau sous MAC et PC Ce combiné de technologie permet de créer des applications complètes et utilisables en toutes circonstances. n Capture d écran de Silverlight Loic Bar, Directeur de la stratégie Les technologies changent le quotidien des individus. Que ce soit par l internet et les réseaux sociaux, la domotique, les interfaces tactiles ou encore les mobiles. Heode vous accompagne au travers de la compréhension de ce milieu et vous aide à y trouver des opportunités pour votre business. IT-expert n 80 - juillet/août

34

35 Rubrique à brac Process to application : une approche de références Les systèmes informatiques de nos entreprises sont le résultat d une démarche visant à outiller les métiers. Cette démarche s appuie sur plusieurs objectifs : réduction des coûts de traitement, réduction des anomalies et de la non-qualité (liée à des traitements manuels), amélioration de la productivité, optimisation des procédés de fabrication, aide à la décision ou plus récemment dématérialisation des documents (voie royale de l informatique «verte»). IT-expert n 80 - juillet/août

36 Le fossé entre informaticiens et utilisateurs subsiste dans les applications Force est de constater que beaucoup d énergie est dépensée dans la mise en œuvre et la maintenance de ces systèmes informatiques. Les années passant et, évolution technologique après évolution technologique, les mêmes problèmes de déploiement et d utilisabilité des applications subsistent. La règle de base des logiciels informatiques bien connue dite «règle des 3 U» (une application utile, utilisable et utilisée), n est malheureusement pas toujours respectée. Les systèmes d informations regorgent d applications stratégiques qui ne couvrent que 20 % à 40 % de leur périmètre initial. Cela s explique par des dérives de charge liées à des aspects techniques, fonctionnels ou de gestion de projet. Les problèmes fonctionnels proviennent souvent de besoins insuffisamment décrits, ou mouvants. Ce n est pourtant pas faute de disposer de méthodes de recueil des besoins : gestion des exigences, démarches par Use Case, inventaires de fonctionnalités attendues, entre autres. Chaque entreprise cherche à satisfaire ses besoins avec un patchwork de ces approches pour obtenir une démarche maison qui se doit d être pérenne dans le temps. Une profusion de méthodes, d approches et autres dogmes sont disponibles pour tenter de parvenir à capter les besoins du client dans sa totalité. La solution la plus efficace consiste à vivre ce que les futurs utilisateurs vivent au quotidien. Une immersion totale permet de comprendre les tenants et les aboutissants du métier que les équipes de développement doivent implémenter. Quelques entreprises ont déjà pris ce parti : faire participer le consultant, le chef de projet, à la vie réelle de ses clients ; dans le magasin pour le monde la distribution, dans l usine pour le monde de l industrie, etc. L objectif peut être atteint dans une bonne majorité des cas. Malheureusement, ces approches coûtent cher, sont consommatrices de ressources et pas toujours simples à mettre en place. Néanmoins, une alternative existe : le développement de l application basé sur les processus. Première approche de la démarche Le recueil des besoins d une application se décrit généralement de manière textuelle : «l outil doit gérer la relation client, c està-dire être en mesure de créer une fiche client, la modifier La fiche client contient les informations suivantes :» Au final, 80% des besoins décrits se résument par une gestion du CRUDS (Create, Read, Update, Delete, Search) des objets métiers de l application. L expression qui en découle ressemble alors fortement à la description de l enchainement des écrans attendus par le client. C est le cas d une majorité des outils de gestion. De ce fait, on a tendance à oublier que les règles de gestion implémentées dans nos outils servent à supporter des processus métiers riches et complexes. L inconvénient de la description textuelle est qu elle est soumise à l interprétation de celui qui la lit et qu elle peut être ambigüe. L avantage du processus est qu il peut être représenté sous forme graphique régi par une notation et un langage précis (cf. visuels 1 et 2). En somme, 30 % de l expression des règles de gestion peut s effectuer via l enchaînement des tâches et leurs parcours. 20 % sont liés à la circulation des informations, et 10 % aux acteurs qui manipulent cette information. En approfondissant encore, il est possible de représenter les informations manipulées dans chaque tâche. Et pourquoi ne pas associer à chaque tâche une ou plusieurs règles de gestion? Ce niveau de détail pouvant être exploité directement du point de vue de l implémentation. Même si l approche semble idéaliste, ce n est pas dans l art de la définition du processus que cette démarche prend tout son sens, mais plutôt dans la capacité du «modéliseur» ou de «l accoucheur» à parcourir l exhaustivité des cas possibles au sein du processus. Dans une expérience récente, il m est arrivé de commencer par un processus simple regroupant quelques sous processus, pour finir avec une complexité beaucoup plus importante. En effet, des sous-processus complémentaires n avaient pas été identifiés. Là où l expression traditionnelle était réductrice, l approche par les processus permettait de réduire les risques liés à une expression incomplète du besoin. Visuel 1 : Processus vu par Adonis 36 IT-expert n 80 - juillet/août 2009

