Club des Responsables d Infrastructure et de Production. L Essentiel des Conférences CRiP Thématiques. Les Essentiels.

Transcription

1 Les Essentiels Club des Responsables d Infrastructure et de Production L Essentiel des Conférences CRiP Thématiques Saison

2 Sommaire des Essentiels ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain p 3 Essentiel n 22 du 23 septembre Le Big Data au service des métiers p 7 Essentiel n 23 du 16 octobre Les services IT dans le cloud p 11 Essentiel n 24 du 3 décembre Supervision, orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT p 15 Essentiel n 25 du 21 janvier Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets p 21 Essentiel n 26 du 19 mars Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing p 25 Essentiel n 27 du 27 mars L optimisation des datacenters : une priorité pour les DSI p 29 Essentiel n 28 du 09 avril Outsourcing : sans cesse sur le métier p 33 Essentiel n 29 du 09 avril Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d activité p 37 Essentiel n 30 du 16 avril 2014 A propos du CRiP - Au services des membres du CRiP p 41 - ITES Deauville 2015 : ruptures d usages et de technologies à l horizon 2020 p 51 - Feuille de route des 16 groupes de travail du CRiP p 59 - Près de 300 Grandes Entreprises et Administrations adhèrent au CRiP p 63 - Les 7 bonnes raisons d adhérer au CRiP p 64 - Le CRiP se développe en région et à l international p 65 - IT innovation Forum : la sélection de +120 solutions innovantes p 67

3 Club des Responsables d Infrastructures et et de de Production #22 Novembre 2013 Poste de travail, Mobilité, Collaboration CRiP Thématique ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain L évolution du poste de travail n est pas une option mais un impératif dicté aussi bien par l obsolescence des solutions en place que par les nouvelles demandes des utilisateurs et des métiers. Le modèle du PC pour tous a vécu, et cède la place à une multiplicité de terminaux et de modèles d accès à un environnement de travail capable d accompagner l utilisateur dans ses besoins et ses mouvements. Le contexte La conférence CRiP Thématique du 23 septembre 2013 était organisée par le Groupe de Travail Desktop Nouvelle Génération du CRiP, et parrainée par Jean-Paul Amoros, Directeur de la Production GDF SUEZ. Le Groupe de Travail Desktop Nouvelle Génération se réunit tous les mois pour débattre des évolutions en cours dans le domaine des environnements de travail qui ne se réduisent pas au PC, mais incorporent aussi les nouveaux terminaux (smartphones, tablettes) et sont marqués par l importance croissante de la mobilité. Cette journée d intervention était avant tout composée de retours d expériences avec les témoignages d ADP, de BNP Paribas, du Conseil Général des Hauts-de-Seine, de Damart, de la FNAC, de la Gendarmerie Nationale, de GDF SUEZ et de Praxis. Pierre Mangin, directeur des études du CRiP y a aussi présenté les résultats de l enquête CRiP Index Stratégies des Devices Mobiles consacrée à l adoption des différentes catégories de terminaux mobiles chez les adhérents du CRiP, aux options du ByoD, et au déploiement d outils de type MDM (Mobile device management). 3 En quelques phrases Le poste de travail ne se limite plus au PC La mobilité et le ByoD constituent des horizons inévitables de toute évolution des environnements de travail L identification de types d utilisateurs est une démarche préalable à tout projet d évolution des postes de travail La notion de master monolithique a volé en éclat au profit de masters modulaires Le poste virtuel se propage, même si son modèle économique reste difficile à maîtriser Linux et les logiciels libres constituent des alternatives crédibles, mais qui demandent une vaste gestion du changement

4 Ce qu il faut retenir La coloration générale de l événement ne laisse pas le moindre doute : le temps du PC tailleunique, gris, posé sur le coin du bureau, est fini. La solution qui consistait à proposer un desktop ou un portable sous Windows à la totalité des collaborateurs de l entreprise ne fonctionne plus. Lors d une migration technique, en réponse à une demande métier, pour résoudre un problème ponctuel, la palette de solutions s est ouverte : client riche traditionnel Windows, poste Linux, virtualisation de poste ou d applications, client léger, smartphone, tablette, Desktop-as-a-Service, à chaque entreprise de choisir, de combiner, de décliner les solutions selon ses besoins. La situation est bien résumée par un intervenant qui souhaite «sortir du poste de travail traditionnel : passer à une offre de services de postes de travail, disponibles à tout moment, de partout, depuis tout terminal.» Une démarche qui impose de rendre les différentes couches du poste de travail aussi indépendantes que possible, d assurer la mobilité des données avec une solution de type box en ligne pour faciliter le stockage et le partage, et d utiliser la virtualisation pour garantir un important niveau d élasticité. Différencier les utilisateurs pour différencier les services Aucune entreprise ne peut plus désormais s épargner une sérieuse analyse de sa population d utilisateurs ainsi qu une segmentation selon les usages et les besoins afin de mettre en place un catalogue de services adapté. «Dans certains de nos métiers où la consultation des documents importe plus que leur modification, la tablette s avère suffisante pour une grande partie des usages», témoigne un des intervenants. «Un examen un peu poussé nous a montré qu un poste virtuel accessible depuis un terminal partagé suffisait pour une partie de nos utilisateurs», confirme un autre. Le résultat de cette analyse des usages varie bien entendu selon chaque entreprise en fonction de ses activités : pas question de se baser sur une typologie standard. Cependant, quatre grands profils apparaissent avec régularité : l utilisateur commercial fortement mobile qui doit pouvoir se connecter de partout, le travailleur du savoir (knowledge worker) qui a besoin d un poste bureautique riche et complet, l utilisateur qui n a besoin que d une messagerie électronique et de quelques logiciels métiers accessibles en mode distant, l utilisateur technique qui exige un poste spécialement musclé aussi bien en matériel qu en logiciel. L établissement de cette nomenclature basée sur les usages est une étape préliminaire qui permettra par la suite de réaliser les choix techniques adéquats. Ce travail de segmentation a aussi fait évoluer la notion de Master. Le Master inclut désormais une famille de configuration, ou de combinatoires, et non plus une configuration unique, par exemple en proposant plusieurs couches modulaires «Nous avons une couche de base corporate qui comprend la bureautique, les applications d entreprise, les paramètres de sécurité globaux ; une couche de localisation par pays et des couches propres à chaque service ou département. Aucune couche ne peut altérer la sécurité de celles qui se trouvent en dessous d elle», témoigne un des intervenants. Le Poste virtuel : bien ancré dans le paysage La richesse des retours en témoigne : le poste de travail virtualisé sur un serveur (modèle VDI : Virtual Desktop Infrastructure) a fait son entrée dans de nombreuses structures où il a trouvé en quelques années toute sa place. «Ce type de poste de travail peut s appliquer à 80 % des utilisateurs», considère l un des participants qui l a mis en œuvre en réponse à un problème ponctuel, mais compte en étendre le champ d utilisation. En effet, le VDI reste un moyen pratique de résoudre des cas d usage complexes ou à la marge : - éviter tout stockage de données en local, - donner accès à plusieurs environnements nettement isolés depuis un même poste, - assurer un déploiement homogène des configurations sur un nombre important de postes disséminés, - fournir un poste à un prestataire temporaire. 4

5 Mais la solution VDI présente aussi des avantages qui incitent à la déployer pour des usages plus courants : gestion centralisée des politiques de sécurité, maintenance à distance simplifiée qui limite les interventions sur site aux seules pannes matérielles (elles-mêmes pouvant être prises en charge directement par le fournisseur des matériels), allongement du cycle de vie des terminaux, simplification du déploiement pour les entreprises ayant une implantation très disséminée, etc. L investissement initial est cependant plus élevé qu avec une infrastructure de postes de travail classiques, puisqu il faut des serveurs et du stockage additionnels, de l espace en salles machines, ainsi qu un réseau correctement dimensionné. «L investissement additionnel peut être de 15 à 20 % affirme un intervenant. Mais dans un second temps, le cycle de vie du parc s allonge et passe de 4 ou 5 ans à 10 ans». Bien sûr, la gestion des périphériques reste un vrai problème, qui s avère parfois insurmontable et impose de conserver quelques postes avec des OS natifs. «D un autre côté, monter un PRA pour les postes de travail est bien plus facile une fois que vous avez consolidé vos VM sur quelques serveurs qu il est aisé de dupliquer sur un deuxième site», constate un intervenant. Pourtant, le modèle économique global reste problématique. «Le RoI du poste de travail virtuel n est pas évident à établir, les gains à court et même à moyen terme n apparaissent pas si évidents. Même si on s épargne les déploiements capillaires», témoigne un intervenant. «J avais du mal à trouver un argument économique convaincant, et ce qui l a finalement emporté a été la possibilité de mettre en œuvre un plan de continuité d activités automatisable au niveau des postes de travail, ce que nous étions jusque-là incapables de faire. Sans cet élément, nous n aurions jamais pu vendre le projet à notre direction», assure un autre. Attention tout de même «nous avons quelques applications qui demandent plus de 30 Go de mémoire vive. Celles-là ne sont pas éligibles à la virtualisation» ; par ailleurs, comme le note un des intervenants, «Le VDI pose aussi des problèmes de redimensionnement de réseau et de datacenter». Le poste Linux «Nous avons migré postes sous Linux et comptons en avoir à terme », témoigne l un des intervenants. La démarche est rare, presque unique, mais pas impossible. La migration ne sera cependant pas totale : certains postes Windows vont perdurer, faute de moyen de s en passer, pour des applications spécifiques en particulier. Les gains d une telle démarche ont été doubles dans le cas évoqué. Des économies de licences significatives ont d abord été obtenues, mais de façon tout aussi significative, cette migration a été l occasion de refondre entièrement le modèle de déploiement et de télé-administration. «Cette opération nous a permis de réduire de 40 % le TCO de nos postes de travail, et de limiter les interventions de techniciens sur sites. Notre seul coût résiduel, c est désormais l équipe technique en charge de la maintenance». Une telle migration s inscrit forcément dans un projet de longue haleine : choix des standards ouverts dès 2004, wébisation massive des applications, choix du mode client léger pour l accès à certaines applications ne pouvant pas passer en mode Web. «La plus grosse adhérence à surmonter a été l abandon de la suite Office qui a demandé une forte gestion du changement». La Mobilité et le ByoD, compagnons de route Les questions que pose la mobilité n étaient déjà pas simples. Mais voici que mobilité et Bring-your-own- Device la possibilité donnée aux collaborateurs de connecter leurs propres équipements au système d information de l entreprise paraissent comme deux enjeux étroitement liés. Au point qu il faut les envisager ensemble. «Nous anticipons le fait que l accès en mobilité va prendre le pas sur l accès fixe, et que le ByoD deviendra une réalité à plus ou moins long terme. Et enfin, on ne peut pas offrir moins à nos collaborateurs qu à nos clients, pour lesquels nous avons déjà déployé des offres mobiles», résume un participant. Tout se tient. La mobilité se répand rapidement dans les usages personnels, les utilisateurs veulent pouvoir utiliser leurs terminaux privés pour se connecter au SI de l entreprise, et pas question de ne pas fournir aux collaborateurs ce qu on sait faire pour les clients. Le ByoD suppose aussi un travail en amont d identification des populations et des services, le L Essentiel CRiP Thématique : ByoD, nouveaux OS, virtualisation, sécurité : les environnements de travail de demain 5

6 même que nous avons vu s appliquer aux postes de travail en général. «C est particulièrement important dans une démarche ByoD : quelle population accepter et pour quels services sont les premières questions, mais ensuite, il faut aussi se demander quels modèles de matériel accepter, et quels sont les risques associés ; par exemple le vol ou la perte peuvent avoir des effets très différents selon le type de services auxquels accède le terminal. Plus généralement, dès que vous faites du ByoD, il y a un problème de confidentialité et de sécurité». Or, ces questions ne sont pas purement techniques, mais aussi contractuelles et réglementaires. Il est par exemple à peu près impossible de proscrire toute fuite de données dans les scénarios ByoD, sauf à verrouiller lourdement les usages. «Il faut donc fixer une règle du jeu au moyen d une charte adaptée car certains contournements techniques sont toujours possibles» rappelle un intervenant. La charte interdira par exemple l utilisation de services Cloud pour y stocker des données d entreprise. Il faut donc faire passer le principe selon lequel : «ce n est pas parce que vous pouvez le faire que vous avez le droit de le faire». Dans la même logique, et toujours en ce qui concerne le Bring-your-own-Device : «Nous avons limité le nombre et le type d appareils supportés», explique un intervenant. Apportez votre propre terminal ne signifie donc pas apportez n importe quel terminal. Qui dit mobilité et ByoD dit aussi, de façon quasi obligatoire, le recours à un outil de MDM (Mobile device management). Comme le soulignent plusieurs intervenants, il existe de très nombreux acteurs dans ce domaine, c est une activité jeune, avec des solutions qui diffèrent encore largement, et des choix présentant des impacts importants sur le périmètre fonctionnel de la solution. «Nous buttons actuellement sur la globalisation de notre solution de MDM par difficulté à trouver un prestataire qui nous offre une interface d administration mondiale», témoigne un participant. La mise en œuvre d une solution MDM suppose un processus en trois étapes. Il y a bien sûr la partie technique qu un PoC doit valider, mais il ne faut négliger ni la définition des processus, ni la formation des collaborateurs. Implémenter un MDM, c est d abord travailler sur le processus d accompagnement. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 6

7 Club des Responsables d Infrastructures et et de de Production #23 Novembre 2013 Big Data & Stockage CRiP Thématique Le Big Data au service des métiers 16 octobre 2013 Vaste ensemble de technologies et de pratiques, le Big Data commence à entrer dans les entreprises pour stocker, contrôler, exploiter et tirer le meilleur parti de quantités de données très volumineuses. Les métiers en sont les premiers bénéficiaires. Le contexte La conférence CRiP Thématique du 16 octobre 2013 a été organisée par le Groupe de Big Data du CRIP, et parrainée par Bruno Prevost, CTO (SAFRAN). Le Groupe de Travail Big Data se réunit tous les mois pour échanger sur les évolutions en cours dans le domaine des environnements liés au Very Large Data Base et de leurs enjeux. Cette journée reposait avant tout sur des retours d expériences avec les témoignages de Baker & McKenzie, d EDF, de la BNF, du CNES, de Mappy et de SFR. A cette occasion, Valère Dussaux (GCS D-SISIF), copilote du Groupe de travail Big Data, et Bruno Prévost, ont fait le point sur une première année de travaux et ont présenté les grandes lignes d un futur Livre blanc Big Data prévu pour En quelques phrases Le Big Data a déjà suscité des déploiements ou amorcé des projets chez un tiers des organisations adhérentes au CRiP. Le Big Data permet de réduire drastiquement la durée de certains traitements lourds, et donc de les effectuer à un rythme plus fréquent pour disposer d informations plus souvent actualisées. La connaissance du client ou consommateur est un champ d application de prédilection du Big Data, mais le stockage et la recherche constituent aussi des terrains féconds. Il n est pas indispensable de disposer de budgets importants pour lancer un projet Big Data : il existe des briques Open Source fonctionnant sur matériel banalisé. Le Big Data impose de se doter de compétences idoines, ou de former des équipes à de nouvelles méthodes. Ces analyses mettent en jeu la règle des 3V, Volume, Vélocité et Variété. Il s y ajoute un 4 éme V pour Valeur ajoutée. 7

8 Ce qu il faut retenir Les 4 V : 1- le Volume En ouverture de la journée, une synthèse de l enquête benchmark Big Data du CRIP auquel une centaine d entreprises adhérentes ont répondu, a apporté un éclairage nouveau : il apparaît que, pour un tiers d entre elles, le Bigdata a déjà été implanté ou est en phasee projet. 2 - Vélocité La vélocité représente à la fois la fréquence à laquelle les données sont générées, capturées et partagées. Les données arrivent par flux et doivent être analysées en temps réel pour répondre aux besoins des processus chrono-sensibles. Les systèmes mis en place par les entreprises doivent être capables de traiter ces données avant qu un nouveau cycle de génération n ait commencé. Autrement dit, elles doivent effectuer du Data stream mining. Un intervenant résume ainsi sa problématique : «Tous les matins, nous étions en retard ; tous les 2 ans, en limite de capacité ; et, dans les faits, la machine était saturée après 3 mois. Les montants à investir devenaient de plus en plus élevés et le pire était à venir. Depuis la mise en place de cartes de compression de données à la volée et d une machine dédiée à ces traitements, fini les retards et un meilleur TCO». Un autre ajoute : «La loi de Moore est respectée pour la puissance CPU, le stockage et les prix, mais pas pour le débit des disques. Une solution est de passer au massivement parallèle». Résultat : des temps de traitement quotidien pouvant durer 36h ramenés à 1h50. Extrait de l enquête benchmark CRiP - index - Oct Il est vrai que le Big Data s impose progressivement du seul fait que le stockage des données croit d une façon exponentielle. Selon une étude IDC, les données numériques créées dans le monde seraient passées de 1,2 zettaoctets par an en 2010 à 1,8 zettaoctets en 2011, puis 2,8 zettaoctets en 2012 et s élèveront à 40 zettaoctets en Les réseaux sociaux généreraient plusieurs dizaines de téraoctets de données chaque jour. Les projets scientifiques combinent à la puissance de calcul des volumes de traitement gigantesques : le projet GAIA traité par le CNES, qui consiste à créer une cartographie 3D de notre proche galaxie, générera à terme 3 Po de données concernant 290 milliards d objets avec 1000 connexions concurrentes à la base. Un autre projet conséquent proposé par un des intervenants concerne la création d une base de donnée documentaire à partie de données non structurées extraites du Web: taille actuelle 370 To, accroissement de 100 To annuel, accès permanent à toutes les données collectées. La question est de connaitre le seuil au-delà duquel il est indispensable de passer au Big Data. Pour certains, c est 5To pour d autres c est 1,5To. Mais ce seuil physique n est pas le seul paramètre en prendre en compte. Le temps de traitement, la nature et la structure des données, l évolution à terme de la taille des bases peuvent devenir prépondérants pour faire le choix du traitement massivement parallèle. Les orateurs ont pu constater des gains de 2 à 10 sur les temps de traitement, bien en deçà de ce qui était annoncé par les fournisseurs, mais justifiant pleinement le choix de la rupture technologique. 3 - Variété Le volume des Very Large Data Base (VLDC) met les entreprises devant un réel défi : la variété des données. Il ne s agit pas de données relationnelles traditionnelles, ces données sont brutes, semi-structurées voire non structurées. Ces données, d origines diverses, sont au format web (Web mining), texte (Text mining) et images (Image mining), formats qui les rendent quasiment inexploitables avec des outils traditionnels. Les nombreux outils de collecte des données permettent d amasser toujours plus de données. Et les analyses sont d autant plus complexes qu elles portent de plus en plus sur les liens entre des données de nature différente. Variété et sa déclinaison: la véracité La véracité des données est un autre élément important pour maitriser les volumes et dépend de la raison d être de la base de données. Un intervenant fait ce constat : quel est l intérêt d une base de 60To si on ne sait pas de quoi elle est constituée et si les données historiques n ont plus de résonnance? Un autre a, au contraire, comme mission légale d archiver des documents de façon exhaustive sans se préoccuper de leur contenu. La cohérence des logs doit permettre de vérifier que les données sont suffisamment riches pour sortir des données pertinentes. 8

9 La législation sur les données personnelles impose qu une donnée collectée et stockée corresponde à un usage (voir le volet juridique en p. 4). 4 -Valeur ajoutée La valeur ajoutée est la grande justification du Big Data. A travers les process du Big Data, c est la certitude d avoir une connaissance approfondie de son modèle économique en temps réel et d optimiser son patrimoine data, de le gérer finement, et surtout de permettre le repérage des signaux faibles. L analyse permet de stabiliser la base clients, d anticiper les zones de friction, d augmenter le revenu moyen par client, de trouver des relais de croissance sur des marchés de niche, émergents ou de nouvelles habitudes et attentes des consommateurs, et de créer un axe de différentiation et d anticipation concurrentiel. Un intervenant a eu pour mission de protéger sa base clients en analysant les comportements d usages et l offre du client afin de modéliser un score de probabilité du départ du client en quasi temps réel. Voici le process : - les clients à risque sont identifiés et étudiés ; - les outils de la gestion de campagne marketing sont alimentés pour faire réduire le désabonnement ; - le Next Touch Point (hot line, site Web, boutique ) est déterminé afin d éviter au client les parcours perdants. Tout cela a été rendu possible grâce l utilisation d un traitement des données en mode massivement parallèle qui a apporté la capacité à: croiser des données de log afin de trouver les grandes typologies de parcours, traiter / monitorer en temps réel ces parcours types afin d influer positivement dessus, restituer dans l ensemble des canaux le «parcours» à date des clients. Les coûts Aujourd hui, la rareté des déploiements opérationnels rend l analyse des coûts et le calcul du RoI des projets Big Data difficiles à établir. Cependant, «les promesses de maîtrise des coûts et d amélioration des performances sont réelles, en particulier dans les domaines de l archivage actif et de l offloading applicatif», affirme un intervenant. Un autre considère que l utilisation de fermes de serveurs banalisés permet de minimiser et de mutualiser les coûts d acquisition et d exploitation des solutions Big Data. Les retours d expérience présentés montrent bien que la mise en exploitation de solutions Big Data a pu se faire sur des clusters de machines équipées de processeurs x86 d entrée de gamme, parfois même sur des machines aux performances jugées dépassées pour les applications les plus exigeantes. Le Big Data ne requiert donc pas de machines surpuissantes. Et, comme l indique un participant «vous pouvez investir sans arrière-pensée sur d éventuelles pertes, car le matériel pourra facilement être redéployé, et peut aussi provenir de recyclage interne». Concernant la partie logicielle des solutions, une grande partie de l offre est aujourd hui d origine Open source, ce qui induit des coûts d acquisition initiaux faibles. Bien entendu, les coûts de fonctionnements sont plus difficiles à déterminer car liés à l accès au support. Il faut aussi prendre en compte les besoins de développements spécifiques liés à la faible offre de solutions intégrées. Dernier poste de dépenses soulevé : l acquisition des compétences nécessaires à la mise en œuvre du projet sur un marché extrêmement tendu s agissant des ressources humaines. Peu de solutions pré-intégrées Il existe encore peu de solutions intégrées. Il faut donc s attendre à beaucoup de développement spécifique. Comme le résume un participant pour évoquer l émergence des solutions Big Data : «Il y a un syndrome poule et œuf : pas de projet, pas d écosystème Mais cela s améliore nettement depuis deux ans». Voici quelques solutions mentionnées par les intervenants : Les solutions sont majoritairement d origine Open source, et notamment Hadoop (associé à Mapreduce), qui est implanté dans un retour d expérience sur trois, du fait de sa forte capacité d extension (scalability) en charge massive, Les SBA (Search Base Applications) ou moteurs sémantiques, permettent, via une interface de type Google, de chercher dans les logs de manière phonétique ; elles disposent d un dictionnaire intégré. Des cartes de compression de données à la volée améliorent la vélocité à l accès des données ; elles permettent de faire de l hybride. Les points positifs D importants gains de vélocité dans certains traitements doivent permettre de sortir de situations de saturation des systèmes existants (par exemple en BI) ou de réaliser des traitements beaucoup trop coûteux, jusqu ici, en temps de calcul. C est une technologie peu coûteuse à développer et déployer, en infrastructures comme en logiciels, du fait de l existence de solutions Open Source fonctionnant sur matériel x86 banalisé. Le Big Data permet de s affranchir des limites de taille des bases de données, de traiter des contenus faiblement ou pas structurés. L Essentiel CRiP Thématique : Le Big Data au service des métiers 9

10 Les technologies connexes sont une bonne opportunité pour les services Production d apporter des réponses aux problématiques métiers et de se positionner en force de propositions. Le Big Data n est pas incompatible avec les solutions déjà existantes et reste ouvert à des solutions hybrides. Les points de vigilance et les freins L écosystème est encore peu structuré aussi bien du côté des fournisseurs que des utilisateurs. Il y a donc un risque de s engager sur des solutions peu pérennes, ce qui ne facilite l argumentation d un projet Big Data en interne. Les métiers ne sont pas complètement matures sur l usage possible des datas ; il faut travailler en collaboration pour améliorer les compétences. On constate une carence des profils du type «Data Scientists» capables de collecter et exploiter au mieux la masse des données disponibles pour en extraire des résultats pertinents, sources de nouvelles activités. Le cadre légal est contraignant, comme la justification de la finalité de la collecte des données, l anonymisation, la durée de rétention des données. L architecture à mettre en œuvre tranche par sa nouveauté, ce qui peut susciter des résistances au changement. La dimension juridique : un POInt sensible Avocat (cabinet Baker & McKenzie) ex-secrétaire général de la CNIL, Yann Padova a évoqué le bon usage des données personnelles dans ce contexte. Big Data et règles d utilisation des données personnelles semblent antagonistes en de nombreux points. En effet, le droit prévoit les principes de finalité des traitements de données et de proportionnalité dans la collecte des données personnelles : Les données personnelles doivent être collectées pour des finalités explicites, légitimes et spécifiques. Elles ne doivent pas faire l objet d un traitement ultérieur incomptable avec ces finalités. La proportionnalité ne permet pas de collecter plus de données que nécessaire à l usage. La durée stockage est limitée proportionnellement à l usage. Le consentement des personnes doit être libre, spécifique, renseigné et non ambigu. Or, la raison d être du Big Data est de collecter toutes les sources d informations pour permettre la recherche, le croisement et la corrélation des données. Cette démarche risque de ne pas respecter pas la notion de finalité ni celle de proportionnalité : on récolte des données sans idée claire de l exploitation qui en sera faite par la suite. Il y a donc des risques juridiques dans les projets Big Data de pratiques illégales. Alors que faire? Anonymiser les données pour lever la contrainte de la loi applicable aux données personnelles, Faire labéliser ses codes de conduite par les organes de contrôle, Organiser le contrôle de leurs données par les personnes concernées, Mettre en avant l intérêt légitime du responsable de traitement, La pseudonymisation enfin, consiste à «attribuer à une personne un identifiant qui permettrait de la distinguer dans un groupe statistique mais sans pouvoir la réidentifier en temps que personne physique» United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin et Renaud Bonnet, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 10

11 Club des Responsables d Infrastructures et et de de Production #24 Janvier 2014 Cloud computing Conférence CRiP Thématique Les services IT dans le cloud 3 décembre 2013 Le Cloud computing est mature. Ses développements et implémentations se caractérisent par la pertinence des services Iaas, PaaS ou encore par l avènement du Cloud hybride, entre Cloud privé et Cloud public. Il reste encore des points à régler comme la sécurisation des données, la responsabilité juridique ainsi que l application du Cloud au PRA en vue de sa continuité de service. Bref, l expansion de solutions Cloud nécessite encore une argumentation qui doit être soutenue par une communication et une promotion en interne dans les entreprises. Le contexte Cette Conférence CRiP Thématique du 3 décembre 2013, parrainée par Romain Lahoche, directeur du service hosting d Oxylane (Décathlon), a bénéficié de la contribution du cabinet d avocats Gérard Haas. Cette journée était organisée par le Groupe de Travail Cloud computing du CRiP* piloté par Stéphane Geissel (SFR) et Stéphane Lafon (Sanofi). Elle a permis de faire un point sur les avancées des solutions de Cloud computing, et d en comprendre les grandes tendances, tant en termes de technologies que de services et de nouveaux usages. A travers des témoignages issus de sociétés membres du CRiP d horizons très divers (compagnies d assurance, opérateurs télécoms, groupe pharmaceutique, chaînes de distribution, portails d e-commerce et géant de la publicité), il a notamment été question de l évolution des services SaaS, Iaas et PaaS, de l hybridation entre Cloud privé et Cloud public, de la sécurisation des données sur le Cloud, de la responsabilité juridique qui en découle et de la réalité des engagements de continuité de service dans ces offres. Cette journée a également donné lieu à une restitution d un benchmark CRIP Index intitulé «Cloud : quelle maturité du SaaS, PaaS et IaaS». *Actif depuis 2009, le GT Cloud Computing a publié en juin 2013 son 4 ème Livre blanc (Aspects juridiques, ROI, achat de prestations Cloud, offres IaaS et tendances PaaS. Un 5 ème Livre blanc est en préparation. 11 En quelques phrases Le Cloud fait partie du changement. Même si ce n est qu un moyen tactique. Les partenaires - «boosters de services» - sont nécessairement sur le Cloud, co-acteurs de co-innovation. On réussit seulement si on a essayé. Donc, il faut lancer, tester, précéder la vague de l innovation et ainsi ne pas changer de techno tous les 2 ans. Rapatriement, réversibilité? Il faut vérifier la capacité à ramener les services hébergés, ce qui permet de gagner en agilité. Le Cloud fait disparaître les silos ou, du moins, tend à les faire disparaître. Financièrement, on passe d un modèle CAPEX à un modèle OPEX (location de services). Le Cloud n est pas nécessairement moins cher. Mais les gains sont là si l on s attaque aux ETP et PCA. Le Cloud coûte moins cher pour évolution. En infrastructure, il ne fait rien gagner ou presque.

