2 n 13 Business connect. expert ces technologies qui optimisent les coûts, quelles sont-elles? De la

Transcription

1 Business Connect L e m a g a z i n e d I n f o r m a t i o n d e Te l i n d u s n 1 3 F é v r i e r Ces technologies qui optimisent les coûts Une Business Unit pour la virtualisation et le stockage Des services managés à votre porte Nos clients témoignent : CG 35, CG 44

2 2 n 13 Business connect Chers clients En ce début d année 2010, mon premier souhait est de vous remercier pour la confiance que vous nous avez accordée en 2009, et qui nous a permis, dans cette année de crise de réaliser une légère croissance. Toutes les équipes de Telindus accueillent cette confiance, non comme un dû ou une victoire, mais plutôt comme une responsabilité et une reconnaissance, que nous nous efforcerons de renouveler en Nous mettons volontairement l accent en 2010 sur la croissance en investissant lourdement dans la création d une Business Unit dédiée au stockage et à la virtualisation (que vous découvrirez dans ce numéro), estimant que les tournants technologiques actuels, associés à nos compétences acquises dans ce domaine en Belgique et aux Pays-Bas, doivent nous permettre de devenir rapidement un acteur reconnu dans ce domaine en France. Nous savons l intérêt suscité par ces nouvelles technologies chez nos grands clients et nous nous devons de les accompagner. Nous mettons également l accent dans l innovation, tant en termes de solutions que de services. En effet, nous pensons qu il est de notre mission de veiller et de vous informer continuellement sur ces nouveautés technologiques qui nous permettent de vous aider dans la réduction de vos coûts et la fiabilité de vos systèmes. Enfin nous déployons depuis six mois notre chantier «Valeurs» et nous tenions à vous en informer. Je vous souhaite une bonne lecture de ce numéro 13 de Business Connect. henri juin directeur général de telindus france 4 expert ces technologies qui optimisent les coûts, quelles sont-elles? De la virtualisation à la convergence du stockage et du réseau en passant par le WDM qui multiplie les capacités de la fibre optique, tour d'horizon des technologies de pointe, nouveaux atouts pour l'entreprise. Pages 4 à 6 telindus crée une Business unit «storage & Virtualization» : une vision globale de l informatique entre les réseaux et les data centers. Page 7 les atouts du pare-feu applicatif, véritable complément qui apporte sécurité et optimisation pour les applications en ligne. Page 8 Business Connect - n 13 - Février 2010 Edité par Telindus 10 avenue de Norvège Z.A. Courtaboeuf - BP Les Ulis Cedex France - Tél. : Directrice de la Publication : Odile Foubert Comité de Rédaction : Odile Foubert - Régis Béziat - Philippe Jouvellier - Etienne Didelot - Pierre Colard - Luc Piaton - Stephane Gobert - Jean-Marc Chartres - Fréderic Favre - Xavier Charonnat Gestion éditoriale et conception graphique : 1000 ans Communication 8 avenue du Parc Courbevoie contact@1000anscommunication.com Impression : Prisme Graphique 176 avenue Charles-de-Gaulle Neuilly-sur-Seine Le contenu d un article n engage que son auteur - Telindus et Business Connect sont des marques déposées les services managés à votre porte, c'est la possibilité pour tous les clients de Telindus, répartis sur l ensemble du territoire français, de bénéficier des services managés au sein de Telindus France. Page 9

3 sommaire edito n 13 Business connect Priorité à l'informatique dans les hôpitaux, la sécurisation du SIH est au centre de leur rénovation. Page 10 news technos la maintenance, une approche globale, réactive et pro-active, qui allie conseil, expertise technique et qualité de services, 24 heures sur 24 et 7 jours sur 7. Page 11 externaliser le filtrage des accès web, pour plus de performances. Telindus a choisi Zscaler pour proposer des prestations de services managés de filtrage d'accès web en mode SaaS et en architectures Cloud Computing. Pages 12 à 13 tendances sécurité : les firewalls nouvelle génération, imposent de nouvelles donnes dans la sécurisation des réseaux. Explication par un expert Sécurité de Telindus. Page 14 la décennie du service numérique, ou le retour sur les dix technologies matures dont la mise en œuvre présente un réel avantage compétitif. Page 15 réalisations Telindus toujours plus à l écoute des besoins métier de ses clients. communications unifiées au conseil général d ille-et-vilaine pour favoriser le travail collaboratif et abolir les distances entre ses différentes implantations. Page 16 cg44 a ouvert son infrastructure internet à ses administrés pour développer par le biais de l'e-administration de plus en plus de services. Page 17 Partenaires Le point sur les technologies et solutions des partenaires. les firewalls multifonctions de Palo alto networks, la révolution dans le monde de la sécurité des applications, des utilisateurs et des contenus de flux sur le réseau. Page 18 riverbed optimise le cloud, avec des solutions qui permettent d'accéder à des ressources informatiques distantes en toute sécurité. Page 19 Websense protège les entreprises des dangers de la toile, grâce à une analyse fine des données d'internet en mode appliance, SaaS ou encore en mode hybride. Page 20 en Bref telindus sur tous les fronts : - L'engagement d'une démarche «Valeurs». Page 21 - Les meilleurs experts du marché pour ses clients. Page 22 - Rencontrer Telindus à l EMC 2 forum. - Des partenariats qualifiés. Page 23

4 4 n 13 Business connect expert ces technologies qui optimisent les coûts! Levier stratégique de performance, l'optimisation des coûts d'investissement, par le biais des technologies de l'informatique, est un véritable atout pour l'entreprise. Mais de quelles technologies s'agit-il? La rationalisation des infrastructures est une des tendances principales observées dans les stratégies des Directions Informatiques, tous secteurs confondus. Au-delà de l aspect technique, chaque projet doit s inscrire dans une stratégie globale d évolution du Système d Information, et l un des objectifs majeurs est d utiliser au mieux chaque euro investi. Pour cela, des choix stratégiques doivent être faits entre différentes technologies permettant de rendre un service équivalent. Nous avons choisi, dans ce numéro de Business Connect, d aborder trois technologies particulièrement pertinentes dans ce contexte d optimisation des coûts : la virtualisation des équipements réseau, la convergence des infrastructures de réseau et de stockage dans les data centers ainsi que le multiplexage optique. Ces trois technologies ont comme caractéristique de permettre une optimisation importante des coûts au sens large, qu ils soient d investissement ou opérationnels. ÉTIENNE DIDELOT MARKETING OPÉRATIONNEL BU INFRASTRUCTURE ET COMMUNICATIONS UNIFIÉES la virtualisation accroît l'utilisation et la flexibilité du matériel Topologie physique Depuis quelques années la virtualisation est l un des sujets majeurs du marché de l informatique ; cette tendance concerne le système, le stockage, mais également les ressources réseau. PrinciPe de la VirtualisatiOn Le principe de la virtualisation est de décorréler les ressources physiques des ressources logiques. Par exemple, un routeur ayant des capacités de virtualisation pourra être divisé en plusieurs routeurs logiques, vus par les utilisateurs comme des équipements séparés et indépendants. Dans l autre sens, la virtualisation peut également consister à regrouper plusieurs entités physiques en une seule entité logique. en quoi la VirtualisatiOn PerMet-elle d OPtiMiser les coûts? L optimisation des coûts est une des raisons principales de l adoption des Topologie logique La virtualisation permet de décorréler physique et logique. technologies de virtualisation. Les principales économies réalisées concernent les coûts des matériels (consolidation des ressources), les coûts des déploiements de nouvelles applications (gain de temps), et les économies d énergie. ConsoLidaTion des ressources Les infrastructures réseau, au même titre que les ressources serveur ou les capacités de stockage, sont systématiquement sousutilisées par rapport à leur capacité maximale. Ce surplus de capacité matérielle est évalué de 30 à 40 % en moyenne. La virtualisation permet de s affranchir des aspects matériels qui justifient l over-provisionning (lourdeur d approvisionnement et de déploiement de capacités supplémentaires) et donc de rationaliser l utilisation des ressources réseau. Il serait illusoire de penser que la virtualisation permettra d utiliser en permanence 100 % des ressources, mais cette technologie permet sans conteste d améliorer les taux d utilisation, et donc de limiter le niveau des investissements.