37 Rubrique à brac Cette approche est d autant plus évidente dans le cadre des problématiques d intégration des systèmes informatiques. Malgré une appropriation de la notion de processus plus marquée de la part des techniciens depuis l avènement du BPEL (Business Process Execution Language) comme langage d exécution des processus, l intérêt même du processus a été rejeté dans les bas fond de la documentation projets. Pourtant le processus métier est le cœur même des problématiques d intégration. Qui, hormis le processus métier, est le plus susceptible de mettre en évidence les problématiques d intégration des systèmes d informations. Une fois le processus décrit, les domaines fonctionnels auxquels le système cible se rapporte sont identifiés. Le processus permet de définir la succession des activités (ou des tâches, opérations, actions, etc.) nécessaires à la réalisation d un produit (matière première, produit fini, service, etc.). Le processus peut viser plusieurs finalités : L identification des fonctionnalités à implémenter dans les applications, L identification des besoins de compensation, de manques logiciels lors de l intégration de progiciels dans un système informatique, L identification de processus ou de sous-processus non identifiés en phase de cadrage du besoin, L identification des processus cibles, donc de recette utilisateur, L identification des entrants de la conception détaillée : - les fonctionnalités attendues par le logiciel, - les règles de gestion, - les objets métiers, création, manipulation, accès concurrents, destruction ou expiration, - les flux de données entre les applications, - les interfaces d échange, - les batchs (séquence de tâches automatisées), - les besoins en IHM, - profils d utilisateurs, exclusions, délégations, escalades, L identification de modifications de fonctionnements organisationnels jusque-là négligées, L identification des sondes/points de mesures permettant de calculer les KPI (Key Performance Indicator). Visuel 2 : Processus vu par ARIS Des outils? Quels outils? Une telle démarche n a cependant aucune chance d aboutir sans l utilisation d outils de cartographie ou de représentation qui partagent les objets utilisés. Les outils référentiels les plus connus du marché sont Adonis, Aris, Corporate Modeler ou Mega. Ils permettent de représenter les processus, les applications et leur architecture, le découpage fonctionnel du SI, la stratégie de l entreprise, les organisations, les risques, etc. Seuls des outils de ce type permettent de maintenir efficacement une relation forte entre les systèmes informatiques et les métiers. Visio de Microsoft reste le parent pauvre de la démarche, car le partage et la consolidation des objets doivent être réalisés manuellement. À moins de se procurer Amarco ou l interface de Casewise. Par ailleurs, des méthodes comme Praxeme utilisent la puissance de la représentation du langage UML pour mettre en œuvre cette approche. IT-expert n 80 - juillet/août