12 (par exemple, Salesforce). «A travers la mise en place d un Cloud public, il est intéressant d apprendre, de ce modèle, la migration vers un Cloud privé». Les freins à la mise en place d un Cloud hybride La perspective du Cloud hybride est partagée par tous comme intéressante et inéluctable. Mais un intervenant a recensé au moins 7 freins à la mise en place d un Cloud hybride : Enquête Benchmark CRIP Index Cloud : Les applications cibles du Cloud (oct. 2013) Ce qu il faut retenir Définition : le Cloud sous diverses formes Que recouvre aujourd hui le terme Cloud computing. Plusieurs formes de Cloud se confirment et un intervenant a tenu a présenté un nouveau découpage possible, toujours révisable : Cloud privé : il a été développé pour une utilisation interne, utilise des ressources internes et appartient à l entreprise qui l utilise ; Cloud dédié (privé) : il est hébergé avec des ressources spécifiques ; Public : il est mutualisé ; le modèle standard appartenant à l hébergeur ; Souverain : il est soutenu et financé par un Etat Hybride : il mixte toutes les formes de Cloud. La distinction entre les formes de services est désormais banalisée : SaaS (Software as a Service, ou application disponible en ligne, sans module client préinstallé), IaaS pour les services d Infrastructure, et PaaS, pour les plateformes de développement. Un opérateur télécoms témoigne d un choix possible du Cloud public pour certaines applications SaaS. En revanche, il a développé un Cloud interne pour des offres de type PaaS «car beaucoup d éditeurs proposent le service intégré». Commentaire : «Le choix du cloud privé ou public est directement dépendant de la criticité de l application et du type de données auxquelles elles donnent accès : moins c est critique, plus c est ouvert au Cloud public». «Pour démarrer son Cloud privé, explique le CTO d un grand portail d e-commerce, il ne faut pas hésiter à commencer petit pour apprendre. C est d ailleurs une garantie d agilité» Le Cloud privé présente un autre avantage : le rapatriement de services utilisés ou développés sur des Clouds externes Réversibilité et migration Distance entre sites Transmission et sécurité des données Fiabilité et SLA Sécurité Conseils techniques Transparence Quel ROI sur le Cloud? Tout le monde a retenu que le Cloud fait passer d un modèle CAPEX (capital expenditure ou investissements en immobilisations) à un modèle OPEX (operation expenditure ou location de services). Mais le Cloud ne serait pas moins cher pour autant... «Des gains peuvent se vérifier surtout si l on tend à diminuer les ETP et si l on développe des scénarios de continuité de service (PCA)», constate le DSI d une compagnie d assurance. Le Cloud coûte moins cher dans une logique d évolution. Mais en infrastructure, il ne ferait rien gagner ou presque rien. Le modèle pay as you use ne permet pas de construire aisément un budget prévisionnel mais il a été constaté, par un intervenant, une baisse significative des coûts concernant l application transférée sur le Cloud. Un pilote du GT résume l équation avec cette formule : «Il est encore difficile de prouver que cela rapporte plus. Mais cela coûterait plus cher de ne pas le faire!». Et que montre l analyse des coûts? «Les gains sont plutôt positionnés sur les services PaaS. En revanche, sur l IaaS, c est moins favorable sauf si l on intègre tous les services. Auquel cas, c est identique.» En pratique, il est vrai que chaque société a son propre mode de fonctionnement. Avec le Cloud, constate un industriel, la facturation s applique à l usage mais il reste les coûts de développement et de fonctionnement du projet. Ces coûts du projet étant à la charge de la DSI, seuls les coûts du run sont facturés. Pour une société d assurance, les coûts sont affectés à la DSI et les partenaires, les agents paient une redevance forfaitaire. Le coût d étude reste donc supporté par la SI. Certaines grandes organisations constatent qu il n est pas possible sinon difficile de chiffrer le coût des infras. 12

13 Sécurité et géopolitique L actualité de l année 2013 a été riche en matière de sécurité, notamment suite aux révélations d Edward Snowden, l ex -agent de l organisation fédérale NSA. «Tout le monde se doutait que les Américains avaient des capacités d écoute. Mais pas à ce point-là», relève un intervenant. On savait que le Patriot Act américain permettait de lire et analyser les données des filiales américaines implantées dans le monde, mais aussi leurs partenaires directs ou toutes sociétés ayant travaillé avec des sociétés américaines, surtout si elles disposent de filiales aux Etats-Unis. En Europe, certains projets informatiques orientés Cloud ont été annulés à cause de ces nouvelles objections de sûreté soulevées par cette affaire qui a suivi celle de WikiLeaks (Julian Assange, informé par Bradley Manning). Ce contexte américain légitime et booste un peu plus le développement du Cloud souverain à savoir Numergy et Cloudwatt en France. Certains Etats, dont la Suisse, investissent aussi dans le Cloud souverain avec la volonté d une sécurisation des données notamment dans les domaines de la défense et du secteur bancaire. Les données sur le Cloud : des clauses contractuelles La récente enquête Benchmark index du CRiP sur le Cloud montre que 63% des répondants considèrent le manque de sécurité comme un frein. Les données vitales ne sont pas censées sortir de l entreprise. Or il faut rappeler que les risques de fuites sont à 90% en interne. Cloud ou pas, la sécurité reste une problématique transversale. Il faut faire confiance aux experts sécurité, témoigne un CTO, car ils savent peser les risques et proposent les bonnes pratiques à appliquer sur le Cloud. Les risques d atteinte à l image de marque font que l on ne confie pas ses données à un éditeur ou à un opérateur qui ont rencontré des problèmes de réputation. Aujourd hui, un contrat de droit français signé avec un provider l oblige à stocker et sauvegarder les données personnelles ou critiques uniquement en Europe. Le cabinet d avocats présent a observé qu il n était pas toujours possible de négocier les clauses juridiques des contrats avec des opérateurs étrangers. En conséquence, il est de la responsabilité du donneur d ordres de mettre en place les mesures de sécurité indispensables (cf. l encadré en p. 4). Cloud et PRA : la continuité de service en question Une compagnie d assurance témoigne sur le choix d un back up de certaines de ses données chez un fournisseur, un géant du hosting, avec des connexions Internet sécurisées. Le contrat prévoit que l entreprise n affecte pas de personnel par exemple pour les mises à jour des firewalls : la mission est confiée au provider du service qui en la responsabilité juridique et l expertise. Un autre hébergeur est venu expliquer comment il est possible de préparer son PRA et avec quelles précautions. Il recommande tout d abord de hiérarchiser la criticité des VM (machines virtuelles) afin de cerner celles qui sont stratégiques, indispensables pour le business de l entreprise. A partir de là, il convient de fixer un RTO (délai de retour en fonctionnement) et un RPO (le volume d informations non disponibles ou perdues que l entreprise peut supporter). Si l on veut un RPO court, cela implique une réplication des données en mode quasi synchrone. Une exigence qui va dépendre du secteur d activité et du métier. La distance entre sites constitue un autre critère important, qui, là encore, dépend souvent des contraintes métier. Enfin, un PRA peut être institué entre deux providers : il n est plus utile de reposer sur un datacentre pour le secours : le backup est confié au provider. La configuration dite Cookbook, autour d un Cloud «triplehybride», a également été évoquée. Avec ses propres outils ou ceux du prestataire? Un géant de la distribution a témoigné sur le recours ou non aux outils du prestataire. «La supervision repose sur un outil interne (Nagios) qui récupère les données fournies par l hébergeur. Charge à nous de traiter et analyser ces données. En revanche, pour le backup et le provisioning, nous nous en remettons aux outils de l hébergeur». A terme, cependant, pour devenir plus indépendants de son hébergeur, et pour assurer la continuité de service au meilleur prix, cette entreprise prévoit de faire appel à des brokers de cloud, dès lors qu ils commencent à apparaître. Cela supposera, il est vrai, de disposer d interfaces (API) multiples, plus ou moins spécifiques, selon les brokers. De l importance de la promo et de la communication interne Une compagnie d assurance a fait le bilan d un projet pilote orienté PaaS. Selon son responsable, les clés du succès sont dans la bonne communication auprès des utilisateurs cibles : il faut baptiser le projet, lui donner un logo, le communiquer à tous, etc. Il faut impliquer le top management dès le démarrage et sur toute la durée du projet, sans oublier les CFO dès l établissement du cahier des charges. Le catalogue doit être lisible, simple et orienté métiers. Les contraintes métiers doivent être bien comprises par l IT. L Essentiel Conférence CRiP Thématique : Les services IT dans le cloud. 13

14 Enfin, il faut se garder de mettre en route trop de fonctionnalités ou services en même temps. Donc mieux vaut déployer les services au fur et à mesure, en fonction des besoins des métiers. Interne contre externe? Un faux débat «Le Cloud n est pas une rupture technologique pour la DSI, mais c est un challenge pour les départements financier, juridique et pour les métiers», constate un intervenant. Ce n est pas seulement un projet technique IT : «Le Cloud, c est certes de la technique, mais ce ne doit pas être une contrainte car c est surtout l occasion de s imprégner des attentes des métiers». Un autre intervenant, dont l organisation a renoncé à Exchange pour une messagerie sur le Cloud public (Amazone), souligne : «L innovation étant dans les gènes de l entreprise, les salariés sont très favorables au changement». Un autre témoin ajoute : «On attend de la DSI qu elle opère ou encadre au mieux les services, qu ils soient en interne ou en externe. Donc elle est responsable du bon fonctionnement, sachant que les choix vont au plus facile et au plus rapide. Ce n est pas un match interne contre externe». Les BU insatisfaites vont plus facilement accepter de migrer sur le Cloud pour résoudre leurs problèmes quitte à assumer un risque de dysfonctionnement dès le départ. Le passage au Cloud est également bienvenu lors d une migration vers de nouvelles versions logicielles ou nouvelles générations d applications. Mais il faudra des gains en performances, en fonctionnalités et en ergonomie. Dans tous les cas de figure, mieux vaut bien négocier le contrat SLA (Service level agreement), que surtout il ne soit pas en deça du standard existant dans l entreprise. Vers un réel delivery avec catalogue de services Avec le Cloud comme ailleurs, l automatisation des processus reste une opération délicate à mener. «Mais progressivement, tout rentre dans l ordre et les bonnes habitudes reprennent le dessus», constate un CTO. Les équipes d infra et les développeurs doivent coopérer de façon optimale. Au bilan, force est d admettre que la migration vers le Cloud est une mission peu aisée «parce qu il faut d abord documenter (d où la nécessité d un référentiel CMDB), sécuriser, standardiser et homogénéiser, automatiser». NE Pas sous-estimer La dimension juridique Plusieurs témoignages ont convergé sur la nécessité d affermir son expertise juridique, s agissant des contrats Cloud. Il ne s agit pas seulement de se rassurer sur les risques mais être en conformité avec la réglementation, par exemple sur le pays où les données vont être stockées, et dans quelles conditions. Dans tous les cas, mieux vaut anticiper : «Il est toujours plus facile de gérer un litige potentiel ou une sortie de contrat avant qu après», a expliqué Gérard Haas, avocat spécialisé dans la sécurité des SI. De même, il est préférable de négocier les clauses de pénalités dès le départ. La seule définition du Cloud a son importance : «C est un mode de traitement de données d un client dont l exploitation est faite par Internet sous la forme de services fournis par un prestataire». Autre point important : la responsabilité concernant les données personnelles, il faut notamment vérifier que le prestataire respecte les dispositions légales. Cette vérification va jusqu à la programmation des audits de contrôle. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 14

15 Club des Responsables d Infrastructures et et de de Production #25 Mars 2014 Outillage Production CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT 21 janvier 2014 La Production IT s appuie sur une kyrielle d outils permettant d optimiser le run, jusqu à l automatisation. Les solutions de supervision et d orchestration gagnent en efficacité. Sous l influence du Cloud computing, les solutions ITSM gagnent en légitimité. Les bases CMDB, de suivi des changements, toujours plus justifiées, nécessitent d être actives. Il faut rapprocher la gestion des process et l opérationnel. Dans ce contexte, le principe d une gouvernance pour l IT est acquis, sans être la panacée. Le contexte La conférence Thématique «Supervision, Orchestration, Automatisation et Méthodologie ITIL», du 21 janvier 2014 au Pavillon Dauphine à Paris était parrainée par Patrick Chauvin, responsable Gouvernance & Process (CA-CIB). La matinée était dédiée à la supervision de l infrastructure IT et des applications métiers, avec le témoignage de deux grands comptes (assurance et hyper-marché) et d un leader du prêt-à-porter. Des solutions souvent Open source ou mixant des offres commerciales, jusqu au capacity planning. L après-midi concernait l automatisation et l orchestration : un groupe automobile, qui automatise le traitement des incidents, et un opérateur télécoms qui traite les alarmes via un flow d orchestration générique. Deux autres témoignages - déploiement ITSM, avec ITIL, et revitalisation d une base référentielle CMDB - ont retenu l attention. Les Groupes de travail ITIL, Automatisation- Orchestration et Supervision du CRiP ont complété, notamment sur le catalogue de services». En quelques phrases La prolifération des VM, la poussée du Cloud Computing remodèlent les process et le delivery des services IT. Les silos, cloisonnant, par exemple, computing et stockage, tombent. L automatisation de l exploitation s impose vite. Les nouveaux orchestrateurs ou des gestionnaires de process du type ITSM changent la donne. Les solutions de pilotage et de monitoring, dans et hors de la CMDB, s affirment. Mais l outillage ne va pas tout résoudre. Un catalogue de services, par exemple, impose au préalable une organisation claire. Priorité à la méthode : les objectifs et le périmètre doivent être bien définis. Un outil ITSM, inspiré d ITIL ou non, doit rallier d abord la DSI et anticiper la difficulté du changement. Les retombées positives sont multiples : reporting sur la qualité, suivi du service desk en temps réel, etc. 151

16 Ce qu il faut retenir Le contexte de la Production IT a beaucoup changé ces 4 dernières années. La virtualisation des systèmes (serveurs, stockage, réseau ), la poussée du Cloud computing y compris le Cloud privé - ont changé les modes opératoires. Ils ont entraîné la multiplication des objets à suivre et à gérer au quotidien, en provisioning, maintenance, mise à jour, dépannage, surveillance Les modalités de fourniture des services IT ont également beaucoup changé. Ils sont de plus en plus soumis à des engagements de qualité, d agilité ou rapidité de mise à disposition, ou encore liés, réellement ou potentiellement, à une refacturation. Dans ce contexte, de nombreux outils des années 90 et même 2000 se révèlent obsolètes. Cette journée a permis de vérifier, à travers des témoignages, comment des outils ITSM, associés à des processus ITIL, peuvent accompagner et faciliter ces transformations de l IT. Ou comment un système orchestrateur permet de ne pas se laisser déborder par la prolifération des alertes. D autres cas d entreprise ont montré que les solutions de supervision ou d orchestration nécessitent des prérequis incontournables, dont la nécessité de bien définir les objectifs et le périmètre de la solution. Enfin, un voire plusieurs sponsors doivent être mobilisés au sein de l organisation. 5 enjeux majeurs pour fluidifier la Production IT En introduction, Patrick Chauvin (CA-CIB) a résumé 5 enjeux majeurs : 1 - améliorer les process, notamment ceux du support. La Production IT se doit d innover, par exemple, autour d un catalogue de services ; elle doit pouvoir facturer ses prestations ; 2 - coopérer avec les métiers ; 3 - choisir les bons outils, bien gérer les ruptures technologiques ; il faut savoir «vendre» les solutions retenues, en justifier le ROI, en assurer la bonne urbanisation, pouvoir les raccorder aux portails déjà en place, etc ; 4 - traiter les demandes de bout en bout, avec le bon commissionnement de l environnement (système, logiciel) ; 5 - déterminer les cas d usage et savoir les superposer selon une urbanisation pertinente. La réponse ne vient généralement pas des éditeurs et l accumulation ou la juxtaposition d outils n est pas un objectif. Il faut construire une architecture en fonction d un ou plusieurs systèmes d information cibles. Supervision de l infra IT : l option «hybride» (Open source et autre) L un des témoignages de la matinée présentait le cas d une supervision d équipements réseau, téléphonie et énergie au sein d une grande mutuelle d assurance. Il s agit de contrôler deux salles informatiques réunies en un datacentre et du réseau desservant les agences de la mutuelle en France, via des plateformes régionales connectées à haut débit. Deux opérateurs (Orange et Completel) assurent la continuité de service, y compris sur le réseau connectant les partenaires. Tous les éléments actifs des agences et plateformes sont supervisés. Jusque là, l outil Whatsup Gold permettait juste de savoir si la connexion était tombée ou non. Il devenait critique d améliorer la réactivité des équipes IT en suivant, en temps réel, les incidents, et sans surcoût important. C est l outil Open source Nagios qui a été retenu pour la collecte des informations, et, en sur-couche, Centreon comme configurateur web. Pour la partie visualisation sur les écrans, c est l offre commerciale NDS qui a été choisie. Avec la nouvelle plateforme, en place depuis fin 2012, chaque équipe technique dispose désormais de 8 écrans, avec, parfois un écran physique pour 2 vues avec report possible sur des tablettes. Le dispositif supervise le coeur de réseau et les réseaux régionaux, le coeur de réseau avec la commutation vers les serveurs, le siège et son extension, les services réseaux, les liaisons vers les partenaires et les accès Internet, les agences et les sites annexes (près de 600 nœuds). Un 8ème écran apporte la visualisation des équipements de téléphonie et de l environnement (énergie, onduleurs, hygrométrie, températures). Il s agit donc bien d une supervision complète à travers des vues «maps» en temps réel, y compris la connexion sur les caméras de vidéosurveillance. Supervision des infras IT et des applications métier Un autre témoignage, celui d un leader du prêt-àporter, présentait le cas d une vision centralisée de l ensemble de l administration des systèmes, répartis sur 3 datacentres dans le monde (Etats-Unis, Europe, Asie), soit 250 applications. Ici, le choix s est également orienté vers une solution Centreon. Vu l ambition du projet suivre en temps réel les pannes et incidents sur cette infra globale, le bilan s avère aujourd hui mitigé : certes, le nombre d outils a été restreint à une vision centralisée, d où une configuration homogène, donc relativement peu complexe. Mais, de ce fait, il manque la couverture des plateformes middleware. 2 16

17 Une vue consolidée de l ensemble devient nécessaire. On comprend que ce déploiement a nécessité de redéfinir tous les process et la qualification des incidents. Avant d investir sur de nouveaux outils, il a été décidé de mieux détaillé la définition et le suivi des process, notamment pour la gestion des niveaux de services (SLA). Plusieurs niveaux d intervention sont à considérer: services d exploitation, processus, organisation et choix des technologies et des outils. Les rôles et les responsabilités doivent être clairement définis, avec des niveaux de compétence adéquats. Il est important que la Production IT soit bien présente dans les instances de décisions, qu elle ait une bonne connaissance du métier et qu elle puisse être impliquée en amont dans les projets applicatifs. L une des difficultés évoquées est de savoir où positionner les équipes, et de déterminer ce qui peut être externalisé ou non, afin de conserver la maîtrise des solutions. L hypothèse d une automatisation partielle de certaines procédures est retenue, «même si dans 80 % des cas, une analyse restera à faire». Ce projet n a pas souffert de dissensions ni de tensions, toujours possibles dans le relationnel entre les Etudes, la Production et les métiers. Ces derniers ont toujours été les interlocuteurs prioritaires. Les équipes ont participé à tous les comités projet. Tous les investissements infra (CAPEX) ont bien été intégrés dans les projets. C est le chef de projet qui fait le choix d investir dans l infra ou non. Chaque initiative métier a une vue complète sur ses investissements et sur le ou les arbitrages à faire. Témoignage sur le capacity planning adapté aux infrastructures SI. Beaucoup de CTO rêvent, à juste titre, d étendre leur visibilité de l IT jusqu à une gestion prévisionnelle des ressources. C est tout l enjeu d une solution originale de capacity planning, présentée par un géant de la grande distribution. Ce dernier dispose de près de 2000 serveurs, multiplateformes (Intel, Windows, Unix et IBM iseries, ex AS 400). La volumétrie des data sur disques est plus que consistante : 1,4 péta-octets sur des configurations SAN/NAS. Les outils de supervision les plus utilisés. Source : enquête Benchmark Crip Index, nov-déc «On nous reconnait une bonne réactivité quand des incidents, avec rupture de service, surviennent. Mais nous avions une difficulté à les anticiper», explique un responsable en charge de ce projet innovant. Pour commencer, ce sont les environnements de tests, sur machines virtualisées, qui ont été ciblés, avant un élargissement à toutes les plateformes virtualisées de la Production IT. «Le but était d anticiper les ajustements de ressources nécessaires, en adéquation avec les besoins réels et pour améliorer le cash back», commente ce même chef de projet. Pour la mise en œuvre, le processus a été défini en s inspirant d ITIL. L outil choisi est Know and Decide. Le projet a été conduit, sur un an, par les managers opérationnels et un spécialiste certifié ITIL. L outillage lui-même a été installé sur un portail en 4 heures, reposant sur une plateforme VMware. Il ne nécessite pas d installer des agents sur les équipements. Toutes les données de supervision entrantes sont fournies et alimentent la gestion de capacité. Chaque matériel entrant dispose d un référentiel. «Il est important d injecter le référentiel dans la complétude de la mise en œuvre du projet», souligne le responsable. Toutes les personnes concernées par cette supervision disposent du même outil, sur un même portail. Les jauges, avec indicateurs verts, rouges, renvoient aux ressources CPU, mémoire, quantité de serveurs virtuels. Le résultat est là : les 25 datastores utilisés affichaient un taux d allocations supérieur à 85%. «Cela nous donne une prévision sur 5 à 6 volumes risquant d être saturés, deux à trois mois à l avance. Cela évite des surinvestissements inutiles. Il se confirme que les réserves de capacité de volumes disques sont encore très importantes». «L essentiel, au-delà du projet technique, c est de développer une culture, en incluant l ensemble des acteurs. Chacun doit avoir une vue sur les données techno des autres acteurs», conclut le responsable du projet. L Essentiel CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT 17

18 L optimisation de la Production IT grâce à une CMDB et au SKMS Le témoignage d une grande mutuelle santé a permis d apprendre comment gérer au plus près la croissance constante des ressources informatiques (environ 300 nouveaux serveurs par an sur un parc qui en compte 1.600), en raison d opérations de fusion/consolidation. Pour rappel, le secteur de la Santé se voit imposer des obligations réglementaires sur les données personnelles, médicales, etc. Quelle démarche adopter? «Il convient de bien définir l architecture globale des systèmes et des applications (choix de SOA), en positionnant bien les technologies au bon niveau dans le schéma directeur, avec le bon budget pour mener à bien les projets les plus critiques». Les grandes orientations convergent vers la virtualisation des serveurs (logiciel Postgre), l innovation technologique (Big data) et de premières initiatives de Cloud computing.. «Les projets SI ne suffisent plus à moderniser le SI, il faut identifier d autres projets techniques connexes, orientés vers les nouveaux usages». De la nécessité d une CMDB et du SKMS Le deuxième axe retenu ici concerne la nécessité de faire vivre une base référentielle du type CMDB, associée à un SKMS (service knowledge management system, ou système de gestion de connaissances des services). Tout le SI ne figure pas dans ce dispositif. C est une approche bottom-up, un moteur de règles fonctionnant comme un référentiel «esclave» : les données fournies doivent être exactes. «Il ne s agit pas de créer un nouveau référentiel, mais d assurer une construction dynamique, permettant d agréger l ensemble des composants et de détecter leurs interactions», explique le responsable architecture SI de cette mutuelle Santé. D où la «nécessité d un schéma de positionnement entre CMDB, SKMS et orchestration». Démarrer un solution d orchestration La troisième priorité vise, précisément à démarrer une solution d orchestration, l objectif étant d abaisser les coûts «pas forcément là où on l on croyait». Il s agit notamment de faciliter les opérations de changement. Calendrier des actions : Pour l optimisation continue de la production, le choix des produits est important mais il y a aussi l organisation. L architecture opérationnelle doit être bien pensée. Le défi, c est la bonne coordination de toutes les applications avec les métiers. En résumé : il faut se concentrer sur une «trajectoire d architecture unique», sur la maîtrise des objets de production, puis sur l automatisation (orchestration, capacity planning, analyse prédictive ). L Essentiel Conférence CRiP Thématique Supervision, Orchestration, Automatisation, CMDB, ITSM et ITIL pour fluidifier la Production IT La structuration des projets de supervision, orchestration jusqu au capacity planing et déploiement automatisé 18 4

