Contrôle permanent : vers un pilotage au quotidien de la sécurité du SI PAGE 16

Transcription

1 Les challenges de l intégration de données dans l entreprise temps réel PAGE 6 Contrôle permanent : vers un pilotage au quotidien de la sécurité du SI PAGE 16 Les apports du «Model-Based Testing» au référentiel de tests PAGE 26 Bimestriel - novembre/décembre 2009 n 82 Comment évaluer l e-mage de votre entreprise? PAGE 34 Le KM mix pour développer et disséminer les connaissances dans l entreprise PAGE 41

2 ZOOM OUTSOURCING L avis des Directions Informatiques Ministère des Finances Direction Générale des Impôts Nadine Chauvière Sous-Directrice des SI de la DGI «Les solutions d Application Intelligence CAST nous aident à obtenir une meilleure visibilité de notre parc applicatif au travers de tableaux de bord composés d indicateurs techniques objectifs afin de faciliter le dialogue avec les équipes et avec nos maîtrises d ouvrage.» Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingénierie Mobilité «La solution CAST de gestion de la soustraitance est un élément clé dans le système de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constaté une attention plus particulière apportée par les SSII à la qualité des livrables et à la fiabilité des chiffrages depuis qu ils savent que nous pouvons facilement les auditer.» Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP «CAST fournit des critères objectifs d appréciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs nécessaires au suivi de l évolution des applications et constitue au sein de Framatome un outil de progrès partagé.» En savoir plus Demandez le Livre Blanc rédigé par le Gartner Group et CAST sur ce thème : «Information Series on Application Management» : Découvrez l expérience de plusieurs sociétés utilisatrices de solutions d Application Intelligence :

3 La maîtrise des applications et des prestataires dans une opération d outsourcing De la valeur ajoutée de l Application Intelligence pour piloter efficacement un parc applicatif sous-traité Les entreprises, devenues plus mûres vis-à-vis de l outsourcing, sont désormais capables d opérer des externalisations plus stratégiques. On l a récemment observé dans l automobile avec Renault ou dans la grande distribution avec Carrefour. Dans l externalisation des applications métier, c est surtout la volonté d accroître l efficacité opérationnelle de l informatique qui est motrice : pouvoir fournir plus rapidement un service à valeur ajoutée aux utilisateurs et aux clients dans un contexte en perpétuelle évolution. Comme dans n importe quelle opération d outsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Néanmoins, les applications métier étant par nature soumises à de fréquents changements en cours de contrat, les seuls SLAs se révèlent vite insuffisants pour garantir la qualité de service et éviter les dérives de coûts. C est là que le bât blesse : l externalisation des applications métier occasionne un risque de perte rapide de savoir-faire technologique et par conséquent critique. Vigilance et suivi sont de mise pour garder le contrôle de la qualité de service et éviter les dépendances par nature dangereuses. L externalisation réussie d applications métier est donc le fruit d une vision anticipatrice partagée avec le prestataire. Sont ainsi apparues des solutions dites d Application Intelligence, basées sur une technologie avancée d analyse de code source. En fournissant des indicateurs techniques aux donneurs d ordre, ces solutions permettent de piloter un parc applicatif sous-traité en temps réel, tant en terme de qualité, que de maintenabilité et de coût. Résultat : le donneur d ordre conserve la maîtrise intellectuelle de ses applications métier et le contrôle de la relation avec son sous-traitant. La valeur ajoutée de ce type de solutions d Application Intelligence est visible à chaque étape d une opération d outsourcing, comme décrit ci-après. Recette technique Fin de contrat Cycle de vie d'une opération d'outsourcing Contrôle des coûts Appels d'offres Suivi de projet Audit de l existant et préparation des appels d offres Déterminer les caractéristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer d informations de référence pour évaluer les propositions des soustraitants Transfert de connaissances Obtenir une image à l instant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Réduire la phase d acquisition de la connaissance pour entreprendre plus vite des tâches productives Diminuer le coût lié à la production d une documentation exploitable et maintenable par le prestataire Contrôle de la qualité et des coûts en cours de projet Suivre l évolution de la maintenabilité et de la qualité pour éviter toute dérive Etre capable de valider la quantité et la qualité du travail facturé Etre en mesure de challenger le sous-traitant lors des négociations d avenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou ré-internalisation Déterminer et qualifier les écarts entre la prestation prévue et les livrables recettés Disposer des informations techniques caractéristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est d ailleurs un éditeur français, CAST. Reconnu par les analystes informatiques comme précurseur du marché, CAST compte plus 500 comptes utilisateurs de sa plate-forme d Application Intelligence dans le monde. Publi-Reportage

4 édito La crise a parfois du bon! Réductions budgétaires, maîtrise des coûts, peur du lendemain la crise a généré son lot d angoisses et de frustrations, souvent exagérées dans certains secteurs. Le principe de précaution peut aussi engendrer des comportements aberrants. Mais qu importe, quant au final cela profite aussi au progrès. L angoisse dynamise l essor des technologies Les éditeurs de solutions de Business Intelligence confirment tous d excellents résultats depuis janvier Les entreprises auraient-elles enfin compris qu il valait mieux essayer d éclairer la route pour conduire avec plus d assurance? Les dépenses en analyse des données et de l activité sont enfin considérées comme des investissements. Et quelle surprise! Ces entreprises témoignent toutes du rapide retour sur investissement de ces technologies qu elles considèrent comme stratégiques. De même, les projets de virtualisation se multiplient, alors que les technologies sont prêtes depuis près de deux ans. Elles ont d ailleurs fait leurs preuves dans bien des entreprises, et de toutes tailles. Enfin, face à l explosion des volumes de données et coûts qu elle entraine, les responsables informatiques optent depuis plusieurs mois pour les solutions de déduplication, générant une réduction sensible des espaces de stockage nécessaires. Ces trois exemples illustrent combien la peur accélère l adoption de nouveaux comportements et de nouvelles solutions. Attention toutefois : la peur n évite pas le danger, et la précipitation n est pas toujours la meilleure conseillère José Diz Rédacteur en Chef Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allégot Meudon - FRANCE Tél. : Fax. : [email protected] Rédacteur en chef José Diz [email protected] Directeur de publication Aurélie Magniez [email protected] Abonnements/Publicité [email protected] Conception Graphique Nicolas Herlem [email protected] Parution IT-expert - (ISSN ) est un journal édité 6 fois par an, par P&C France, sarl de presse au capital de ,61 e. Avertissement Tous droits réservés. Toute reproduction intégrale ou partielle des pages publiées dans la présente publication sans l autorisation écrite de l éditeur est interdite, sauf dans les cas prévus par les articles 40 et 41 de la loi du 11 mars P&C France. Toutes les marques citées sont des marques déposées. Les vues et opinions présentées dans cette publication sont exprimées par les auteurs à titre personnel et sont sous leur entière et unique responsabilité. Toute opinion, conseil, autre renseignement ou contenu exprimés n engagent pas la responsabilité de Press & Communication. Abonnements Vous pouvez vous abonner gratuitement sur Abonnements/Default.aspx ou nous écrire à : [email protected] 4 IT-expert n 82 - novembre/décembre 2009