38 Dans la phase de définition des processus, les concepts manipulés dans ces descriptions de processus sont les suivants : données manipulées, données échangées, règles de gestion appliquées, évènements déclencheurs, expirations, acteurs ou rôles impliqués, risques encourus, applications supportant ces activités. Chacun de ces éléments apporte un ensemble d informations primordiales pour les développements informatiques. Dans les phases suivantes on exploitera les notions de bloc urbanistique, de fonction, objet métier, règle de gestion pour la partie Urbanisme ou Entreprise Architecture, puis dans l architecture logicielle seront évoqués les notions d application, de services (au sens SOA du terme) d implémentation de services, de bases de données, etc. Les impacts de l urbanisation Dans une démarche d urbanisation, les activités sont rattachées aux différentes fonctions du système d information. L objectif de l urbanisation est de répartir les différentes fonctions selon un découpage fonctionnel homogène du système d information (cf. visuel 3), l identification des activités permet de déduire les fonctions associées. Chacune de ces fonctions fait partie d un bloc urbanistique, le positionnement du futur système sur le plan d urbanisme est alors possible. Ce positionnement permet d identifier les risques en termes de flexibilité et d évolutivité et d agir en conséquence, comme par exemple séparer le système en plusieurs applications puisque les fonctions qu elle couvre se situent dans plusieurs blocs. Elle permet également de définir les fonctions du plan d urbanisme qui doivent être exposées, les fonctions internes aux quartiers ou aux applications, et les fonctions capables de rendre des services transverses aux blocs urbanistiques, les futurs services composites généralement supportés par des orchestrateurs BPEL ou des workflows. Le plan d urbanisme permet également la définition des objets métiers manipulés et des flux fonctionnels du système d information. L urbaniste peut alors construire les besoins en formats pivots et déterminer les propriétaires de données ou les données référentielles. Création des applications et des services Une fois le paysage urbanistique dépeint, la décomposition du futur système est connue. Par exemple, un progiciel peut couvrir la partie métier, les règles de gestion complexe, une seconde couvre les restitutions, une troisième les entrées et sorties de données, et les données qui seront reprises des référentiels de données. La liste des flux de données nécessaires entre les systèmes est également identifiée. (cf. visuel 4) Chacune des fonctions du plan d urbanisme doit alors être couverte par un ou plusieurs services, exposés ou non. En cas d absence de démarche d urbanisme, ce sont les activités décrites dans les processus qui sont exploitées. Tous ces services sont décrits par l intermédiaire de la documentation des processus : règles de gestion, flux d entrée, flux de sortie, objets manipulés. Selon le niveau de la modélisation, on arrive à une bijection entre les Use Cases et les Activités/Fonctions. Une fois les applications nécessaires à la mise en œuvre du système informatique définies, ainsi que les services associés avec leurs règles de gestion, il reste à déterminer la composition interne des applications d un point de vue composants. Bien plus que de nouvelles technologies Visuel 3 : Plan d urbanisme vu par Corporate Modeler Même si le langage décrit ici est très teinté «nouvelles technologies», la démarche peut être généralisée à l ensemble des systèmes informatiques : «vieux systèmes», intégration, etc. Si elle s avère très efficace dans le cadre de la mise en place de logiciels et d applications couvrant un pan complet du système d information, elle se prête également aux processus de vente type e-commerce. Néanmoins, le processus incarne plutôt un moyen de recenser les services nécessaires au site, qu un simple enchainement d écrans et un moyen de conception détaillée. 38 IT-expert n 80 - juillet/août 2009

39 Rubrique à brac fonctionnels. Sur la base des processus des règles de gestion, nous avons alors défini les fonctions de l architecture fonctionnelle, les règles de gestion et les objets métiers manipulés. Avec le découpage du système d information, nous avons défini les applicatifs ainsi que ses composants, services exposés et fonctionnalités. Enfin, nous pouvons également avoir décrit la manière dont le déploiement de ces applicatifs doit être effectué (cf. visuel 5). Il sera, dès lors, possible de passer le relai à la conception détaillée. A ce stade, les besoins métiers, fonctionnels et non fonctionnels sont définis. Tous les éléments présents dans cette conception générale alimentent le référentiel d entreprise. Visuel 4 : Description de Flux vu par AdoIT Lors des phases de conception détaillée, il est possible de compléter un peu plus en détail le processus pour arriver à une définition suffisamment fine permettant la génération de code. Le MDA (Model Driven Architecture), démarche consistant à produire du code exécutable sur la base des modèles générés, peut être utilisé afin de produire le code technique d exécution du processus sous divers formats, comme le BPEL ou le XPDL (extended Process Description Language). Cela peut également permettre de définir la structure des corbeilles dans le cadre des workflows. Cela pourrait également permettre de définir les règles à insérer dans un moteur de règles sur la base des règles de gestion saisies ou représentées dans l outil de cartographie. Lorsqu à chaque tâche ont été associées une ou plusieurs règles de gestion, l utilisation d un BRMS (Business Rule Management System) s en trouve simplifiée. Il est alors possible de permettre aux utilisateurs finaux, les métiers, de modifier leurs règles en production. Les cycles de développement/production s en trouvent grandement simplifiés. Extension aux référentiels d entreprise Dans cette démarche, nous sommes partis d un processus métier de haut niveau, la chaine de valeur, et avons décrit les processus sous-jacents, et affecté des acteurs ainsi que des documents manipulés. Nous avons parfois même été jusqu à décrire le mode opératoire écran par écran de la manière la plus proche de celle dont notre client souhaite travailler. Sur la base de ce processus et en fonction du plan d urbanisme nous avons structuré l architecture du système cible en terme de modules On peut penser que ces référentiels ne représentent pas la réalité. Effectivement, quelques mois plus tard, dans la majorité des cas, cette documentation est laissée à l abandon. Elle n aura alors servi que pour amorcer le projet et n est pas entretenue. Mais si on imagine que cette documentation vive, à l initiative des métiers qui prennent en charge l évolution des processus. C est généralement le cas des référentiels entretenus par les métiers, la qualité, le contrôle interne. L ensemble du système d information fini alors par être modélisé et maintenu à jour. Une carte GPS du SI à jour à n importe quel moment de sa vie! Plus de découverte surprise au dernier moment, de changement du sens de la circulation, de déviation ou de bouchons. Et une visibilité nette des travaux d évolution, c est l offre autour des référentiels d entreprise que les outils de cartographie proposent. L avenir? Aucun de ces outils n est aujourd hui en mesure d assurer une traçabilité complète de la stratégie de l entreprise jusqu à la génération du code. Même si certains sont en mesure de répondre sur quelques aspects, comme MEGA pour la génération des DDL (Data Definition Language). D autres, issus de la conception comme Power AMC, progressent vers les aspects métier. D autres enfin, plutôt orientés métiers, prennent de plus en plus de place sur les secteurs technique par le biais de d évolutions internes ou par le biais de partenariats comme IDS-Scheer (éditeur d ARIS) avec Oracle et Microsoft. Des initiatives, comme Jazz d IBM, tentent de mettre en commun référentiel d entreprise et développement d application. Dans l exemple de Jazz, il est possible de définir le besoin par l intermédiaire d exigences, de réaliser l application correspondante dans une forge et de tester cette même application par l intermédiaire d un outil de recette le tout rattaché à un référentiel unique partagé. L ouverture de cette démarche IT-expert n 80 - juillet/août