5 expert n 13 Business connect 5 la virtualisation accroît l'utilisation et la flexibilité du matériel (suite) la convergence du stockage et du réseau Gain de Temps L autre gain important sur le réseau, obtenu grâce à la virtualisation, est un gain de temps, en particulier pour le déploiement de nouvelles applications. Une nouvelle application nécessite en effet de provisionner des ressources serveur et stockage, mais également des ressources réseau. Dans le cas d une infrastructure traditionnelle, cela se traduit par une étude préalable (quelles seront les adresses attribuées? Y a-t-il de la place dans les baies? Le câblage nécessaire est-il présent? La puissance électrique requise est-elle disponible? Faut-il effectuer des changements sur la climatisation?), puis une phase d approvisionnement qui peut être de plusieurs semaines et enfin la phase d implémentation. Dans une infrastructure réseau virtualisée, les ressources peuvent être allouées facilement par un simple changement de configuration, et ainsi réduire au minimum les délais de préparation ; ce gain est bien entendu encore plus important lorsque les serveurs et le stockage sont également virtualisés. réduction des CoûTs indirects Conséquence de l utilisation plus efficiente du matériel et donc de la baisse du nombre d équipements utilisés, la virtualisation des équipements réseau permet également des gains substantiels sur les coûts de consommation électrique globale. Cette consommation est constituée de l électricité directement utilisée par les équipements réseau, mais également de celle consommée par la climatisation nécessaire à refroidir les centres de données. Un argument important lorsque l on sait que l énergie devrait engloutir d ici à quelques années 30 % du budget des Directions Informatiques! Le stockage dans les entreprises de taille importante repose en général sur des réseaux dédiés adaptés à cette application particulière : débits très élevés, latence faible, pas de perte de paquets, etc. Ces réseaux de stockage utilisent en particulier la technologie Fiber Channel, qui permet de relier, à des débits de 8 Gbps, les serveurs avec les baies de stockage, et ce sur des distances pouvant atteindre dix kilomètres. Les connexions peuvent être en point-à-point, commutées ou encore en boucle. Les centres de données voient donc souvent coexister au moins deux réseaux. D un côté, le réseau Ethernet pour le transport des données et, de l autre, un réseau de stockage Fiber Channel. Le mouvement général de convergence des réseaux concerne désormais aussi les réseaux des data centers, et les constructeurs proposent maintenant des solutions pour rationaliser ces infrastructures. À la tête de ces initiatives vient la technologie FcoE (Fiber Channel over Ethernet), portée par des acteurs majeurs des marchés du réseau et du stockage que sont Brocade, Cisco Systems, EMC, Emulex, Finisar, Hewlett-Packard, IBM, NetApp PrinciPe du fcoe Le principe du FCoE est, comme son nom l indique, de transporter des données de type Fiber Channel dans des trames Ethernet. Ce mécanisme permet d atteindre les débits du protocole Ethernet, dont le débit maximum est à ce jour de 10 Gbps (40 Gbps et 100 Gbps à venir). Les communications reposent toujours sur des données Fiber Channel (contrairement à l iscsi qui utilise TCP/IP) ; leur encapsulation dans des trames Ethernet permet de limiter les overheads et reste une manipulation peu gourmande en ressources CPU. L Ethernet utilisé dans le cadre du FCoE est une version spécifique, extrêmement proche de l Ethernet que l on connaît dans le monde du réseau, mais légèrement modifié afin d être pertinent dans ce contexte (pas de perte de paquets par exemple). Cette version est appelée DCE (Data Center Ethernet). Le but final du DCE est de pouvoir transporter différents types de trafic utilisés à ce jour dans les data centers via des médias et des matériels actifs communs (matrices Ethernet). en quoi le fcoe PerMet-il d OPtiMiser les coûts? Comme vu précédemment, le data center Ethernet et le FCoE ont pour vocation à traiter les trafics réseaux ainsi que les trafics de stockage dans les centres de données ; l avantage évident est de pouvoir remplacer toutes les interfaces spécialisées par un seul type d interface pouvant gérer les deux trafics. Ces interfaces, appelées CNA (Converged Network Adapters), sont connectées aux commutateurs et aux directeurs de réseaux de stockage et proposent des débits de 10 Gbps.

6 6 n 13 Business connect expert Bien que les interfaces soient communes, les deux domaines (réseau et stockage) peuvent toujours être gérés de manière indépendante. L optimisation des coûts est directement obtenue par la rationalisation des ressources matérielles : réduction du nombre de cartes, de câbles et de matériel réseau dans les centres de données. Au-delà de l économie directe réalisée sur les achats, cette convergence permet également de réduire les coûts de fonctionnement que sont l énergie, la climatisation ou encore les coûts de main-d œuvre. Tous ces avantages font du FcoE une option à étudier de près pour les projets d extension de data centers (cette technologie est compatible avec les équipements existants) ainsi que pour les nouveaux déploiements, dans un contexte de contrôle des dépenses. Réseau Ethernet Switch Ethernet Trafic Ethernet Trafic FCoE Baies de stockage Switch Fiber Channel Le FCoe permet d unifier réseau d entreprise et de stockage. le WdM ou comment multiplier les capacités d une fibre optique! STM-16Tx STM-1Tx ATM-Tx GbE Tx POS Tx 10G LAN Tx FC 4G Tx Escon Tx Plusieurs canaux transportant du trafic sur une seule fibre Chaque canal est transmis à l aide d une couleur différente. Cela évite les interférences entre les canaux et permet donc de les séparer sur le site de terminaison. Les réseaux deviennent donc multi-services. STM-16Rx STM-1Rx ATM-Rx GbE Rx POS Rx 10G LAN Rx FC 4G Rx Escon Rx Pouvoir supporter la montée en charge du trafic réseau est une problématique commune à toutes les DSI, et depuis de nombreuses années. Cette évolution permanente exige la mise à jour régulière des réseaux, dans ses composantes actives (commutateurs, routeurs ) et passives (câblage). Ce besoin s applique notamment aux infrastructures de fibre optique. Dans le cas d un réseau privé (réseau de campus) la pose de nouvelles fibres nécessite bien souvent des opérations de travaux publics, compliquées et coûteuses. Pour des interconnexions traversant le domaine public, le recours à son opérateur fibre permet de souscrire de la capacité de transit supplémentaire ; cette solution est également très coûteuse pour l entreprise. Une alternative très intéressante économiquement consiste à multiplier les capacités d une fibre optique en utilisant des procédés de multiplexage ; cette technique a l avantage d utiliser au maximum les ressources physiques disponibles. La technologie WDM (Wavelength Division Multiplexing) est dans ce cadre la technologie de choix ; répandue dans les réseaux des opérateurs, elle fait une arrivée remarquée sur les réseaux des entreprises et collectivités. PrinciPe du WdM Les transmissions sur fibre optique sont réalisées par émission de lumière par un laser, lumière qui est reçue et interprétée par l équipement optique destinataire. Le WDM consiste à émettre en même temps, sur la même fibre, différents signaux optiques. Ce multiplexage repose sur l utilisation de plusieurs couleurs (longueurs d onde). Point important, le multiplexage s effectuant au niveau purement physique, un lien WDM pourra transporter des types de trafic hétérogènes voix/données dans des formats différents (Ethernet, ATM, SONET, SDH ). Le WDM est composé de différentes sous-catégories. Les plus importantes sont le DWDM (Dense Wavelength Division Multiplexing) et le CWDM (Coarse WDM). La différence réside dans la capacité que permet d atteindre chaque technologie sur une fibre. Le CWDM connaît actuellement un succès important, car, même si elle ne permet pas d atteindre les mêmes débits que le DWDM, son coût attractif rend cette technologie intéressante pour un grand nombre d applications. Il est à noter que dans le cas où le lien transite par le domaine public et est donc géré par un opérateur, il sera nécessaire de souscrire à une offre de type «fibre noire» (l opérateur ne fournit qu une connexion fibre sans équipement optique). quelles sont les applications du WdM? Le WDM trouve tout son intérêt dans les entreprises où les besoins en bande passante sont importants, en particulier dans les cas suivants : extension du LAN sur plusieurs sites, mise en place de réseaux métropolitains multiservices, mise en place ou extension de data center, liens vers site de backup (plans de reprise et de continuité d activité). en quoi le WdM PerMet-il d OPtiMiser les coûts? En permettant de faire passer plusieurs flux sur le même brin de fibre, le WDM apporte un gain économique important par rapport aux solutions traditionnelles. Cet avantage est particulièrement net dans le cas du CWDM, qui permet de transporter 16 flux sur une fibre, pour un coût matériel réduit.