5 IT-expert n 82 - novembre/décembre 2009 Sommaire 6 Dossier Les challenges de l intégration de données dans l entreprise temps réel Le temps réel de tout le SI n a aucun sens, et Bruno Labidoire (Directeur Technique chez Informatica) lui substitue la notion de temps voulu. Intégration de données, planification, datawarehouse, réplication, synchronisation et qualité des données autant de sujets qui amènent à se pencher sur les services de données. Un dossier incontournable! 16 Technique Contrôle permanent : vers un pilotage au quotidien de la sécurité du SI Des audits ponctuels s avèrent insuffisants à l heure de l ouverture et de l hyperconnectivité des systèmes. Pour Florian Carrière (de Solucom), un contrôle permanent s impose. En s inspirant des méthodes d audit financier devenu continu, l auteur déploie les bénéfices et la mise en place d un outil global de maîtrise des risques. 22 Actualités Internationales Les informations marquantes d éditeurs, de marchés, d organisme de standardisation, de débats en cours et de tendances. 26 Quoi de neuf docteur? Les apports du «Model-Based Testing» au référentiel de tests Outre un panorama des enjeux liés à la conception et à la maintenance du référentiel de tests, l auteur explique comment la génération automatique de tests appelée démarche «Model-Based Testing» permet d assurer la couverture fonctionnelle des tests, de faciliter la maintenance du référentiel et d accélérer l automatisation. 34 Comment ça marche? Comment évaluer l e-mage de votre entreprise? Forums, blogs, news, site de consommateurs Difficile aujourd hui pour une entreprise de maîtriser son image sur Internet (donc dans le monde réel). Gilles Balmisse dresse un tableau complet des solutions existantes et des technologies utilisées, en soulignant leurs points forts et leurs faiblesses. À lire absolument. 40 Livres Management des données de l entreprise, par Pierre Bonnet et Le grand livre du DSI - Mettre en oeuvre la direction des systèmes d information 2.0 par Jean-Louis Lequeux et Jean-François Challande. 41 Rubrique à brac Le KM mix pour développer et disséminer les connaissances dans l entreprise Connaissances et savoir-faire incarnent un capital immatériel précieux pour l entreprise. Comment assurer leur pérennité sans les faire partager par de multiples collaborateurs? Denis Meingan, directeur associé de KnowledgeConsult, explique comment l approche KM Mix peut y contribuer efficacement. IT-expert n 82 - novembre/décembre

6 Les challenges de l intégration de données dans l entreprise temps réel Les tendances lourdes qui bouleversent les marchés mondialisation, fusions-acquisitions, contraintes réglementaires, concurrence accrue, restrictions budgétaires, exigences des clients en matière de service imposent aux entreprises une plus grande flexibilité opérationnelle. Les organisations les plus performantes sont aujourd hui celles qui peuvent réagir rapidement aux changements. Elles ont notamment pris conscience que tout obstacle en matière de flux d informations peut avoir un impact négatif sur l efficacité de leurs opérations, leurs actifs et leurs résultats. Les conséquences réglementaires d un manque de traçabilité ou d un reporting inexact peuvent également s avérer catastrophiques. À l heure où les volumes de données augmentent, où la liste des sources de données possibles s allonge et où l activité réclame sans cesse des informations plus précises et actualisées, la nécessité de devenir une «entreprise temps réel» se fait de plus en plus pressante. L entreprise temps réel réagit plus vite, plus efficacement et à moindre coût à l évolution des attentes des clients, aux retournements de conjoncture et à l apparition de nouveaux concurrents. La clé de sa flexibilité? La disponibilité en «temps voulu» d informations complètes, exactes et cohérentes. 6 IT-expert n 82 - novembre/décembre 2009

7 Dossier & Interviews Du temps réel ou temps voulu Pour rester réaliste et concret, inutile d imaginer que l entreprise temps réel doive intégrer et distribuer toutes ses données en temps réel. La notion de disponibilité des données en «temps voulu» s avère bien plus réaliste et plus pertinente que le «tout temps réel». Comme le soulignait l analyste Ted Friedman dans une étude récente du Gartner, «il est essentiel que les organisations comprennent que l intégration de leurs données nécessite des temps de latence différents : même si les activités temps réel sont en forte croissance, il y aura toujours des tâches d intégration de données avec des temps de latence plus élevés. D une part, parce que toutes les données d une architecture ne changent pas forcément fréquemment ; et d autre part, parce que les différents processus, équipes et fonctions de l entreprise ne sont pas tous organisés pour tirer parti des données temps réel». Sans oublier que le caractère temps réel en matière de données augmente très fortement le coût d accès ou de production de ces informations. Les besoins en termes de disponibilité de l information diffèrent considérablement en fonction des processus opérationnels spécifiques de l entreprise. Typiquement, les temps de latence pour l intégration de données à des fins d analyses historiques s étalent de quelques jours à plusieurs semaines. Tandis que l intégration de données opérationnelles nécessite des délais de mise à disposition de l information variant de quelques heures, quelques minutes, voire quelques secondes. Valeur des informations Excellence opérationnelle Élevé(e) Faible Non disponible(s) Reporté(e) Disponibilité d'informations fiables et en temps voulu En temps voulu Planifier un projet d intégration de données La réussite d un projet d intégration de données est d ordinaire étroitement liée à la capacité de se conformer aux contrats de niveau de service (SLA) en matière de latence, d exhaustivité et d exactitude des données. Lors de la planification d un projet d intégration de données, les responsables doivent considérer plusieurs points, comme les objectifs du projet analytiques ou opérationnels, la fréquence de livraison des données, la qualité des données traitées faut-il procéder au nettoyage des données? le volume et la variété des données concernées. IT-expert n 82 - novembre/décembre

8 Encore faut-il disposer d une technologie suffisamment souple, non seulement pour prendre en charge tous types de données, mais aussi pour extraire, transformer, intégrer et distribuer ces données au rythme requis par les activités métiers. Les solutions d intégration de données existantes et leurs limites Comme les données sont le plus souvent fragmentées, incomplètes et soumises à des latences variables, garantir la disponibilité d informations fiables en temps voulu n est pas une ambition anodine. Les méthodes d intégration centrées sur les applications EAI, BPM, ESB, et même si elles reposent sur une architecture de type SOA - ne parviennent pas à gérer toute la complexité des données de l entreprise. En outre, ces approches reposent sur le postulat souvent erroné que les données sont toujours disponibles et immédiatement utilisables. De plus, quand elles s appuient sur un codage manuel, elles engendrent des incohérences et des inexactitudes au niveau des données et laissent peu de possibilités de réutiliser les développements réalisés. En outre, ces méthodes favorisent ainsi une prolifération d interfaces non normalisées qui augmente la complexité de l infrastructure et induit des coûts de maintenance élevés. D une manière générale, les approches traditionnelles (telles que l EAI, l EII) pour l intégration de données opérationnelles, se sont révélées consommatrices en temps, onéreuses, et difficiles à mettre en place et à maintenir. Enfin, elles ne peuvent pas gérer les problèmes liés à la qualité et à la gouvernance des données de façon satisfaisante. Pour maximiser la valeur ajoutée et la valeur informatique d une stratégie d intégration axée sur les applications de type EAI, ESB, SOA ou BPM, les entreprises doivent examiner minutieusement les défis d intégration des données, les exigences et les solutions potentielles. La mise en place d une stratégie EIM (Entreprise Information Management ou gestion des informations d entreprise), dans laquelle les technologies d intégration de données et d applications jouent des rôles complémentaires, aide l entreprise à gagner en flexibilité. Privilégier l automatisation À mesure de l augmentation des volumes de données, et de l émergence des flux de données continus issus d une variété de sources de données structurées et non structurées (par exemple, Internet, les progiciels, les files d attente de messages, les documents bureautiques, PDF), il devient plus en plus complexe d intégrer, de nettoyer, d enrichir, et de fournir des données vers les divers canaux de consommation (portail, web services, applications). Ainsi, l automatisation de l intégration de données opérationnelles constitue rapidement un avantage concurrentiel considérable. Automatisation des données de front-office Grâce à des technologies innovantes permettant d extraire des données à partir d une multiplicité de formats de données non structurés (par exemple : MS Office, PDF ), de nouvelles capacités d intégration de données en temps réel voient le jour. Nombre d utilisateurs de l entreprise utilisent les documents bureautiques et les courriers électroniques pour envoyer des informations essentielles qui doivent absolument être intégrées. La plupart du temps, celles-ci sont ressaisies à réception dans les systèmes d information de l entreprise. Aujourd hui, ce processus se fait essentiellement de façon manuelle. Il est désormais possible de traiter tous documents entrants, et d intégrer les données dans les systèmes d information en temps réel. Bien entendu, une information préalable sur ces processus liés aux documents «individuels» devra être diffusée à tous les utilisateurs concernés. Et un conseil juridique pour encadrer cette pratique peut permettre d agir en toute légalité. 8 IT-expert n 82 - novembre/décembre 2009