19 Deux cas d automatisation : incidents et alarmes Organisation centralisée ou décentralisée de l automatisation? Deux cas de figure ont été présentés, l un centralisé pour l automatisation de la gestion des incidents ; l autre, décentralisé, pour les alarmes. Automatisation de la gestion des incidents : Un grand compte du secteur automobile a présenté une organisation décentralisée permettant d automatiser le traitement des incidents répétitifs. L automatisation existe depuis longtemps, en fait, a expliqué un responsable du groupe. Le problème, ce sont les scripts, le codage et les nombreux silos techniques. L orchestrateur est constitué de milliers de briques qui agissent sur les processus pour les automatiser. Chaque brique fait l objet d un paramétrage. Cela impacte tout un ensemble de composants informatiques. «Dans un «flow», il y a 80 %de connaissances métier et 20 % de technique orchestration», constate le responsable de la solution. Il reste toujours possible au pupitreur d intervenir manuellement. Les applications sont diverses : - provisionning : arrêter et relancer de façon contrôlée la bonne marche des applications ; - contrôle, maintenance : résolution d incidents, analyse automatique du taux d utilisation des ressources et détection d agents de contrôle disponibles. Automatisation du traitement des alarmes : Deuxième cas, chez un grand opérateur télécoms, cette fois : un flow d orchestration générique pour le traitement d alarmes. Le parc cible concerne serveurs (dont 75% virtualisés), sur un périmètre total de Initialement, il s agissait d orchestrer la supervision des VM. L orchestrateur pilote le process de server automation et de network automation L organisation retenue ici est décentralisée : tous les administrateurs systèmes peuvent potentiellement développer des automates propres à leur métier. Un seul chef de projet, contre deux auparavant, gère la supervision et l orchestration. Les outils de supervision ont, en effet, été intégrés. Deux scénarios sont programmés: acquittement ou escalade. L orchestrateur est lancé pour chaque alarme, même si la même alarme revient de façon récurrente. Il n y a pas (encore) de corrélation. La phase 1 reste donc manuelle. Le plus important est de neutraliser les alarmes inutiles ou fausses alarmes. Les contraintes de traçabilité sont respectées. Toutes les alarmes sont vues par l orchestrateur. Ordonnanceur versus orchestrateur Enfin, une recommandation à retenir : l accès à l orchestrateur doit être sous contrôle. «L ordonnanceur ne fait que soumettre des travaux tandis que l orchestrateur les gère. Ce sont deux mondes différents. Si l on facilite l accès à l orchestrateur, il y a un risque de dérive de l outil». Bien choisir et implémenter un outil ITSM Une filiale d ingénierie d un géant de l énergie a témoigné sur son choix en faveur d un outil ITSM. Deux solutions ont été retenues en short list : Easyvista et Frontrange. C est la deuxième qui a été sélectionnée parce qu elle a impressionné par son intégration dans un vaste ensemble de solutions (non demandées, en fait ). Le déploiement a été effectué, avec l aide d un prestataire, sur le modèle des process ITIL : gestion des incidents, portail utilisateurs pour les changements, activation de la base référentielle CMDB, capacity planning et self care. Parmi les résultats obtenus figure le reporting automatique d activités et des tickets. Certains mécanismes se sont montrés difficiles à utiliser. «Ce fut plus long à mettre en place que prévu. Il a fallu rajouter des guides d usage postérieurement à la mise en production», constate le manager du projet. Il reste que le nombre de tableaux obtenus est vaste. Et l outil s intègre bien dans les process ITIL. Les gains à venir concernent une gestion proactive des problèmes, la gestion des éléments de configuration, une bonne visibilité managériale sur l ensemble de la DSI, une vision efficace du planning des changements. L apport d une CMDB dans la production IT Pour clore la journée, le témoignage très pertinent d une compagnie d assurances a permis de réactualiser la nécessité et les multiples avantages d une base référentielle CMDB (Configuration management data base) à condition qu elle soit réellement «vivante». Pour rappel, c est la base de données qui contient tous les éléments de configuration IT reliés entre eux (services métiers,..). Elle donne la dimension opérationnelle d analyse d impact, une représentation graphique des services métier, le comptage des composants logiciels et la possibilité d interroger le modèle et d en extraire des données. En pratique, le dispositif repose sur la réconciliation entre deux bases : l une interne et et l autre externe. Un premier outil découvre automatiquement, filtre et synchronise des données réunies (Dataset ADDM). C est un process top- down. 5 19

20 Les étapes clés sont l identification des éléments, le contrôle et la gestion de la fiabilité de l ensemble devant permettre l extraction et la publication des informations de configuration utiles. Le démarrage d un outil de BUILD est en cours (avec fusion de la CMDB et des processus ITSM). «Le challenge, c est d en faire un référentiel incontournable» L alimentation de la CMDB est automatique. L identification s effectue avec les référents techniques. Des règles de sécurité et de confinement sont à respecter. Cette CMDB ne contient que des données techniques (et non pas métier). Elle s inscrit dans une démarche applicative : tout changement technique, dûment notifié, implique une analyse d impact. Parmi les leçons à tirer, il est conseillé d utiliser strictement le modèle proposé par l outil : «L ajout d utilisations hors du standard peut compromettre le modèle» - s agissant notamment de la maîtrise de coûts AveC L AIde d ITIL Le groupe de travail ITIL du CRIP, piloté par Eric Bouvet (Arkema) et Lionel Rolland (GDF Suez) ont résumé leurs avancées sur la gestion intégrée des relations avec les métiers, la gestion des demandes et la coordination design coordination. Les travaux les plus récents ont porté sur le Catalogue de services et de facturation. Certaines organisations refacturent, d autres non. Une réunion commune a été tenue avec le GT Analyse de coûts, qui a permis de faire le point sur les moyens nécessaires pour fournir tel ou tel service, ou de constater, par exemple, que lorsqu un coût n apparait pas dans le RUN, il est important qu il soit notifié quelque part et payé ou facturable. Les prochains thèmes concernent l amélioration des pilotages des opérations informatiques, la relation client (BRM/SLM), le déploiement de nouveaux processus. United Kingdom Digital Technology & Innovation Rédaction : Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 20

21 Club des Responsables d Infrastructures et et de de Production #26 Avril 2014 Sécurité CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets du 19 mars 2014 L état des menaces impose plus que jamais aux organisations de gagner en maturité dans la sécurisation de leurs SI. Il faut industrialiser les dispositifs de sécurité et adopter une approche processus de la sécurité opérationnelle. SOC, gestion des vulnérabilités, gestion des comptes à privilèges, sécurité dans les projets sont autant de leviers pour améliorer la sécurité des SI. Le contexte Cette conférence CRiP Thématique a été organisée par le Groupe de Travail Sécurité du CRiP piloté par Thierry Manciot, RSSI SFR, et Jean-Pierre Blanc, RSI Bouygues Télécom, avec le parrainage de Brigitte Declerck, Responsable du pôle Production & Sécurité de la DSI des fédérations AGIRC ARRCO. Un point a été fait sur les tendances du moment en matière de menaces et de sécurité des SI. L ANSSI (Agence Nationale de la Sécurité des Systèmes d Information), la BEFTI (Brigade d Enquête sur les Fraudes aux Technologies de l Information, de la Direction Régionale de la Police Judiciaire de Paris), l OWASP (Open Web Application Project) et le CLUSIF (Club de la Sécurité de l Information Français) ont dressé un état des menaces. Des spécialistes sécurité de SFR, Safran, Bouygues Télécom et Generali ont apporté un éclairage sur certains aspects de la sécurité des SI, tandis que le GT Sécurité du CRiP a présenté une synthèse de ses travaux. La journée a été ponctuée de deux tables rondes réunissant les intervenants. En quelques phrases Le paysage actuel de la sécurité des SI est marqué par une augmentation générale très vive des attaques et de leurs impacts, en particulier des attaques ciblées et des attaques métier. La cybercriminalité galopante pousse les organisations à industrialiser leurs dispositifs de sécurité et le législateur à renforcer le cadre réglementaire entourant la sécurité des SI. La mise en place d un processus de gestion des incidents sécurité est un jalon essentiel dans l installation d un SOC, laquelle demande du temps. L approche processus de la sécurité opérationnelle est le levier pour élever son niveau de maturité en matière de sécurité des SI. La gestion des vulnérabilités, qui s assimile à un processus de gestion de risques, doit couvrir les aspects humains, process et outillage. Les comptes à privilèges sont un facteur de risques qui nécessite la mise en place d une solution de contrôle en temps réel des accès et de traçabilité des actions associées. Les risques métier et techniques d un projet doivent être analysés et le respect des exigences de sécurité doit être contrôlé à chaque phase du cycle projet. 21 1

22 Ce qu il faut retenir Menaces et cybercriminalité Dans les faits marquants de 2013 en matière de sécurité des SI, on retient la cybermenace relative à l appropriation massive de données personnelles (plus d un demi-milliard de données personnelles ont été volées dans le monde en 2013; cf. l affaire Target aux Etats-Unis) et la cybermenace étatique (affaires APT1 et Prism/NSA). Au-delà des analyses croisées de la BEFTI et du CLUSIF, émergent les tendances suivantes : - les méthodes d attaque se multiplient et se diversifient (méthode du point d eau, attaques ciblées, attaques destructrices/incapacitantes, phishing basé sur l ingénierie sociale, etc.), - les attaques ciblant les processus métier connaissent une croissance inquiétante, - les attaques ciblées (APT) ne cessent d augmenter, le nombre de malwares sur mobile explose (2,47 millions en 2013), les ransomwares (type Cryptolocker) sont en très forte croissance, - cybercriminalité et criminalité traditionnelle collaborent, - l hacktivisme historique (type Anonymous) cède le pas à la cybercriminalité financière et à l hacktivisme étatique/para-étatique, - l offre de produits et de services de cybercriminalité, disponible en ligne, ne cesse de se développer et de se professionnaliser. Les craintes pour le futur portent sur les vulnérabilités issues de la fin du support de Windows XP et du développement des objets connectés ainsi que sur la faiblesse, d une façon générale, des moyens consacrés à la cybersécurité et à la formation. Cybersécurité, bonnes pratiques et cadre réglementaire La cybersécurité est aujourd hui une exigence aiguë : les attaques, leurs types, leurs durées et leurs impacts augmentent, l informatique distribuée est moins nativement sécurisée, les nouveaux usages (mobilité, BYOD, etc.) progressent avec de nouvelles vulnérabilités. Autre constat : le délai moyen de détection d une attaque ciblée est supérieur à un an et les cibles sont visées en fonction du ROI espéré. Face à ce contexte, les organisations doivent déployer un processus de sécurité en boucle, s appliquant tant au Build qu au Run. Cela commence au niveau stratégique (RSSI) avec l analyse des risques, se poursuit au niveau opérationnel (RSI) avec le traitement des risques identifiés, puis au niveau technique (Production, Infrastructures) avec la détection des attaques grâce aux technologies et outils déployés à cet effet et, enfin, jusqu à un niveau transverse avec la gestion de crise et des incidents et la capitalisation des retours d expérience. Pour cela, des méthodes, normes et bonnes pratiques existent dans les domaines de la sécurité des SI (ISO 27001:2013, 27005, 22301, ANSSI, EBIOS, etc.), de la Production (ISO 20000, ITIL) et des Etudes (PMBOK, OWASP, etc.), sur lesquels les organisations peuvent s appuyer. La protection des données passe par une sécurité à plusieurs strates : données (chiffrement), applications (gestion des accès, patterns sécurisés), socles techniques (antivirus, patchs, sécurité physique), réseau (firewalls, DMZ, filtres). Les mesures de prévention doivent aussi et notamment inclure la sensibilisation des utilisateurs, la réalisation de sauvegardes, de tests et audits de vulnérabilité et d intrusion. En France, la cybersécurité est dotée d un cadre réglementaire (opérateurs de communications électroniques, opérateurs d importance vitale (OIV), etc.). L agence gouvernementale ANSSI appuie les Services de l Etat et les OIV dans la sécurisation de leurs SI sensibles. Elle labellise des solutions de sécurité, émet des recommandations en matière de sécurité des SI. Ce cadre règlementaire a été renforcé par la Loi de Programmation Militaire , qui place les OIV sous la surveillance étroite des Services du Premier Ministre concernant la sécurité de leurs SI. SOC : une mise en place entre industrialisation et expertise Au sein d une organisation, l entité COS (Centre des Opérations de Sécurité; SOC en anglais) constitue le point focal de gestion de la sécurité. Son rôle va des actions de prévention à la gestion des incidents, crises et investigations associées, en passant par la mission cœur de détection. La mise en place d un COS est un processus long qui passe par des jalons (sondes IDS, gestion de logs, gestion de crise, dispositif H24, etc.), dont celui, essentiel, de la mise en œuvre d un processus de gestion des incidents sécurité. Le COS communique avec les entités de sécurité externes (ANSSI, DCRI, CERT) et les Directions internes de la Communication, du Juridique et du Service Client. Il interagit avec les équipes IT de Production autour de la sécurité opérationnelle et avec les Métiers et départements internes en charge de la fraude, des enquêtes et de l intelligence économique autour des investigations et de la planification de la surveillance. Autour du processus de gestion des incidents sécurité, le COS mène un travail d information régulier auprès des équipes de Production et d astreinte pour les garder mobilisées et aptes à réagir rapidement. Il accompagne les équipes susceptibles de remonter des incidents sécurité et les aide à adopter les bons réflexes. Le COS capitalise sur ses connaissances (veille, surveillance, REX sur les incidents, etc.) pour une amélioration continue de son efficacité. 22 2

23 Sécurité opérationnelle et approche processus On distingue 3 niveaux croissants de maturité des organisations en matière de sécurité des SI : zone dite d humiliation, sécurité élémentaire, sécurité maîtrisée. L objectif de tout RSSI est de sortir de la zone d humiliation. C est en adoptant une approche processus de la sécurité opérationnelle et en l appliquant tant au niveau du Build que du Run qu il peut y parvenir. Par exemple, en matière d antivirus, les organisations pensent être protégées en déployant des produits fonctionnellement riches et matures provenant d éditeurs reconnus. De nombreuses questions restent pourtant en suspens: les agents installés sur les postes le sont-ils correctement (userid unique, version conforme ) et sont-ils actifs? Les postes sont-ils bien déclarés dans la console? La partition stockant les signatures virales est-elle pleine? Un processus ad hoc prévoira donc, en phase projet, de comprendre chaque cas de non-fonctionnement, d identifier les postes à traiter et de corriger, puis, en phase d exploitation, d identifier les postes non protégés, de lancer des scans réguliers, de lancer et suivre les actions correctives. Tous les autres domaines de la sécurité opérationnelle doivent être couverts par cette approche processus : mots de passe, droits et comptes, correctifs, réseaux, accès distants, gestion des identités, gestion des incidents sécurité, etc. Pour bâtir ces processus, il conviendra, pour chaque domaine, de recenser les tâches relevant du Build et celles relevant du Run. Ceci permettra d élaborer respectivement un plan projet (diagramme de Gantt, plan de traitement des risques) et un plan annuel d exploitation (calendrier détaillé et précis des actions de contrôle). Gestion des vulnérabilités : approche méthodologique La gestion des vulnérabilités, qui correspond à une gestion des risques, commence avec l identification des ressources et actifs critiques à risque du SI : utilisateurs (comportements/habitudes), processus (complexité), middleware et éléments d infrastructure (multiplicité des briques, technologies et acteurs). La mitigation de ces risques passe respectivement par la formation/ sensibilisation des utilisateurs, une rigueur de conception et des contrôles/audits des processus. La coopération de la chaîne des acteurs concourt à la sécurité du SI (RSSI, architectes, responsables d exploitation, administrateurs, etc.). Elle s appuiera pour cela sur des normes et référentiels (ITIL, ISO 27xxx, CMMI, CoBIT, etc.) et une palette de moyens techniques (firewalls, antivirus, SIEM, PSI, gestion des accès et des identités, etc.). La gestion des vulnérabilités s apparente, là aussi, à un processus : signalement (veille, alertes CERT/ éditeurs, déclarations d incident, rapports de tests d intrusion et d audits, alertes de supervision), analyse (criticité, études d impacts, recherche et planification des correctifs/mesures de protection), validation (par le RSSI/Comité de Sécurité), déploiement. Une base de vulnérabilités est constituée et mise à jour à l issue de chaque étape de ce processus. La gestion des vulnérabilités gagnerait à voir cette base intégrée dans la CMDB. Gestion des comptes à privilèges La criticité du risque que présentent les comptes à privilèges pour la sécurité des SI provient de plusieurs facteurs qui se conjuguent. Cette criticité est accrue par la grande complexité des SI : les droits d administration sur le SI ouverts aux administrateurs sont extrêmement étendus (réseau, OS, applications, sécurité). Ils ouvrent autant de possibilités pour des actes de malveillance; les administrateurs peuvent accéder au SI à distance (par exemple, dans le cas d une infogérance et/ou après avoir quitté leur employeur); leurs actions ne sont pas tracées ni traçables (forts de leurs privilèges, ils peuvent effacer leurs propres traces). Ceci rend impossible l imputation d une action erronée ou malveillante. Et il est très difficile de savoir ce qui a été fait sur un actif du SI. Cette situation requiert la mise en place, les logs ne suffisant plus, d une solution assurant, en temps réel, un contrôle centralisé des accès et une traçabilité des actions effectuées à partir de comptes à privilèges. L architecture de ce type de solution peut être une gestion des accès intégrée à la gestion des identités et des habilitations, à une CMDB (serveurs, applications) et à un SIEM. La mise en place de ce type de solution peut répondre aussi à des exigences de conformité. Sécurité dans les projets La sécurité dans les projets doit s envisager d un bout à l autre du cycle projet. Elle commence avec l analyse des risques : - analyse des risques métier par les Métiers (sur la base des risques majeurs identifiés pour l entreprise via une démarche type EBIOS/ANSSI intégrant le REX lié à la gestion des incidents sécurité, les autres risques étant adressés en gestion de crise), - analyse des risques techniques, portée par le RSSI (cadrée par la gestion des exigences de sécurité et s appuyant sur des contrôles tout au long du cycle projet). Selon que le projet est évalué comme sensible ou non (mesure DICP), les équipes Sécurité, aux moyens contraints face à des projets nombreux et à un timeto-market raccourci, iront contrôler que les exigences de sécurité ont été prises en compte (conception/ réalisation) et sont respectées (phases de tests/ recette et d exploitation) ou s appuieront sur la responsabilisation des acteurs (MOE, Production). Ces équipes s impliqueront fortement sur la gestion des incidents sécurité avec un objectif de capitalisation. L Essentiel CRiP Thématique Cybercriminalité, cybersécurité et réglementation, SOC, gestion de la sécurité opérationnelle, sécurité dans les projets 3 23

24 La gestion des données sensibles doit être adressée sous un angle fonctionnel, en amont du projet (classification, principes d usage, cycle de vie). La recette sécurité sera menée directement par les équipes Sécurité pour les projets sensibles (audits et tests d intrusion) et déléguée pour les autres. Les exigences de sécurité pour les projets web pourront utilement s appuyer sur les principales vulnérabilités web constatées, compilées chaque année par l OWASP pour son Top 10. United Kingdom Digital Technology & Innovation Rédaction : Pierre-Yves Henry & Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 24 4

25 Club des Responsables d Infrastructures et de Production #27 Mai 2014 Mobilité et Cloud Computing CRiP Thématique Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing du 27 mars 2014 Entre Mobilité et Cloud Computing, les passerelles se concrétisent. Au-delà des solutions de messagerie déjà existantes sur le Cloud (Google, Microsoft), il est clair que l avenir est aux accès mobiles vers toutes les applications, y compris celles des métiers. Ces accès mobiles s annoncent possibles à partir de tous types d équipements (cf. le phénomène BYOD, bring your own device). Ce document de synthèse présente des scénarios différents, dans des contextes de la grande distribution et du domaine bancaire, avec des contraintes de sécurité plus ou moins exigeantes. Dans ces contextes assez divers, l adoption des diverses formes de Cloud diffère également. Certes, la mobilité et le Cloud sous-tendent un nouveau mode de delivery des services IT. Mais toutes les applications sont-elles vouées à migrer sur le Cloud pour autant? Le contexte Le CRiP Nord Pas de Calais a organisé le 27 mars 2014 la première session thématique du CRiP en région. Parrainée par Michel Barbasso, CTO de KIABI, elle était dédiée aux thèmes de la Mobilité et au Cloud computing - et le lien entre ces deux items. Des témoignages de la grande distribution -fortement ancrée dans le Nord- ont été confrontés à d autres, dont celui d un géant de la banque. Il en ressort que la mobilité reste un chantier majeur au sein des organisations. Face au déferlement des smartphones et des tablettes, la question du principe BYOD n est pas partout résolue. De même, l utilisation des tablettes, à titre professionnel et personnel, vient renforcer la nécessité d ouvrir de nouveaux scénarios. Les incidences sur la DSI sont loin d être minimes. Les standards applicatifs et sécuritaires, par rapport au poste «mastérisé», deviennent inopérants. De plus, la fin du support de Windows XP oblige les responsables IT à réexaminer la pertinence de la migration naturelle Windows 7 ou 8, versus les divers OS -Linux, Android, ios... car la plateforme applicative est à revalider, conduisant à intégrer des développements, de facto, multi-devices. En conclusion de la session, une table ronde a mis en exergue les diverses options possibles en fonction des terminaux (ceux fournis par l entreprise et ceux qui ne le sont pas), en fonction des utilisateurs et des applications rendues accessibles ou non à l extérieur du VPN de l entreprise -et selon quelles restrictions de sécurité. En quelques phrases Les usages de l IT mobile personnelle continuent de bousculer l IT d entreprise: le phénomène de la consumérisation n est pas démenti......mais comment faire la part des choses entre domaine pro et perso? Les 2 mondes s entremêlent de plus en plus La solution idéale? Ce pourrait être des services web directement accessibles en réseau WAN et/ou en 3G ou 4G, en se débarrassant des serveurs locaux Autre idéal : les accès any applications, any time, anywhere, any device......mais l ios d Apple finit par coûter cher Avec le bureau virtuel, l accès à distance reste identique à celui d un poste local. Avec les clients légers, attention à blinder les recettes applicatives! Il faut que la couche de présentation s adapte au device, et non plus l inverse. Mobilité et Cloud computing contribuent directement à la transformation de l IT en un nouveau modèle de service Le nouveau mode du quick delivery, combiné aux besoins de mobilité, pousse au déploiement du Cloud Faut-il réinvestir sur l infra existante ou plutôt partir dans le Cloud, en commençant par les solutions IaaS et SaaS? Tout n est pas cloudifiable : toutes les applications ne sont pas vouées à migrer sur le Cloud La sécurité est un prérequis incontournable mais ne doit pas inhiber les projets. Le 0 risque n existe pas. Tout est une question de bon tuning. 125

26 Ce qu il faut retenir Consolider, rénover, urbaniser, construire? La mobilité et le Cloud computing sont deux facteurs clés qui accompagnent la transformation de l univers IT vers le modèle du service. «Il faut désormais se faire à ce concept issu du Cloud computing : l ITaaS, ou IT as a Service», a expliqué d entrée de jeu, Michel Barbasso, CTO de KIABI, qui a été le parrain de cette journée. Pour les entreprises détenant de nombreux sites dispersés ou des établissements décentralisés, cela conduit à alléger les infrastructures locales. Dans de très nombreux cas, ce sont les accès réseau qui vont primer, y compris les accès sans fil du fait de la poussée de la mobilité. Et, de ce fait, tous les types de terminaux vont prétendre à des connexions «any application», «anywhere» et «any time». En introduction, les points suivants sont relevés : La mobilité soulève des questions clés : comment conserver la maîtrise des coûts du poste de travail? Comment faire la part des choses entre le domaine professionnel et celui personnel? «Les deux mondes s entremêlent de plus en plus», Deux autres remarques s ajoutent: «Il n est pas possible de céder à la mode du tout dernier device commercialisé. La fuite en avant technologique n est pas la solution». Par ailleurs, la sécurité, en matière de mobilité, est un point important, mais il ne faut pas en faire trop. «Il faut sécuriser avec le bon tuning». Garder la maîtrise du réseau et s interroger sur la réversibilité Avec ces perspectives où l on a constamment besoin des ressources IT, «le réseau devient crucial. Il faut en garder la maitrise, y compris en termes de coûts». Autre point critique avec le Cloud: la réversibilité. «Peut-être qu il n y aura pas de retour arrière. Si l on songe à Google ou Microsoft, on n en voit guère. Les témoignages sur ce sujet sont bienvenus». Pour le quick delivery des services, un benchmarking de ce qui est proposé sur le marché (Amazon AWS, ou Google, etc.) reste fort utile. Et parmi les usages nouveaux du Cloud, celui lié au plan de secours (PRA) intéresse beaucoup de monde. La connexion anywhere, any-device, any-application.. Le deuxième témoignage de cette journée provenait d un géant de la distribution. L un de ses projets IT stratégiques s inscrit explicitement dans cette logique de connexion «any» (en tous lieux, avec tous devices, pour toutes applications, accessibles 24h/24 7 jours/7). Cette application concerne celle de utilisateurs responsables de la fabrication, des approvisionnements et de la logistique à travers le monde. «Le critère de mobilité devient primordial», explique le directeur technique. «Tous ces personnels doivent avoir accès à Internet et, ainsi, à toutes les applications, depuis n importe quel site. Cela implique des outils de connectivité mobile à Internet, et la mise en oeuvre de bonnes pratiques pour en optimiser l utilisation». Côté solutions, il peut aussi bien s agir de solutions Cloud, d applications publiées sur Internet ou de celles très sécurisées accessibles sur l intranet de l entreprise ou même, à terme, d applications «client» sécurisées comme l ERP (SAP, en l occurrence). Pour l option «any device», la règle est que tout le monde puisse, avec tout device, accéder à Internet et à toutes les applications. Certains terminaux, même s ils appartiennent à l entreprise, peuvent ne pas être totalement «intégrés». Du coup, la nécessité qu ils soient administrés par l IT s impose moins. «Leur configuration n est pas sujette à de fortes contraintes d infrastructure». Mais, de ce fait, «l utilisateur doit pouvoir également utiliser son propre équipement : cf. le phénomène BYOD (bring your own device), à partir du navigateur de son choix et quel que soit l OS». Seule restriction : les applications «client lourd» ne peuvent être installées que sur les équipements fournis et maintenus par l entreprise, qui les répertorie. Donc, l utilisateur doit pouvoir travailler avec le terminal de son choix sans contraintes techniques. «On rêve d un service de hot spot mondial, à terme». Les applications seront à «publier», sur le Cloud ou non. Certaines seront rendues accessibles à des partenaires extérieurs, tandis que les applications plus lourdes, comme SAP, seront limitées à certains utilisateurs. «Cela implique un gros effort de compatibilité, notamment en termes de format d écrans (tactiles ou non...). Il n y a plus de «réseau interne». On est sur le web, un point c est tout!», souligne l intervenant. Mais, selon lui, il semble impossible encore d aller aussi loin avec tous les devices: «Avec les laptops, on a fait ce qu il faut pour sécuriser. Aujourd hui on accepte le BYOD mais avec certaines restrictions d usage. En pratique, nous n avons pas la possibilité d installer des clients lourd sur des postes appartenant au personnel. Nous ne pouvons pas en prendre la responsabilité». Deux navigateurs ont été retenus, dont Chrome. A propos de services de messagerie sur le Cloud, se pose la question de la réversibilité? «Combien de temps faudrait-il pour rapatrier toutes nos données?!». 26 2