7 expert n 13 Business connect 7 Telindus crée une Business unit «Storage & Virtualization» A l heure de la convergence des ressources informatiques (serveurs virtualisés, stockage SAN/NAS et réseau LAN/WAN) dans le Cloud Computing, Telindus étend son offre d intégration et de services en mettant en place une nouvelle Business Unit (BU) dédiée au stockage et à la virtualisation. La mission de Telindus : proposer une plate-forme informatique dynamique Cette nouvelle BU s appuiera en interne naturelles non renouvelables et sur la réduction sur l'expertise réseau et l'organisation de l empreinte carbone commerciale et services de Telindus. Elle fournira des services d'administration, de supervision, de capacity planning et de conseil, mais s'attachera aussi à adapter ou à créer des services innovants prenant en compte les impératifs liés aux nouvelles technologies que sont le SOA (Service Oriented Architecture), les infrastructures dynamiques ou le Cloud Computing. Les infrastructures sous-jacentes doivent elles aussi être capables de s'adapter et de délivrer le niveau de service VOtre data center, VOtre PreMier «cloud PriVé» Les technologies actuelles sont arrivées à une maturité permettant de réaliser ce passage. La réduction et l optimisation des coûts sont obtenues avec la consolidation et la mutualisation des ressources physiques : serveurs, réseau, stockage. Parallèlement, avec la virtualisation de l infrastructure physique, il est possible de distribuer toute requis, elles deviennent dynamiques à leur tour. élaborer le data center du futur, VOici le nouveau Appréhender en toute sécurité ce changement de modèle puissance de calcul et de stockage à la demande, et très simplement. Ces opérations permettent d assurer, outre des montées en charge aisées, de la haute disponibilité avec défi des dsi Un Data Center qui fournit aux entités métiers les services technologiques adéquats, rapidement et à moindre coût, et s adapte instantanément aux variations des demandes métier Un Data Center qui permet de gérer l ensemble des processus métiers tout en en l implémentation à moindre coût de plan de reprise d activité et/ou de continuité de service. En ce sens, la mission de Telindus est de proposer une plate-forme informatique dynamique s appuyant sur un réseau fiable, automatisée en fonction de règles métiers, permettant de réduire la complexité d administration et les coûts d exploitation. optimisant les ressources humaines sans oublier le respect des best practices et des engagements de niveau de service Un Data Center qui permet de s engager sur le respect de l environnement et des ressources Plus qu une évolution des technologies, un changement du Paysage informatique La virtualisation des serveurs, du stockage et des réseaux reste une tendance stratégique forte pour les centres de calcul. La virtualisation est aussi partie intégrante d autres items stratégiques comme le Cloud Computing. Consolider, mutualiser et maintenant virtualiser, tels sont les leitmotivs énoncés quotidiennement depuis maintenant plusieurs années par les constructeurs, les éditeurs, bref, par l ensemble des acteurs du monde informatique, en oubliant parfois les contraintes et surtout les objectifs des clients finaux. S y sont rajoutés d autres concepts plus récents : thin provisionning, déduplication des données, Cloud Computing interne ou externe, Saas. Notre objectif : le conseil et l accompagnement de nos clients dans la mise en œuvre de la «Real Time Entreprise», en faisant plus avec moins. Répondre aux impératifs et besoins métiers sur site est une chose ; l implémenter hors site avec l avènement du Cloud Computing externe et de ses nouvelles contraintes et interrogations en est une autre. Dans tous les cas, les investissements doivent être judicieux et doivent permettre d envisager, dans le futur, cette évolution. Là encore, l expérience et la valeur ajoutée de Telindus permettent d appréhender, sereinement et en toute sécurité, ce changement de modèle. RÉGIS BEZIAT DIRECTEUR DE LA BU STORAGE & VIRTUALIZATION

8 8 n 13 Business connect expert Les atouts du pare-feu applicatif Pour empêcher et limiter l impact des attaques malveillantes, les parefeu réseau sont très souvent mis en place et ils constituent généralement une solution adaptée. En revanche il faut ne pas oublier de protéger l accès aux applications accessibles depuis l Internet. Il est donc indispensable de mettre en place un pare-feu applicatif, véritable complément qui apporte sécurité et optimisation pour les applications en ligne. «Dans notre réseau il y a un pare-feu et des systèmes de détection d attaque, vous voyez, nous sommes protégés. Notre application Web est fiable et sécurisée. Les utilisateurs se connectent avec un tunnel VPN SSL et ils doivent s authentifier, alors nos risques sont limités.» Ces quelques arguments sont assez souvent mis en avant quand on parle de la Sécurité des applications web. Aujourd hui l interface universelle reine, c est le navigateur Web ; et les applications sont dans leur grande majorité «webifiées». Le nuage Internet est un espace avec de nombreux sites de commerce en ligne ou institutionnels, et des portails d e-administration, d extranets, de gestion externalisée. Tout cela est orchestré sous fond d architectures SOA, d abonnements SaaS et dans l omniprésent Cloud Computing qui fait les beaux jours du marketing. Malheureusement la Sécurité n est pas suffisamment considérée. Elle occupe rarement Une diminution des risques liés aux applications en ligne la tête de liste des priorités. La préférence, c est l urgence, le temps avec des délais toujours plus courts pour développer des applications et pour les mettre en production. Tout va vite, et même trop vite. Et c est ainsi que beaucoup de serveurs web avec des applications métiers parfois concentrent sur les nouvelles fonctionnalités à développer et sur les délais octroyés pour cette tâche. Face à ces risques et ces contraintes, il existe depuis des années une solution. C est le pare-feu applicatif ou Web Application Firewall. Complémentaire du pare-feu réseau, son rôle spécifique consiste à protéger, et même critiques se retrouvent directement exposés aux menaces d Internet. Pourquoi? Parce que les pare-feu et les équipements de Sécurité réseau effectuent un travail nécessaire mais essentiellement dans les couches basses. Sans dispositif approprié, les risques restent élevés dans certains cas à optimiser, les applications web. C est un équipement fonctionnant sur le principe du reverse-proxy. Il se place en coupure devant les serveurs web et les rend invisibles Les connexions web sont, dans leur immense majorité, acceptées par les pare-feu réseaux qui ne font souvent que rediriger les flux vers les applications cibles. Même les sondes IPS ne sont pas encore capables de détecter les attaques applicatives et restent inefficaces. Enfin les VPN ne font qu assurer la confidentialité de la connexion sans empêcher les attaques. Sans dispositifs appropriés, les risques restent élevés, et l impact d un incident peut avoir des conséquences sévères au-delà de l application web. Des études ont démontré que la majorité des attaques se déroulent dans les couches applicatives. Sur les 15 % de vulnérabilités supplémentaires détectées au cours de l année 2008, 60 % d entre elles concernaient les applications. Les applications 100 % fiables, ça n existe pas. Épurer de bugs et de vulnérabilités leurs milliers de lignes de code peut prendre beaucoup de temps. Et puis, les développeurs se déclarent souvent incompétents en matière de Sécurité. D ailleurs, leurs objectifs se et inaccessibles. Tout passe par lui. Sa principale fonction consiste à filtrer tous les accès et le trafic à destination des applications web qu il protège. Il a toute capacité à détecter les attaques applicatives venant du web, mais il peut aussi analyser, détecter et pallier les vulnérabilités des serveurs et des applications qu il protège. Selon les versions, il peut aussi authentifier les utilisateurs, chiffrer et compresser les flux dans des tunnels SSL. Le pare-feu applicatif diminue considérablement les risques liés aux applications en ligne. Il optimise les performances en délestant les serveurs web de fonctions pénalisantes, comme par exemple le chiffrement des sessions. Ce type de solution relativement simple à mettre en œuvre permet de répondre à de multiples besoins, que ce soit la protection des applications, leur optimisation et l analyse de leur résistance face aux attaques. PHILIPPE JOUVELLIER SECURITY BUSINESS DEVELOPMENT, TELINDUS FRANCE