9 Dossier & Interviews Automatisation des données de back-office Au fil des ans, plusieurs secteurs d activité ont défini des formats de structure de données et des protocoles destinés à améliorer les communications entre entités commerciales. Ces normes et protocoles contribuent à assurer des échanges d informations efficaces entre les sociétés. Il est fréquent que des sociétés utilisent ou adaptent plusieurs types de formats différents afin de faciliter les communications entre partenaires commerciaux. Certains formats standards ont émergé, promus par des groupes de normalisation indépendants (tels qu ISO, International Standard Organisation), afin de soutenir des processus d entreprise spécifiques. Au nombre des formats standards, les plus répandus figurent le HL7 (Health Level 7) et le HIPAA (Health Insurance Portability and Accountability Act) pour la pharmacie et la santé ; Accord et Afnor Pénélope pour l assurance ; l EDI pour les entreprises tous secteurs, et les formats Swift, Nacha et Sepa pour les banques. Néanmoins, les normes seules ne suffisent pas à assurer une communication efficace entre entreprises. De plus, elles peuvent représenter une contrainte supplémentaire si elles ne sont pas accompagnées de processus d automatisation. Afin d accélérer les délais de mise en œuvre et réduire les coûts de maintenance, des bibliothèques clé en main pour lire et écrire ces formats sont désormais mises à la disposition des entreprises. Des solutions avancées compatibles avec quasiment tout type de données complexe facilitent l adaptation des formats pour répondre aux besoins métiers spécifiques. Cap vers l intégration de données opérationnelles Les entrepôts de données en temps réel, les hubs de données opérationnelles, les projets de synchronisation et de réplication de données sont autant d exemples de projets informatiques nécessitant l intégration de données opérationnelles. Passons en revue chacune de ces composantes pour déterminer comment les gérer. Les entrepôts de données combinent batch et temps réel L entrepôt de données en temps réel combine l intégration de données en mode batch, et l intégration en temps réel. L intégration de données en temps réel répond d ordinaire à deux exigences principales. La première est un impératif technique pour traiter de grandes quantités de mouvements de données. Schématiquement, un entrepôt de données est constitué de deux zones de stockage. La première est traditionnellement appelée magasin de données opérationnelles (Operational Data Store, ODS), qui stocke temporairement des données transactionnelles issues de toutes les applications sources de données. Lorsque l ODS est chargé, les données sont consolidées et agrégées dans l entrepôt de données (datawarehouse), pour fournir des prévisions cohérentes et un historique de l activité de l entreprise. Le chargement de l ODS chaque nuit, suivi de l agrégation complexe des données dans l entrepôt, peut être insuffisant dans le cas de gros volumes de données. Dans ce cas particulier, il est préférable de lisser le chargement de l ODS sur toute la journée. À la fin de la journée, l entrepôt de données peut être chargé directement. Les ressources sont partagées de manière optimale entre les charges de l ODS et celles de l entrepôt de données. Il en va de même lorsque l accès à l entrepôt de données se fait depuis le monde entier, 24h/24, 7j/7. La notion de chargement en mode batch dans une fenêtre spécifique disparaît ainsi, au profit de chargements en continu, 24h/24, 7j/7. Le chargement de l ODS en temps réel améliore également le mécanisme de récupération sur incident, en cas de défaillance. Dans le cas des gros entrepôts de données, lorsqu une erreur survient au cours du chargement de l ODS ou de celui de l entrepôt de données lui-même, il est difficile de procéder à un nouveau chargement pendant cette même fenêtre batch. Avec un entrepôt de données en temps réel, les chances de pouvoir procéder à un nouveau chargement de l entrepôt de données sont considérablement accrues. La seconde contrainte est liée à l activité de l entreprise. Certaines décisions doivent être fondées sur des informations qui ont été analysées en temps réel ou en quasi temps réel. IT-expert n 82 - novembre/décembre

10 La réplication de données traite le problème à la source La réplication de données consiste à copier physiquement des données d un système à un autre. Par exemple, copier des tables d une base de données relationnelle (SGBDR) issues d un système source vers un autre SGBDR de même type ou de type différent. La réplication de données doit être en mesure de déplacer en continu des données d un système vers un autre, au fur et à mesure que des transactions interviennent dans le système source. Les projets de réplication de données répondent à plusieurs types de besoins tels que ceux décrits dans les exemples suivants : conformité réglementaire, détection des fraudes, reporting opérationnel, entrepôts de données temps réel. Dans une entreprise opérant 24h/24, 7j/7, le traitement en mode batch peut être inadapté pour le déplacement des données. Afin d éviter d impacter la performance du système opérationnel par des extractions de données massives, il est préférable de déplacer les données tout au long de la journée pour un meilleur équilibrage des charges. Dans ce cas, la réplication des données n a pas d incidence sur le système opérationnel. La synchronisation de données peut répondre efficacement Les projets de synchronisation de données constituent un autre type de copie de données. Toutefois, les données copiées ne sont pas nécessairement facilement accessibles et requièrent des transformations ou conversions, ainsi que des informations additionnelles, avant d être intégrées au système cible. Les projets de synchronisation de données transfèrent généralement des données dans les deux sens, entre deux applications ou plus. Rationaliser et automatiser les processus de synchronisation en se fondant sur des standards opérationnels permet de gagner considérablement en efficacité opérationnelle et de réduire les coûts. Assurer la qualité des données en temps réel La qualité des données est essentielle pour permettre à une société d être efficace et réactive sur le plan opérationnel. Les entreprises consacrent des sommes considérables pour nettoyer leurs données, les actualiser, en assurer la cohérence, et éviter les doublons. Cependant, du fait de la multiplicité des points d entrée au sein d une base de données, qu ils soient automatisés ou manuels, et en raison de l absence de contrôle, les processus de nettoyage doivent être sans cesse répétés. En plus des nettoyages de données massifs devant être effectués régulièrement, il est nécessaire, chaque fois que de nouvelles données sont acquises ou intégrées, de les nettoyer au point d entrée. Dès que des données sont créées dans un système, elles doivent être validées et normalisées selon les standards de l entreprise, soit automatiquement, soit par intervention humaine. Les centres de compétences en intégration jouent aussi en direct Un ICC (Integration Competency Center) est une ressource partagée regroupant des personnes, des technologies, ainsi qu un ensemble de règles, de pratiques et de processus dédiés au déploiement rapide, économique et reproductible de projets d intégration de données cruciaux pour que l entreprise atteigne ses objectifs. Les entreprises ont réalisé qu il existait un rapport direct entre le niveau de leur ICC et l aptitude de leurs organisations à répondre à l évolution rapide des business-model, à une concurrence accrue et à des clients toujours plus exigeants. Un ICC temps réel doit fournir l infrastructure indispensable pour livrer, en temps voulu et de manière flexible, des informations complètes et exactes à travers toute l entreprise. 10 IT-expert n 82 - novembre/décembre 2009

11 Dossier & Interviews Les services de données : idéal pour gagner en agilité Quelle est la solution d intégration de données idéale pour produire et livrer en temps voulu des informations complètes et exactes, tout en réduisant les coûts et la complexité? Réponse : les services de données! Un service de données est un élément logiciel modulaire, réutilisable et dont le rôle est clairement défini. Il s appuie sur des normes technologiques établies de façon à rendre aisés l accès, l intégration et la livraison en temps voulu des données à travers toute l entreprise et par delà ses pare-feux. Comme l illustre la figure ci-dessous, la technologie des services de données introduit une couche d abstraction entre les sources de données, telles que les applications d entreprise et mainframe, et les applications consommatrices de données, tels que les services Web et les outils de business intelligence. Cette couche d abstraction, basée sur des standards, offre, sous forme de services, un moyen souple et simple pour accéder à toutes les données, les intégrer, les nettoyer et les distribuer, quelles que soient leur localisation (interne ou externe) ou leur structure (y compris les données non structurées et semi-structurées). Elle facilite considérablement la tâche d une organisation souhaitant construire une vue unique et cohérente de toutes ses données et capitaliser sur ces informations au bon moment pour accroître sa flexibilité opérationnelle. L'échelle temps de l'information Jours Gestion de la performance Vente par Business Unit Latentce Heures Gestion des stocks Conformité Minutes Confirmation de commandes Indicateurs opérationnels Secondes Traitement automatisé (STP) Statistiques des centres d'appels Point d'entrée d'applications Instantané Opérations boursières Intégration de données opérationnelles Intégration de données analytiques L échelle temps de l information décrit les différentes contraintes de temps rencontrées, dans la mise à disposition de données opérationnelles et analytiques Une couche d abstraction entre sources et applications cibles Une couche d abstraction de services de données isole les applications consommatrices de données des sources sous-jacentes et de la complexité des structures de données, des formats et des mécanismes d accès à ces données. De plus, elle élimine ou limite le recours à des mécanismes d intégration de données de point à point, toujours coûteux, en fournissant une interface unique pour propager les changements vers les applications ou les sources de données. Le département informatique peut modifier ou remplacer les sources de données sans influencer les applications clientes, ce qui améliore la flexibilité de l infrastructure d intégration générale de l entreprise. IT-expert n 82 - novembre/décembre