27 Quels choix de terminaux? Autre constat: les utilisateurs souhaitent pouvoir utiliser le terminal de leur choix. «Il faut que le choix soit réellement possible et opérationnel», observe l intervenant. Pour parvenir à cet objectif, ce géant de la distribution a pris deux orientations majeures: 1 - simplifier, par nécessité : un site de production en Asie subit régulièrement des coupures de courant. Son système d alimentation de secours ne tient que 3 heures. Et donc la probabilité que les serveurs se mettent hors service est très élevée. D où la solution de généraliser des applications en web-services. Celles-ci doivent être accessibles en réseau WAN et/ou en 3G, sans installation de serveurs locaux ; 2 - pas de bureau virtuel, pas d infrastructure VDI : l hypothèse d un poste de travail virtuel sur une infrastructure VDI (Virtual desktop infrastructure) n a pas été retenue. Pour des raisons diverses, dont le problème de sécurité des données «qui reste un point critique». Pour 95% des problèmes rencontrés dans le projet de mobilité, c est, selon lui, la sécurité qui est en cause. Trois grands projets ont été mis sur pied: 1 - un poste de travail allégé: l option retenue est celle de plusieurs «devices» possibles, mais intégrés. «A terme, pour certains usages, nous pourrions aller jusqu au concept du Chrome book» ; 2 - un mode de delivery et de stockage des données sur le cloud : les applications et la gestion de documents s exécutent dans le Cloud, avec une synchronisation locale. Tous les documents peuvent être installés sur le cloud. Mais certains utilisateurs travaillent sur des documents avec des liens entre eux. Donc, la solution Cloud n est pas applicable partout. 3 - des solutions de connectivité Cloud: des hot spot existent dans les différents pays. Mais l idée est de pouvoir se passer de tous les composants physiques, grâce à des solutions Cloud du type SaaS. Autre scénario : Mobilité et virtualisation du poste de travail Autre géant de la distribution, autre scénario. Le témoignage suivant a affiché des orientations différentes, reposant sur la virtualisation des postes de travail installés en magasin. L objectif principal était de centraliser les services afin de diminuer les coûts (helpdesk, mises à jour...), d alléger le matériel en magasin (avec le client léger ), de répondre à l obsolescence de Windows XP et de s ouvrir aux nouveaux usages des nouveaux devices (smartphones, tablettes). Sur les lieux de vente de ce champion de la grande distribution, 70% des postes mis à disposition sont partagés entre différents jobs -vendeurs, chefs de rayon, managers La même session tourne sur tous les postes, mais l accès aux applications est différent selon les jobs. Au quotidien, l un des problèmes majeurs était la nécessité de relancer le log-in, de ressaisir le mot de passe 30 à 40 fois par jour. Et les sessions ne doivent pas restées ouvertes ni lisibles dès lors que le poste n est plus utilisé. Il a été décidé de développer un concept dit MBM pour Mon Bureau Mobile. Chaque utilisateur dispose de sa session propre. La connexion est facilitée, «de façon ultra-rapide». L authentification est du type SSO (Single sign on). Pour le client léger, c est Citrix XenApp 6.5 qui a été retenu. La gestion du SSO et des connexions par badge repose sur la solution Ilex. L administration de l environnement virtualisé des postes s appuie sur VUEM (Virtual User Environment Manager) de Norskale et la gestion des applications locales sur VDX de RES Software. Avec ces solutions, 3500 clients légers ont ainsi été déployés, accédant à 176 serveurs virtuels. A terme, 8300 utilisateurs, avec 4000 connexions simultanées, sont concernés. Les résultats sont là : 93% des utilisateurs se déclarent satisfaits. Avec moins de pannes (comparativement aux PC classiques), les sollicitations du support help desk ont fortement chuté, ainsi que le coût des déploiements applicatifs. De substantielles économies ont été réalisées sur les migrations de Windows. Les gains sont là mais plusieurs points de vigilance sont relevés : la conduite du changement est un point crucial pour les équipes IT (helpdesk, infra, développement...); la compatibilité et la validation des applications sont critiques: «Il faut veiller à bien gérer la recette applicative, notamment en blindant celle des postes clients légers» le budget en investissement (CAPEX) reste conséquent, notamment en matière de stockage. Le multi-devices anywhere dans un contexte bancaire En dernière partie de cette session, le témoignage de la filiale Investissement d une grande banque a confirmé comment la mobilité peut susciter la transformation et le changement. La nouvelle offre de mobilité, issue d un programme L Essentiel CRiP Thématique Les enjeux de la mobilité, du BYOD et le lien avec les perspectives du Cloud Computing 3 27

28 corporate, doit permettre à collaborateurs d accéder à la messagerie, au calendrier et aux bases de contacts (Active Directory), à partir de tous terminaux : PC portables (environ 2.500), smartphones (3.800), tablettes... Pour les PC portables, fournis par l entreprise, la connectivité est élargie à toutes les applications métiers, grâce notamment à la solution VPN Pulse. L accès aux applications de la banque est confié à des plateformes Citrix. «A partir de là, il sera facile de passer à HTML 5». Pour l accès sécurisé des laptops personnels, la solution Movis (Mobile office via Internet services) a été retenue. Elle ne permet le transfert qu en mode connecté, et pas de maintenance à distance. Comparativement, le réseau VPN Pulse est beaucoup plus sécurisé : il concerne exclusivement les laptops fournis et maintenus par l entreprise (contrôle de la conformité, vérification du chiffrement des données, de la clé PKI, avec un annuaire spécifique. Une gestion des connexions est assurée en temps réel (GRANT) et un verrouillage par des pare-feux SEP. Le service de visio-conférence est ajouté progressivement; il s agit de permettre une connexion en point à point aux systèmes de visioconférence déjà en place, y compris avec les salles dédiées à la vidéoconférence. Il est même prévu d embarquer Lync sur des tablettes (Lync Mobile). Le besoin de se connecter au SI, où que l on se trouve, a été clairement sponsorisé par les topmanagers: eux-mêmes se déplacent fréquemment dans les 30 pays où la banque est implantée et ils tiennent à afficher une image très high tech vers les partenaires. Progressivement, les utilisateurs vont accéder à toutes leurs applications depuis n importe quel device. «Ceci suppose d interconnecter ou fédérer les messageries, et d ouvrir certaines applications au télétravail ou home office», explique l un des intervenants. Toutes les fonctionnalités ne seront pas accessibles à tous les métiers (des restrictions visent, par exemple, les traders ). Une forte culture de mobilité Les OS retenus sont Windows Phone et Android, sans oublier ios. L outil MDM de gestion des postes retenu a été initialement Good for Enterprise, mais étant verrouillé le RSSI l a récusé. Pour les smartphones, les options Blackberry sont toujours en vigueur. «Cela reste l offre la plus sécurisée pour la messagerie ( ) Mais Il est plus probable que nous allions vers l option BYOD avec Android, Windows Phone, et avec un autre MDM mieux adopté, moins coûteux.» La messagerie, du fait de la mobilité, première application sur le Cloud public Cette session du CRiP Nord a été l occasion de résumer les tendances révélées par la récente enquête CRiP Index sur le Cloud et la sécurité. Elle montre que le premier service transféré sur un Cloud public est la messagerie, du fait de l impact de la mobilité. Les 3 premiers services d infrastructure cibles du Cloud public sont, par ordre d importance, les services de messagerie (pour 39% des répondants), suivis de la visio-conférence (20%), et des plateformes de développement IT (8%). EnquêTE CRiP IndEx Autre information intéressante : 50% des entreprises consultées ont déjà ou envisagent un Cloud privé. Et 43% des répondants ont déjà migré ou sont en train de migrer des services/applications dans le Cloud public. United Kingdom Digital Technology & Innovation Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 28 4

29 Club des Responsables d Infrastructures et et de de Production #28 Mai 2014 Datacenter CRiP Thématique L optimisation des datacenters : une priorité pour les DSI du 09 avril 2014 L évolution des technologies transforme radicalement le monde de l infrastructure : densification des équipements, transformation des facteurs de forme, virtualisation massive Dans une recherche permanente d optimisation, le DSI ne doit plus s intéresser au seul contenu de sa salle informatique. Le contenant, les facilites de nos amis anglo-saxons, fait aussi l objet de nouvelles attentions : réduire le nombre et les surfaces des datacenters, la consommation électrique et les besoins de climatisation, intégrer des sources d énergie renouvelables. Loin d être une mode, le «green datacenter» est une évidence pour toute entreprise soucieuse de Responsabilité Sociale et Environnementale (RSE). Le contexte Cette conférence a été organisée par le Groupe de Travail Datacenter & IT Durable, animé par Dominique Roche (Orange) et André Eledjam (Société Générale), la journée étant parrainée par Frédéric Sevestre (CTO de Carrefour). Les intervenants ont partagé diverses expériences d amélioration de l éco-responsabilité : consolidation de datacenters existants, rénovation de salle, construction d un nouveau datacenter. Même si les moyens techniques existent, les résultats obtenus ne sont pas toujours au rendezvous des attentes espérées au démarrage du projet. D où la nécessité d améliorer la normalisation sur l efficacité énergétique du datacenter. Le GT Datacenter & IT Durable veut être force de proposition et représenter les intérêts des utilisateurs du CRIP et de CTO Alliance. La réflexion du développement durable doit être menée jusqu à la fin de vie des équipements. La directive européenne sur les DEEE impose la collecte et le recyclage des équipements en fin de vie. Dans certains cas, la responsabilité de la fin de vie incombe au client, lui aussi sensibilisé à l éco-citoyenneté. En quelques phrases Il est temps de réconcilier le monde de l IT et celui des Facilities. Le déménagement des équipements a été l occasion de faire le ménage. On n urbanise pas un datacenter juste pour gagner sur sa facture EDF, le premier gain c est l efficacité opérationnelle. L esthétique du datacenter apporte clarté et netteté. Le PUE n est qu un chiffre direct, il ne permet pas d identifier d où vient le problème. Même si on a des outils de mesure fournis par le constructeur, il vaut mieux savoir ce qu on mesure et avoir ses propres systèmes de contrôle. Un seul élément peu efficace dans la chaîne peut complètement faire basculer le niveau de performance globale du système. Sans documentation, sans repérage, sans transfert de connaissances, un datacenter peut régresser très vite. La collecte sélective ne représente que 30% des équipements électriques et électroniques mis sur le marché. 29 1

30 Ce qu il faut retenir Consolider, rénover, urbaniser, construire? La poursuite d un objectif de durabilité du datacenter n est pas qu une volonté de l entreprise d afficher qu elle lave plus vert. C est également un moyen de réduire ses coûts informatiques, en agissant sur la facture énergétique. Mais avant d en obtenir des gains substantiels, la greenitude du datacenter passe par une nécessaire étape d investissement. De quelques semaines et quelques dizaines de milliers d euros pour rénover un local informatique de 100 m² à quelques années et quelques millions d euros pour bâtir un datacenter from scratch de 1000 m², la palette des solutions est large. Le choix de la consolidation se fait souvent pour s aligner avec des objectifs stratégiques de l entreprise. Un témoin déclare : «La raison d être de ce programme, c était véritablement de sécuriser nos applications critiques (salles non sécurisées, serveurs obsolètes, logiciels plus maintenus)». Mais un autre explique: «Les 7 DC existants étaient relativement vétustes et nous avions besoin d une disponibilité 24x7». Lorsque la consolidation n est pas nécessaire, la rénovation est une alternative. Un autre témoin voulait «tester l optimisation énergétique d une salle pilote de 100 m² et passer d une salle aux bons standards des années 80/90 à un standard actuel». Reconnaissance du data centre «Green label» L urbanisation ne doit pas être considérée comme une dernière cartouche : «Il faut penser à l urbanisation le plus en amont possible. Lorsqu on construit un DC, son rendement d origine va se dégrader au long de sa vie, l urbanisation va permettre de revenir vers le rendement d origine». Double effet kisscool : «On n urbanise pas juste pour gagner sur sa facture EDF, le premier gain, c est l efficacité opérationnelle». La construction de nouveaux bâtiments permet de bénéficier de l état de l art, afin, par exemple, de bâtir «un hangar ajouré avec des containers à l intérieur, permettant de faire du free cooling, et de réaliser au final 143 kw d économie annuelle». Normalisation : le GT en pole position L indicateur PUE (Power Usage Effectiveness) proposé par le consortium Green Grid a fait long feu. Peu fiable, trop dépendant des conditions dans lesquelles il a été mesuré, ne tenant pas compte de la propreté de l énergie consommée, la communauté est à la recherche de nouveaux indicateurs indiscutables. Le PUE n est plus qu un vague indicateur car «ce n est qu un chiffre qui ne permet pas d identifier d où vient le problème. Il a fallu que nos experts fassent un audit détaillé pour comprendre ce qui n allait pas». Et même en l absence de problème, sa valeur est discutable : «même si on a des outils de mesure fournis par le constructeur, il vaut mieux savoir ce qu on mesure et avoir ses propres systèmes de contrôle». Bref, il est urgent de se ranger autour de nouveaux indicateurs plus fiables et de préférence normalisés pour éviter toute interprétation. Le GT a été force de proposition auprès des organismes de normalisation en défendant les intérêts des utilisateurs. «Pour éviter d être considérés comme trop franco-français par les instances de normalisation européennes, on a créé la CTO Alliance [dont le CRiP est l un des piliers] reconnue par la Commission Européenne. Il a ensuite fallu constituer, en accord avec l ETSI, le comité ISG (Industry Specification Group) OEU (Operational energy Efficiency for Users) qui émet des position papers et des spécifications de référence pour les futurs sites et réseaux». 30

31 L objectif est atteint : «Un nouvel indicateur alternatif au PUE existe : le DCEM (Datacenter Efficiency Management) qui mesure la performance énergétique des DC. Il fait intervenir 4 KPI objectifs : consommation énergétique, efficacité de traitement, réutilisation d énergies et utilisation d énergies renouvelables. Notre proposition est une classification des datacenters sur une échelle absolue de 9 niveaux de A à I (comme la classification des bâtiments)». Le GT poursuit ses travaux en proposant un «cadre ouvert pour récupérer les données énergétiques en étant indépendant des constructeurs et pour mener des analyses. Ceci passe par un état des lieux sur les protocoles de transmission des informations techniques, le recensement des besoins des utilisateurs via des enquêtes notamment auprès des membres du CRIP, ceci dans le but de produire un position paper proposant des pistes pour minimiser le nombre de protocoles et réduire les coûts d exploitation». Les énergies renouvelables La trop grande dépendance aux énergies fossiles oblige les pouvoirs publics à proposer des modes alternatifs. Gros consommateurs d énergie, les datacenters ne sont pas exclus de la réflexion. Après une étude détaillée démontrant, sur l emplacement prévu, une meilleure efficacité énergétique du «Natural Free Cooling», un intervenant a détaillé cette réalisation originale, évoquée plus haut, d un nouveau datacenter au Royaume-Uni conçu comme un «hangar ajouré avec des containers à l intérieur». Selon le niveau de température et le degré d humidité extérieure, le NFC est complété par un refroidissement adiabatique ou un mécanisme classique d eau réfrigérée. En complément du free cooling, des panneaux solaires ont été installés. Mais «la partie énergie renouvelable est très marginale car ce qui est produit par les panneaux photovoltaïques est peu perceptible. Nous avons calculé avec des simulations qu il faudrait couvrir l équivalent de 1000 places de parking supplémentaires pour un DC de 500 m² pour que ce soit significatif. L impact du photovoltaïque n est visible que si vous pouvez installer une véritable ferme solaire à côté de votre DC sur un grand site». L histoire ne dit pas si une implantation, par exemple, dans le sud de la Californie aurait changé le résultat des simulations Le traitement des Déchets des Equipements Electriques et Electroniques (DEEE) Une démarche d éco-responsabilité du datacenter ne doit pas seulement s intéresser à la partie «run». Elle doit aborder le «build» mais aussi traiter la fin de vie des équipements. C est la démarche suivie par la directive européenne DEEE qui «impose une écoconception des équipements électriques et électroniques pour favoriser le réemploi et le traitement en fin de vie». Les équipements sont classés en 10 catégories, depuis les gros appareils électroménagers (catégorie 1), les petits appareils électroménagers (catégorie 2) jusqu aux équipements de distribution automatique (catégorie 10). Les équipements informatiques et de télécommunication constituent la catégorie 3, qui «représente environ 22% des mises sur le marché en nombre et environ 7% en tonnage» (chiffres France 2012). Pour pouvoir recycler les équipements, il faut d abord procéder à une collecte sélective, avec des objectifs de plus en plus ambitieux. «La Directive européenne évolue, on va passer d un objectif de 4 kg par habitant en 2006, vers des objectifs de 10 kg par habitant à partir de 2016 (soit 45% des mises sur le marché)». Mais qu en est-il de la responsabilité de collecte pour l entreprise? Pour les équipements mis sur le marché avant le 13/08/2005, «les détenteurs d EEE professionnels sont responsables de la fin de vie de ces équipements, sauf en cas de remplacement par un nouvel équipement équivalent (reprise par le fournisseur)». Et pour les équipements mis sur le marché après le 13/08/2005 ou d équipements plus anciens repris dans le cadre d un remplacement, «les producteurs sont responsables de leur fin de vie». Du point de vue de la responsabilité de collecte sélective des DEEE, il est donc préférable de privilégier les équipements récents, et pour les plus anciens, de les faire reprendre (comme votre bon vieux réfrigérateur) par le fournisseur qui vous aura vendu les nouveaux en lieu et place! L Essentiel CRiP Thématique L optimisation des datacenters : une priorité pour les DSI 3 31

32 ANAlyse thermographique L analyse thermographique d une salle non optimisée peut révéler quelques failles. Un client raconte : «On avait bien de l air froid dans les faux planchers, mais pas là où il devait être!». Des mesures de première urgence sont prises : «On a bouché les trous, obturé les racks avec des cache-u, optimisé le soufflage et canalisé les flux d air. On s est dit : c est bon, on a gagné!». Constat similaire chez un autre client : «Il faut positionner des baffles et des directeurs dans les planchers techniques pour bien canaliser l air dans les allées». Mais l analyse thermique ne doit pas s arrêter en bas des racks : «Les mesures de température à 1 mètre du sol étaient bonnes, mais on avait 42 à 45 C en haut des baies!». Une analyse complémentaire a montré qu une poutre provoquait un flux circulaire en rouleau. «Nous y avons remédié, et très vite nous sommes revenus à des bons niveaux». Idéalement l analyse thermographique doit être réalisée de façon récurrente, de façon à «mettre en évidence tout mauvais comportement des flux d air et affiner si besoin les températures, les pressions d air et optimiser les modes de refroidissement». United Kingdom Digital Technology & Innovation Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 32 4

33 Club des Responsables d Infrastructures et et de de Production #29 Mai 2014 Outsourcing CRiP Thématique Outsourcing : sans cesse sur le métier du 09 avril 2014 Si l infogérance est presque aussi vieille que l informatique elle-même, elle se transforme au gré des mutations de l IT. Elle doit proposer des services plus flexibles, satisfaire les exigences de qualité de service des métiers, et évidemment dégager des réductions de coûts. Autant de problématiques et de stratégies d entreprise, autant de prestataires et de services d infogérance différents. Devant faire le grand écart entre un niveau d exigence sur une qualité de service toujours plus élevée, et un tarif des services qui s érode année après année, l infogérant doit sans cesse remettre son ouvrage sur le métier pour garder la confiance de la DSI et de l entreprise. Le contexte Cette conférence a été organisée par le GT Outsourcing, animé par Philippe Guyé (OCDE) et David Perreau (CEA), la journée étant parrainée par Frédéric Sevestre (Carrefour). Cette journée a illustré la diversité des attentes liées à la taille de l entreprise. Elle a également traité des primo-contrats aussi bien que des renouvellements. Les retours d expérience sont unanimes sur l extrême nécessité de bien planifier le passage de témoin, des équipes internes vers celles de l infogérant, ou la transition d un infogérant sortant à un infogérant entrant. Même, et surtout, si cette transition implique des facteurs humains, le succès de l opération sera très dépendant de la formalisation en amont des processus, et de la complétude du contrat en aval. Ce dernier doit naviguer entre deux écueils : être suffisamment détaillé pour éviter toute interprétation en cas de recours, mais être assez souple pour ne pas brider flexibilité et réactivité au quotidien. L infogérance, c est un peu comme un mariage. La non-atteinte des SLA conduit au divorce. Pour l éviter, la relation saine doit prévaloir, même si la confiance n exclut pas le contrôle En quelques phrases Il faut mettre en place un modèle adapté à sa maturité : l offshore low-cost ne fonctionne pas forcément bien avec tout type de client. Dans notre stratégie, on voulait un acteur local surtout parce qu il y avait beaucoup de réticence des équipes. Il faut impliquer les équipes delivery au plus tôt dans le projet pour éviter une bascule violente. On allait être mariés pendant 5 ans. Si on démarre la prestation en mettant les gens dans un mode conflictuel, la relation contractuelle va prédominer sur la relation humaine. Une fois qu on a signé le contrat, c est extrêmement compliqué de changer une virgule. On ne choisit pas de quitter le confort de l existant pour l inconnu s il n y a pas de fortes économies à la clé. La réversibilité est une phase qu on a souvent tendance à négliger et surtout à ne jamais tester. Le prestataire sortant est un animal blessé, il fait tout pour survivre et pour conserver le contrat. Si vous faites 1 comité de pilotage par mois, au bout du 3 ème mois vous avez déjà 3 mois de retard. 33 1

34 Ce qu il faut retenir Le modèle de maturité Aujourd hui, il existe de nombreux modèles d infogérance : infrastructures, applications, postes clients, réseaux, téléphonie, centres d appels. Et plusieurs modes de fourniture des services : en délégation de personnel sur site, avec des centres de service partagés situés en France, dans un pays proche (nearshore) ou lointain (offshore), avec des personnels parlant plus ou moins bien le français. Et selon qu on se lance dans son premier projet d infogérance (primo-entrant), ou qu on soit un habitué (multi-récidiviste), les avantages d un modèle pour l un peuvent être perçus comme des inconvénients par l autre. Un multi-récidiviste avoue : «On a un modèle d infogérance qui repose beaucoup sur l offshore, c est quelque chose à prendre aux sérieux avec l infogérant pour choisir le bon modèle. Il faut se poser les bonnes questions sur son modèle de maturité et mettre le curseur au bon endroit. L offshore low-cost ne fonctionne pas forcément bien avec tout type de client». Un primo-entrant confirme : «On voulait un acteur local surtout parce qu il y avait beaucoup de réticence des équipes, et aussi parce qu on avait un niveau de maturité faible sur l outsourcing d exploitation.». Un multi-récidiviste complète : «Pour les primoutilisateurs, aller signer des contrats en Inde en Chine ou au Mali peut se révéler compliqué». Les barrières de langue et de culture ne s estompent pas facilement. «On a un modèle d infogérance qui repose beaucoup sur l offshore, c est quelque chose à prendre aux sérieux avec l infogérant pour choisir le bon modèle». Même si la recherche d économies substantielles attise les convoitises («ce n est pas le genre de manip qu on fait pour gagner 7 ou 8%, il y a trop de risques»), il faut raison garder avec le low-cost («la raison d être de ce programme était de sécuriser nos applications critiques»). Une nécessaire relation de confiance L infogérance, comme toute prestation de service, s appuie sur une relation humaine entre les équipes IT et les utilisateurs du client ainsi que les employés du prestataire. Certains doivent vaincre des réticences et «montrer comment on s inscrit sur un apport de valeur au pays et pas une perte de pouvoir, leur expliquer qu au lieu que ce soit eux qui soient réveillés la nuit pour une barrette mémoire, ce serait nous, idem pour les passages de patchs». Les réticences peuvent se transformer en force d inertie, «quand vous avez des équipes entières qui pensent que l infogérant sortant est nul, il faut rétablir une relation de confiance avant de démarrer quoi que ce soit. Il faut s appuyer sur des faits plutôt que des croyances». Et même si «on connait les points forts et les points faibles de son infogérant», on sait qu on «ne saura pas demander à un crabe de marcher droit, mais au moins on sait à quel angle il avance». Et pourtant, les préjugés peuvent avoir la vie dure : «On pensait fermement que, depuis des années, on payait 20% de plus que les prix du marché», on n est pas à l abri d une surprise agréable «alors qu en fait on était à -3%!». En résumé, «il faut avoir envie, penser que le fournisseur peut s améliorer» et «considérer que c est un partenaire avec lequel on va vivre pendant x années. Nos collaborateurs vont travailler avec ses collaborateurs même s ils sont situés dans un pays distant». La confiance n exclut pas le contrôle, c est la raison d être des comités de pilotage qui doivent être réunis à haute fréquence, surtout au démarrage du contrat, car «si vous faites 1 comité de pilotage par mois, au bout du 3 ème mois vous avez déjà 3 mois de retard!». Quel portail de services? La plupart des contrats d infogérance modernes proposent un portail de services à leurs clients. Pour un contrat d infogérance de datacenters, le catalogue donne «une vision claire des services et d assurer un lien fort entre services et architecture». Ce client dispose même de «deux types catalogues de services. Celui proposé par l infogérant liste les services qu il fournit à l entreprise. Le second type est destiné à nos clients internes. Il a été construit par notre organisation, qui se positionne en tant que fournisseur de services internes, et masque les infogérants qu il peut y avoir derrière les services proposés». Chez un autre client, «le portail de service avait l avantage de délester le service desk d appels sans réelle gravité». Le portail intègre un certain nombre d informations, d outils de self-healing permettant à l utilisateur lambda de se débrouiller dans les cas les plus fréquents et pour les incidents les plus bénins. «Le seul problème c est de savoir ce que l on veut mettre dans le catalogue de services. A partir d une analyse des historiques d appels, nous avons pu déterminer les 10 demandes les plus fréquentes. C est par celles-là que nous avons commencé à remplir le catalogue, puis nous avons complété peu à peu». 34 2