9 expert n 13 Business connect 9 Les services managés à votre porte Managed Services Everywhere donne la possibilité à tous les clients de Telindus, répartis sur l ensemble du territoire français, de bénéficier des services managés au sein de Telindus France. Les services managés, c est le choix des clients de confier à Telindus les opérations de supervision, de traitement des incidents, de gestion et de mise en œuvre des changements, de conseils et d évolutions dans les domaines du réseau, de la sécurité, du ToIP et du système. C est aussi une structure backoffice dans un bâtiment tout neuf aux Ulis réunissant plus de 80 personnes et interconnecté avec les autres pays du groupe Belgacom pour former l iroc : International Remote Operating Center. POur chaque client, dans chaque lieu Une organisation est mise en place pour répondre à chaque besoin de nos clients, à la porte de leur entreprise. Pour eux, l équipe Telindus est distribuée géographiquement : la structure backoffice de l iroc et des relais dans chacun des points de présence Telindus. Prenons le cas d un nouveau client 2009 (contrat orienté Sécurité et Système) situé à proximité de Lyon. Nous mettons à sa disposition : une équipe technique centralisée à l iroc en ile-de-france - des exploitants pour la gestion des comptes et habilitations ; - des ingénieurs suivi de compte pour l expertise technique sur incident et pour la réalisation des changements ; - une équipe 3 x 8 multi-technique pour la couverture horaire. iroc International Remote Operations Center un service delivery Manager (le sdm au sens itil) sur l agence de lyon Ainsi, le SDM sur Lyon assure tout le relationnel local en étant présent chaque semaine chez le client et en préparant et animant le comité mensuel de pilotage ; il anime également tous les vecteurs de communication entre l iroc et le client. Un représentant de la structure backoffice est présent à chaque comité de pilotage. un traitement local de proximité et une garantie de qualité de service venant de l'iroc L objectif atteint est que le client profite à la fois d un traitement local de proximité et d une garantie de qualité de service venant d un centre important centralisé et mutualisé. Cette situation se retrouve sur l ensemble des agences de Telindus en France sous différentes formes selon les besoins du client avec des Service Delivery Manager : - dont c est le seul métier, - ou qui sont également chefs de projet ; ils peuvent dans ce cas assurer un rôle double pour le même client et assurer une cohérence globale. Au total, ce sont plus de 20 Service Delivery Manager sur les agences de Paris, Lyon, Marseille, Toulouse et Lille. Dans certaines agences, il y a même une extension de la Une offre complète de services gérés pour les besoins en matière d ICT structure backoffice avec la présence d ingénieurs de suivi de compte et quand les besoins clients le nécessitent, nous arrivons également à des structures d équipe dédiée sur site client : c est le cas en Ile-de-France et en province. un PilOtage haut de gamme L iroc, c est maintenant une structure backoffice de 80 personnes colocalisées (Service Delivery Manager, ingénieurs de suivi de compte, ingénieurs d exploitation, exploitants) afin d arriver à une couverture globale des besoins client dans le respect des procédures basées sur ITIL V3 : every time : une forte équipe en 3 x 8 assure une présence 24 heures sur 24, 7 jours sur 7 afin de garantir le même niveau de service quelles que soient la criticité du site ou sa localisation géographique dans le monde ; every technology : la taille de l équipe permet de toujours garantir la présence d un expert quel que soit le domaine/équipement considéré : réseau XAN/infrastructure, Communication Unifiée, sécurité, système (et l ajout désormais des technologies Storage & Virtualization, Telindus venant de créer une Business Unit dédiée à ce domaine). le roc, c est aussi : plus de équipements monitorés dans le monde entier ; plus de 70 personnes sur site client ; un renfort des équipe du support (plus de 70 ressources) pour la maintenance et pour gérer les escalades vers les constructeurs et les éditeurs. Au final, Telindus met à votre disposition, plus de 230 personnes pour des services managés à la porte de votre entreprise. LUC PIATON DIRECTEUR DU REMOTE OPERATIONS CENTER TELINDUS

10 10 n 13 Business connect expert Priorité à l informatique pour les hôpitaux Le plan Hôpitaux 2012 du ministère de la Santé prévoit l informatisation des établissements de santé car c est non seulement une condition indispensable à la coordination des soins et à la prise en charge rapide des patients, mais c est surtout un outil indispensable à la veille de sécurité sanitaire et au renforcement des droits du patient. La sécurisation du SIH est au centre de cette rénovation. Ce plan d'investissement est également consacré au développement des services à la carte pour le patient. Améliorer à la fois le confort des patients et la fluidité des informations entre les personnels de santé est désormais l exigence de qualité de service à laquelle doivent répondre les établissements de santé. Au cœur du dispositif, le plan Hôpitaux 2012 incite chaque établissement à faire évoluer son Système d Information (SIH) et les applications utilisées sur les réseaux. La sécurisation du SIH consiste à prendre en compte toute la problématique du dossier médical informatisé et la nécessité au niveau des personnels soignants de disposer d'informations en temps réel. S ajoutent à cela l'amélioration de l'accueil, la traçabilité du dossier patient et les services de récréativité à la carte, disponibles directement dans chaque chambre d hôpital. l émergence de nouveaux services Les infrastructures WiFi permettent d une part, d offrir un accès à Internet pour les patients, et d autre part, une utilisation optimisée du dossier informatisé du patient. Les personnels de santé peuvent consulter et mettre à jour en temps réel les informations et prendre note des derniers résultats, examens et prescriptions. En complément de la sécurisation des informations, la sécurité des biens et des personnes est une des préoccupations des établissements de santé. Le WiFi est également une technologie qui permet la géo-localisation des équipements, du personnels de santé et, dans certains établissements spécialisés, des patients. La qualité de l accueil, du confort et la satisfaction des patients sont également des exigences des établissements de santé. Cela engendre le développement d une multitude de services offerts aux patients : web, accès à son dossier médical personnalisé, services récréatifs Le Terminal Multimédia Patient à interface tactile, placé dans la chambre au niveau du lit, devient l interface multimédia unique pour le patient et le personnel de santé. Le portail patient permet aux usagers de disposer, à partir d un simple clic, de toutes les informations internes sur l'hôpital, de consulter les DMP (Dossier Médical Personnel), de réserver et commander les repas, de rester en contact avec ses proches (téléphone, mail, messagerie instantanée) et d accéder à des services de télévision, des bibliothèques de films, de musiques, de jeux, et de programmes éducatifs. La sécurisation du SIH est au centre de cette rénovation une approche Verticalisée «Pour répondre aux attentes de nos clients, nous avons souhaité lancer en 2009 une approche métier du secteur de la santé, précise Frédéric Favre, Responsable santé Telindus. Avec le Real Time Healthcare Environement, nous développons des solutions permettant aux Ce plan d'investissement est également consacré au développement des services à la carte pour le patient établissements de santé de traduire leurs enjeux métiers dans la technologie la mieux adaptée». Telindus privilégie une approche conseil, au travers de missions de sécurisation du dossier patient au format électronique qui nécessite des points de stockage sécurisés et des procédures adaptées. Ainsi que des prestations d'études d'opportunité pour la mise en place des Terminaux patients, avec une assistance à la maîtrise d ouvrage en particulier pour la Sécurité et le développement des services récréatifs auprès des patients. «Nous intervenons tant au niveau du conseil que de la préconisation et de l'intégration de ces solutions : infrastructures réseaux XAN haute disponibilité et sécurisées, solutions de Communications Unifiées, accueil, taxation patients, application de mobilité avec le partage en temps réel, géolocalisation, traçabilité, solutions de stockage, applications de collaborations distantes, sécurisation des locaux (badges, RFID, vidéo ) et services apportés aux patients (VoD, web, IM, mail)», conclut Frédéric Favre.

11 news technos n 13 Business connect 11 la maintenance, une approche globale le support, un service de proximité L objectif essentiel de Telindus, au travers de la maintenance, est de s approprier et de résoudre les problèmes de ses clients. Pour ce faire, Telindus a mis en place une maintenance réactive et pro active, dynamique et personnalisée qui allie conseil, expertise technique et qualité de services. Présent depuis plus de vingt ans sur des projets à l international, Telindus couvre l ensemble des métiers de l intégration dans le monde IP. Le support est une brique importante de cet ensemble. Une base de données, commune à l ensemble des pays Telindus Europe, offre la possibilité aux ingénieurs support de Telindus de partager des connaissances sur les problématiques de la maintenance et d apporter des réponses concrètes et fiables aux interrogations de leurs clients. l expertise des ingénieurs telindus Avec tickets ouverts par an, les ingénieurs support de Telindus sont rompus aux process ITIL de traitement d incidents et ont une expérience incomparable dans leurs domaines de compétences respectifs. Cela permet de garantir une réactivité forte, particulièrement importante pour éviter des ruptures de services ou en limiter les effets au maximum. Ils bénéficient en outre d une formation de haut niveau chez les partenaires de Telindus, et sont certifiés par ces éditeurs et constructeurs enquête de satisfaction client 2009 La présence des experts de Telindus, répartis de manière stratégique sur le territoire français, permet d apporter à l ensemble de ses clients, un service de proximité en France et à l international avec le soutien de ses filiales en europe et de ses partenaires dans le monde. partenaires. Au travers de ces partenariats dans les domaines de la Sécurité, de l infrastructure réseaux, des Communications Unifiées, de la vidéo sur IP, les ingénieurs Telindus ont un accès direct et privilégié au support de ces constructeurs ce qui leur permet d être encore plus efficaces, pertinents et réactifs sur les problèmes complexes. Les équipes support sont réparties par secteur technologique réseau, Sécurité, ToIP et peuvent fournir le support avec une couverture 24 heures sur 24, 7 jours sur 7, 365 jours par an. En complément de certains contrats de maintenance (environnements complexes, réseaux critiques), un ingénieur Telindus est désigné pour être l interlocuteur technique privilégié de façon à offrir un service proactif efficace et ciblé. des PrOcessus globalisés Telindus propose une offre modulaire souple, évolutive et complète avec un engagement de résultat. Le conseil : assistance au DSI sur l organisation des infrastructures informatiques et leur évolution ; Le projet : déploiement de l infrastructure produits et installation. Contrôle, impact et gestion globale du projet en particulier sur le réseau et la sécurité ; L infogérance : possibilité d extension, au-delà du support, vers la supervision et la délégation d exploitation depuis le centre Remote Operation Center (ROC) des Ulis. Les Ingénieurs certifiés et expérimentés de Telindus assistent le client dans le suivi et le contrôle de l exploitation du Système d'information : un support téléphonique de haut niveau ; un diagnostic et le suivi fournis jusqu à résolution de l incident ; une mise à jour de logiciels ; une logistique rapide et efficace de remplacement des matériels défectueux ; des services d assistance complémentaires aux services de support et de maintenance. la qualité de service jugée Par les clients A chaque clôture de case Telindus, le système de gestion des tickets, Clarify, envoie automatiquement une enquête de satisfaction au client par . La moyenne mensuelle sur les réponses pour chaque critère d'évaluation délai de proposition de solution, compétences techniques, gestion globale, qualité d'accueil et qualité et pertinence des réponses donne une note de 4,45 sur 5, ce qui est une note très satisfaisante. Néanmoins, le support souhaite encore améliorer cette note et vise 4,50 à la fin premier trimestre A titre indicatif, la moyenne à la même période de l année 2008 était de 4,37. PIERRE COLARD DIRECTEUR SUPPORT CLIENT - DIRECTION DES SERVICES