12 Simplifier l accès aux données Grâce à cet accès simplifié aux données et à une réduction de la complexité, les départements informatiques peuvent réduire de façon significative le temps passé à l intégration des données et se concentrer sur l élaboration et la livraison d applications et de services à réelle valeur ajoutée. La possibilité de réutiliser la logique d intégration de données au travers de services de données simplifie et accélère l intégration tant pour de nouvelles sources de données que pour de nouvelles applications cibles. La simplicité fondamentale des services de données les rend accessibles à un large éventail de professionnels de l informatique n ayant pas d expertise spécifique en matière d intégration de données. Les services de données sont une solution idéale pour les entreprises qui doivent produire et fournir en temps voulu des informations complètes et exactes. Une plate-forme d intégration de données d entreprise facilite le développement et le déploiement rapides de services de données évolutifs. Cette technologie peut servir de pierre angulaire à une infrastructure d intégration rendant l entreprise plus flexible en lui permettant de maximiser la valeur des informations produites et délivrées en temps voulu grâce aux services de données. Un vrai hub de données opérationnelles Un hub de données opérationnelles est utilisé pour partager efficacement et avec fiabilité des informations entre des applications, afin de servir des objectifs opérationnels clés. Les hubs d intégration de données en temps réel englobent la diffusion et la consolidation de données, les projets de Master Data Management (Gestion des Données de Référence) et le partage de données transactionnelles. Les projets de ce type nécessitent fréquemment l orchestration de processus d intégration de données, afin de mettre en œuvre des règles de routage de données, la certification de la bonne intégration de données, ainsi que des interactions humaines sur la base d actions spécifiques (par exemple, mise à jour de données, résolutions de conflits, etc.). Le pilotage événementiel de l intégration de données L intégration de données pilotée par événement est utilisée pour réagir au fil de l eau lorsqu un événement se produit, ou pour anticiper certains événements avant qu il ne soit trop tard pour réagir. La capture de données différentielle (CDC, Change Data Capture) est une méthode d écoute des transactions sur les bases de données destinée à déceler directement les modifications de données survenant là où elles se trouvent. Cette méthode permet de surmonter les limites des solutions EAI traditionnelles, qui capturent uniquement des parties sélectionnées des données publiées par des transactions prédictives. Dans de nombreux cas, les changements de données ne sont pas prédictibles, et se traduisent par des irrégularités et des incohérences. Un accès direct aux modifications des données, au moment où elles surviennent, permet de faire face à des initiatives telles que la gestion du risque ou la détection des fraudes, qui exigent une action immédiate, automatisée ou basée sur une décision humaine. Les revendeurs utilisent aussi CDC pour détecter les ruptures de stock à venir, et déclencher une action de réapprovisionnement automatique ou adresser directement une alerte au fournisseur. Pilotage par processus ou interventions humaines Une technologie de services de données permet l orchestration ou le séquençage de services de données élémentaires, afin de créer des combinaisons de tâches d intégration de données à la fois flexibles, sophistiquées et réutilisables dans d autres projets et processus métiers. En outre, elle permet d incorporer des interventions humaines dans un workflow, par exemple pour le traitement manuel des exceptions et la gestion des erreurs. Elle présente ces intégrations ou orchestrations de données sous forme d interfaces standardisées, telles que des fichiers WSDL (Web Services Description Language). 12 IT-expert n 82 - novembre/décembre 2009

13 Dossier & Interviews Des services de données évolutifs faciles à déployer et à superviser La technologie de services de données permet à plusieurs applications clientes d exécuter simultanément leurs flux d intégration de données dans le cadre d un workflow d intégration unifié, ce qui permet d utiliser au mieux des ressources informatiques souvent limitées. Par ailleurs, la technologie peut adapter automatiquement le nombre d instances actives d un service de données afin d utiliser toutes les ressources d une grille de serveurs. Elle peut ainsi prendre en charge un grand nombre d utilisateurs concurrents, situation typique des environnements de centres de compétences en intégration (ou ICC, integration competency center). Applications Processus Outils de Business Intelligence Portails CONSOMMATEURS DE DONNÉES Services Web Services de données temps réel Services de données quasi temps réel Services de données mode batch Services de fédération de données CDC Applications Bases de données Messages Fichiers plats XML Données non structurées SOURCES DE DONNÉES Mainframe Les services de qualité de données deviennent proactifs La technologie de services de données facilite la mise en place de politiques d amélioration continue de la qualité de données par le biais de services de qualité de données intégrés et proactifs. En effet, elle permet de développer et de gérer des services de qualité de données couvrant le profiling, le nettoyage, le rapprochement, la normalisation, l enrichissement et la correction automatique afin de garantir l exactitude et la valeur des données utilisées dans l entreprise. Et elle fournit des fonctionnalités pour résoudre de manière proactive les problèmes de qualité de données, de façon à ce que les données mises à disposition des applications soient exactes dès le départ. Transformations et échanges de données adaptables Les services de données prennent en charge le pilotage par voie électronique d activités impliquant des clients, des fournisseurs et d autres types de partenaires. Ainsi, elle permet aux départements informatiques de faire face aux attentes croissantes des partenaires et des clients, aux variations en termes de volume et de types de transactions, ainsi qu à l augmentation de la taille de ces dernières. Tout en prenant en charge tous les formats de données, structurés comme non-structurés. Cette technologie s appuie sur les fonctionnalités et ressources d une plate-forme complète pour optimiser la transformation de toutes les données provenant de réseaux de clients et de partenaires et les consolider avec les données et processus tant internes qu externes. Grâce à elle, l entreprise peut transformer tous les formats de données (structurés et non structurés) en n importe quel autre format cible, en traitant la question de la qualité de données de manière intégrée et proactive. IT-expert n 82 - novembre/décembre

14 B2B Qualité de données Messages prénom Prénom Applications Applications Bases de données Orchestration et interventions humaines Processus Fichiers plats JMS, MQ JMS, MQ Outils de Business Intelligence XML Formats natifs, ODBC Par petits lots En temps réel En mode batch Formats natifs, ODBC Portails Données non structurées Services Web Services Web PowerCenter Real Time Edition Applications composites Mainframe Vers une gouvernance des données La technologie de services de données permet une gestion renforcée en mettant à disposition de l entreprise des fonctionnalités avancées de gouvernance de données ainsi que les meilleures pratiques dans ce domaine. Elle permet aux organisations de commencer par un seul service de données et d en analyser les conséquences sur les sources de données sous-jacentes en visualisant sur une carte les dépendances entre les données. Cette technologie permet ainsi de prédire, évaluer et gérer l impact des changements apportés par le service de données sans inspecter le code. n Bruno Labidoire, Directeur Technique pour l Europe du Sud Avant de rejoindre Informatica en 2002, il occupait auparavant le poste de Directeur Avant-Vente pour l Europe du Sud de l offre CRM de Clarify. Il était chargé d une équipe avant-vente répartie sur la France, l Espagne, et l Italie. Avant de rejoindre Clarify, Bruno Labidoire a occupé différentes responsabilités dans les domaines des serveurs Multimédia, CRM, et centres d appels et, entre autres, responsable de projets chez Cap Gemini Telecom. Bruno Labidoire est diplômé de l École Commerciale de la Chambre de Commerce et d industrie de Paris. Informatica Corporation (NASDAQ : INFA) est le leader mondial des fournisseurs indépendants de logiciels d intégration et de qualité de données. La plate-forme Informatica constitue une offre complète, unifiée et ouverte pour les organisations. En intégrant toutes leurs sources de données (applications traditionnelles, sources tierces, locales, distantes ou issues du Cloud computing), celles-ci tirent davantage de valeur de leurs informations et renforcent leurs avantages concurrentiels. Plus de 3850 entreprises dans le monde s appuient sur les solutions Informatica pour réduire les coûts et les délais de réponse à leurs besoins d intégration et de qualité de données, quelles qu en soient l échelle et la complexité. Pour plus d informations, veuillez consulter le site 14 IT-expert n 82 - novembre/décembre 2009