35 L importance de la préparation Qu il s agisse d un premier contrat ou d une reconduction, c est avant le démarrage et pendant la phase de due-diligence que se cimentent les bases de la réussite du contrat. «Les 3 premiers mois sont relativement tendus, explique un grand compte, parce qu il y a tous les ateliers à mettre en place, le paramétrage de l outil (ITSM) qui devait changer, remettre nos processus à plat pour le nouvel outil. Il a fallu également caler tous les transferts de compétences, ensuite refaire une validation documentaire de ce qui nous avait été fourni car la documentation de l ancien infogérant n était ni toujours complète ni totalement à jour». Les ateliers sont primordiaux car «les livrables non contractuels sont issus de tous les ateliers. C est le client qui a la maîtrise de ce qu il est censé fournir à l infogérant. C est le moment de documenter ce qui ne l était pas». Le besoin de formalisation est confirmé par un autre témoignage : «On a fait la due-diligence pendant 6 semaines avec 4 à 5 ateliers par jour. C est un processus extrêmement formalisé, il faut noter toutes les questions car cela sert pendant les premiers temps du contrat lorsque le prestataire vous dit je ne savais pas que». Dans la due-diligence «il faut être exhaustif et traçable» et accepter le fait que «la phase de collecte des informations est coûteuse en temps et en ressources, mais elle permet de faire le point en interne». Car prudence est mère de sureté, surtout si «on avait peur de tomber sur un prestataire qui nous impose avenant sur avenant parce qu on aurait oublié ceci ou cela». de comprendre les stratégies de chacun». Il arrive que le prestataire en cours ne soit pas reconduit, ce qui a pour effet immédiat de tendre la passation de pouvoir avec le suivant. «L infogérant en place a refusé de donner les mots de passe avant le dernier jour à 19h00. C était très compliqué d avoir la nouvelle équipe en place dans les starting blocks jusqu au dernier moment». Ce que confirme un autre témoignage : «L ancien fournisseur avait les manettes jusqu à 5h59 le jour J. Ce qui nous a valu une petite minute d angoisse lorsque nous avons coupé les consoles de supervision de l ancien infogérant et que nous avons basculé sur celles du nouveau». Mais comment faire autrement? Même avec de la bonne volonté, il est difficile voire impossible- de faire se chevaucher les 2 contrats utilisant des processus différents, des outils différents Certains infogérants laissent parfois un cadeau d adieu : «Le Service Desk s est retrouvé le 1 er jour avec 600 tickets en backlog laissés par le précédent infogérant». Les clauses de réversibilité permettent-elles de limiter ce genre d effets négatifs? Un témoin déclare : «La réversibilité c est une phase qu on a souvent tendance à négliger et surtout à ne jamais tester». Il conseille de «la tester 1 fois par an, sans forcément effectuer une réversibilité totale, mais au moins faire une réversibilité documentaire et passer un peu de temps pour s assurer que toutes les documentations sont au carré et qu elles ont été rafraichies au moins une fois au cours de l année écoulée». Et de conclure : «La dernière année, faites-la 2 fois 6 mois avant la fin de contrat et à la fin de contrat». L Essentiel Est-ce facile de changer d infogérant? A la fin naturelle du contrat, ou de façon parfois anticipée, se pose la question du renouvellement. Même si l on ne dépend pas des marchés publics obligeant à une nouvelle consultation formelle, nos témoins confirment que la tacite reconduction fait désormais place à un processus de mise en concurrence. Certains ont décidé «d anticiper la fin de contrat dans une renégociation de gré à gré». Pour autant, si ce client choisit de ne lancer les négociations qu avec son prestataire en place, celuici est prévenu : «Si, au milieu de la négociation, on n a pas trouvé d accord, on met une appel d offres sur le marché». Pour un autre «la short list a été faite avec le prestataire en cours et un nouvel entrant possible» Il poursuit : «Si vous avez le temps, rédigez le modèle de contrat avec les 2 entreprises, cela vous permet d avancer plus vite et CRiP Thématique Outsourcing : sans cesse sur le métier 3 35

36 Le BenChmaRk OutsOuRCIng du CRiP Le Groupe de Travail a lancé l initiative d un Benchmark Outsourcing au sein du CRIP. Le questionnaire, comportant 21 questions, a été envoyé durant le 1er trimestre 2014 à un échantillon représentatif de 254 sociétés membres du CRIP. A ce jour 91 réponses ont été collectées, ce qui permet d avoir une première photographie des attentes des membres vis-à-vis de l outsourcing. Les résultats sont en ligne avec les études menées par les grands analystes du marché. Les contrats d outsourcing sont utilisés à peu près à égalité pour l infogérance de datacenters ou de postes de travail. Ensuite sont mentionnés la maintenance applicative, les réseaux et télécom et la maintenance système. Est-ce une manifestation de l exception française? Une écrasante majorité de contrats ont été signés avec des intégrateurs ou sociétés de service, loin devant les opérateurs télécoms et éditeurs ou constructeurs. CRiP BenChmaRk OutsOuRCIng Q3. dans quel(s) domaine(s), un contrat d outsourcing? Q12. avec quel(s) prestataire(s) le contrat a-t-il été signé? United Kingdom Digital Technology & Innovation Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 36 4

37 Club des Responsables d Infrastructures et et de de Production #30 Mai 2014 PRA / PCA CRiP Thématique Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d activité du 16 avril 2014 L omniprésence de l informatique dans l activité de l entreprise rend les directions générales de plus en plus exigeantes sur la nécessité de restreindre au minimum, voire supprimer totalement les interruptions non planifiées du S.I. Certes, la notion de PRA (plan de reprise d activité) est aussi vieille que l informatique elle-même, ou presque. Mais son périmètre a évolué. Désormais, les directions Métier s invitent à la table des discussions sur la définition, les tests et l audit du PRA, qui doit progressivement s élargir du PRA au PCA. Mais l objectif du zéro-rto est-il réaliste, non seulement techniquement, mais également financièrement? Le contexte Cette Conférence CRiP Thématique a été organisée par le Groupe de travail PRA/PCA, piloté par François Tête (président du CCA, Club Continuité d Activité) et Pascal Antier (ADP). L événement était parrainé par Jean-François Pasquier, Group IT Infrastructure Director chez Tarkett. Six témoignages d entreprises, déjà engagées ou démarrant un projet de PRA/PCA, ont illustré les diverses facettes, la méthodologie, les aspects techniques mais également fonctionnels autant de paramètres nécessaires pour rendre un PRA le plus opérationnel possible. Pas de recette miracle, même si quelques invariants existent, car chaque PRA est spécifique à chaque entreprise. Le PRA n est plus un problème technique qui doit être seulement traité par les spécialistes de la DSI. Les Directions Métier sont de plus en plus impliquées, pour s assurer que le PRA réponde aux attentes business en cas de sinistre. Si les métiers aimeraient tendre vers le zéro- RTO, il faut mettre en regard les coûts induits avec les risques métier encourus. Les éléments techniques ont été abordés dans cette journée. Mais les témoignages ont permis de partager diverses expériences sur des éléments souvent plus importants, parfois intangibles, de l optimisation du PRA. En quelques phrases Qu est-ce que les métiers sont prêts à payer? L enjeu est de placer le curseur entre les risques et les moyens de les contingenter. Le PRA est un projet graduel qu il faut stratifier, et pour lequel il faut trouver le bon niveau de granularité. L adhérence entre applications nous oblige à traiter ces applications en blocs homogènes. Nous sommes pris entre deux feux : limiter le nombre de blocs en y intégrant le plus d applications possibles, ou bien multiplier le nombre blocs avec peu d applications, donc plus souples à basculer. C est le critère «revenu généré par l application» qui détermine son niveau de criticité. Le métier définit les scénarios, les plans de tests, et effectue puis valide les tests. Se préoccuper du fail-over sur le site secondaire ne suffit pas : il faut également penser au retour vers le site primaire lorsque l incident est clos. Un audit n est réussi que s il apporte de la valeur ajoutée à toutes les parties prenantes. Grâce au travail de tous sur le PRA, nous avons constaté une baisse de 10% de nos incidents classés sévérité 1 sur 3 ans, malgré la croissance des volumes applicatifs sur la période. 37 1

38 Ce qu il faut retenir Comment tendre vers la continuité d activité? Le groupe de travail PRA/PCA du CRiP a déjà classifié les notions de PCI/PRA/PCA Pour la plupart des entreprises, rependre son activité après un sinistre c est bien, mais continuer son activité malgré un sinistre c est encore mieux. La continuité d activité dépasse le cadre de l IT, elle doit traiter les problèmes liés aux employés, aux postes de travail, aux bâtiments, aux fournisseurs. C est une cellule de gestion de crise qui va mobiliser tous les maillons critiques de l entreprise (y compris l informatique, mais pas seulement) pour passer le cap de l incident pour lequel la cellule aura décidé d activer le Plan de Continuité. «Il est important de disposer des Business Continuity Plans, car en cas de sinistre la cellule de crise va interagir avec la DSI pour déclencher le PCIT» commente un intervenant. Il faut prévoir le scénario du pire, comme l avoue un autre intervenant : «Nous avons identifié les tâches les plus importantes à réaliser même en cas de black-out total. Nous avons défini les traitements à réaliser manuellement jusqu au rétablissement de l informatique». L objectif de réduction des RPO et RTO trouve des réponses techniques, ce que confirme un témoin : «Le PRA c est une chose, la continuité de service en est une autre. Les technologies permettent de s approcher du zéro RTO, mais à quel prix?». Et, autre question préalable, toutes les applications de l entreprise doivent-elles tendre vers le zéro-rto? Un des témoins explique : «Sous l égide de la Direction Financière, nous avons catégorisé nos applications en 3 blocs : mission critique, business critique et business standard». Mais dans certains cas, les contraintes géographiques rendent impossible, ponctuellement ou non, un RTO nul, et même pour une application critique : «Ce processus critique pour notre métier implique 127 applications et plus de 100 serveurs. Avec 2 datacenters distants de 800 km pour pallier un incident régional, comment faire pour avoir un RPO même presque égal à zéro». Gérer le PRA comme un projet à part entière Tous les intervenants reconnaissent que le PRA/PCA doit être géré comme un projet, et disposer d un sponsorship de niveau managérial pour pouvoir disposer des moyens humains et financiers. Pour l un, «le projet commence 6 mois avant la date du test. Le week-end du test mobilise une équipe de 220 personnes». Chez un autre, «chaque année le projet de test démarre pendant l été pour un test réel en novembre. Une semaine de préparation intensive avant le jour J permet de minimiser les risques». Pour un troisième, «la préparation mobilise 8 ETP sur un an pour réaliser plus de 400 tests unitaires. L exercice de bascule dure 36 heures, dont 12 sur site unique, et implique 120 intervenants IT». Un autre témoin, disposant d une équipe de production d une dizaine de personnes, a dû «renforcer les équipes pour passer le cap, et maintenir le PRA en état de marche une fois le test terminé». La planification du test du PRA est donc un véritable projet qui doit adresser plusieurs facettes. Pour l un des intervenants, il faut «effectuer une préparation rigoureuse des exercices sur 5 axes : technique, fonctionnel, organisationnel, logistique et sous l angle de la communication». Ce que confirme un autre témoin : «On a besoin d une précision chirurgicale des équipes du projet. Il faut être hyper carré pour éviter de se perdre dans les détails, ou oublier les objectifs d ensemble du PRA». Mais même si le projet DRP est reconnu comme important pour l entreprise, «il entre en conflit avec la vraie production, les vrais nouveaux projets, le périmètre est mouvant». L organisation de tests de PRA a parfois rendu évidente la création de profils de Business Relationship Managers (BRM): «Entre le business et l IT, les équipes n ont ni le même langage, ni les mêmes objectifs. Le BRM aide à fluidifier la gestion des incidents durant le PRA». Une fois le test réalisé, «un plan d amélioration global est découpé en plans d améliorations spécifiques à chaque business». On peut ainsi faire entrer le PRA dans un processus d amélioration continue. 38 2

39 L implication croissante des métiers L objectif ultime d un PRA n est pas tant de redémarrer le système d information que de relancer a minima les applications critiques, de reconnecter les utilisateurs, et de pouvoir assurer à l entreprise une Reprise d Activité. Cela suppose que quelqu un ait défini des applications, ou des blocs d applications par type de criticité. Certains ont réalisé ce travail de classification sous l égide du Directeur Financier Groupe. Pour d autres, «c est le revenu généré par l application qui détermine son niveau de criticité». Tous les intervenants ont convenu que les métiers sont de plus en plus impliqués dans le PRA et les exercices annuels. Pour l un, «c est le business qui définit les scénarios, les plans de tests, qui réalise et valide les tests». Pour un autre, «les plans de tests sont conçus et testés par les métiers. Sinon ce sont les études qui s y collent». Selon l activité de l entreprise, on peut même être amené à intégrer plusieurs fonctions transverses comme «les finances, les ressources humaines, la gestion des marchandises, le développement, les magasins». Une fois le test engagé, «tous les domaines fonctionnels se connectent, et ce sont eux qui lors d une conférence téléphonique donnent leur GO/NOGO à la poursuite du test, ou au repli en condition normale». Cela va sans dire, pour limiter, voire éviter les risques sur la production, les tests se déroulent le week-end de façon générale. Malgré tout, «c est de plus en plus difficile de trouver un créneau sur lequel tous les intervenants sont disponibles». Et «pendant le test, aucun impact métier n est toléré». Jusqu où doit-on tester son PRA? Chacun doit faire le grand écart entre la complétude des tests, les coûts humains induits et le risque encouru si le test est incomplet. Doit-on aller jusqu à simuler un sinistre réel non planifié, ou rester dans le cadre d un exercice au périmètre bien défini par avance? Pas de dogme sur le sujet. Si l un «active le PRA une semaine par an en production sur toutes les bases de production SAP», un autre «ne bascule pas réellement la production pendant le test. Elle est momentanément fermée aux clients durant la bascule». Si certains jouent le jeu jusqu au bout «simulant un sinistre en coupant les réseaux, sans toucher aux bases de données», la majorité préfère procéder à un test planifié, qui permet de procéder à «un arrêt propre des applications, des outils d exploitation, des bases de production». La question de prévenir les utilisateurs fait débat, un intervenant avoue même «avoir renoncé à les prévenir désormais, car au moment du premier test, une surcharge d incidents avait été signalée, dont une grande partie n avait pas trait au PRA». Pour éviter de mauvaises surprises lors du grand test annuel, certains imposent des tests préalables unitaires par application ou bloc d applications, d autres réalisent «des tests réguliers de bascule de clusters de bases de données», et mettent «leurs pilotes d exploitation en condition de PRA sur le site de secours tous les mois». En parallèle, des exercices d alerte inopinés permettent de «simuler en combien de temps les acteurs se mettent en ordre de marche pour redémarrer le site secondaire durant la journée, la nuit ou le week-end». Une fois le test réalisé, les enseignements en sont tirés, pour agir sur les points faibles, et aller plus avant lors de l exercice suivant. L un souhaite «élargir le périmètre du test aux serveurs hors SAP (serveur de fichiers, serveurs d infrastructure, serveurs d accès distants )» tandis que l autre «se mettra dans des conditions plus proche d un sinistre réel». Le facteur financier s invite à la réflexion pour un troisième : «Nous effectuons actuellement deux tests annuels, mais nous nous demandons si nous n allons pas espacer les tests». Quelles perspectives pour le PRA? Cette journée riche en retours d expérience a été focalisée sur la vision du PRA côté datacenter. La table ronde finale a permis de soulever quelques points annexes. A la question «qui lance le PRA dans l entreprise», la réponse quasi-unanime était : «Aujourd hui c est la DG qui décide de lancer le projet PCA, même si la DSI fait des choses dans son coin». Mais un intervenant souligne que, pour les tests, «c est plutôt la DSI qui décide, car la DG ne voit pas tous les impacts découlant d un PCA». La question de l accès des utilisateurs en cas de PRA peut trouver une réponse dans le travail à distance (sous réserve d accords préalables et de la sécurisation des accès réseau), et avec l accès d une partie des utilisateurs à des centres de repli spécialisés. De l avis des intervenants, les sinistres logiques (tels une corruption de base de données, un virus ou une intrusion) ne sont pas redevables de PRA. Ils sont plutôt assimilables à des incidents d exploitation. Néanmoins, en fonction de la profondeur ou de la virulence de l incident «logique», il est envisageable de recourir au PRA, en espérant que les sauvegardes L Essentiel CRiP Thématique Mieux maîtriser et maintenir les PRA : les nouveaux enjeux de la continuité d activité 3 39

40 aient été immunisées. Dans les perspectives d évolution du PRA, quel impact peut jouer le Cloud (public)? Les intervenants ont admis manquer, à ce jour, de retour d expérience sur le sujet. Le Cloud offrira-t-il une solution de PRA low-cost? Comment pourra-t-il satisfaire les contraintes de qualité de service demandées par les directions métier? Et comment s engager sur un RPO court sans devoir répliquer fréquemment les données vers le Cloud de secours? La volatilité du Cloud n obligera-t-elle pas à la multiplication des tests? Certaines technologies, comme Hadoop ou les clusters de serveurs de calcul HPC par exemple, ne font plus dépendre leur disponibilité sur les seuls composants matériels. La perte d un nœud ne compromet pas l aboutissement de l application. C est elle qui gère sa disponibilité et pallie les défaillances matérielles. Mais est-il concevable de réécrire les applications d un PRA pour leur faire gérer elles-mêmes la haute disponibilité? Le Software Defined Datacenter (SDDC) apporterat-il des réponses à l évolution du PRA? Si les évolutions technologiques repoussent les frontières du possible, les contraintes du business déplacent les limites de l impossible «pour tangenter l asymptote du zéro-rpo et zéro-rto». Ce qui laisse à penser que le sujet du PRA/PCA a encore de beaux jours devant lui. Comment auditer son PRa? Le sujet est d importance. Le groupe de travail PRA/PCA a rédigé une fiche destinée à «préciser à l audité le contenu d un audit de la continuité d activité» et «prendre en compte l audit de la continuité d activité, plutôt que se limiter à l audit du PRA / PCA». La fiche portera sur «le Système de Management de la Continuité d Activité SMCA» et «les services rendus aux clients selon la norme ISAE 3402». Faisant suite au standard SAS 70, la norme ISAE 3402 (International Standards for Assurance Engagements) permet aux utilisateurs de prestations externalisées d obtenir une assurance sur la fiabilité du dispositif de contrôle interne de leurs prestations de services (voir : isae3402.com). La démarche d audit doit souvent affronter des freins psychologiques de la part de certains qui y voient un outil répressif. Et d ailleurs, cette question se pose : l audit doit-il être réalisé en externe ou en interne (sous réserve de disposer de compétences certifiées)? Pour garder son degré d indépendance, l auditeur interne est de préférence rattaché directement à la Direction Générale et au comité d audit. Une des clés de la réussite est «de construire des relations solides. Il faut démontrer la valeur ajoutée, faire accepter le jeu par la DSI dans une relation gagnant/gagnant, et éviter un audit répressif en aidant la DG à faire avancer le PRA». De toutes façons, «avant de démarrer l audit réel, on fait un diagnostic et on bâtit un programme de travail», car in fine «un audit n est réussi que s il apporte de la valeur ajoutée à toutes les parties prenantes». United Kingdom Digital Technology & Innovation Rédaction : Philippe Roux & Pierre Mangin, CRiP - Création Fred.lameche - Club des Responsables d Infrastructures et de Production 24 rue Erlanger Paris - [email protected] En application de la loi du 11 mars 1957, il est interdit de reproduire ; sous forme de copie, photocopie, reproduction, traduction ou conversion, le présent ouvrage que ce soit mécanique ou électronique, intégralement ou partiellement, sur quelque support que ce soit, sans autorisation du CRiP. 40 4

41 Moteur de l innovation et de la transformation digitale Vraie vie Influencer l écosystème Apprentissage collectif Contenu agnostique Indépendance VIS-A-VIS des fournisseurs Partage d expériences Valoriser l innovation comme avantage économique Un Cercle de confiance pour permettre aux Responsables d Infrastructure et de Production d être plus performants dans leurs métiers 41

42 8 raisons d adhérer au CRiP Être à la pointe de l innovation et de la transformation digitale En 2 European Summits nous avons eu une vision concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos équipes.subtile alchimie entre Networking et Innovation dans un cadre inhabituel et donc toujours propice à la concentration. L ites The place to be. Un réseau pour rencontrer ses pairs dans un cercle de confiance «Un networking avec mes pairs et des leaders «d IT opinion» dans un cercle de confiance.» Pierre auguste, Directeur de l Ingénierie des Infrastructures, PUBLICIs Bruno PRévost Directeur Infrastructures It, safran 42 veille technologique et benchmarking pour prendre les bonnes décisions stratégiques l IT European Summit : une organisation très riche en échange et en contenu. L exercice n est pas simple d arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques. Marie-Charlotte BoUCHERY Cto, BonDUELLE Profiter de l expérience de mes pairs pour accélérer mon time-to-market et ma productivité Le CRiP est un espace d échanges sereins sur des sujets concrets dans un monde en perpétuelle mutation, où nos sociétés nous demandent d aller toujours plus vite. Dominique BaRtHoUx Head of Group Infrastructure, UnIBaIL-RoDaMCo Une information utile indépendante des fournisseurs Partage et indépendance résument bien l esprit du CRIP. J apprécie surtout les retours d expérience qui permettent de se forger un avis sur l impact réel de nouvelles technologies. Kathleen MILstED Directrice Programme Cloud for Internal It, orange Une passerelle vers d autres associations de métiers Le CRiP est une instance efficace et pragmatique sur laquelle s appuyer pour faire face aux défis de la transformation numérique et être en phase avec les nouvelles attentes métiers. Gery BontE Cto, saint-gobain Me situer par rapport à mes pairs internationaux L apport de gourous des universités américaines et l éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l IT. Lionel verlaine Cto, orange Des événements de qualité toujours plus innovants Bravo pour Reims. C est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l utilisation du big data et des données, et de la place que pourraient prendre dans l entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée. Jean-Paul amoros Cto, GDf suez

43 L Édito 8 raisons d adhérer du Président au CRiP Notre Horizon 2020 faire de l Infrastructure et la Production Informatique Être à la pointe un des de moteurs l innovation de l Innovation et du de Digital la transformation et un contributeur digitale à la compétitivité En 2 European de Summits l entreprise nous avons eu une vision concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos Mes équipes.subtile chers collègues, alchimie entre Networking et Innovation dans un cadre inhabituel et donc Grâce toujours à vous, propice en à 7 la ans, concentration. le CRiP est devenu une association L ites The reconnue place to du be. monde de l IT, comptant plus de 3500 membres, représentant près de 300 Entreprises adhérentes. Bruno PRévost Directeur Infrastructures It, safran Nos crédos du début sont restés inchangés : - indépendance des fournisseurs, - retours d expériences de la vraie vie, veille - travail technologique collaboratif au sein et de nos groupes de travail, benchmarking pour prendre - aider nos membres à être plus performants les dans bonnes leur métier décisions à travers stratégiques la production de l IT contenus European agnostiques Summit : une : Livres organisation Blancs, très Fiches riche Pratiques, en échange Essentiels et contenu. IT, Exécutive L exercice notes n est et pas CRiP simple Thématiques. d arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en Mais repart le monde avec éléments change qui Fusion faciliteront entre ses informatique décisions personnelle stratégiques. et professionnelle, le shadow IT, le Cloud Computing, le Big data, les pressions budgétaires font que Marie-Charlotte notre mission BoUCHERY et notre rôle au sein de l Entreprise évoluent. Cto, BonDUELLE Il est donc nécessaire que le CRiP se ré-invente pour apporter encore plus de services à nos adhérents et Profiter leur permettre de l expérience de contribuer pro de activement mes pairs à la mutation digitale de leur entreprise. pour accélérer mon time-to-market et ma productivité Nous devons naturellement garder les ingrédients qui Le constituent CRiP est un notre espace force d échanges d attraction sereins mais sur les compléter des sujets avec concrets de nouveaux dans un services, monde en de perpétuelle nouvelles passerelles mutation, vers où nos les sociétés métiers nous de l entreprise demandent d aller et vers l international. toujours plus Il vite faut. aussi positionner notre métier vis-à-vis de ces nouvelles fonctions (Digital Officers, Dir. Innovation) qui ont Dominique pour mission BaRtHoUx d utiliser le digital et l innovation Head of pour Group conférer Infrastructure, un avantage compétitif à leur entreprise. UnIBaIL-RoDaMCo C est pourquoi nous avons lancé de nouveaux Un réseau services pour : rencontrer ses pairs dans un cercle de confiance - Un outil «Un de networking sondage et avec de mes benchmarking pairs et des leaders qui nous permet «d IT rapidement opinion» dans de dresser un cercle une de confiance.» cartographie représentative des grandes tendances et des maturités d usage et de technologie sur les sujets qui nous intéressent. Pierre auguste, - Ce sont des compléments Directeur de gratuits l Ingénierie pour des les membres du CRiP ayant Infrastructures, participé à PUBLICIs ces études. Ce sont aussi des outils performants de partage de veille technologique, de vote en ligne, et de stimulation de l innovation. - Enfin nous avons aussi donné un nouveau «design» à notre réseau social BeeCRiP pour que Une nos membres passerelle puissent vers d une part, échanger, se d autres rencontrer, associations partager dans de un métiers cercle de confiance, et, d autre part, trouver une information agnostique. Le CRiP est une instance efficace et pragmatique sur laquelle s appuyer pour faire face aux défis de la transformation numérique et être en phase Les passerelles vers les métiers : avec les nouvelles attentes métiers. Pour répondre aux grands enjeux de la recherche d avantages économiques et de Gery la BontE mutation digitale le CRiP a noué Cto, des saint-gobain liens avec des associations sœurs : - Le CRAI, Club des Responsables Achats Informatiques - Le CDO Alliance qui regroupe les Digital Officers - Le Cercle des Directeurs de l Innovation Me situer par rapport Les passerelles à mes pairs vers internationaux l international : - Grande Bretagne : CTO Alliance UK qui regroupe L apport les de CTOs gourous britanniques des universités américaines - IT Forum et l éclairage Africa des qui regroupe sociétés «capital les DSI risk» africains sont francophones une aide précieuse pour mieux appréhender le futur paysage de l IT. Nous sommes convaincus que vous serez nombreux à nous rejoindre. Lionel verlaine Cto, orange Philippe sersot Des événements Président de qualité du CRiP CTO Crédit Agricole CIB toujours plus innovants Bravo pour Reims. C est vraiment une superbe manifestation. Nous avons eu la vision des venture nos objectifs pour ces prochaines années : capitalists qui nous aident à mieux comprendre 1) Maintenir le cercle de confiance 2) Avoir une voix qui porte sur le le futur proche, 3) Promouvoir, et sur un et futur anticiper plus lointain sur les avec Partage dans le cadre et indépendance de groupes résument bien marché l esprit pour du le bénéfice de Watson (IBM), changements un nouvel éclairage de nos métiers. de l utilisation CRIP. de travail J apprécie qui constituent surtout les retours d expérience nos entreprises qui : nous devons du big data et Nous des données, devrons positionner et de la place les que fondement de notre association et pour cela aussi profiter de la membres du CRiP comme les permettent dont la qualité de se des forger livrables un avis doit sur l impact possibilité réel de d inscrire le CRiP pourraient prendre interlocuteurs dans l entreprise IT des nouveaux des systèmes nouvelles toujours pousser technologies. le CRiP vers le dans un réseau international cognitifs sur des métiers fonctions de transformation à très forte et haut. Pour se faire, nous devons permettant à ses membres valeur de ajoutée. comme force de proposition toujours veiller à maintenir active se benchmarker avec leurs pairs dans la mutation digitale de l intelligence collective et Kathleen les MILstED hors des frontières et de peser l entreprise. Positionner le CTO travaux des contributeurs Directrice sur Programme sur les choix des fournisseurs. comme le référent Jean-Paul technologique. amoros des sujets qui Cloud doivent for apporter Internal It, orange Cto, GDf suez un avantage économique à leurs entreprises. Une information utile indépendante des fournisseurs 43