12 12 n 13 Business connect news technos externaliser le filtrage des accès web pour plus de performances Dans son catalogue de prestations de services managés, Telindus a récemment ajouté le filtrage des accès web, en partenariat avec la société américaine Zscaler. La prestation est proposée en mode SaaS (Software as a Service). Ces services visent essentiellement les entreprises internationales multisites. Pour des bénéfices immédiats, elles n'ont plus à investir dans des serveurs proxies, ni à veiller à leur maintenance et leur mise à jour. Une tendance qui s'affirme notamment avec le développement des services de type SaaS et les architectures Cloud Computing. Une démarche qui concerne essentiellement les applications et les données non critiques. La Sécurité, au centre des préoccupations des entreprises, ne se limite pas au contrôle des flux entrants. Elle porte également sur le trafic sortant, notamment la navigation sur le web (HTTP) : c'est le filtrage des accès web. Celui-ci permet de bloquer les requêtes des salariés de l'entreprise vers des sites prohibés parce que dangereux, et de limiter celles qui n'entrent pas dans le champ professionnel (messagerie personnelle, réseaux sociaux...). Cette fonction est remplie par les serveurs proxies. Tant que l'entreprise n'est implantée que sur quelques sites, la tâche est relativement aisée. Un serveur proxy peut opérer sur plusieurs d'entre eux, proches les uns des autres : tout le trafic sortant passe par lui. S'ils sont éloignés, par exemple à l'étranger, un proxy est installé sur chaque site pour réduire les temps de latence et éviter que tout le trafic HTTP transite par le proxy central, ce qui augmenterait les temps de latence et consommerait beaucoup de bande passante. Dans le cas d'une multinationale qui compte des dizaines, voire des centaines de sites à travers le monde, l'investissement matériel (serveurs) et logiciel (licences) devient lourd lorsqu'il faut équiper chacun d'eux. la gamme des PrestatiOns Phase initiale - Formalisation des processus de gestion des incidents, d escalade - Création des formulaires de changement - Définition du reporting Phase d exploitation - Supervision - Gestion des changements mineurs - Package adapté au nombre d utilisateurs changements par an pour utilisateurs - Reporting - Rapports mensuels - Visites trimestrielles Comme un serveur Proxy virtuel... Une sorte de boîte à outils en ligne... Leur maintenance et leur exploitation occasionnent également de nombreux frais installation, mises à jour, réparations d'où l'intérêt d'externaliser la fonction de filtrage web. une trentaine de PrOXies dans le MOnde «C'est sur ce créneau que se place la toute jeune société américaine Zscaler, qui propose ce service en mode SaaS (Software as a Service), dans une architecture Cloud Computing, via Internet», précise Philippe Jouvellier, Security Business Development Telindus France. Toutes les requêtes sont autoritairement redirigées vers les serveurs proxies de Zscaler (comme elles l'étaient vers les proxies internes). L'entreprise s'abonne à un service et n'a donc plus d'investissement ni de maintenance à assurer. De plus, comme Zscaler dispose d'un maillage d'une trentaine de proxies à travers le monde, les sites de l'entreprise sont raccordés au serveur Zscaler le plus proche, ce qui raccourcit les délais de latence à travers le réseau. «Dans la pratique, l'architecture Zscaler se présente comme un serveur proxy virtuel sur lequel l'utilisateur se connecte pour effectuer les opérations de configuration et d'exploitation : c'est une sorte de boîte à outils en ligne», précise Philippe Jouvellier. Les tâches de configuration et d'exploitation (création d'un nouvel utilisateur, changement des règles de filtrage...) peuvent elles aussi être externalisées et confiées à un prestataire, tel que Telindus. L'intégrateur a récemment ajouté les prestations de filtrage de Zscaler à sa palette de services managés. «Elles s'intègrent dans l offre de Sécurité que nous proposons à nos clients, notamment sur les volets supervision et exploitation», conclut Philippe Jouvellier.

13 news technos n 13 Business connect 13 externaliser le filtrage des accès web pour plus de performances (suite) Une prestation qui s'intègre dans la gamme des services managés de telindus «Les entreprises ont toujours pratiqué, pour des raisons de sécurité, le filtrage d'url, constate Xavier Charonnat, service designer chez Telindus France. Or celuici devient primordial avec l'usage croissant d'internet et la «webisation» des applications métier. À cela s'ajoute la tendance à l'externalisation des tâches non critiques, dont fait partie le filtrage d'url. L'entreprise se concentre sur son cœur de métier et garde chez elle ses données les plus sensibles ; elle confie de plus en plus à un prestataire les autres tâches.» Pas d'investissement POur l'entreprise C'est dans ce contexte que Telindus a intégré dans sa panoplie de services managés les prestations de Zscaler. Ainsi, un grand compte qui a déjà confié à l'intégrateur la supervision de son réseau et ses équipements de sécurité peut y ajouter le filtrage d'url. «L'intérêt de la solution Zscaler est de se présenter sous forme SaaS, c'est-à-dire qu'elle ne nécessite aucun Le filtrage d URL devient primordial avec la webisation des métiers investissement, mais seulement un abonnement à un service». Telindus joue le rôle d'intermédiaire entre les serveurs proxies de Zscaler et son client. Les noms et les identifiants/mots de passe des employés sont entrés dans les serveurs proxies de Zcaller, soit manuellement, soit via une connexion avec l'annuaire LDAP ou Active Directory de l'entreprise. Lorsqu'une requête est émise par un salarié, elle est redirigée vers le proxy Zscaler le plus proche. Là, elle se confronte aux règles de filtrage instaurées lors de la configuration du service : la consultation du site demandé par cet utilisateur, ce jour et à cette heure est-elle autorisée? Si la réponse est affirmative, la requête est envoyée vers sa destination ; si elle est négative, elle est refusée. Lorsqu'une alerte est émise par le serveur Zscaler, le guichet unique de services de Telindus la reçoit et la traite. Si nécessaire, elle est aiguillée vers l'ingénieur de suivi de compte (ISC) qui l'analyse et effectue, le cas échéant, les opérations requises. L'information est ensuite transmise au client. L'alerte peut être déclenchée par la détection d'un virus dans les flux de réponse à la requête, d'où la nécessité de renforcer le dispositif de Sécurité et de vérifier si l intrus ne s'est pas déjà propagé dans le réseau du client. Il peut également s'agir d'informer l'entreprise qu'un salarié surfe trop souvent sur des sites personnels. Ou encore présente un comportement à risques qui ne cadre pas avec sa fonction (visite de sites de piratage ou d'hébergement de malwares, par exemple). telindus gère les changements Telindus gère aussi et surtout les changements, à la demande du client et en accord avec sa politique de Sécurité. Ceux-ci peuvent être mineurs ajout d'un utilisateur, d'un nouveau site autorisé (white list), modification de la bande passante affectée à un type de surf ou majeurs changement de la méthode d'authentification, intégration de mécanismes de DLP (Data Loss Prevention). Le client a accès au portail de Zscaler pour consulter le tableau de bord (consommation de bande passante, nombre et type de requêtes...).enfin, comme toujours, Telindus est en mesure d'intervenir en amont, dans une phase de conseil. Par exemple, concilier les impératifs de Sécurité et les contraintes métiers. Si les règles sont trop lourdes et ralentissent l'activité, elles deviennent une charge dont les utilisateurs cherchent à s'affranchir ; elles perdent alors toute leur efficacité.