15 Les documents sont aujourd hui plus que jamais un moyen critique de communication des entreprises, aussi bien en interne qu en externe. VOUS ETES CONCERNE PAR LA GESTION DES PROCESSUS DOCUMENTAIRES ET DE L INFORMATION? IDC vous donne rendez-vous mercredi 9 décembre 2009 (9h - 14h), à Paris CONFERENCE IDC INFORMATION MANAGEMENT pour maîtriser le document, capital informationnel de l entreprise et support des processus métiers Au programme : L éditique, pour concevoir, produire et diffuser vos documents pour une qualité et un ROI incomparables La dématérialisation des flux et des documents : efficacité business et environnementale La nouvelle société de l information : comment traiter et organiser l immense masse de données non structurées? Le document à l ère du web 2.0 : transformer l information en une connaissance utile pour les différents métiers de l entreprise Managed Print Services (MPS) : comment optimiser les impressions en entreprise? Des cas d études concrets présentés par : Alain FOUCRET, Trésorier-Payeur Général Directeur de la mission dématérialisation de la DGFiP Thierry MENARD, Knowledge Manager, Bureau Veritas Conférence organisée par IDC, cabinet leader de conseil, et d études dans les technologies de l information. Avec le soutien de LE DOCUMENT : UN ATOUT A EXPLOITER PAR L ENTREPRISE Participez à la conférence IDC «Information Management» mercredi 9 décembre 2009, à Paris PROGRAMME DETAILLE ET INSCRIPTION GRATUITE : code invitation «ITX» OU CONTACTEZ EDITH TRICHEUX : [email protected] tel. :

16 Contrôle permanent : vers un pilotage au quotidien de la sécurité du SI À l heure où maîtrise du SI et conformité sont au cœur des préoccupations des décideurs, les DSI sont fréquemment sollicités sur le niveau de sécurité effectif de leur périmètre. Pourtant, peu d entre eux disposent aujourd hui du seul outil qui leur permettrait de répondre à tout moment à cette question : un dispositif de contrôle permanent, pertinent et efficace. 16 IT-expert n 82 - novembre/décembre 2009

17 1, , Technique Il est rare pour un DSI de passer plus de quelques jours sans être interrogé sur le niveau de confiance qu il accorde à son SI. Devenu comptable de la sécurité de la majorité des informations et des outils des métiers, il doit pouvoir à tout moment rassurer sur ce point, et bien souvent indiquer comment il compte améliorer encore ce niveau de sécurité. Car l importance de la sécurité du SI pour l entreprise est désormais une évidence : en tant que support des processus métiers, le SI embarque naturellement de nombreux dispositifs de contrôle essentiels à la fiabilité des informations (contrôles d intégrité, référentiels, contrôle des accès, etc.). Cependant, le SI induit également des risques propres (interruptions de services, corruption de données, divulgation d informations, etc.), d autant plus critiques qu ils sont transverses : lorsqu ils sont avérés, ils peuvent rapidement toucher tous les processus métiers supportés par le SI. l auditeur financier ne peut raisonnablement vérifier «sur pièces» et de façon exhaustive que tous les événements de gestion sont correctement enregistrés. Il complète donc ces contrôles ponctuels par une revue des procédures qui encadre tout au long de l année la façon dont ces événements sont enregistrés. Ces procédures constituent une part importante du dispositif de «contrôle interne financier», dont on peut s inspirer pour définir la notion de «contrôle interne informatique». Plus largement, le contrôle interne est défini comme le «processus, mis en œuvre par l ensemble de l entreprise, visant à disposer d une assurance raisonnable quant à l atteinte des objectifs fixés». Rien n empêche de l appliquer à d autres objectifs que la fiabilité des états financiers : objectifs opérationnels, conformité à la réglementation ou bien encore sécurité du SI! Contrôle interne Aussi, pour répondre à l inquiétude légitime liée à ces risques, les audits de sécurité ont été généralisés depuis plusieurs années, permettant de vérifier régulièrement que le système audité correspond toujours au niveau de sécurité attendu. Mais ces audits ponctuels restent insuffisants pour garantir à tout instant le niveau de sécurité du SI, puisqu ils sont généralement réalisés à une fréquence relativement faible (pour un système donné). Objectifs Conformité des opérations internes Conformité aux organismes externes Par ailleurs, ils se limitent bien souvent à fournir un «instantané» des faiblesses existantes, et n incluent que trop rarement une analyse de la maturité des processus qui pourrait garantir dans le temps la réduction systématique des risques. C est notamment pour combler cette lacune qu il est aujourd hui nécessaire de passer au contrôle permanent. Le contrôle interne et son application à la sécurité du SI Enjeux Stratégie générale Fiabilité financière Efficacité opérations Maîtrise de l'activité Réglementations Normes Déontologie L objectif du contrôle permanent de la sécurité du SI consiste à fournir, à tout moment, une évaluation de son niveau de sécurité actuel. Pour y parvenir, il conjugue les méthodes classiques de l audit de sécurité (allégées afin de les rendre applicables à l exhaustivité du SI), et l analyse des processus contribuant à la sécurité du SI. Inutile de revenir ici sur les audits de sécurité, qui font désormais partie de la «boîte à outils» classique des DSI. En revanche, les processus de gestion du SI qui contribuent à garantir sa sécurité sont un sujet d étude intéressant : bien qu ayant inspiré de nombreuses initiatives ces dernières années (via des démarches ITIL, CMMI ou ISO selon les thèmes adressés) ils sont souvent insuffisamment exploités pour permettre aux DSI de s engager sereinement sur le niveau de sécurité de leur SI. À ce stade, un parallèle intéressant peut être effectué avec le domaine comptable, parmi les plus matures en la matière. En effet, pour obtenir une assurance suffisante que les états financiers présentés en fin d année sont fiables et sincères, Freins Destruction de valeur Fraude Erreurs humaines Défaillance technologique Absence procédure Manque d'information Segmentation des processus Autres Financier - Image/Réputation - Organisationnel Figure 1 - Le contrôle interne : un outil global de maîtrise des risques IT-expert n 82 - novembre/décembre