44 En savoir plus sur le Le CRiP, Association Loi de 1901, compte parmi ses adhérents, des grands comptes, entreprises et administrations, qui utilisent des technologies de l information. Le CRiP rassemble une communauté de membres, tous Responsables d Infrastructures et/ou de Production. Le CRiP est un cercle de confiance, un lieu d échanges, de partage et de discussions en toute confidentialité entre ses membres confrontés aux mêmes défis financiers, technologiques et organisationnels. Objectifs Rendre nos membres plus performants dans leurs métiers à travers l actualisation de connaissances, l échange de bonnes pratiques, le partage de veille technologique, l élaboration de prospectives, la promotion des métiers de l Infrastructure et de la Production au sein d un cercle de confiance indépendant des fournisseurs : - Partager les visions et les retours d expérience - Echanger et travailler sur les technologies, les ressources humaines, les organisations et processus, les approches financières des projets, les relations avec les offreurs - s appuyer sur les travaux du CRiP pour promouvoir un projet au sein de son entreprise - Promouvoir leur fonction au sein des Entreprises - Créer un réseau de communication rapide et efficace entre dirigeants. Conseil Administration du CRiP Le bureau est constitué de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de grandes entreprises et administrations françaises, élus lors de l Assemblée Générale. Philippe Sersot, CTO de Crédit Agricole-CIB en est le Président. Philippe SERSOT CREDIT AGRICOLE CIB - CTO Président du CRIP Marc BEGUE CNES - CTO Vice-Président exécutif Thierry DESVIGNES CNP - DSI Vice-Président Hervé MAGNIER AÉROPORTS DE PARIS - CTO Vice-Président Jean-Paul AMOROS GDF SUEZ - DSI Corporate Vice-Président exécutif et secrétaire Gery BONTE ST GOBAIN - CTO Vice-Président Frédéric DIDIER ARVAL - DSI Vice-Président exécutif Philippe MICHON ALLIANZ - CTO Vice-Président Daniel JONDET GENERALI - CTO Vice-Président exécutif et trésorier Jean-Michel ALCARAS STIME - CTO Vice-Président Pierre AUGUSTE Directeur de l ingénierie des infrastructures - PUBLICIS Vice-Président Philippe BARAT SPIE - CTO Vice-Président Jean-Marc CERLES VEOLIA - Directeur de la sécurité des systèmes d information Vice-Président David DECOVEMACKER AUCHAN - Directeur Opérations et Infrastructures Vice-Président exécutif Brigitte DECLERCK AGIRC-ARCO Responsable de la Stratégie de la Production et de la Sécurite Vice-Présidente Olivier DERSCH L OREAL - CTO Vice-Président Jean-Pierre DUMOULIN PSA PEUGEOT-CITROËN - CTO Vice-Président exécutif Patrick DURIEZ GROUPE CASINO - CTO Vice-Président Olivier HEITZ BOUYGUES TELECOM - CTO Vice-Président Marc LIMODIN LA POSTE - Direction du courrier - CTO Vice-Président exécutif Philippe LOPEZ THALES - CTO Vice-Président Éric PARMELAND MINISTÈRE DE L ÉDUCATION NATIONALE - Responsable Organisation de la Production Nationale Vice-Président Bruno PREVOST SAFRAN - CTO Vice-Président exécutif Lionel VERLAINE ORANGE - CTO Vice-Président exécutif Le Conseil d Administration est constitué de CTOs et de DSI (Directeurs Infrastructures et Production Informatique) de grandes entreprises et administrations françaises, élus pour un an lors de l Assemblée Générale du CRiP. La mission du Conseil d Administration est de fixer l orientation stratégique du CRiP et de valider le budget. 44

45 8 Au raisons service d adhérer des adhérents au CRiP Être à la pointe de l innovation et de la transformation digitale. Être à la pointe de l innovation Conscient et de la transformation que l infrastructure digitale et la production doivent être force de proposition pour augmenter En 2 European Summits nous avons eu une vision la productivité et la compétitivité de l entreprise, concrète des technologies sur lesquelles nous le CRiP devons propose concentrer un nos ensemble efforts et former de nos services, de séminaires équipes.subtile et de alchimie conférences entre Networking autour de l Innovation et du et Digital. Innovation dans un cadre inhabituel et donc toujours propice à la concentration. L ites The place to be. ITES - Information Technology European Summit Bruno PRévost Un séminaire Directeur annuel Infrastructures pour présenter It, safran les ruptures d usages et de technologies à horizon de 5 ans. IT innovation Forum veille technologique et benchmarking pour prendre les bonnes décisions stratégiques Une cinquantaine de solutions innovantes sélectionnées par un jury de CTOs du CRiP, Directeurs innovation et Venture Capitalists sont présentées 3 à 4 fois par an. l IT European Summit : une organisation très riche en échange et en contenu. L exercice n est pas simple d arriver à satisfaire les attentes de Un réseau pour rencontrer ses pairs Innovation dans un cercle Study de confiance Tour Des voyages d étude dans les spots à haute «Un networking avec mes pairs et des leaders densité «d IT opinion innovante» dans (Silicon un cercle Valley, de confiance.» Israël, etc..) Pierre auguste, L accès privilégié Directeur à un site de l Ingénierie dédié à l innovation. des Infrastructures, PUBLICIs CRiP Review Innovation Une veille technologique dédiée à l innovation. Cercle Innovation & Cercle des Chief Digital Une passerelle Officers vers d autres associations de métiers Gery BontE chacun mais je suis sûre que chaque participant en Prendre les bonnes décisions stratégiques repart avec éléments qui faciliteront ses décisions Cto, saint-gobain stratégiques. pour préparer l avenir. Marie-Charlotte BoUCHERY Le CRiP met à disposition Cto, de BonDUELLE ses membres des services pour les aider à prendre les bonnes décisions. Benchmarking Profiter de l expérience de mes pairs pour accélérer mon time-to-market et ma productivité Complémentaires aux analyses des Gartner et autres, le CRiP produit 5 à 6 synthèses par an suite aux sondages effectués auprès de ses 300 Le adhérents. CRiP est un espace Ces enquêtes d échanges sereins sur les sur grands des sujets concrets dans un monde en perpétuelle sujets (Sécurité, Big Data, Analyse de coûts des mutation, où nos sociétés nous demandent d aller infrastructures, toujours plus vite etc. ) permettent aux adhérents de se benchmarker et de confronter leurs réponses en one-to-one. Dominique BaRtHoUx Head of Group Infrastructure, UnIBaIL-RoDaMCo Review Les veilles technologiques thématiques sont réalisées par les experts des groupes de travail. Ils Une compilent information et publient utile régulièrement dans CRiP Review, les informations qu ils estiment intéressantes indépendante pour des la communauté. fournisseurs Partage et indépendance résument bien l esprit du CRIP. J apprécie surtout les retours d expérience qui permettent de se forger un avis sur l impact réel de nouvelles technologies. Kathleen MILstED Directrice Programme Cloud for Internal It, orange Des passerelles avec les associations sœurs et cercles Le CRiP regroupant est une instance les Directeurs efficace et pragmatique de l innovation et les sur Chief laquelle Digital s appuyer officers. pour faire face aux défis de la transformation numérique et être en phase avec les nouvelles attentes métiers. Me situer par rapport à mes pairs internationaux L apport de gourous des universités américaines et l éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l IT. Lionel verlaine Cto, orange Des événements de qualité toujours plus innovants Bravo pour Reims. C est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l utilisation du big data et des données, et de la place que pourraient prendre dans l entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée. Jean-Paul amoros Cto, GDf suez 45

46 Profiter de l expérience de mes pairs et faire profiter la communauté de mes expériences pour conférer des avantages économiques à mon entreprise. Groupe de Travail C est le lieu même de l échange. Le Groupe de Travail réunit des personnes désirant travailler sur un sujet commun. Au fil des réunions, le cercle de confiance se renforce, ce qui permet l échange d informations et d expériences de la vraie vie de l entreprise. Base Projets C est une base de données répertoriant les projets d Infrastructures et de Production des sociétés membres du CRiP, ainsi que leur niveau d avancement. Essentiels & Executive Notes Depuis fin 2011, les CRiP Thématiques sont suivies par la publication de leurs synthèses, les «Essentiels», distribuées à l ensemble de la communauté du CRiP. Enfin, le CRiP publie régulièrement, depuis début 2012, des «Executive Notes» qui sont des synthèses de vulgarisation à destination des dirigeants. Elles ont pour objectif de présenter de façon synthétique et stratégique certains des grands thèmes qui animent le domaine des Technologies de l information. C est un moyen efficace dans un cercle de confiance d accélérer le time to market et de prendre en compte les bonnes pratiques déjà étudiées par son correspondant afin d éviter les erreurs. Base Prestataires de confiance Cette base regroupe les prestataires spécialisés qui ont été recommandés par au moins un CTO du CRiP. Livres Blancs & Fiches Pratiques Chaque groupe de travail apporte une contribution importante dans l élaboration de documents de référence. Ils permettent de mesurer et d observer l évolution des enjeux des CTOs et de leurs infrastructures et de mettre en relief les grandes tendances liées aux principaux challenges des productions informatiques. Tous ces ouvrages deviennent inéluctablement une référence importante pour les CTOs et leurs équipes, ils constituent des outils reconnus pour l amélioration de la performance opérationnelle et stratégique. Newsletter : L actualité du CRiP L équipe CRiP édite une newsletter qui passe en revue les récentes initiatives prises au sein du Club: les sessions en Région, les nouveaux groupes de travail, les rendez-vous importants à venir, les nouveaux outils mis en place sur le portail, la liste des sociétés qui viennent de signer une nouvelle adhésion, les rendez-vous, bref, les principales informations qui rendent compte de la vitalité du Club et de ses adhérents. Dîner Cercle Ctos Une rencontre mensuelle dans un cercle de confiance exclusif. Au sein de cet espace d échanges ouverts et en toute confidentialité, les CTOs traitent des sujets stratégiques de leur activité et partagent en direct leur expériences. 46

47 8 Au des service raisons adhérents d adhérer au CRiP De grands événements de rencontre pour échanger entre pairs Conférences Thématiques & Régionales Être à la pointe de l innovation et de la transformation digitale Les clés de la compréhension et de la traduction opérationnelle des services et technologies dans la vraie vie de l Entreprise. Basées En sur 2 European les travaux Summits des groupes nous avons de eu travail une vision du CRiP concrète des technologies sur lesquelles nous et véritables «think tanks», les conférences CRiP devons concentrer nos efforts et former nos Thématiques équipes.subtile ont pour alchimie ambition entre Networking de : - fournir et Innovation les clés dans de un compréhension cadre inhabituel et des donc technologies toujours propice et solutions à la concentration. des fournisseurs, L ites The place to be. - présenter : leurs business cases Bruno PRévost les grandes Directeur tendances Infrastructures It, safran le panorama des offres et leurs traductions opérationnelles dans la vraie vie de l entreprise et des administrations veille technologique et benchmarking pour prendre Plénières les bonnes décisions stratégiques Les plénières l IT European organisées Summit : une deux organisation fois par très an, sont un moment riche d échanges en et privilégiés, en contenu. notamment L exercice n est sur des thèmes pas dépassant simple d arriver le domaine à satisfaire de les l Infrastructure attentes de et de la chacun Production mais je informatique. suis sûre chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques. Marie-Charlotte BoUCHERY Cto, BonDUELLE Dans le cadre agnostique qui régit le CRiP (indépendance dans un cercle vis-à-vis de confiance des fournisseurs), l objectif est de permettre à chacun de : - se «Un forger networking une opinion avec mes en pairs toute et indépendance, des leaders «d IT opinion» dans un cercle de confiance.» - évaluer le business case, les bénéfices et effets de bords des mises en oeuvre à travers les retours d expérience présentés, Pierre auguste, - rencontrer ses Directeur pairs, de l Ingénierie des - rencontrer les fournisseurs Infrastructures, majeurs. PUBLICIs Le CRiP est une instance efficace et pragmatique Convention sur laquelle s appuyer annuelle pour faire du face CRiP aux défis de la Pendant transformation deux numérique jours en et être juin, en phase la Convention avec les nouvelles attentes métiers. rassemble plus de 2000 responsables utilisateurs IT, membres du CRiP ou non, met en avant plus de Gery BontE 100 retours d expérience Cto, de saint-gobain terrain illustrant les déploiements opérationnels au sein des adhérents du CRiP, en lien avec les Groupes de travail. Me situer par rapport Rencontrer les dirigeants des offreurs Profiter de l expérience de mes pairs Cercle i pour accélérer mon time-to-market et ma productivité A l issue des plénières, les membres du CRiP se retrouvent lors d un Networking cocktail avec les dirigeants Le CRiP des est un fournisseurs. espace d échanges Un sereins trombinoscope sur et un des système sujets concrets de prise dans un de monde rendez-vous perpétuelle online permettent mutation, aux où nos membres sociétés nous du demandent Cercle i d aller (CRiP et toujours plus vite. fournisseurs) de se rencontrer. Dominique BaRtHoUx Promotion des métiers de la Production Head of Group Infrastructure, UnIBaIL-RoDaMCo Le Club des Responsables d Infrastructure et de Production (CRiP) souhaite promouvoir les métiers de la Direction des Systèmes d Informations (DSI) et Une information utile particulièrement ceux de la Production Informatique aux indépendante élèves ingénieurs des fournisseurs écoles et universités ayant une filière Partage systèmes et indépendance d informations. résument bien l esprit du CRIP. J apprécie surtout les retours d expérience qui Cette permettent démarche de a se été forger initialisée un avis sur à l impact la demande réel de des Directeurs nouvelles de technologies. la Technologie (CTO) qui souhaitent promouvoir leur métier et pouvoir à terme recruter Kathleen MILstED plus facilement pour leurs sociétés respectives. Directrice Programme Marc Bégué, Responsable Cloud for Internal de la production It, orange du SI au CNES et Jean-Marc Cerles, Directeur de la Sécurité Un réseau pour rencontrer ses pairs Une passerelle vers d autres associations de métiers à mes pairs internationaux L apport de gourous des universités américaines et l éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l IT. Lionel verlaine Cto, orange Des événements de qualité Informatique toujours plus du groupe innovants Veolia sont les chefs de projet. Un support Bravo pour vidéo Reims. de quelques C est vraiment minutes une superbe a été élaboré. manifestation. Nous avons eu la vision des venture Il décrit le système d information dans une entreprise capitalists qui nous aident à mieux comprendre et présente le futur proche, des témoignages et sur un futur de plus personnes lointain avec exerçant ces Watson métiers (IBM), au sein un nouvel des sociétés éclairage adhérentes de l utilisation du CRiP. Ceci du permet big data de et donner des données, une et image de la place positive que et réaliste d une pourraient DSI et de prendre ses profils dans l entreprise de carrière. des systèmes cognitifs sur des fonctions à très forte valeur ajoutée. Vous souhaitez participer à la promotion de nos métiers? Vous avez des contacts dans des écoles d ingénieurs? Jean-Paul amoros Contactez-nous : [email protected] Cto, GDf suez 47

48 5 mm 45 mm La vie Le repère en intérieur (43 mm) région représente la face avant. 45 mm repère intérieur (43 mm) représente la face avant. Le repère intérieur (43 mm) représente la face avant. Le repère intérieur (43 mm) représente la face avant. Le repère intérieur (43 mm) représente la face avant. repère extérieur (48 mm) représente la surface visible Le repère totale extérieur (face + (48 repli mm) sur représente l arrière). la surface visible Le repère totale extérieur (face + (48 repli mm) sur l arrière). représente la surface Le visible repère totale extérieur (face (48 + repli mm) sur représente l arrière). la surface visible totale (face + repli sur l arrière). Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). Le CRiP est également présent dans les régions. 45 mm 45 mm VOUS POUVEZ INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE VOUS POUVEZ copyright 2012 Modern City Records INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE VOUS POUVEZ copyright 2012 Modern City Records INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE VOUS POUVEZ copyright 2012 Modern City Records INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE VOUS POUVEZ copyright 2012 Modern City Records INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE copyright 2012 Modern City Records En cours de création : CRiP GRAND EST - CRiP GRAND OUEST N oubliez pas de vectoriser toutes les polices et d incorporer N oubliez les pas images de vectoriser liées. toutes les polices et d incorporer N oubliez les pas images de vectoriser liées. toutes les polices et d incorporer N oubliez pas les de images vectoriser liées. toutes les polices et d incorporer N oubliez pas les images de vectoriser liées. toutes les polices et d incorporer les images liées. Les réseaux sociaux CRiP & ITiforums, passerelles vers les métiers et l international 2 réseaux sociaux différents mais complémentaires * C est un réseau social privé de discussions, de partage et d échanges dans un cercle de confiance réservé uniquement aux Responsables d infrastructure et de production, membres du CRiP. Il permet d accéder aux informations et contenus privés et/ou récents du CRiP : compte rendu des Groupes de travail, Base Projets, Prestataires spécialisés, ainsi que Livres blancs, Fiches pratiques, Executive Notes et Benchmarking récents. *BEECRiP WebTV Innovation C est un réseau social public d information qui rassemble les communautés de l innovation, du Digital et de l Infrastructure et de la Production, dont les membres du CRiP. Le réseau ITIforums permet de renforcer la notoriété du CRiP, de recruter de nouveaux adhérents et membres pour ses groupes de travail et de lier le CRiP aux autres communautés métiers. Il est animé par les community managers d ITiforums, du CRiP, du Cercle de l innovation et du CDO Alliance. Il est aussi alimenté par des experts indépendants, avocats, académiques, chercheurs, membres d organismes gouvernementaux. Il permet l accès aux informations publiques des cercles et du CRiP. Passerelle vers les Métiers - Responsables Achats informatiques - Digital Officers - Cercle des Directeurs de l Innovation Passerelle vers l International - CTO Alliance UK - CTO Alliance Suisse - CTO Alliance Allemagne - IT Forum Africa L équipe des permanents du CRiP se tient à votre disposition pour vous présenter, à vous et à vos équipes, les services et activités de l association lors de vos Comités de Direction internes. Ainsi, vous pouvez mieux connaître le CRiP et faire partager à vos collaborateurs les bénéfices et les initiatives du CRiP. 48 7

49 8 Les raisons groupes d adhérer de Travail du au CRiP Dans les Groupes de Travail se déroulent les activités fondamentales du CRiP : partage de connaissances, témoignages, mise en commun d informations, élaboration de bonnes pratiques, discussions-débats, élaboration d enquêtes et de questionnaires, production de livrables, préparation de conférences. Les Groupes de Travail sont le creuset où se réalisent les ambitions de notre association : devenir plus Être à la pointe de l innovation Un réseau pour rencontrer ses pairs performants dans les métiers de l Infrastructure et de la Production IT, partager nos bonnes pratiques, confronter et de nos la transformation expériences, évaluer digitale la maturité des technologies dans et des un méthodes, cercle de pour confiance prendre de meilleures décisions En plus 2 European rapidement Summits avec nous une avons meilleure eu une information. vision «Un networking avec mes pairs et des leaders concrète des technologies sur lesquelles nous «d IT opinion» dans un cercle de confiance.» Les Groupes devons concentrer Spot visent nos à efforts apporter et former en une nos seule réunion de trois heures des réponses immédiates à un problème équipes.subtile urgent et/ou alchimie d actualité. entre Networking Les Groupes Flash font le tour en trois ou quatre réunions maximum d un sujet ponctuel et Innovation et clairement dans un cadre identifié. inhabituel et donc Pierre auguste, toujours propice à la concentration. Directeur de l Ingénierie des Analyse L ites des coûts The de place Production to be. Gouvernance CTO Sécurité Infrastructures, PUBLICIs Piloté par thierry archambault Architecte Technique Piloté par Philippe sersot Bruno CTO PRévost Piloté par thierry ManCIot RSSI - SFR CNP ASSURANCES Directeur Infrastructures It, CREDIT safran AGRICOLE CIB et par Jean-Pierre BLanC et par Eric PaRMELanD Responsable PRA Automatisation & Orchestration Responsable Organisation BOUYGUES TELECOM Piloté par Hugues fondeux de la Production Chargé de Mission Èvolution MINISTERE DE L EDUCATION NATIONALE Une passerelle Supervision vers de l Infrastructure veille technologique et Piloté par Ludovic DRoCHon d autres associations de métiers PSA PEUGEOT CITROËN Innovation Responsable Exploitation benchmarking pour prendre Piloté par David fayon Le CRiP est INTER une instance MUTUELLES efficace ASSISTANCE et pragmatique Big Data les bonnes décisions stratégiques Competitive Intelligence and sur laquelle et s appuyer par Yann pour PasCaL faire face aux défis de la Piloté par Bruno PREvost Prospective Manager at IS Department transformation Sergent numérique Chef - Equipe et être Intégration en phase Directeur l IT Infrastructures European Summit IT : une organisation LA POSTE très - DSI COURRIER avec les nouvelles BRIGADE attentes DES SAPEURS métiers. POMPIERS SAFRANriche en échange et en contenu. L exercice n est DE PARIS pas simple d arriver à satisfaire les ITIL attentes & Processus de de Production Communication Unifiée & Collaboratif Piloté Eric BoUvEt Gery BontE chacun mais je suis sûre que chaque participant en Piloté par Kevin CHantRELLE Responsable Département Opérations Cto, saint-gobain repart avec éléments qui faciliteront ses décisions Responsable Telecom & Réseaux & Service Management Nord-Pas-de-Calais stratégiques. STEF ARKEMA Piloté par Michel BaRBasso et par stéphane DEGLIn et par Lionel RoLLanD CTO - KIABI Network Lead Architect Marie-Charlotte BoUCHERY Consulting on IT Service Management LA BANQUE POSTALE Process PACA Cto, BonDUELLE GDF SUEZ Piloté par Jacques noviant Cloud Computing Me situer par Responsable rapport Production Piloté par stephane Lafon Mainframe AIR FRANCE à mes pairs Application Cloud Services Piloté par Bernard DIEtIsHEIM et par internationaux Bernard RoUx SANOFI Responsable Système - RENAULT Directeur la Stratégie Infomatique Profiter de l expérience de mes pairs L apport de gourous des universités américaines et par stéphane GEIssEL et l éclairage et des Transformation sociétés «capital - PRO.BTP risk» sont Manager pour Technico-Financier accélérer SI mon time-to-market PRA & PCA une aide précieuse pour mieux appréhender SFR Piloté par françois tête Rhône-Alpes et ma productivité le futur paysage de l IT. Président d Honneur CCA Piloté par Jean-françois stricher Data centre & ICT éco-efficacité et par Luc vrignaud Chef de groupe Ingénierie et Sécurité Le CRiP est un espace d échanges sereins sur Piloté par Dominique RoCHE Responsable Infrastructure ERDF Lionel verlaine des sujets concrets dans un monde en perpétuelle Head of Sustainability Standardisation & Sécurité Prod - MACIF Cto, orange mutation, où nos sociétés nous demandent d aller & Operators Sud-Ouest toujours plus vite. ORANGE - FRANCE TELECOM Open Source Piloté par Marc BEGUE et par andré ELEDJaM par simon CLavIER Sous-Directeur Exploitation Production Responsable Projet Green IT Dominique BaRtHoUx Responsable OPEN SOURCE CNES DataCenters - SOCIETE Head GENERALE of Group Infrastructure, SNCF et par Cathy LaCoMME verbiguié et par noël CavaLIERE Sous Directrice Adjointe Exploitation/ UnIBaIL-RoDaMCo Environnement de travail & mobilité Head of IT Architecture and data Des événements Architecture de - CNES qualité Piloté par vincent PELLEtIER management Infrastructure toujours plus Responsable Services Line End User PSA PEUGEOT CITROËN Suisseinnovants Workplace Bravo pour Piloté Reims. par C est Gianfranco vraiment MoI une superbe AREVA Une information utile Outsourcing manifestation. Deputy Nous CIO avons eu la vision des venture et par Loïc BERnaRDEaU Piloté par Philippe GUYE capitalists qui DGSI nous ETAT aident DE GENEVE à mieux comprendre Responsable indépendante Stratégie des fournisseurs Executive Directorate le futur proche, et sur un futur plus lointain avec ORANGE Partage - FRANCE et TELECOM indépendance résument OECD bien l esprit du Watson (IBM), un nouvel éclairage de l utilisation CRIP. J apprécie surtout les retours et d expérience par David PERREaU qui du big data et des données, et de la place que Pilote des Opérations Informatiques permettent de se forger un avis sur l impact réel de pourraient prendre dans l entreprise des systèmes CEA nouvelles technologies. cognitifs sur des fonctions à très forte valeur ajoutée. Kathleen MILstED Pour vous inscrire à un Directrice Groupe Programme de travail, il vous suffit d adhérer au CRiP et de contacter Cloud : [email protected] for Internal It, orange Consultez le calendrier des réunions des groupes de travail sur Jean-Paul amoros Cto, GDf suez 49

50 Le portail et réseau social privé du CRiP Discussions, partage et échanges dans un cercle de confiance, réservé exclusivement aux Responsables d infrastructure et de production, membres du CRiP. CALENDRIER Inscrivez-vous en un clic aux réunions des Groupes de Travail CONFERENCES Inscrivez-vous en un clic aux événements thématiques, régionaux et plénières INDEX & BENCHMARKING Benchmarkez-vous facilement par rapport aux sociétés adhérentes ADHÉRENTS RÉSEAU SOCIAL REVIEW BIBLIOTHEQUE Accédez aux 3500 membres du CRiP Discutez, partagez, échangez, dans un cercle de confiance exclusivement utilisateurs Bénéficiez de la veille techno pertinente remontée par les experts des Groupes de Travail Téléchargez les Livres Blancs agnostiques produits par les Groupes de travail Club des Responsables d Infrastructure et de Production 24 rue Erlanger PARIS - [email protected] 50

51 Ruptures d usages et de technologies à l horizon 2020 Information Technology European summit 12 au 14 mars 2015 Deauville France Réservé aux CTOs, DSI, CDO et Directeurs de l innovation IT «Enfin un événement pour nous aider à prendre des décisions stratégiques. Cela nous a fait prendre conscience qu il fallait lancer une réflexion sur l adaptation de nos modèles de production». Philippe SERSOT CTO CREDIT AGRICOLE CIB «Un networking avec mes pairs et des leaders «d IT opinion» dans un cercle de confiance». Pierre AUGUSTE Directeur de l Ingénierie des Infrastructures PUBLICIS «Le dernier ites du CRiP est un évènement intéressant, bien organisé avec le bon format. Les échanges avec mes pairs ainsi qu avec les partenaires invités ont été fructueux et de grande qualité. Je participerai à nouveau au prochain. Merci à l équipe». Olivier DERSCH CTO L OREAL ambition de l ites 2015 est de rassembler L plus de 100 CTOs adhérents du CRiP pour leur faire découvrir les nouveaux usages et technologies à horizon de 5 ans : ites 2015 reprend la plupart des ingrédients qui ont fait le succès des ites précédents et en particulier celui de l ites 2014 de Reims auquel ont participé une cinquantaine de CTOs dont vous trouverez les éloges en dernière page. Les présentations inédites émanaient, d une part de Venture Capitalists (certains ont investi dans Skype et Dropbox il y a 5 ans) qui présentent leurs investissements récents, d autre part de keynotes speakers du secteur académique tels que George Cybenco, Professeur au Darmouth College, une des université US de l Ivy League sur le thème «Intersection entre le big data et la protection des données personnelles». (George a donné son nom à un théorème mathématique et travaille pour une agence gouvernementale américaine) et enfin de Gourous technologues des grands acteurs du digital pour aider les auditeurs à mieux comprendre le monde de demain. Les espaces temps consacrés aux échanges entre pairs du CRiP dans un cercle de confiance et privé ainsi que les sessions de networking avec gourous et partenaires technologiques permettent, en un minimum de temps, de tisser les liens d intimité utiles pour augmenter sa performance dans son métier. Un volet Innovation s ajoute sur l ites Un espace temps sera consacré à la découverte de solutions très innovantes et des workshops spécifiques répondront aux attentes des CTOs. «Bravo pour Reims. C est vraiment une superbe manifestation. Nous avons eu la vision des venture capitalists qui nous aident à mieux comprendre le futur proche, et sur un futur plus lointain avec Watson (IBM), un nouvel éclairage de l utilisation du big data et des données, et de la place que pourraient prendre dans l entreprise des systèmes cognitifs sur des fonctions à très forte valeur ajoutée». Jean-Paul AMOROS CTO GDF SUEZ «En 2 European Summits nous avons eu une vision concrète des technologies sur lesquelles nous devons concentrer nos efforts et former nos équipes. Subtile alchimie entre Networking et Innovation dans un cadre inhabituel et donc toujours propice à la concentration. L ites...the place to be». Bruno PREVOST Directeur Infrastructures IT SAFRAN 98% des participants ont estimé que l ites allait les aider dans leurs décisions stratégiques. Digital Technology & Innovation 51