40 Visuel 5 : Infrastructure vue par MEGA aux outils de cartographie d entreprise permettrait une traçabilité complète depuis l expression graphique des processus, jusqu à la ligne de code produite et le déploiement de l application. L évolution de Jazz vers un produit de type cartographie référentielle compléterait donc l offre. L utilisation d outils comme les frameworks EMF (Eclipse Modeling Framework ) et GEF (Graphical Editing Framework ) de la plateforme Eclipse pourrait être une bonne piste. Pour l instant la normalisation des échanges sur les référentiels est nécessaire pour permettre à tous ces outils de communiquer et d échanger. Une première partie, la représentation des processus, est disponible par l intermédiaire de BPMN (Business Process Modeling Language). Il faut cependant élargir le champ de vision de cette normalisation pour une interopérabilité complète comme DICOM dans le monde de l imagerie médicale. A ce moment, les interactions entre les référentiels d entreprises et tous les acteurs concomitants comme les outils de conception, CMDB (Configuration Management Database), outils d analyse de risque, BAM (Business Activity Monitoring) ou BPA (Business Process Analysis) parlerons d une seule voix. n Merci aux sociétés BOC Information Systems, Casewise, IDS- Scheer et MEGA International pour la fourniture d exemples illustrant l article. Guilhem Delebecque, Architecte - Urbaniste chez Sopra Group Acteur majeur du conseil et des services informatiques en Europe, Sopra Group a réalisé en 2008 un chiffre d affaires de 1,1 milliard d euros et dispose d un potentiel humain et intellectuel de plus de personnes. Grâce à une culture historique de l excellence et à une forte expertise sectorielle, fonctionnelle et technologique, le Groupe offre à ses clients une démarche globale adossée à un dispositif industriel éprouvé. L ambition de Sopra Group est de permettre à ses clients de se concentrer sur les projets de transformation liés à leur compétitivité et à leur croissance. Son périmètre de compétences s étend depuis la réflexion stratégique en amont, jusqu à la conduite de grands projets d intégration de systèmes et à l outsourcing applicatif. Le Groupe poursuit, par ailleurs, le déploiement mondial de son activité d intégration d applications et de gestion des processus métiers à travers sa filiale Axway, leader mondial des «Collaborative Business Solutions» avec une gamme complète de solutions et de services. Pour plus d informations, retrouvez-nous sur 40 IT-expert n 80 - juillet/août 2009