18 Le contrôle interne «sécurité du SI» se compose donc de l ensemble des processus, procédures et responsabilités nécessaires pour assurer que les évolutions et opérations touchant le SI permettent d améliorer, ou au moins ne pas dégrader, le niveau de sécurité existant. Concrètement, on peut citer à titre d exemples les procédures de vérification des sauvegardes, de la base de signatures antivirus déployée sur les postes de travail ou les procédures de gestion des habilitations autant d éléments aujourd hui couramment déployés au sein des organisations. Il ne reste plus alors qu à s assurer que ces processus sont opérationnels pour franchir une nouvelle étape en matière de pilotage de la sécurité du SI, et passer à un dispositif de contrôle permanent. Pratiquement, il est enfin possible de disposer en continu d une évaluation du niveau de sécurité d un système, c est-à-dire de la situation entre deux photographies «instantanées» établies via des audits ponctuels. De l audit ponctuel au contrôle permanent de la sécurité du SI Le contrôle permanent consiste en effet à s assurer très régulièrement, à une fréquence bien plus élevée que les audits, que le contrôle interne «sécurité du SI» est pertinent et efficace. Or, en choisissant judicieusement quelques points de contrôle basés sur les procédures de contrôle interne existantes, on peut facilement évaluer ces deux dimensions de pertinence et d efficacité, et ainsi s engager sur la dérive qu aura pu connaître un système depuis la dernière situation connue. Par exemple, si un audit a déterminé que les habilitations d un système étaient conformes en date du 1 er janvier, en vérifiant régulièrement (chaque mois par exemple) que les procédures de gestion des habilitations sont correctement appliquées, on pourra affirmer avec un risque négligeable que les habilitations au 31 décembre sont toujours conformes. Certes, cette assertion restera moins sûre que celle fournie par un audit approfondi, auquel le contrôle permanent ne prétend pas se substituer, mais simplement apporter un complément en fournissant des indications sur ce qui se passe entre deux «instantanés». Ainsi défini, le contrôle permanent est séduisant, car il permet de façon apparemment simple, d obtenir des résultats opposables à l échelle d une entreprise en termes d évaluation du niveau de sécurité et d exposition aux menaces sur le SI. Mais naturellement, le diable se cache dans les détails et les vraies difficultés apparaissent lorsqu il s agit de définir la réalité du processus de contrôle, son périmètre, l organisation associée, etc. Et plus encore lorsqu il s agit d établir le plan d évolution vers le Graal que l on a ainsi fait miroiter aux clients de la DSI. Tout d abord, comment définir la cible à viser pour le dispositif de contrôle permanent? Quel «modèle» de contrôle, quelle organisation, quels contrôles pour chaque niveau autant de questions qui peuvent laisser perplexes. Un maître mot doit alors guider le responsable : construire en s appuyant sur les organisations et pratiques existantes. Adapter l organisation du dispositif au contexte Quel modèle d organisation retenir? Ou plus exactement : comment positionner le contrôle permanent dans l organisation existante? En fonction du contexte de l organisation concernée (réglementaire, organisationnel, etc.), deux modèles principaux sont à considérer : à deux ou trois niveaux. Le contrôle permanent de la sécurité, qui s inscrit dans la démarche globale de contrôle interne, suit le même modèle. Modèle de contrôle interne à 3 niveaux Niveau 1 Equipes Opérationnelles Filières Contrôle et Sécurité Inspection Générale / Contrôle Général Contrôle permanent de la sécurité Niveau 1 Equipes Opérationnelles Niveau 2 Niveau 2 Niveau 3 Modèle de contrôle interne à 2 niveaux Filières Contrôle et Sécurité Figure 2 - Deux modèles d organisation du contrôle permanent Le niveau 1 comprend les contrôles réalisés au quotidien par les équipes opérationnelles elles-mêmes (remontées d indicateurs, contrôles techniques et méthodologiques, etc.). Intégré à leurs procédures et processus réguliers, selon le principe de «l autocontrôle», il est souvent largement automatisé et industrialisé. Il s agit par exemple de s assurer que les infections virales sont maîtrisées par consultation quotidienne des logs et reporting au niveau d une console centrale, de revoir de manière régulière les droits utilisateurs d une application, de s assurer que l application des correctifs de sécurité s effectue en accord avec la politique de sécurité, etc. Le niveau 2 comprend les contrôles permettant d une part de vérifier la validité des contrôles de niveau 1 effectués par les opérationnels ; et d autre part, de faire le lien avec la maîtrise des risques métiers et stratégiques : c est le niveau des «contrôles de conformité». Il s agit, par exemple, de vérifier que les contrôles de droits d accès sont effectivement menés et suivis de mesures correctives, de conduire des revues des tests PCA, etc. Le niveau 2 est réalisé par une équipe indépendante des équipes opérationnelles, et idéalement indépendante de la DSI. Il peut s agir de la «filière contrôle», en charge du fonctionnement du dispositif de contrôle interne au sein de l entreprise ou, par délégation, de la filière sécurité (RSSI) : par exemple une cellule «contrôles» rattachée au RSSI, agissant par délégation de la Direction du contrôle interne ou de la Direction de l audit et des risques. 18 IT-expert n 82 - novembre/décembre 2009

19 Technique Le niveau 3 est en charge des contrôles périodiques, généralement diligentés par une entité externe au contrôle permanent : Inspection générale, Contrôle général, etc. Il intègre également les audits externes. Dans le secteur bancaire où les dispositifs de contrôle sont largement développés, car imposés par la réglementation, les trois niveaux existent le plus souvent. Dans d autres secteurs, les fonctions de niveau 2 et 3 peuvent ne pas être dissociées ou être réalisées par les mêmes équipes. Quatre processus concrets à mettre en œuvre Quels processus mettre en œuvre pour définir et faire vivre le dispositif de contrôle interne? Pour répondre à cette question, il est utile de s inspirer des démarches d amélioration continue qui tendent à se généraliser dans tous les domaines : quatre processus majeurs émergent alors. Définition et pilotage du contrôle permanent de la sécurité SI Identification du périmètre ciblé Pilotage du contrôle permanent Consolidation des REX annuels Point de contact sur les aspects contrôles/audits sécurité SI Outillage Référentiel de cibles Échelle d'évaluation Tableau de bord de pilotage Suivi du contrôle permanent de la sécurité SI Suivi des plans d'actions Consolidation et Reporting sur le périmètre Entreprise Communication de tableaux de bord sécurité Outillage Bases de données Fichiers de suivi Tableaux de bord Ce choix doit être réalisé en prenant en compte notamment la réglementation s appliquant à l entreprise, les référentiels qu elle utilise, mais en considérant également des critères liés aux actifs à protéger : actifs critiques, spécifiquement menacés, faisant l objet d incidents ou d attaques répétés. Le choix du périmètre ciblé en priorité peut aussi s appuyer dans un premier temps sur le «ressenti terrain» des experts sécurité et des équipes opérationnelles, ou bien sur les analyses de risques réalisées. Dans tous les cas, il convient de fixer une cible réaliste, adaptée à la maturité de son organisation. Car tenter de déployer des centaines de contrôles alors que la DSI en est encore à l élaboration de ses premières procédures relève de l acharnement stérile : mieux vaut alors l accompagner, en insistant sur les quelques points de sécurité majeurs. En parallèle, il est utile de définir le dispositif de pilotage de la démarche de contrôle permanent, et plus largement sa gouvernance, dans le cadre du modèle d organisation défini plus haut : qui fixera les objectifs, définira les contrôles au sein des différents niveaux, les réalisera? Et surtout, quels seront les indicateurs utilisés pour suivre le niveau de sécurité du SI par ce biais, et à qui s adresseront-ils? (cf. figure 4, ci-dessous) Les deux processus suivants sont très similaires dans leurs objectifs : définir concrètement et réaliser les contrôles. Seul leur positionnement varie, l un étant en charge des contrôles de niveau 1, l autre de ceux de niveau 2. Compte tenu des fortes relations entre ces deux niveaux, on conçoit aisément qu il soit préférable de les traiter en parallèle. Contrôles de niveau 1 Mise en place et outillages des contrôles Réalisation des contrôles Consolidation des résultats Outillage Fiches type de contrôle de niveau 1 Outils de contrôle opérationnels Contrôles de niveau 2 Pilotage des contrôles de niveau 1 et 2 Réalisation des contrôles de niveau 2 Définition et mise à jour des méthodologies de contrôle Outillage Fiches type de contrôle de niv. 2 Outils de contrôle planifiés et opportunistes Figure 3 - Les processus du contrôle permanent de la sécurité SI Le premier de ces processus vise à définir le périmètre du contrôle permanent : quels objectifs (de contrôle) assigner au dispositif, et par lesquels commencer? Première étape : choisir les contrôles à effectuer. Ceci peut être réalisé à l aide de référentiels méthodologiques pour disposer des mêmes techniques et échelles d évaluation pour l ensemble des contrôles. L utilisation de référentiels de mesure partagés entre métiers et IT (COBIT par exemple) est souvent mise en avant. En effet, utiliser un référentiel reconnu comme COBIT, qui dépasse le seul domaine de la sécurité SI, permet de fédérer plus facilement les approches existantes comme ITIL ou CMMI. Il permet également de mettre en relation le niveau de sécurité des moyens informatiques mis en œuvre avec les enjeux business. Enfin, cela permet bien souvent de faciliter les échanges avec le niveau 3, les auditeurs SI (internes ou externes) basant souvent leurs travaux sur ce référentiel. Tableaux de bord stratégiques Suivi des risques, du niveau global de sécurité, des incidents majeurs Tableaux de bord de pilotage Suivi du plan d'actions sécurité : mise en application de la politique, projets sécurité, audits et contrôles Comité Exécutif Direction SI Acteurs Métier RSSI Equipé sécurité Tenir informé, rendre des comptes Piloter la démarche sécurité Mobiliser, communiquer et sensibiliser à tous les niveaux Tableaux de bord opérationnels Eficacité des moyens de protection, suivi du traitement des menaces externes et des vulnérabilités, de la gestion des comptes, de l'imact des incidents subis Acteurs projets Exploitants Mesurer le niveau de sécurité du SI Figure 4 - Les différents niveaux de reporting IT-expert n 82 - novembre/décembre