14 14 n 13 Business connect tendances sécurité : les firewalls nouvelle génération Du simple contrôle d une adresse IP à l identification et le contrôle des applications en fonction des utilisateurs et du contenu, les firewalls dernière génération imposent de nouvelles donnes dans la sécurisation du réseau. Rencontre avec un expert Sécurité de Telindus. Business Connect : Si nombre de professionnels parlent désormais d'évolutions significatives dans les technologies de Sécurité, en particulier les firewalls, de quoi s'agit-il en réalité? La Sécurité doit par définition être adaptative et évoluer pour prendre en compte les nouvelles menaces rencontrées. Si certaines technologies de firewalling sont anciennes, nous assistons depuis peu à une véritable mutation technologique. L identification des applications grâce à une information de type Layer4 est devenue désormais de moins en moins fiable. Une autre nouveauté concerne l utilisation de la notion d utilisateurs plutôt que d adresses IP sources, et repose essentiellement sur l absence d interactivité dans l identification de La sécurité doit être adaptative et évoluer NEXT Generation l utilisateur. Autrefois, les règles d authentification demandaient une action manuelle de l utilisateur. Aujourd hui, la récupération par le NGFW de l identité est totalement transparente. C est dire que les identifications basées sur l'adresse IP sont obsolètes? L identification d un serveur par son adresse IP reste fiable. L identification d un utilisateur est, quant à elle, plus délicate. La technologie DHCP reste très répandue et le facteur de mobilité des utilisateurs est de plus en plus important. Il faut déterminer qui est titulaire de quelle IP en temps réel. Pour cela, le firewall doit se reposer sur une source d information fiable de type Serveur DHCP, Active Directory, etc. Peut-on parler de multiples fonctions de Sécurité intégrées à un seul équipement? Et pour quelles performances? Next Generation Firewall ne veut pas dire forcément UTM. Par contre, nous avons été très attentifs aux dégradations de performance des précédents UTM lorsque plusieurs fonctions étaient activées. Les plus performants contrôlent désormais tous les paramètres en une seule passe grâce à un FPGA. Une nouveauté : l utilisation de la notion d utilisateur Quelles sont les contraintes des acteurs pour maintenir la richesse fonctionnelle du produit? C est en effet un challenge. La qualité du filtrage repose sur la qualité de l identification des applications. L identification repose sur des «signatures» qu il faut faire évoluer au gré des changements qui interviennent régulièrement dans les applications. L investissement des éditeurs dans la R&D sera donc plus important. Existe-t-il différentes solutions fournies par les éditeurs pour ces nouveaux firewalls? D un point de vue marketing, les offres seront assez semblables. Sur un plan technique, les résultats seront assez inégaux. Il est fortement indiqué de tester les fonctions en environnement réel avant de faire un choix définitif. Plusieurs solutions sont envisageables, on distingue deux familles d acteurs : les nouveaux entrants conception d un produit avec comme cahier des charges initial, d assurer les fonctions NGFW ; Et les acteurs historiques du firewalling qui proposent, soit par développement, soit par acquisition de technologies, des fonctions équivalentes.

15 tendances n 13 Business connect 15 La décennie du service numérique En 2010, deux idées fortes se dégagent en matière de nouvelles technologies : poursuivre l urbanisation informatique par l urbanisation des services informatiques et garantir l augmentation de performance en optimisant les coûts. Dix technologies stratégiques ont été ciblées par le Gartner (voir encadré) parce qu elles sont matures pour une mise en œuvre et une large adoption ou parce que leur utilisation précoce peut apporter un avantage compétitif. le cloud computing L urbanisation informatique s est calquée jusqu ici sur nos modèles classiques, et le Cloud Computing invente le réseau de services applicatifs «public et privé». Ce modèle est à la fois très innovant et très économique. Les entreprises n ont plus besoin de monter elles-mêmes leur infrastructure réseau et serveur, ce qui demande un savoir-faire et des finances qu elles n ont pas forcément. Elles peuvent laisser des fournisseurs de services leur proposer des capacités clés en main. Les avantages immédiats sont la baisse des coûts liés au déploiement de services, mais aussi la réduction des délais, une externalisation des risques comme le plan de continuité, sans oublier la panoplie des solutions alternatives à la haute disponibilité, voire même la sauvegarde. A contrario, la mutualisation des services nécessite de bien connaître le patrimoine de l entreprise, de maîtriser la notion de Sécurité aux frontières de l entreprise, de traiter impérativement la conformité des données et de développer la culture de contractualisation des services. Nul doute que le Cloud Computing va décupler les possibilités de nos Systèmes d Information en apportant des solutions de mutualisation sécurité et suivi d activité à ce jour, la sécurité s'est concentrée sur le fait de mettre des barrières permettant de s'isoler de l'extérieur, puis elle a évolué vers des activités de surveillance et des systèmes d'identification. La complexité des infrastructures a multiplié les briques de sécurité, sans apporter une réelle sérénité face aux nouvelles menaces. Les professionnels de la sécurité de l'information doivent relever le défi consistant à détecter l'activité malveillante dans un flot constant d'événements discrets, habituellement associés à un utilisateur autorisé et sont issus de sources multiples en termes de réseau, de systèmes et d'applications. Les tendances technologiques exposées vont permettre de revisiter le processus de sécurité, pour une meilleure définition. En effet, l infrastructure se banalise et l enjeu de sécurité se concentre sur les données, les applications, et les réseaux Cet enjeu de sécurité se résume en un «Qui fait quoi et comment» alliant ainsi l objectif de sécurité et de suivi d activité. Les dix technologies innovantes présentées vont aider à migrer d une sécurité en silos vers une sécurité collaborative entre les composants, favorisant les techniques d analyses des applications génériques. Mais le meilleur est à venir, shazam est une application de reconnaissance auditive comportementales liées au poste de travail, et des usages il s agit du web collaboratif qui permet d obtenir applicatifs. Les nouvelles instantanément le titre d une comme par exemple cette chanson que vous êtes en train générations de firewall, comme application sur ipod. d écouter. il suffit pour cela de Palo Alto Networks, inaugurent ce concept illustre des lancer le logiciel et d orienter ces concepts. votre iphone sur la source possibilités nouvelles d une JEAN-MARC CHARTRES CONSULTANT musicale, et après quelques urbanisation «neuronale» (image ci-contre). secondes shazam vous fournit le titre du morceau. TELINDUS Le Cloud Computing invente le réseau des services applicatifs les dix technologies stratégiques POur 2010 selon le gartner 1. Cloud computing au-delà des concepts, il réalloue certains coûts et en diminue d'autres Technologies analytics avancées amener le décisionnel aux processus métier 3. Virtualisation du poste client poursuivre le nomadisme collaboratif 4. Green IT «initiatives vertes» et télétravail 5. Remodelage du data center rationalisation des m 2 et lego 6. Réseaux sociaux intermédiation des réseaux 7. Sécurité et suivi d'activité revisiter la sécurité 8. Mémoire Flash son data center de poche 9. Virtualisation pour la disponibilité rationalisation et parades à la haute fiabilité 10. Applications mobiles 1,2 milliard de personnes ont déjà un smartphone

16 16 n 13 Business connect realisations Communications Unifiées au conseil général d ille-et-vilaine Le Conseil général d Ille-et-Vilaine (CG 35) a lancé dès 2009 un vaste projet de déploiement de Communications Unifiées au sein de ses services. Objectif pour le CG35 : accompagner la nouvelle organisation des services qui prévoyait la création et la mise en route, dès le 4 janvier 2010, de sept agences pour un exercice des compétences départementales au plus près des habitants d Ille-et-Vilaine. THIERRY WEIBEL, «nous avons réalisé une étude économique qui montre que la Toip en tant que telle n'apporte pas de bénéfices substantiels. en revanche, dès que l on intègre des éléments liés à la réduction des déplacements dans le cadre d'une organisation déconcentrée avec la mise en place de services à valeur ajoutée comme la visioconférence, la messagerie instantanée, la visiophonie, le partage de documents à distance on obtient un roi rapide et conséquent.» L objectif des Communications Unifiées était de favoriser le travail collaboratif et d abolir les distances entre les différentes implantations du CG35. Il s agissait notamment de permettre aux salariés, répartis dans les sept agences départementales, ainsi qu au siège à Rennes, de travailler ensemble en évitant de se déplacer trop fréquemment et ainsi de réduire l'empreinte carbone de la collectivité. Pour la DSI, il s agissait d un projet d envergure qui réclamait une nouvelle architecture de réseau, un nouveau plan de numérotation téléphonique et une conduite du changement individualisée auprès de chaque agent. Le projet dans sa globalité a été cadré et validé en Il s est concrétisé par une procédure d appel d'offres fin 2008 et le choix du prestataire s est fait en mars Le déploiement et la formation de plus de 1000 agents se sont déroulés entre mars et décembre Plusieurs PériMètres concentriques «En 2008, nous avons considéré que les Communications Unifiées étaient la solution pour valoriser les investissements à faire sur la ToIP et faciliter grandement le travail de nos collègues, bientôt répartis sur le territoire départemental, explique Thierry Weibel, Directeur des Systèmes d Information du CG 35. À partir de là, nous avons déclenché le projet global ToIP, associé aux Communications Unifiées en tant que service à valeur ajoutée». Le but des Communications Unifiées est d intégrer les différents outils de communication en temps réel au sein d une centrale de communication, simple d emploi. En premier, viennent la gestion de disponibilité, la téléphonie et la messagerie instantanée, puis la vidéophonie, ensuite l intégration de la centrale de communication aux outils de type portail et suite collaborative. En second, on retrouve des outils de conférence, audio/visioconférence interne et externe, intégrant la possibilité de partage de documents en temps réel. Enfin, on trouve l utilisation des outils de communication unifiée en situation de mobilité via un micro-ordinateur connecté à Internet ou un téléphone intelligent. L étude de cadrage du projet a démontré un retour sur investissement en 24 mois si le projet permet à chaque cadre supérieur d éviter un déplacement par mois, à chaque cadre intermédiaire un déplacement tous les deux mois et un déplacement tous les trois mois pour les agents opérationnels. Le CG35 a retenu le groupement Telindus/Exakis à la suite de la procédure d appel d offres. Le projet doit sa réussite à des facteurs clés comme le respect, tout au long du projet, de la qualité, des délais et des coûts, mais aussi grâce à une grande réactivité de l équipe-projet réunissant les membres du partenaire Telindus/Exakis et les acteurs du CG35. «C est un projet extrêmement innovant et pionnier qui a pu bénéficier d une forte implication de la Direction Générale. Nous avons apprécié un prestataire très engagé qui a mis tout en œuvre pour que le projet aboutisse, malgré un planning très serré et de coûts très contraints. C est un projet partenarial qui n'aurait pas pu réussir sans un engagement total des uns et des autres» conclut Thierry Weibel. La solution est opérationnelle depuis le 4 janvier 2010, plus de 1000 personnes ont été formées. à PrOPOs de cg 35 L Ille-et-Vilaine, c est un équilibre réussi entre la ville centre, Rennes, métropole régionale, et des «pôles» secondaires : Saint-Malo, Fougères, Vitré, Bain-de-Bretagne, Redon et Montfort-sur-Meu Le Département compte 4000 agents qui préparent et mettent en œuvre les décisions de l Assemblée départementale