52 Comité de programme Mission, charte du comité de programme > Le comité de programme est chargé de l élaboration du programme en conformité avec le cahier des charges de l ITES : combiner d une part les visions académiques, celles des Instituts de recherches et des Venture Capitalists, d autre part celles des industriels, et enfin les attentes des utilisateurs pour présenter le monde de demain. > Il valide les messages et les durées des différentes sessions du programme. > Il sélectionne les speakers. > Il élabore la charte de présentation et précise les objectifs des présentations (sont appréciés, en particulier, les analyses et constats de la vraie vie, coût, sécurité, réversibilité et avantages économiques). > Il vérifie la conformité des présentations proposées avec la charte. > Il donne son agrément aux participations des partenaires technologiques. Philippe SERSOT CREDIT AGRICOLE CIB Brigitte DECLERCK AGIRC ARRCO Olivier DERSCh L ORÉAL Jean-Pierre DUMOULIN PSA PEUGEOT CITROËN Jean-Paul amoros GDF SUEZ antoine DERaIN I-BP 52 Lionel VERLaINE ORANGE Pierre auguste PUBLICIS adoté ChILLOh BIBLIOTHÈQUE NATIONALE DE FRANCE

53 Un espace détente Travail acharné, détente et soirée de Gala 36 heures intenses pour : Sortir la tête du guidon, Découvrir les nouveaux usages et technologies, Donner les clés pour vous aider à prendre des décisions stratégiques, Permettre de mieux connaître ses pairs, échanger sur les problèmes de la vraie vie dans un cercle de confiance, Établir une meilleure intimité avec les acteurs majeurs du digital. mais aussi Faciliter le networking à travers la découverte des particularités d une région, et des visites guidées (ITES Reims : Cathédrale de Reims, Cave de Champagne), Une soirée de Gala ( ITES Reims : dégustations de grands crus de Champagne). 53

54 Le programme 2015 VENTURE C Gourou des grandes universités MIT, Standford, Europe, ParisTech, Institut de recherche George Cybenko, Dartmouth College était à l ites 2014 de Reims GOUROU AC Les présentations des leaders du digital : Amazon, IBM, VMWARE, PIVOTAL EMC, HP, CISCO. GOUROU AG TECHNO TECHNO DES ACTEUR Carlos CONDE AMAZON WEB SERVICES Michel TEySSEDRE IBM Joe BaGULEy VMWARE Russel acton PIVOTAL EMC Paul JEREMaES HP Rajeev BhaRDwaJ CISCO SOLUTIONS IN Nouveau Panel d échanges entre Technologues, Gourous et Cripiens. WORK Des espaces temps privés aménagés pour faciliter les échanges entre CTOs Cripiens dans un cercle de confiance. ESPACE TE CERCLE PRIVÉ 54 NETWORKIN ET PARTE

55 : 36 heures non stop APITALISTS Cartographie sectorielle des investissements récents des VCs. Next World Capital et Index Ventures étaient présents à Reims en 2014 ADEMIQUE NOSTIQUE LOGUE LOGUES S MAJEURS Les nouveaux enjeux, les nouveaux métiers du Digital.. Patrick Hoffstetter Chief Digital Officer était présent à l ites Reims 2014 NOVANTES Découverte de 4 à 5 solutions innovantes apportant un avantage économique. 1 Start-Up était présente à l ites Reims 2014, enovance SHOP MPS CRiP & CONFIANCE Des espaces temps réservés aux partenaires technologiques pour créer l intimité. G GOUROUS NAIRES 55

56 Les CTOs de l ites 75 CTOs ont déjà participé à cet événement : Hervé MAGNIER - ADP Martin VILLEMOT - AFI-ESCA Eric HANSS - AFI-ESCA Brigitte DECLERCK - AGIRC ARRCO John HARRIS - AIMIA Caspar GIBILARO - AIMIA Arnaud ROITG - AIR France Xavier CHAPUIS - AIR LIQUIDE Marc Olivier GLATRON - AIR LIQUIDE William Davies - AMEY Stéphane BENHAMOU - ARTELIA Frédéric DIDIER - ARVAL Jacques BAUDOUIN - ARVAL Clive EDGARASTELLAS - PHARMA EUROPE Ltd Erik NIGON - AXA TECH Adoté CHILLOH - BNF Marie-Charlotte BOUCHERY - BONDUELLE Olivier HEITZ - BOUYGUES TELECOM Frédéric PETIT SINGEOT - CHANEL André BOUR - CHOREGIE Thierry DESVIGNES - CNP ASSURANCES Khalid KARAMA - CNP ASSURANCES Patrick EYMARD - COFELY INEO Christophe FALOURD - CONGES INTEMPERIES BTP Philippe SERSOT - CREDIT - AGRICOLE CIB Laurent VERDIER - CREDIT AGRICOLE SA Thierry THOURON - GDF SUEZ Annelise MASSIERA - DISIC - PREMIER MINISTRE Francis BRISEDOUX - EUROPE AIRPOST Dominique FACE - FRANCE TELEVISIONS Rob PRINGLE - GAZPROM MARKETING & TRADING Gupta WUPAM - GAZPROM MARKETING & TRADING Valère DUSSAUX - GCS-D- SISIF Guy GIREAUDOT - GDF SUEZ Jean-Paul AMOROS - GDF SUEZ Jean-Pierre LAFFINEUR- GENERALI Stephen Golliker - GENESIS OIL & GAS Scott Ferguson - GENESIS OIL & GAS David DECOVEMACKER - GROUPE AUCHAN Antoine DERAIN - IBP François CEDELLE - INRA Emmanuel WILLAME - IT-CE Michel BARBASSO - KIABI Jean-François - ROMPAIS - KIABI Sean BURKE - LAFARGE Olivier DERSH - L OREAL Leo KRIZMAN - LVMH Henri KAYSER - MALAKOFF MEDERIC Christophe OZIMEK - MEETIC Eric PARMELAND - MINISTERE DE L EDUCATION NATIONALE Joseph TABET - MUREX Lionel VERLAINE - ORANGE Olivier MAST - ORANGE Sébastien LECOCQ - OXYLANE Jean-Pierre DUMOULIN - PEUGEOT PSA Vincent SAUGEY - PLASTIC OMNIUM GROUP Bernard ROUX - PROBTP Rodolphe FRONTCZAK - PSA PEUGEOT-CITROËN Pierre AUGUSTE - PUBLICIS Bruno PREVOST - SAFRAN Géry BONTE - SAINT-GOBAIN Olivier MERLEN - SIGMAP MSA Philippe BARAT - SPIE Philippe BARAT - SPIE Denis BOURDON - SWISSLIFE Philippe LOPEZ - THALES Claude FAUCONNET - TOTAL Olvier FRIEDMAN - UGC Jamie WILSON - UNITED BISCUITS (UK) Ltd. 56

57 Les Technologues et Partenaires de l ites 23 Gourous ont déjà partagé leurs visions sur les nouveaux usages, services et technologies du futur Carlos CONDE - AMAZON WEB SERVICES Tuqiang CAO - CISCO Jeff RAYMOND - CISCO Regis ALLEGRE - CLOUDWATT Daniel PAYS - CLOUDWATT Georges CYBENKO - DARTHMOUTH COLLEGE Renaud BESANCON - DATA 4 Don SMITH DELL Russell ACTON - EMC Krishnakumar NARAYANAN - EMC Raphaël FERREIRA - ENOVANCE L Paul JEREMAES - HP Marc PADOVANI - HP Wing Kin LEUNG - HUAWEI Ambuj GOYAL - IBM Michel TEYSSEDRE - IBM Bernard DALLE - INDEX VENTURES Martin MIGNOT - INDEX VENTURES Alain TOISON - LRS Christophe COLINET - MAIRIE DE BORDEAUX Matt WATTS - NETAPP Frédéric HALLEY - NEXT WORLD CAPITAL Craig HANSON - NEXT WORLD CAPITAL Jean-Paul LEROUX - ORANGE BUSINESS SERVICES Georges NAHON - ORANGE BUSINESS SERVICES Patrick HOFFSTETTER - RENAULT Joe BAGULEY - VMWARE. 22 grands acteurs technologiques ont été partenaires de l ites Miguel ALAVA- AMAZON WEB SERVICES Stephan HADINGER - AMAZON WEB SERVICES Christophe WEISS - APL Pascal DALLIOUX - APPDYNAMICS Nicolas LEMOINE - AT&T Jean-Marc GUIGNIER - BROCADE Arnaud FAIVRE - BULL Raphaël BOUSQUET - CISCO Olivier DESQUESSE - CISCO Thierry LOTTIN - CISCO Gérard DUQUESNE - CLOUDWATT Renaud VADON - CLOUDWATT David DARMON - CTERA Sharon LYSAGHT - DATA 4 Sandrine PECULIER - DATA 4 Stéphane KELIN - DELL Lionel OSTERMANN - DELL Thierry AUZELLE - EMC Guillaume COHEN - EMC Philippe GARDE - EMC Alfonso RUIZ DE LEON - EMC Benjamin BRIAL - ENOVANCE Jean-Marie LEBEC - ENOVANCE Nicolas BOHY - HP Bruno BUFFENOIR - HP Emmanuel ROYER - HP Yves CHEDRU - HUAWEI Liyang HE (LEON) - HUAWEI Xiangqun LIU (SIMON) - HUAWEI Alexandre COLIN - IBM Eric COURTIN - IBM Alain HENRY - IBM Juliette MACRET - IBM Laurent ROULET - IBM Renzo PARAVICINI - LRS Eric ANTIBI - NETAPP Olivier PICARD- NETAPP Diana EINTERZ - ORANGE BUSINESS SERVICES Philippe EON - ORANGE BUSINESS SERVICES Gilles SABATIER - ORANGE BUSINESS SERVICES Hubert SEGOT - ORANGE BUSINESS SERVICES José DA SILVA - SMA SOLUTIONS Fabrice HACCOUNE - TECH MAHINDRA Marc FRENTZEL - VMWARE Thierry PORTIER - VMWARE Hervé UZAN - VMWARE. 57

58 100% de satisfaction! l ensemble des CTOs de l ites de Reims souhaitent participer à l ites 2015 «The agenda provided an excellent balance between technical presentations, networking and lively discussions about future possibilities. This is the way to get people thinking more creatively about what we should expect in tomorrow s enterprise IT.» Georges CyBENKO Dorothy and Walter Gramm Professor of Engineering DARTMOUTH COLLEGE «Un simple message pour vous remercier de m avoir invité à cet événement de qualité. Un simple message pour féliciter toute l équipe de l organisation sans défaut : bravo!! Une belle réussite, à laquelle je suis heureux d avoir participé». Eric PARMELAND Responsable Organisation de la Production Nationale MINISTÈRE DE L EDUCATION NATIONALE «Excellente organisation de l événement, le niveau des participants est très élevé. Evénement où il faut être présent!» Michel TEySSEDRE CTO IBM «L apport de gourous des universités américaines et l éclairage des sociétés «capital risk» sont une aide précieuse pour mieux appréhender le futur paysage de l IT». Lionel VERLAINE CTO ORANGE «Je tiens à vous remercier ainsi que toute l équipe pour l organisation et la réussite de cet événement. Ces 2 jours m ont été très enrichissants et m ont permis d échanger sur de nombreux points avec d autres participants, des gourous ou des sponsors. J ai déjà lancé un nouveau projet avec un des partenaires technologiques. En bref, un événement hors pair et très riche!». Francis BRISEDOUX Chef de Groupe Informatique / IT Manager EUROPE AIRPOST «Toutes mes félicitations pour l IT européanisé Summit. Un grand merci pour l organisation de ce très bel événement et toutes mes félicitations à vous tous qui ont contribué à sa réussite». Hervé MAGNIER Direction des Systèmes d Information ADP «Excellent cocktail de présentations éclairantes et de networking de qualité. Le tout dans une atmosphère sympa portée par une organisation impeccable. Un très grand merci à vous qui avez si bien préparé ce summit et qui savez si bien doser ce cocktail. Bravo et à l année prochaine». Gery BONTE CTO SAINT-GOBAIN «Merci à toute l équipe du CRiP pour l European IT Forum : sujets et speakers enrichissants, excellent partage entre les présents. En moins de deux jours un executive briefing de haut niveau avec une organisation parfaite». Brigitte DECLERCK Responsable Pôle production et sécurité AGIRC ARRCO «Je vous remercie pour ces deux jours qui m ont apportés de multiples informations et pistes de réflexions pour mon travail, le tout avec une organisation impeccable». Jacques BAUDOUIN Infrastructure & Security Manager ARVAL «Félicitations pour votre évènement de REIMS, tous les ingrédients étaient présents, - Le choix de la ville et l emplacement de l Hôtel, - L organisation, - L agenda, - Qualité des intervenants et des interventions, - Qualité des clients présents, - La soirée et les visites de cave - Votre accueil. Ces informations sont remontées chez EMC». Alfonso RUIZ DE LEON Directeur Commercial EMC «Je tenais à vous remercier pour l organisation de cet événement très riche en échange et en contenu. L exercice n est pas simple d arriver à satisfaire les attentes de chacun mais je suis sûre que chaque participant en repart avec éléments qui faciliteront ses décisions stratégiques». Marie-Charlotte BOUCHERy CTO BONDUELLE «Un grand merci pour ce CRiP Summit qui s est tenu à Reims et bravo à vous pour cette organisation». David DECOVEMACKER Direction Technique Informatique AUCHAN «Je voulais remercier tout le staff du CRiP, pour ce superbe événement. C était pour moi extrêmement intéressant et instructif, tant les interventions que la partie «off» lors des pauses et repas. J ai l impression de faire un peu plus partie de la «famille» du CRiP et de ses nombreux CTO - que je n ai même pas pu tous rencontrer en 2 jours... Et c est à la fois rassurant de partager ses expériences et de se sentir un peu moins seul face à tous les challenges qui se présentent en permanence». Olivier FRIEDMAN Dir. Infrastructures & Support CTO UGC Informatique 58 Information Technology European summit 2015 Pour plus de détails sur l événement, contacter : [email protected]

59 Les Groupes de Travail Club des Responsables Club des Responsables Mai d Infrastructure et de d Infrastructure Production et de Production 2014 Dans les Groupes Dans de Travail, les se Groupes développent les de activités Travail, fondamentales se développent du CRiP : partage de les activités fon connaissances, connaissances, témoignages, mise en commun témoignages, d expertises, échanges mise d informations, en commun élaboration d expertises, de bonnes pratiques, de bonnes discussions-débats, pratiques, analyse des discussions-débats, tendances, élaboration d enquêtes analyse et de des tendan questionnaires, production questionnaires, de livrables, préparation production de conférences, de livrables, contribution à préparation l élaboration de de confére standards... standards... Les Groupes de Les Travail Groupes sont le creuset de où se Travail réalisent les sont ambitions le de creuset l association où : se réalisent les am devenir plus performants devenir dans plus les métiers performants de l Infrastructure dans et de la les Production métiers IT, partager de l Infrastructure les bonnes e pratiques, confronter pratiques, les expériences confronter réussies ou non, les évaluer expériences la maturité des réussies technologies et ou des non, évalu méthodes, pour méthodes, prendre meilleures pour décisions prendre plus rapidement meilleures avec une meilleure décisions information. plus rapidem Depuis quelques Depuis mois, certaines quelques réunions communes mois, ont certaines été instituées réunions entre deux GT communes afin de consolider ont été leurs travaux sur leurs des sujets travaux qui se recouvrent sur des (ex. catalogue sujets de qui services, recouvrent réunissant les GT ITIL (ex. et Analyse catalogue d des coûts, Cloud des et PRA/PCA). coûts, Les Cloud Groupes et Spot PRA/PCA). visent à apporter, Les en une Groupes seule réunion de Spot trois heures, visent à a des réponses immédiates des réponses à un problème immédiates urgent et/ou d actualité. à un Les problème Groupes Flash urgent font le tour, et/ou en trois d actua ou quatre réunions ou au quatre maximum, réunions d un sujet ponctuel au maximum, et clairement identifié. d un sujet ponctuel et clairem Analyse des coûts Analyse de la Production des coûts de la Production Ce groupe de travail a Ce pour groupe objectif de de Derniers travail sujets a pour abordés objectif de déterminer les coûts en prestations déterminer - Élaboration les coûts d un modèle en de prestations maturité délivrés par une production délivrés informatique. par une - Mise production en commun d Unités informatique. d oeuvre Ce Groupe de Travail a élaboré Ce Groupe un - Retours de d expériences Travail a méthodologiques élaboré un sur la mise en place du modèle référentiel d Analyse des référentiel coûts de la d Analyse des coûts de la - Partage d expériences autour du catalogue Production à partir de Production celui CIGREF. à partir de services de avec celui le GT ITIL du CIGREF. Ce référentiel se compose Ce de 21 référentiel se compose de 21 Centres Technologiques Centres qui décrivent Technologiques qui décrivent les activités et leurs inducteurs, les activités et d un et leurs inducteurs, et d un modèle général dérivé de modèle la méthode général dérivé de la méthode ABC pour la composition ABC de services pour aux la composition de services aux consommateurs à partir consommateurs de ces activités. à partir de ces activités. Ce référentiel sert à mieux Ce maîtriser référentiel les sert à mieux maîtriser les coûts et à les rendre coûts benchmarkables et à en les rendre benchmarkables en les décrivant finement les et en décrivant les expliquant finement et en les expliquant aux consommateurs des aux services. consommateurs des services. Big Data Big Data Ce Groupe de Travail explore Ce le Groupe Derniers sujets de Travail abordésexplore le phénomène Big Data, phénomène analyse et examine Big - Contribution Data, analyse du Big Data et aux examine outils les premiers cas d usage. les Il en premiers étudie d exploitation cas d usage. (analyse de Il logs) en étudie l impact sur les Services l impact d Infrastructures sur les - Services Bonnes pratiques d Infrastructures de mise en œuvre - Big Data et services rendus au métier et de Production, et quels et nouveaux de Production, et quels nouveaux - Relation entre marketing, DSI et métier services il peut offrir aux métiers. services - Les il technologies-clé peut offrir du aux Big Data métiers. - Point sur la législation Prochains Derniers sujets à sujets aborder abordés - Bonnes - Élaboration pratiques, organisation, d un modèle de m outils - Mise pour construire en commun le modèle d Unités d - Benchmarking - Retours sur les d expériences activités métho - Définition sur d un la catalogue mise en de services place du modè génériques - Partage d expériences autour de services avec le GT ITIL Prochains Derniers sujets à sujets aborder abordés - Evolution - Contribution de la réglementation du du Big Data aux (données d exploitation personnelles, finalité, (analyse etc.) de logs - Impact - Bonnes du Big Data pratiques sur les organisations de mise en - Inventaire - Big des Data outilset services rendus au - Big - Data Relation & Cloud entre marketing, DSI - Big - Data Les et technologies-clé ERP, environnements OS du Big D (Open - Point source ) sur la législation Fiche Pratique Big Data : Transformer Fiche Pratique les données en valeur Big business Data : par Transformer l entreprise Juin 2014 les do Cloud Computing Cloud Computing Ce Groupe de Travail Ce explore Groupe les usages de Derniers Travail sujets explore abordés les usages Prochains Derniers sujets à sujets aborder abordés concrets des différentes formes concrets de - des Bonnes différentes pratiques du laas formes de - Inventaire - Bonnes des solutions pratiques Cloud et Tendances du laas Cloud Computing : IaaS, Cloud PaaS, SaaS, Computing - Premiers retours : IaaS, sur le PaaS, SaaS, - Urbanisation - Premiers des applications retours développées - Le dans Cloud le et la continuité d activ sur le PaaS mais aussi toutes les formes mais de aussi Cloud toutes - Le Cloud et les la continuité formes d activité de (PRA, Cloud PCA) - L accompagnement au changement - Le - Cloud L accompagnement 5 ans après : tableau de au chang (privé, public, hybride, souverain ) (privé, public,. hybride, souverain ). - Les achats et la facturation l utilisation - Les achats et la facturation Il étudie les business cases Il étudie et précise les - business Le SaaS, intégration cases au SI et précise - Supervision - Le SaaS, et contrôle intégration des performances au SI les bonnes pratiques de les transformation bonnes pratiques - Sécurité et Cloud de Computing transformation - Réinternalisation - Sécurité / Réversibilité et Cloud Computing pour développer au mieux pour des développer services - Point au sur le mieux Cloud souverain des services - Standardisation - Point sur et interoperabilité le Cloud souverain Cloud, internes ou externes.les Cloud, - Cas internes d usage du Cloud externes.les Hybride - Nouveaux - Cas aspects d usage réglementaires du Cloud Hybrid recommandations s appuient recommandations sur des - Introduction s appuient aux aspects juridiques sur des - Introduction aux aspects jurid retours d expérience des retours membres. d expérience des membres. Livre Blanc Cloud Computing 5 Juin

60 Data Centre & ICT éco-efficacité Ce Groupe de Travail poursuit ses travaux dans plusieurs directions : élaboration d indicateurs de gestion énergétique pour les Data Centres, bonnes pratiques pour la conduite de projets d ICT durable, catalogue des pratiques d urbanisation et des bénéfices associés, bonnes pratiques pour la gestion des contrats d hébergement et de location d espace en Data Centres, bonnes pratiques pour la prise en compte de l écoconception et de la fin de vie des équipements ICT. Derniers sujets abordés - Bonnes pratiques pour la conduite de projets d ICT durable - Panorama des Data Centres chez les adhérents du CRiP - Certification des Data Centres : retours d expériences - Déclenchement intempestifs d alertes incendie et leurs conséquences Prochains sujets à aborder - Méthodologies d urbanisation adaptées à l optimisation des Data Centres - Gestion des risques d incidents sérieux - Gestion énergétique, consommation d énergie incluse : normalisation CRiP - ETSI et Benchmarking - Ingénierie générale et bonnes pratiques pour la réalisation de sites ICT performants et durables («Green Data Centres») - Ecoconception et fin de vie des équipements ICT - Benchmark des coûts des Data centres Livre Blanc Eco-Efficacité et Urbanisation d un Data Centre Juin 2014 Dossier technique Gestion énergétique opérationnelle pour les utilisateurs - (OEU) - KPI Globaux pour les Data Centres Juin 2014 Environnement de travail & Mobilité Ce Groupe de Travail étudie les évolutions actuelles de l environnement de travail utilisateur, et tout particulièrement les conséquences de leur mobilité croissante : gestion des flottes mobiles, sécurité mobile, virtualisation, tablettes et smartphones, arrivée des Mac dans l entreprise, etc. Il s intéresse aussi aux migrations de postes, en particulier aux conséquences de la disparition de Windows XP, ainsi que la multiplication des OS. Le périmètre de ce groupe de travail peut aller jusqu aux outils liés à la productivité de l utilisateur, office bureautique, la communication & collaboration Derniers sujets abordés - Le poste de travail 2015 : perspectives - Vivre avec des OS clients en évolution permanente - Comment sécuriser les données synchronisées sur un device mobile - Contribution de la virtualisation des postes de travail aux PCA - Mesurer la valeur d une migration de Poste de travail pour l utilisateur - Mobilité, MDM, MAM - Windows 8.1, cas d usage - Fin de support XP Prochains sujets à aborder - Migration Windows XP vers autre(s) OS - Suivre le cycle de vie de l OS imposé par les éditeurs - La virtualisation applicative et du poste - Quelle solution pour la sécurisation des données de l entreprise adhérente au terminal - Quelle authentification utilisée demain - Gestion des navigateurs - Retour expérience Windows 8.1 update - Open source & Poste de travail - Tour d horizon des solutions de management et migration de postes - Quel avenir pour les GPO - Télémaintenance : les tendances ITIL & Process de Production Ce Groupe de Travail analyse les usages concrets d ITIL dans les entreprises. Quel que soit son niveau de maturité (processus largement déployés ou non), chaque participant peut faire part de ses interrogations ou de ses retours d expérience. La diversité des contextes (périmètre, outils, organisations) conduit à des échanges enrichissants, pragmatiques, sur une multitude de thèmes choisis par le Groupe. La transversalité de certains sujets peut justifier des échanges avec d autres groupes de travail. Derniers sujets abordés - ITIL v3 vs ITIL Catalogue de services et facturation (en relation avec le GT Analyse des coûts) - Comment améliorer le pilotage des Opérations informatiques? - Enquête ITIL - BRM/SLM : comment ITIL 2011 transforme le rôle de SDM connu en ITIL v2? - Knowledge management Prochains sujets à aborder Les sujets proposés peuvent être classés en plusieurs catégories, permettant de mieux comprendre la dynamique du Groupe Implémentation - Facteurs clefs de succès : comment les identifier, comment les utiliser lors du déploiement ou de la revue des processus? - Comment obtenir le soutien du management préconisé par ITIL pour la mise en place de processus? Comment le conserver en exécution de processus? - Conception des services : qui a réussi à sensibiliser les équipes de développement, et comment? Zoom processus - Processus Gestion des Capacités - Processus Gestion des Incidents : qualification d un incident majeur Amélioration continue - Enquêtes de satisfaction utilisateurs - Méthode Agile versus ITIL - Méthodes associées au pilotage des processus : ishikawa, pareto, 8d, 5 pourquoi, - Amélioration continue des services Rencontre inter-gt - Rencontre avec le GT Automatisation / Orchestration Fiche Pratique Améliorer le pilotage des Opérations Informatiques Juin Mainframe Le Groupe de Travail Mainframe, dédié aux grands systèmes IBM z/os a notamment travaillé sur l optimisation des coûts de cette plateforme. Il a récemment réorienté ses travaux vers les problèmes de formation, et plus particulièrement du renouvellement des compétences sur cette plateforme. Derniers sujets abordés - Maitrise des coûts de la plateforme - Modèles de coûts du Mainframe Sujet en cours Renouvellement des compétences mainframe face à l évaporation des compétences liée à l évolution de la pyramide des âges : - Nous recensons les besoins moyen termes en compétences chez les acteurs mainframe en France (grands clients et SSII). - Nous sélectionnons les partenaires susceptibles de nous aider dans la mise en place d un cursus de formation ab initio. Ce cursus sera accessible à toutes les sociétés membres du CRiP désirant former de nouvelles compétences, jeunes diplômés ou collaborateurs en reconversion professionnelle.