20 Pour autant, les contrôles doivent rester pragmatiques et proches des réalités opérationnelles, et il est préférable de ne pas se baser uniquement sur des référentiels. Ainsi, pour les contrôles de niveau 1 notamment, il est souvent utile de les définir de manière conjointe avec les opérationnels, et ainsi d insérer les contrôles dans les processus existants, élément clé de réussite de la démarche. Plus pragmatiquement, la démarche de contrôle permanent de la sécurité peut être initiée simplement en formalisant et structurant les pratiques existantes. Deuxième étape : définir l outillage pratique associé, et notamment les procédures et fiches de contrôles, qu il est indispensable de formaliser pour assurer l homogénéité de la démarche au sein de l organisation. Ces documents doivent légitimer les contrôles menés, en présentant les objectifs et la démarche retenue. A ce stade, des réflexions plus techniques sur les outils techniques à mettre en œuvre pour réaliser les contrôles doivent être menées : ces outils contribuent à l automatisation des contrôles, donc à leur fiabilité, mais surtout ils permettent d augmenter le nombre de contrôles sans générer une charge de travail décorrélée des enjeux. Enfin, le dernier processus vise à assurer le suivi du contrôle permanent. Le maintien dans le temps de l efficacité du dispositif implique la mise en place d un suivi régulier et un reporting adapté aux différents niveaux hiérarchiques, qui doit répondre à trois objectifs : mesurer le niveau de sécurité du SI et la qualité des contrôles au moyen d échelles de mesures communes ; piloter la démarche sécurité en identifiant les chantiers d amélioration ; tenir les décideurs informés en alimentant les tableaux de bord sécurité du SI. Insuffler une culture de contrôle Si bien conçu soit-il, le succès du dispositif de contrôle permanent passe par un véritable changement de culture, qui doit faire l objet d un accompagnement particulier : chacun doit, à son poste, être conscient de ses responsabilités quant au niveau de sécurité du SI. La cible idéale est claire : le contrôle permanent (de niveau 1) doit in fine être totalement intégré aux processus opérationnels ; dit autrement, les opérationnels doivent considérer les contrôles comme une composante ordinaire de leurs activités. Pour cela, la trajectoire de mise en œuvre doit faire l objet d une attention particulière. Première étape vers cette cible, comme tout projet transverse d entreprise, le dispositif de contrôle permanent de la sécurité doit bénéficier d un appui fort de la Direction générale en termes de légitimité et de ressources allouées à sa mise en œuvre. Aussi, faut-il commencer par mobiliser la Direction générale en expliquant que, sans contrôles réguliers, le RSSI ne dispose pas d indicateurs pertinents pour justifier sa stratégie sécurité et les budgets engagés pour couvrir les risques. La seconde étape est encore plus concrète, puisqu il s agit de définir la «montée en puissance» du dispositif. La cible finale des contrôles étant définie, deux approches concurrentes sont possibles : choisir un domaine et le traiter exhaustivement ou bien, au contraire, choisir des points de contrôle répartis sur différents domaines. Cette seconde approche a l avantage de commencer à sensibiliser toutes les équipes, sans les solliciter excessivement. Dans les deux cas, cette montée en charge doit être progressive, Il faut compter plusieurs années pour installer un dispositif de contrôle permanent complet et «industrialisé» : les lots et leur déploiement doivent intégrer cette donnée, pour atteindre des objectifs concrets rapidement, et ainsi éviter «l effet tunnel» ou la démotivation devant l ampleur des actions à mener. Une première phase pilote (cadencée, par exemple, sur une première année) peut être l occasion de développer la culture de contrôle au sein des différentes entités et de familiariser l entreprise avec la réalisation de contrôles permanents à grande échelle. Le choix des thèmes et périmètres des «contrôles pilotes» doit être opéré en fonction des activités critiques de l entreprise, en ciblant si possible des périmètres démonstratifs pour interpeller les décideurs : dans un premier temps, pour faire réagir et sensibiliser la Direction, il est intéressant de réaliser une prise de mesure sur des sujets que l on suppose mal maîtrisés (par exemple la gestion des habilitations). Une autre approche consiste à choisir des périmètres fonctionnels suffisamment délimités pour permettre aux acteurs d appréhender complètement la démarche et de s investir à la hauteur de leurs moyens sur un nombre limité de points de contrôle. De ce point de vue, privilégier dans un premier temps les domaines d excellence de la DSI est le meilleur moyen pour créer la dynamique nécessaire. Faire adhérer rapidement l ensemble des acteurs Une fois le périmètre de «contrôles pilotes» défini, les équipes opérationnelles (relais sécurité et entités contrôlées) doivent être accompagnées dans la réalisation des contrôles. L appui de la Direction est certes essentiel pour initier la démarche de mise en œuvre d un dispositif de contrôle permanent, mais il est tout aussi important de faire adhérer rapidement l ensemble des acteurs impliqués dans la réalisation et le suivi des contrôles en communiquant sur l organisation et sur les résultats des «contrôles pilotes». L objectif à moyen terme est de créer une dynamique dans laquelle les entités deviendront pleinement acteurs des contrôles et solliciteront directement la filière SSI pour réaliser des contrôles sur des périmètres perçus comme faiblement sécurisés ou sensibles. Pour faciliter la conduite du changement, il convient de : Communiquer «positivement» sur le dispositif mis en place : la démarche de contrôle permanent n est pas définie dans 20 IT-expert n 82 - novembre/décembre 2009

21 Technique un objectif répressif, mais bien en vue d améliorer la sécurité du SI et peut présenter de réels avantages pour les équipes : déclenchement de financement de plans d améliorations de la sécurité, amélioration de la sécurité et donc de la qualité de service sur leur périmètre, etc. Par ailleurs, un message simple peut être transmis aux porteurs de contrôles : «vous faites du contrôle permanent depuis des années sans le savoir ; cette démarche contribue à mettre en évidence la qualité de votre travail». Porter une attention particulière à la formalisation de recommandations applicables. Car le dispositif de contrôle permanent doit permettre des relations constructives avec les équipes contrôlées : ces contrôles doivent donc favoriser des recommandations opérationnelles, concrètes, allant au-delà du simple constat d absence de procédure. Ne pas négliger la charge nécessaire au suivi et à la mise en œuvre des plans d action : il est difficile d assurer un réel suivi de l ensemble de recommandations émises dans le cadre des contrôles (plusieurs centaines par an). Aussi, il convient d isoler annuellement quatre ou cinq actions critiques au niveau de l entreprise et de s en occuper en priorité. C est également le rôle de la filière Sécurité d identifier les actions critiques, de les suivre et de susciter des décisions de la Direction pour lancer de grands projets sécurité. l efficacité des différents contrôles (thèmes et périmètres organisationnels) et permettre d arbitrer sur les contrôles qu il est opportun de maintenir, abandonner ou faire évoluer. Avec l extension du périmètre, il s agira ensuite de définir et de mettre en œuvre des outils pour faciliter l industrialisation du plan de contrôle : collecte des informations auprès des équipes opérationnelles, suivi des plans d actions, reporting, etc. Toutefois, même en phase d industrialisation, pour poursuivre la démarche d amélioration continue et de réévaluation de l efficacité du dispositif, il est important de continuer la formalisation de retours d expérience à intervalles réguliers (par exemple tous les ans). En effet, le contrôle permanent ne mesure bien entendu que ce pour quoi il a été conçu. Et il doit lui-même être mis sous contrôle et à cet effet, il est essentiel de maintenir une démarche de réalisation d audits périodiques. D un point de vue opérationnel, le contrôle permanent peut être perçu comme un nouveau niveau de contraintes et de règles fastidieuses à respecter. Ce serait malheureusement occulter l apport de ce dispositif à mettre en évidence les contributions de chacun dans une démarche d amélioration du niveau de sécurité du SI. Or il s agit là, comme chacun sait, de la meilleure incitation possible à la performance Il conviendra donc de s en souvenir chaque fois que la résistance au changement remettra en cause la motivation collective à avancer vers ce but commun! n S appuyer sur les retours d expérience À l issue de la phase de réalisation des «contrôles pilotes», un retour d expérience doit être réalisé, afin d identifier les réussites et les faiblesses de la démarche et de mettre en évidence les axes d amélioration pour les évolutions futures du plan de contrôle. Ce retour d expérience doit porter aussi bien sur la démarche globale de contrôle (organisation, pilotage et moyens mis en œuvre) que sur chaque contrôle individuellement, et s appuie sur différentes sources d information : interviews de certaines entités qui ont participé à la réalisation des contrôles (adhésion à la démarche, accompagnement des équipes, attentes pour les évolutions futures, etc.), étude de la pertinence des résultats remontés au regard de la charge réelle associée à la mise en œuvre de chaque contrôle, etc. Il doit mettre en évidence Florian Carrière, Responsable de département au sein de la practice sécurité & risk management Solucom est un cabinet de conseil en management et système d information. Les clients de Solucom sont dans le top 200 des grandes entreprises et administrations. Pour eux, Solucom est capable de mobiliser et de conjuguer les compétences de près de 1000 collaborateurs. Sa mission? Porter l innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d information un véritable actif au service de la stratégie de l entreprise. IT-expert n 82 - novembre/décembre