17 realisations n 13 Business connect 17 le cg 44 a ouvert son infrastructure Internet à ses administrés En 2004, un grand projet de modernisation est lancé par le Conseil général de Loire-Atlantique (44). Il s agit de développer par le biais de l'e-administration de plus en plus de services pour les administrés et les partenaires. Conçu sur le principe du «château fort», le Système d Information du Conseil général de Loire-Atlantique (CG 44) ne permettait pas une circulation optimisée de l information en particulier vers les administrés. Un projet de refonte de l architecture Internet a permis de créer de nouvelles fonctionnalités tout en favorisant la Sécurité par l optimisation des firewall, et des reverse-proxies. «En 2004, précise Nicolas Bunoust, Responsable de la Sécurité du Système d'information à la Direction de l'informatique et des Nouvelles Technologies du CG 44, nous avons souhaité réviser l'ensemble de l'architecture matérielle du SI. Nous avons conduit une procédure d'appel d'offres sous forme de dialogue compétiti,f et retenu quatre sociétés. Telindus a été choisi pour son offre à la fois technologique et financière. Leur solution était la plus adaptée à notre besoin, cohérente, efficace, simple d'exploitation, avec un bon rapport qualité/prix». de passe à un mécanisme SSO (Single Sign-On).» Le SSO centralise l'authentification des utilisateurs afin de permettre l accès à toutes les ressources (données, systèmes, matériels) auxquelles ils ont l autorisation d'accéder, en s'étant identifiés sur le réseau par mot de des Bénéfices immédiats Avec la mise en place d un VPN SSL (un accès réseau à distance), le CG 44 donne notamment la un passe personnel. L authentification de l utilisateur est ainsi propagée aux différents services du réseau et évite donc de renouveler les procédures possibilité à ses collaborateurs de bénéficier d'une fonction sécurisée d'accès à distance. Des applications web, comme dans le domaine social ou pour les demandes de subvention, sont aussi mises à disposition des partenaires. partenariat efficace et à la hauteur de nos attentes d identification. un Partenaire expert et neutre Telindus a conduit la mise en place du projet et propose une mission d assistance dans Le reverse-proxy est chargé de vérifier l'identité de l'internaute qui se connecte sur cette application. Il identifie et analyse toutes les informations qui sont envoyées à un utilisateur et détecte si ces informations sont cohérentes ou malveillantes. «Nous avons associé ce projet à un projet interne sur la gestion des identités, ajoute Frédéric Breton, Responsable Unité Réseaux et Télécommunications. Cela nous permet de gérer de manière centralisée les identités et les l'exploitation de cette plate-forme. «Telindus joue pleinement son rôle de conseil et nous apporte son expertise sur les technologies et dans la mise en œuvre de ces solutions, conclut Frédéric Breton. Avec Telindus, le partenariat est tout à fait à la hauteur de nos attentes et très efficace. Nous avons apprécié le dogmatisme des intervenants qui nous ont bien conseillés dans la mise en œuvre de la solution sans décalage et en respectant les objectifs de départ.» accréditations et d'associer l'authentification avec mot NICOLAS BUNOUST «nous attendons de notre partenaire une expertise à la fois large et ciblée, un conseil neutre et avisé, et une assistance sur des opérations bien définies, complétés d une bonne connaissance des collectivités.» Quelques chiffres : 300 sites interconnectés postes 250 applications métiers à PrOPOs de cg44 Le Conseil général de Loire-Atlantique (44) est à la pointe des Technologies de l'information et de la Communication (TIC) Sa direction informatique est organisée autour de 4 services - administratif et financiers, études et développement, utilisateurs, et architecture infrastructure et compte 95 collaborateurs

18 18 n 13 Business connect Partenaires Les firewalls multifonctions de Palo alto networks Les pare-feu nouvelle génération de Palo Alto Networks offrent une visibilité et un contrôle sans précédent sur les applications, les utilisateurs et les contenus de flux au sein du réseau de l'entreprise. rdifférenciations techniques Identifier toutes les applications qu elles soient standards, chiffrées ou masquées (via des techniques d évasion (tunneling ). Identifier les utilisateurs et non plus seulement l adresse IP source. Fournir un reporting global, temps réel et en différé, sur les tendances de flux. Fournir un point de filtrage unique en intégrant toutes les techniques : FW, IPS, Antivirus, Antispyware, filtrage URL, DLP, QoS, VPN. Fournir des performances élevées grâce à la technique d analyse : traitement en parallèle en un seul passage, combiné avec un matériel spécifiquement conçu pour offrir jusqu à 10 gigabits de traitement. Palo Alto Networks a réinventé le pare-feu afin qu il soit de nouveau l équipement le plus stratégique dans le dispositif de Sécurité d un réseau d'entreprises. Désormais, le firewall redevient l élément clé d une architecture de Sécurité permettant de contrôler les applications, avec plus de granularité, en fonction des utilisateurs et du contenu. Identification des applications - Identification de plus de 950 applications, indépendamment du port, du protocole, du chiffrement SSL ou de la technique d'évasion. - Outils de visibilité graphique permettant une vue simple et intuitive du trafic des applications. - Les contrôles de stratégie bloquent les applications néfastes et les bonnes applications. Identification des utilisateurs - Contrôle et visibilité à base de stratégies sur les utilisateurs des applications, via une intégration transparente à Active Directory. - Contrôle des hôtes autres que les hôtes Windows via l'authentification Web. Identification des contenus - Blocage des virus, logiciels espions et failles de vulnérabilité, limitation des transferts non autorisés de fichiers et de données sensibles (numéros de carte de crédit et de Sécurité sociale, par exemple), et contrôle de la navigation Web non liée à l'activité professionnelle. - L'architecture à une seule passe permet un débit de plusieurs gigabits avec un délai d'attente faible, tout en analysant le contenu. Plate-formes prises en charge et débit du pare-feu - PA Gbits/s, - PA Gbits/s, - PA Gbits/s, - PA Gbit/s, - PA Mbits/s, - PA Mbits/s. Ces nouveaux pare-feu permettent de contrôler l ensemble des droits d accès selon les utilisateurs ou les applications, ainsi qu un filtrage pointu de certaines d entre elles. des fonctionnalités accrues PerMettant une reconnaissance de plus de 950 applications ; l autorisation ou l interdiction de chacune d entre elles par profil utilisateur : un filtrage précis tel que seulement certaines fonctions d une application soient interdites : une visibilité jusqu à ce jour inédite des flux applicatifs par utilisateur : une vue graphique cartographiée de ces mêmes flux ; des statistiques complètes et multiples en temps réel de toutes ces données (par application, par utilisateur, par région, etc.) ; Et cela, sans pour autant oublier les fonctionnalités basiques, telles que VPN, QoS, IPv6, SSL, qui sont souvent aujourd hui obtenues en multipliant appliances, technologies, sondes, corrélations de logs, etc. Désormais, avec la technologie développée par Palo Alto Networks, le tout peut être traité dans une seule et même appliance, jusqu à 10 Gb de bande passante. POur des Bénéfices assurés Consolidation de plusieurs fonctions de Sécurité périmétrique au sein d un équipement sans dégradation de performances. Réduction des coûts d exploitation et de support des architectures existantes. Offre d une visibilité complète sur les activités/risques au travers d un reporting intégré. Amélioration de la Sécurité en identifiant/contrôlant tous les flux, y compris les flux chiffrés et les nouvelles applications (Web 2.0, Webex ).