61 Open Source Le Groupe de Travail Open Source du CRiP traite de la promotion et de la mise en oeuvre des solutions s appuyant sur des logiciels Open Source dans une perspective concrète et opérationnelle. Il met en évidence la pertinence d utiliser certains logiciels Open Source et la façon de gérer leur déploiement. Ce Groupe de Travail est commun avec le Club CRAI, afin d aborder les aspects contractuelles d achat des licences et des services associés. Automatisation & Orchestration Derniers sujets abordés - Quels logiciels Open Source utiliser, dans quels domaines? - Peut-on remplacer les logiciels propriétaires par des logiciels Open Source? A quelles conditions? Quels sont les domaines les plus favorables? - Comprendre les licences Open Source - Modèles de facturation dans le monde Open Source - Sourcing des fournisseurs Open Source - Gestion des compétences Open Source - Création d une fiche Standard logiciel Open source (Linux) Prochains sujets à aborder - Comparatif des solutions Open Source avec les solutions «commerciales» - ROI de l utilisation et économie réelle de l Open Source - Document pour la promotion de solutions Open Source auprès des décideurs - Criticité et support - Axes d innovation de l Open Source - Prises de contacts avec les communautés et l éco-système Open Source Les orchestrateurs renforcent les possibilités d automatisation de l Exploitation en s attaquant à des processus complets, sans s arrêter aux frontières des métiers et des techniques. Ce Groupe de Travail examine les bonnes pratiques pour le choix, la mise en œuvre et l exploitation d un orchestrateur. Il aborde les problèmes de périmètre d action, de sécurité, de coordination avec les outils de Service Management et de suivi des gains apportés. Outsourcing La mise en oeuvre et la gestion de prestations d outsourcing font désormais partie intégrante des métiers de l Infrastructure et Production. Ce Groupe de Travail, parmi les plus récents du CRiP, étudie aussi bien les aspects contractuels et de sourcing des prestations que les activités de pilotage et de suivi. PRA & PCA Ce Groupe de Travail étudie la mise en place opérationnelle des plans de reprise d activité plutôt orientés IT mais aussi des plans de continuité d activité. Il définit des bonnes pratiques et des démarches à la fois techniques et d organisation. Derniers sujets abordés - Provisioning de serveurs via l orchestration - Traitement automatisé d incidents - Supervision fonctionnelle de l outil d orchestration - Processus de mise en production des flows Derniers sujets abordés - Contractualisation, Gouvernance et Pilotage des prestations d outsourcing - Sécurisation et cloisonnement des données - Contrôle des prestataires - Réversibilité - Modèles de sourcing - Comment aller vers l externalisation Derniers sujets abordés - Le PCA et le sinistre régional - La sauvegarde de recours suite à un sinistre - Le retour sur Investissement d un PCA - L automatisation et le pilotage d un PCA - La continuité d activité expliquée aux décideurs - Le PCA et les bases de données (notamment avec le GT BDD) Prochains sujets à aborder - Gestion de campagnes de changements - Gestion des applications au quotidien - Orchestration et fiabilisation de l exploitation Prochains sujets à aborder - Impacts RH de l outsourcing - Bénéfices à attendre d une prestation d outsourcing et bénéfices réellement mesurés ou constatés ; ROI et services - Prérequis à l outsourcing - Impacts de l outsourcing sur les relations avec les métiers - Point sur les SLA et contrôles PRA et indicateurs de performance - La période de transition - PCA et services en mode Cloud (notamment avec le GT Cloud) - Audit de la continuité d activité Prochains sujets à aborder - La reprise applicative - La validation probante d un PCA /PRA - Le PRA dans le cloud - L externalisation du secours Fiche Pratique L audit de la continuité d activité d un organisme Juin 2014 Sécurité En 2014, le GT Sécurité s attachera à étudier les conditions qui facilitent le vol de données au cœur des entreprises et à présenter les moyens mis en œuvre par les membres du GT pour s en affranchir. Supervision Ce Groupe de Travail, récent, travaille sur les besoins, l outillage et les bonnes pratiques en matière de supervision et pilotage de l IT. Il vise notamment à promouvoir la supervision comme étant garante de la qualité de service. Comment l attaquant a-t-il pu obtenir le niveau de privilège suffisant? : identités, privilèges, authentification Pourquoi la sortie de données n a-t-elle pas été détectée? : traces, supervision, SIEM, SOC Pourquoi la médiatisation de l affaire a-t-elle eu autant d impact? : gestion de crise de sécurité. Derniers sujets abordés - Rôle de l hyperviseur - Ingénierie de la Supervision - Profils RH des équipes de Supervision - Socle technique de Supervision - Organisation de la fonction Supervision - Méthode de collecte des besoins de Supervision en adéquation avec les SLA - Résultat d une enquête sur l existant Supervision au sein du CRiP Derniers sujets abordés - Gestion opérationnelle de la sécurité autour de la gestion des incidents de sécurité - Gestion de la sécurité dans les projets (démarche d analyse de risques, recette sécurité dans les projets, sécurité des données sensibles, ) - Elaboration en cours d un lexique de Supervision (Ce lexique est commencé et sera modifié avec les échanges lors des réunions du GT)) - Retours d expériences Prochains sujets à aborder - GT commun avec le GT ITIL sur la supervision des flux - Supervision et remédiation automatique - GT commun avec le GT Sécurité pour promouvoir la sécurité et la supervision dans les projets - SAP et supervision des travaux. 61

62 Communication unifiée & Collaboratif sujets Ce Groupe abordés de Travail aborde les problématiques Derniers sujets Prochains abordés sujets à aborder Prochains sujets à aborder concrets opérationnelles, des solutions managériales et de techniques ToiP liées VoiP- Bénéfices concrets - Benchmarking des solutions de ToiP sur VoiPles tarifs - Benchmarking pratiqués sur les chez tarifs pratiqués les chez les ation à des la mise solutions en place de solutions par cibles de ToiP métiers/ - VoiP et - Segmentation des principaux solutions par cibles opérateurs métiers/ télécoms principaux opérateurs télécoms s de communication unifiée, utilisateurs - Migration de PABX TDM - Migration vers la de téléphonie PABX TDM vers la full téléphonie IP full IP ison des dans offres les entreprises. Il s attache en particulier - Comparaison des sur offres réseau IP distinct ou sur non réseau de IP celui distinct ou des non de data celui des data tif entre à Cisco recenser Jabber les bénéfices et liés Microsoft au déploiement Lync - Comparatif entre - Evaluation Cisco Jabber et du Microsoft ROI Lync permettant - Evaluation de du lancer ROI permettant ou réactiver de lancer ou réactiver mise en oeuvre de solutions de - Choix et mise en des oeuvre projets de solutions de de modernisation des projets de de la modernisation téléphonie de la téléphonie de ces solutions et à dresser une typologie des ication unifiée communication - Accompagnement unifiée de la - Accompagnement migration vers de la migration le poste vers le poste problèmes rencontrés. ges sur le déploiement de ToIP - Témoignages sur unifié, le déploiement avec de outils ToIP de mesure unifié, avec outils de mesure r les problématiques réseau liées à la - Focus sur les - problématiques Déploiement, réseau liées migration à la et - Déploiement, conduite migration du changement et conduite du changement munication Unifiée (LAN/WAN/QOS/ nces/etc.) VoIP/Communication de solution Unifiée (LAN/WAN/QOS/ de Communication de solution Unifiée de Communication Unifiée Performances/etc.) - Offres Cloud : quelles offres, - Offres Cloud quels : quelles atouts, offres, quels atouts, quels modèles de licencing - Coûts et modèles défauts de licencing? défauts? s de migration vers une nouvelle solution - Stratégies de - migration Evolution vers une des nouvelle offres solution de téléphonie - Evolution des offres et de téléphonie et onie et/ou de communication unifiée de téléphonie et/ou communication de unifiée unifiée depuis communication 1 anunifiée depuis 1 an NEW Gouvernance CTO s sujets Concernant à aborder les productions IT, quels sont Prochains sujets - Etudier à aborder les impacts induits - Etudier par les ces impacts tendances induits par tendances de de les nouveaux modèles de «delivery» Identifier : fond sur l organisation et fond la sur gouvernance l organisation et la gouvernance de la de la nces de fond (organisation, du «nouveau profils & compétences...) monde - les tendances de production fond «nouveau IT monde : évolution production des modèles IT : évolution d activité, des modèles d activité, ique» induits et les par la nouvelles révolution digitale offres des entreprises qui vont? technologique» des et les nouvelles structures, offres qui vont des modes structures, de sourcing des modes... de sourcing... r le fonctionnement Quels sont les impacts des sur organisations le positionnement de structurer le fonctionnement - Identifier des les organisations besoins de d évolution - Identifier les besoins et les d évolution et les n : technologie hadoop, et la fonction bases de CTO Nosql,? production : technologie problématiques hadoop, bases Nosql, liées aux problématiques ressources liées humaines aux ressources humaines intégrés, gestion de la haute disponibilité systèmes intégrés, (profils, gestion de compétences, la haute disponibilité accompagnement (profils, compétences, accompagnement au au applicatif,... au niveau applicatif, changement)... changement) aux modes et patterns de développement - les nouveaux - modes Travailler et patterns sur de développement la fonction - de Travailler CTO sur la et fonction sa promotion de CTO et sa promotion / / t les impacts associés: devops, «non logiciels et les impacts évolution associés: dans devops, le «non monde évolution du Digital dans le monde du Digital se» stop release» NEW Innovation s sujets Le à Cercle aborder des Directeurs : Innovation IT n ROI de Ce groupe l innovation de travail partage les visions et les ion des projets pratiques autour dans de la l innovation vraie vie numérique, ns, Concours, les ruptures de POC, technologies ) et d usages ainsi interne de l Innovation que les moyens de créer des passerelles entre nce & Innovation ement équipes interne IT et et métiers. externe A ce titre, des ce groupe projets de ion Travail rassemble les Responsables Innovation IT en réseaux, et les professionnels les partenariats des Infrastructures et de la munication Production en interne concernés par l Innovation. d une IT Ce propre, groupe de solide travail se réunit pour également à vation fonctionne l extérieur pour rencontrer des starts-up, des t favoriser fonds d investissements, la captation des d idées gourous, visiter? des ge sur grands l innovation parcs technologiques, du Plateau... Des voyages à gique de Saclay l étranger (Californie, Israël, ) sont à l étude. Innovation (Silicon Valley, Israël, ) Prochains sujets Derniers à aborder : sujets abordés Derniers : sujets abordés : - Evaluation ROI - de Les l innovation pré-requis de l Innovation - Les pré-requis de l Innovation - La sélection des - Gouvernance projets dans la vraie vie et outillage - Gouvernance de l innovation et outillage de l innovation (hackathons,- Concours, Construire POC, ) une cellule de - Construire veille technologique une cellule de veille technologique - Marketing interne - Travailler de l Innovation l innovation avec - Travailler les Métiers l innovation avec les Métiers - Gouvernance -& Bonnes Innovation pratiques pour l introduction - Bonnes pratiques pour de l introduction de - Le financement l Innovation interne et externe des projets l Innovation d Innovation - Contact avec des start-ups - Contact innovantes avec des start-ups innovantes - Le travail en réseaux, - Témoignage les partenariats sur le programme - Témoignage Issy sur le programme Grid Issy Grid et la communication en interne - Nécessité d une IT propre, solide pour que l Innovation fonctionne - Comment favoriser la captation d idées? - Témoignage sur l innovation du Plateau Technologique de Saclay - Voyages Innovation (Silicon Valley, Israël, ) e de Pour Travail, vous inscrire il vous à un Groupe suffit de Travail, d adhérer il vous suffit au d adhérer CRiP au CRiP [email protected] et de contacter : [email protected] nsultez le calendrier des Consultez réunions le calendrier des réunions es de travail sur des groupes de travail sur ture et de Club Production des Responsables d Infrastructure et de Production crip-asso.fr 24 rue Erlanger Paris - [email protected]

63 Près de 300 adhérents, Grands Comptes, Entreprises et Administrations ACCOR ADEO SERVICES ADP GSI AELIA AEROLIA AEROPORTS DE PARIS AFI ESCA AFP (AGENCE FRANCE PRESSE) AG2R LA MONDIALE AGENCE FRANCAISE DE DEVELOPPEMENT AGIRC ARRCO AIR FRANCE AIR LIQUIDE AIRBUS ALBIANT-IT ALGECO ALLIANZ GLOBAL INVESTMENT ALLIANZ INFORMATIQUE AMUNDI ANCV APHP APRIA AREVA ARGUS DE LA PRESSE ARKEMA ARTELIA ARVAL AUCHAN AVIVA AXA ASSISTANCE AXA INVESTMENT MANAGEMENT AXA TECHNOLOGY SERVICES BANQUE DE FRANCE BANQUE PRIVEE EDMOND DE ROTHSCHILD BIBLIOTHEQUE NATIONALE DE FRANCE BIC BIOMERIEUX BNP PARIBAS BNP PARIBAS CIB BONDUELLE BOULANGER BOUYGUES CONSTRUCTION BOUYGUES IMMOBILIER BOUYGUES TELECOM BPCE BRIGADE DES SAPEURS POMPIERS DE PARIS CAISSE DES DEPOTS CANAL + CARREFOUR CASINO CDISCOUNT CEA CHANEL CHOREGIE CHU NICE CNAMTS CNAV CNES CNP ASSURANCES COFELY INEO COFIDIS COFINOGA COFIROUTE COLLECTE LOCALISATION SATELITTES CONFORAMA CONGES INTEMPERIES BTP CONSEIL CONSTITUTIONNEL CG DES BOUCHES DU RHONE CG DE LA LOIRE ATLANTIQUE CG DU BAS RHIN CG DU HAUT RHIN CG DE LA SEINE MARITIME CG DES YVELINES CG DU VAL DE MARNE CR D ILE DE FRANCE CONSORTIUM STADE DE FRANCE CORA CREDIT AGRICOLE CIB CREDIT AGRICOLE S.A. CREDIT AGRICOLE SILCA CREDIT AGRICOLE TECHNOLOGIES CREDIT IMMOBILIER DE FRANCE CREDIT MUTUEL ARKEA DAHER DAMART DANONE DARTY DARVA DASSAULT SYSTEMES DCNS DECATHLON DEKRA DESCOURS & CABAUD DEXIA DGDDI DGSI ETAT DE GENEVE DILA DIRECTION DE L AVIATION CIVILE DISIC - BUREAU DU PREMIER MINISTRE DISNEYLAND PARIS DNSCE EAU DE PARIS EDF EIFFAGE ELIOR ELLISPHERE ERAMET ERDF ESSILOR ETAM EUROMASTER EUROPCAR EUROPE AIRPOST FDJ (FRANCAISE DES JEUX) FNAC FONDS DE GARANTIE FRANCE TELEVISIONS GALEC (LECLERC) GALERIES LAFAYETTE GCS D-SISIF GDF SUEZ GDF SUEZ TRADING GEMALTO GENDARMERIE NATIONALE GENERALI GEODIS GIPS GIRC AGIRC ARRCO GIVAUDAN GMF ASSURANCES GRAS SAVOYE GROUPAMA GROUPE CHARLES ANDRE GCATRANS GRT GAZ HEINEKEN HOP! BRITAIR HUMANIS I-BP IFP ENERGIES NOUVELLES IGN IMPRIMERIE NATIONALE INA INFOMIL INRA INRIA INSERM INSTITUT NATIONAL DU CANCER INTER MUTUELLES ASSISTANCE INVIVO IPSEN IRSN IT-CE KEOLIS KIABI LA BANQUE POSTALE LA POSTE / DIRECTION DU COURRIER LA POSTE / DSI CENTRALE LACTALIS LAFARGE LAGARDERE LATECOERE LE CONSERVATEUR LOMBARD ODIER L OREAL LVMH MAAF MACIF MACSF MAF ASSURANCES MAIF MALAKOFF MEDERIC MANE & FILS MANPOWER MAPPY MATMUT MEETIC METEO FRANCE MICHELIN MINISTERE DE LA DEFENSE MINISTERE DE LA JUSTICE MINISTERE DE L AGRICULTURE MINISTERE DE L ECONOMIE ET DES FINANCES MINISTERE DE L EDUCATION NATIONALE MINISTERE DE L INTERIEUR MINISTERE DU DEVELOPPEMENT DURABLE MIPIH (MIDI PICARDIE INFORMATIQUE HOSPITALIERE) MONDIAL ASSISTANCE MSA AGORA MUREX MUSEE NATIONAL D HISTOIRE NATURELLE MUTEX NATIXIS NEXTERSYSTEMS NORAUTO NUMERICABLE OBERTHUR TECHNOLOGIES OCDE OGF ORANGE FT GROUP PARITEL PARROT PETROCI PIERRE & VACANCES PIERRE FABRE PISCINES WATERAIR PLASTIC OMNIUM PMU POLE EMPLOI PRESSTALIS PREVOIR PRO BTP PSA PEUGEOT CITROEN PUBLICIS RATP RENAULT RESEAU FERRE DE FRANCE REUNION DES MUSEES NATIONAUX - GRAND PALAIS RHODIA RIO TINTO ROLEX ROQUETTE RSI RTE SACEM SAFRAN SAINT-GOBAIN SANOFI SCHLUMBERGER SCOR SEQUANA SERES SERVIER SESAM VITALE SFR SIB SIGMAP SIHM SIMPLY MARKET SNCF SOCIETE GENERALE SODEXO SOFAXIS SOMFY SPIE STEF STELA STIME SUEZ ENVIRONNEMENT SUPERMARCHES MATCH SWISSLIFE SYNCHROTRON SOLEIL SYSTALIANS TARKETT THALES THALES ALENIA SPACE THELEM ASSURANCES TOTAL TRANSDEV TRISKALIA UFCV UGC UNEO UNIBAIL-RODAMCO UNIPREVOYANCE UNIVERSCIENCE UNIVERSITE DE BORDEAUX VALLOUREC VENTE PRIVEE VEOLIA ENVIRONNEMENT VETOQUINOL VILLE DE LEVALLOIS VINCI CONSTRUCTION VOLVO VOYAGES-SNCF.COM WOLTERS KLUWER FRANCE YVES ROCHER Le CRiP, Cercle de confiance pour permettre aux Responsables d Infrastructure et de Production d être plus performants dans leurs métiers 63

64 7 bonnes raisons de rejoindre le cercle de confiance du CRiP Être à la pointe de l innovation et de la transformation digitale ITES, IT innovation Forum, Study Tour, Web TV, Review, Cercle Innovation Prendre les bonnes décisions pour préparer l avenir Benchmarking, Review Profiter de l expérience de ses pairs Groupes de Travail, Base Projets, Base Prestataires de confiance, Réseau Social Bâtir un réseau d échanges rapides avec ses pairs Conférences Thématiques et Régionales, Plénières, Convention, Réseau Social Renforcer ses relations avec les fournisseurs Cercle i Promouvoir les métiers de la Production Groupe gouvernance et programme grandes écoles Passerelles vers les métiers et l international grâce au réseau social CDO Alliance, Cercle innovation, CRAI, CTO Alliance UK, Suisse, Allemagne, IT Forum Africa

65 Rejoignez le en région Un CRiP régional réunit localement des adhérents du CRiP implantés dans la région et accueille de nouveaux adhérents régionaux. CRiP NORD-PAS-DE-CALAIS sous l impulsion de : Michel BARBASSO CTO 45 mm Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). CRiP GRAND OUEST et CRiP GRAND EST sont en cours de création : Vous souhaitez devenir parrain de l une de ces régions, Contactez-nous! [email protected] CRiP POITOU-CHARENTES sous l impulsion de : Jean-Sébastien BOULLéE Directeur département Architecture et Production VOUS POUVEZ INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE copyright 2012 Modern City Records CRiP RHONE-ALPES sous l impulsion de : Jean-François STRICHER Chef de groupe Ingénierie et Sécurité 45 mm Le repère intérieur (43 mm) représente la face avant. N oubliez pas de vectoriser toutes les polices et d incorporer les images liées. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). 45 mm CRiP SUD OUEST sous l impulsion de : Marc BéGUé Sous-Directeur Exploitation Production DSI/EP/D et Cathy LACOMME VERBIGUIE Sous-Directrice Adjointe Exploitation / Architecture DSI/EA/DA VOUS POUVEZ INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR N oubliez pas de vectoriser toutes les polices et d incorporer les images liées. L ARRIÈRE 45 mm Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). VOUS POUVEZ INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR N oubliez pas de vectoriser toutes les polices et d incorporer les images liées. L ARRIÈRE copyright 2012 Modern City Records Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). VOUS POUVEZ INSÉRER UN TEXTE ICI, 45 mm Le repère intérieur (43 mm) représente la face avant. Le repère extérieur (48 mm) représente la surface visible totale (face + repli sur l arrière). copyright 2012 Modern City Records N oubliez pas de vectoriser toutes les polices et d incorporer les images liées. VOUS POUVEZ INSÉRER UN TEXTE ICI, IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE IL APPARAÎTRA SUR LE REPLI SUR L ARRIÈRE copyright 2012 Modern City Records CRiP PACA sous l impulsion de : copyright 2012 Modern City Records Bernard ROUx Directeur de la Stratégie Informatique et Transformation et Olivier DU MERLE Responsable du Centre informatique de Valbonne N oubliez pas de vectoriser toutes les polices et d incorporer les images liées. Un CRiP Régional, c est : - Toute la valeur des partages d expériences au sein du cercle de confiance du CRiP dans votre région, et sur des sujets qui ne sont pas forcément abordés dans les groupes de travail du CRiP - L animation de sous-groupes de travail contributeurs des groupes de travail nationaux - Des rencontres en région avec les grands fournisseurs - Partager l information locale sur le réseau des prestataires pour mieux choisir - Aborder et étudier les thèmes et enjeux spécifiques à la région - Réfléchir sur les spécificités et avantages de la Production en région Nous organisons aussi des conférences CRiP Régionales! Une thématique est choisie par le groupe local et l événement est sponsorisé par des fournisseurs locaux ou nationaux. Tout comme sur un événement national, le pilote du groupe de travail correspondant présente une restitution des travaux du groupe et des retours d expériences sont présentés. Faites nous part de vos suggestions pour lancer une conférence dans votre région : [email protected] Votre groupe régional sur votre mobile Pour chaque région, il existe sur Bee CRiP (le réseau social privé du CRiP) un groupe relatif à la région, dans lequel vous pourrez trouver des informations sur le sujet ainsi que des informations pratiques comme par exemple, la date de la prochaine réunion

66 Rejoignez le à l international CTO Alliance Suisse sous l impulsion de : Gianfranco MOI CTO Alliance UK sous l impulsion de : John HARRIS United Kingdom Digital Technology & Innovation De la même façon que les régions, vous pouvez retrouver, dans Bee CRiP, le groupe CTO Alliance Suisse dans lequel vous accéderez à des informations sur le sujet ainsi que des informations pratiques comme par exemple, la date de la prochaine réunion Lancée en 2013, la CTO Alliance UK est une copie du modèle du CRiP France. L idée étant de vous fournir des informations précieuses recueillies auprès de professionnels de l Infrastructure et de la Production au Royaume- Uni. Cette nouvelle communauté, c est aussi la possibilité aujourd hui pour vous de pouvoir vous benchmarker à un niveau européen! Pour information, sachez que beaucoup de nos livrables ont été traduits en anglais, n hésitez pas à nous les demander! IT Forum Africa sous l impulsion de : Mohamadou DIALLO Directeur de la publication de CIO Mag IT FORUM Africa IT forum Africa, le réseau des IT Managers Africains est une plate-forme d échanges stratégiques au service des directeurs des systèmes d informations et IT Manager. En vous connectant sur passerelle vers l international, vous pouvez accéder et vous connecter à ces différentes communautés. Grâce à une association exclusive entre SAFREM (éditeur de CIO mag et d IT Forum Africa) et MAZA exclusive IT (éditeur d Africa exclusive IT) qui prend à sa charge la diffusion des contenus publics et la gestion de la plateforme du réseau social Afrocio.net ainsi que la communication de ses événements en se rémunérant auprès des sponsors, IT Forum Africa, construit un modèle économique lui permettant d offrir des services gratuits de très haute qualité à ses membres. Avec la CTO Alliance, la communauté du CRiP se structure en un réseau de pairs internationaux. S il s agit toujours de partager nos expériences sur les thèmes de l Infrastructure et de la Production IT, ces échanges bénéficieront de la diversité des cadres et des cultures IT des pays qui constituent la CTO Alliance. Le répertoire de nos bonnes pratiques s en trouve donc d autant plus élargi! Le CRiP, cercle de confiance pour permettre aux Responsables d Infrastructure et de Production d être plus performants dans leurs métiers 66

67 10 septembre janvier avril 2015 Les ruptures d usages et de technologies : Big Data, Cloud, Datacenter & Green IT, Mobilité, Sécurité, Gouvernance IT innovation Forum, c est : En quelques mots Un formidable accélérateur de notoriété, de visibilité et d opportunité de business pour la trentaine de start up et entreprises innovantes sélectionnées par le jury. Une opportunité de découverte et de possibles implémentations de 2014 solutions innovantes par une centaine de CTOs de grands comptes français (Early Adopters) à la recherche d avantages économiques et compétitifs PRIX DU pour leur entreprise. PUBLIC En quelques chiffres 3 éditions de l IT innovation Forum en 12 mois Une sélection de +120 solutions innovantes Lauréates Présentation de ces solutions à +500 Responsables d innovations, CTOs, Responsables d Infrastructures IT et DSI des grandes Entreprises et Administrations Françaises. Un comité de sélection d experts Une sélection des solutions très stricte qui se fait sur dossier La description de la solution, sa différentiation, son innovation, son avantage économique sont étudiés par les membres du jury Les solutions sont classées sur une échelle de A à E (A étant la meilleure). Les notes D et E sont éliminatoires Le jury est composé de CTOs du CRiP ( de Responsables d Innovation IT et de Venture Capitalists PRIX DU JURY 2014 LAURÉAT IT

68 Un format unique Inspiré du speed dating avec des solutions innovantes qui s enchainent par thème toutes les 5 minutes et sont présentées à un panel de porteur de projets Possibilité pour les responsables d innovation IT de découvrir 30 à 40 solutions innovantes en un minimum de temps et de les retrouver dans une Agora propice aux contacts business. Un événement relayé sur notre WebTV Innovation Les visiteurs du site peuvent : Retrouver les start up sélectionnées, Visionner leurs présentations grâce à la tuile INNOVATION TV, Les contacter et adhérer au réseau social IT INNOVATION. Appel aux solutions innovantes : Si vous avez des idées d acteurs et de solutions innovantes à recommander ou que vous souhaiteriez rencontrer, n hésitez pas à nous en faire part : [email protected] Trophée innovation IT Trophées de l innovation IT 2014 Catégorie Big Data : Catégorie Cloud : Catégorie Datacenter & Green IT : Catégorie Mobilité / Environnement de travail : Catégorie Optimisation de la performance Outillage de la production : Catégorie Process & Gouvernance : Catégorie Sécurité : Catégorie Stockage & Virtualisation : 68

69 Les Lauréats des 3 premières éditions d IT Innovation Forum : 69