19 Partenaires n 13 Business connect 19 supprimer les serveurs en local Cependant, certains clients veulent garder des services en local, pour des raisons de règlement interne. Ainsi, en cas de coupure du lien, l'agence peut continuer de travailler. C'est notamment le cas des services d'impression, d'annuaire, de DNS (Domain Name Server), de DHCP (Dynamic Host Configuration Protocol). Ceux-ci sont hébergés sur la RSP (Riverbed Services Platform) des boîtiers Steelhead. La RSP, basée sur VMware, amène une grande flexibilité aux DSI. Elle permet de consolider localement les services Windows, les services de Sécurité et la vidéo en streaming, en se débarrassant des serveurs phyriverbed optimise le Cloud Spécialiste de l'optimisation des flux réseaux et de l'accélération des applications, Riverbed porte ses solutions dans le Cloud, cette nouvelle manière proposée aux entreprises d accéder à des ressources informatiques distantes. «Audébut des années 2000, les entreprises se sont intéressées à l'optimisation de trafic afin d'accompagner le mouvement de consolidation des serveurs», explique Christian Lorentz, responsable marketing produit en Europe chez Riverbed, spécialiste de l'optimisation de trafic. Pour des raisons d'économie, de facilité d'exploitation et de maintenance, l'entreprise supprime les serveurs locaux (bureautiques, fichiers, applications métier) dans les agences et concentre les ressources informatiques dans le Data Center. Il faut alors compter avec le temps de traversée du réseau étendu (latence), beaucoup plus long que sur le réseau local qui entraîne un «ralentissement», parfois insupportable, des applications. Pour les «accélérer», on a recours à l'optimisation de trafic. Celle-ci nécessite des boîtiers spécifiques (appliance Steelhead chez Riverbed) installés dans le Data Center et dans chacune des agences. siques. En plus, elle offre à un administrateur la possibilité de déployer rapidement n importe quelle application sur le site distant sans avoir à y envoyer un serveur. Grâce à la combinaison du boîtier Steelhead et de la RSP, beaucoup d entreprises ont pu se séparer de leurs serveurs de sites, et n ont plus qu une infrastructure réseau dans les filiales. Depuis quelques années, on a vu arriver le phénomène du Cloud. Dans les grandes lignes, il s'agit, pour l'entreprise, d'accéder à des moyens informatiques distants (applications, stockage ) au travers du réseau Internet (Cloud). Lorsque ces ressources distantes appartiennent à l'entreprise, c'est le Private Cloud ; lorsqu'elles sont fournies par un prestataire externe (Google, Microsoft, Salesforce...), on parle de Public Cloud. Vers le cloud hybride «En fait, les entreprises se tournent plutôt vers l'hybrid Cloud, précise Christian Lorentz. C'est une transition progressive du Private vers le Public Cloud.» Par exemple, une entreprise a besoin d'une baie de stockage supplémentaire pendant un mois ou deux par an. Plutôt que de l'acheter, elle en utilise une chez un prestataire distant, le temps voulu (Infrastructure as a Service). à l'inverse, une entreprise peut louer une application, par exemple chez Salesforces.com, et celle-ci va chercher les données dans les serveurs de l'entreprise. Dans les deux cas, il faut optimiser et «accélérer» le trafic, car les performances du Cloud sont très variables. Dans ce but, fin 2009, Riverbed a annoncé sa stratégie Cloud. La première innovation sera la solution logicielle Virtual Steelhead. AVOIR LA VISIBILITÉ SUR LE RÉSEAU Pour optimiser le trafic, encore faut-il en avoir une bonne visibilité, c'est-à-dire connaître les flux qui le composent. C'est la fonction du boîtier Cascade, de Riverbed, dont la version 8.4 vient d'être annoncée. Il recueille les informations de trafic sur les équipements réseau (routeurs, commutateurs ) par le biais du standard NetFlow et des informations sur le fonctionnement et la santé des applications grâce à un boîtier et des agents embarqués sur les boîtiers Steelhead (Sensor). Il est ainsi possible de suivre et de recevoir une alerte en temps réel sur une dégradation de la performance des applications et du réseau pour pouvoir réagir plus vite et résoudre le problème avant que l utilisateur n'appelle la hotline.

20 20 n 13 Business connect Partenaires Websense protège les entreprises des dangers de la Toile 50 MilliOns d'adresses analysées Le réseau ThreatSeeker analyse en permanence les risques potentiels présentés par une cinquantaine de millions d'url (adresse de site Internet). Il s'appuie pour cela sur une infrastructure mondiale, baptisée HoneyGrid. C'est lui qui examine les sites pour y détecter les menaces potentielles. Les résultats sont ensuite envoyés dans le réseau data center ThreatSeeker. À son tour, celui-ci met à jour les passerelles des clients ou effectue en mode SaaS (Software as a Service) la protection du trafic de ses clients. Sécurité Internet, sécurité de la messagerie et protection des données sont les trois activités de Websense. Elle les propose en mode appliance (boîtier spécialisé) sur le site de l'entreprise ou en mode SaaS (Software as a Service) ou encore en mode hybride, combinant les deux formules. Web et courrier électronique sont les deux moyens de communication écrite les plus utilisés dans l'entreprise. Ce sont également les deux canaux les plus courants d'infection du Système d'information via les virus, spywares et autres vers contenus dans les sites web pirates ou les courriels corrompus. C'est également par eux que se pratique le vol d'informations critiques (documents techniques, commerciaux ou financiers). Websense, société américaine, partenaire de Telindus, se place sur le marché de la protection des trafics web, de la messagerie et de la prévention de pertes d'information (DLP ou Data Loss Protection). une toile POur surveiller la toile Longtemps, la protection contre les logiciels malveillants a été fondée sur la signature de virus et le filtrage d'url (adresses de sites web). «Avec l'arrivée de nouvelles technologies, et notamment du Web 2.0, ces moyens de défense se sont révélés insuffisants, précise David Brillant, Ingénieur avant-vente chez Websense-France. À ces techniques de base, Websense ajoute une autre démarche, bâtie sur son réseau ThreatSeeker.» Le principe consiste à analyser systématiquement tous les sites web et à traquer les logiciels malveillants (malicious) qu'ils abritent. Grâce à cette radioscopie de la Toile, Websense classe les sites en différentes catégories, en fonction de leur contenu (sites d'informations générales, techniques, réseaux sociaux...) et identifie ceux potentiellement dangereux. Il range ces derniers sur une liste noire (black list). Cette classification est mise à Security jour quotidiennement. Dès lors, chaque entreprise cliente de Websense est en mesure de définir à quels sites ses salariés ont le droit d'accéder, en fonction de leur profil. Les requêtes transgressant ces règles sont bloquées. De plus, le trafic échangé avec les sites autorisés est analysé à la volée pour détecter et contrer d'éventuelles menaces. en MOde hybride «L'autre grande caractéristique de Websense est son offre hybride : boîtiers spécialisés (appliances) et mode SaaS (Software as a Service)», ajoute David Brillant. Lorsqu'un client dispose de la passerelle Websense Web Security Gateway, le filtrage et l'analyse du trafic s'effectuent sur le site du client en temps réel et le boîtier reçoit en permanence des mises à jour provenant du réseau de surveillance ThreatSeeker. S'il opte pour le mode SaaS, le moteur d'analyse et de filtrage se trouve chez Websense : tout le trafic passe par un data center du constructeur. «En fait, de plus en plus d'entreprises optent pour un mode mixte, détaille David Brillant. Elles installent des boîtiers sur les sites principaux et optent pour le mode SaaS pour leurs agences. Il ne serait pas rentable pour elles de toutes les équiper, surtout si elles sont nombreuses et réparties à travers le monde.» La tâche de prévention de pertes de données est effectuée par le logiciel DSS (Data Security Suite). Celui-ci analyse tout le trafic qui sort de l'en- b i y treprise pour en repérer les mots clés (données financières et techniques par exemple) et pour bloquer le trafic qui les véhicule. DSS fonctionne sur la passerelle Websense Web Security Gateway en mode site ou dans le Data data center de Websense Security i en mode SaaS. Enfin, la protection de la messagerie, assurée par le logiciel Hosted Mail, s'effectue uniquement en mode SaaS. Web Security ESSENTIAL INFORMATION PROTECTION