22 Actualités internationales Bras de fer entre Oracle et la Commission européenne Le 9 novembre, la Commission européenne exprimait ses griefs à Oracle quant à son rapprochement avec l éditeur/ constructeur Sun Microsystems. Argument principal de la Commission : le numéro un des bases de données obtiendrait un avantage en acquérant au passage la base de données MySQL, qui prend des parts de marché à ses concurrents, IBM et Microsoft. Cela aurait donc pour conséquence de fausser la concurrence. «En dépit du caractère Open Source de MySQL, Oracle serait détenteur exclusif des droits d auteur sur le code de MySQL, ce qui rend difficile pour ses concurrents d en faire ce qu ils veulent Alors qu Oracle est le premier fournisseur de bases de données propriétaires, MySQL est le premier fournisseur de bases Open Souce et une force particulièrement importante sur le marché aujourd hui», a affirmé Jonathan Todd, porte-parole de la Commission sur la concurrence. Oracle a donc répliqué un jour après dans un communiqué, dans lequel la société de Larry Ellison explique que : «Cette transaction ne menace pas de réduire la compétition au minimum, même sur le marché des bases de données. Les objections de la Commission témoignent d une profonde incompréhension de la concurrence sur le marché des bases de données et de la dynamique de l open source. MySQL est une solution open source et ne peut être contrôlé par personne!». Puis, le ministère américain de la Justice a ajouté son grain de sel, en soulignant que l importante communauté de développement Open Source sur MySQL lui semblait une garantie suffisante pour approuver sans crainte ce rachat. Enfin, Larry Ellison alerte Bruxelles en répétant que Sun perd 100 millions de dollars par mois. Effectivement, début novembre, Sun annonçait un chiffre d affaires trimestriel en baisse de 25 % (par rapport au troisième trimestre 2008), avec un résultat de 2,24 milliards de dollars. Les pertes réduites s élèvent tout de même encore à 120 millions de dollars! n Trois fois plus de Windows 7 que de Vista Lancé fin octobre, Windows 7 aurait enregistré des ventes record auprès du grand public en une semaine, avec trois fois plus de licences commercialisées comparé à Vista en janvier 2007 (+ 234 %). Ces résultats publiés incluent (dans les deux cas) les précommandes passées par Microsoft et ses revendeurs. En revanche, les analystes ne constatent aucune accélération des ventes de PC, comme cela fut le cas pour Vista. En revanche les PC sous XP et vista se sont très bien vendus pendant cette période. Grande braderie, ou peur de la nouveauté? Il est vrai que le mois de sortie n est pas forcément le plus propice, malgré une forte attente entretenue depuis plusieurs mois. Vista avait lui été lancé en janvier, mois plus favorable à ces ventes et début d exercice comptable pour une grande partie des TPE et indépendants. Deux facteurs à venir sont pourtant à considérer pour relativiser ce «modeste succès». D une part, Noël est une période favorable à la vente de PC et de portable. D autre part, les entreprises se montrent encore attentives face au nouvel OS devrait tout de même être l année Seven. n 22 IT-expert n 82 - novembre/décembre 2009

23 Actualités internationales Les experts-comptables sur un nuage Cegid En lançant ses offres de comptabilité en ligne Cegid Expert et Quadra Expert, l éditeur français numéro un des progiciels de gestion décharge les cabinets comptables de la gestion d infrastructure informatique. Fini la maintenance des serveurs et des logiciels, les mises à jour, etc. Chaque utilisateur devra uniquement acquitter de 150 à 250 euros par mois pour accéder en ligne à toutes les fonctions en mode Saas (software as a service). La version Saas Cegid Expert cible plutôt les gros cabinets, tandis que celle de Quadra Expert s adresse aux plus modestes. Cette dernière est proposée en partenariat avec Quadratus informatique. Il est demandé aux clients de s engager sur trente-six mois, pour disposer de la solution après quelques jours de paramétrage et de formation. Ces deux solutions complètent le catalogue d offres en lignes de Cegid comme ews, Cegid Business Line, Cegid Business Retail on Demand, RH Place on Demand. Finalement, est-ce bien le travail d un comptable d avoir à se préoccuper de solutions informatiques, du choix d un serveur, des patches de mise à jour, etc. Et même d immobiliser de l argent sur ce type de matériel? Ne lui suffit-il pas de disposer des fonctions informatiques utiles pour bien réaliser son travail? n SFR bientôt devant Free sur l ADSL? Au second trimestre, Bouygues Telecom a recruté clients pour sa Bbox. Il confirme sa réussite au troisième trimestre avec nouveaux abonnés ADSL à son offre ADSL. Au 30 septembre, l opérateur annonce Bbox en circulation. Toutefois, cela reste inférieur aux performances réalisées sur le marché de l ADSL par Orange et SFR qui annoncent respectivement et nouveaux clients au troisième trimestre. Et pour ne pas arranger les choses, clients Alice (racheté par Free) ont quitté le groupe Iliad. Une situation qui profite également à SFR, toujours troisième des acteurs internet ADSL derrière Orange et Free. En effet, en première place sur le marché de l internet à haut débit filaire, Orange totalise 8,76 millions d abonnés suivi de loin par Iliad (Free et Alice) et ses 4,4 millions d abonnés, contre 4,28 millions pour SFR. Une situation qui devrait rapidement profiter à SFR qui reprendrait alors sa seconde position. On comprend alors mieux la guerre des recrutements d abonnés, et la multiplication des publicités. Bouygues Telecom est très loin avec ses abonnés. Cependant, la Bbox n a été lancée qu en octobre n 1,5 million téléchargements en une semaine pour l antivirus gratuit de Microsoft Après avoir arrêté la commercialisation de son antivirus Live OneCare le 30 juin 2009 (en proposant toujours son offre Forefront pour les entreprises), Microsoft a lancé sa solution antivirale gratuite Security Essentials en téléchargement fin septembre. L éditeur a annoncé 1,5 million de téléchargements en une semaine, et la détection de 4 millions d infections sur PC, dont 27 % d utilisateurs américains et 3 % d utilisateurs français. Microsoft souhaitait favoriser l adoption d un antivirus par des utilisateurs non encore équipés. Difficile de mesurer ce résultat et ses hypothèses. Toutefois, tout virus détecté et supprimé est une bonne chose. Pour bénéficier de cet antivirus gratuit, l éditeur de Windows réclame cependant une vérification de la validité de la licence du système d exploitation de l utilisateur intéressé. Une manière habile de lutter au passage contre la contrefaçon. Étonnant de voir certaines voix protester contre ce type de pratique sur le Web La contrefaçon serait-elle devenue une vertu? n IT-expert n 82 - novembre/décembre

24 Les nuages font pleuvoir 7,5 milliards de dollars! Selon le cabinet d études Gartner, le marché mondial des solutions Saas (Software as a service) devrait générer un chiffre d affaires global de 7,5 milliards de dollars en Un résultat qui représente une hausse de 17,7 % par rapport aux 6,4 milliards de dollars encaissés en Beau résultat en période de crise! Mieux encore, le cabinet prévoit une croissance continue du marché jusqu en 2013, pour un chiffre d affaires global estimé à 14 milliards de dollars curules marché des applications d entreprise. Revenu mondial du Saas sur les applications d entreprise Gartner (en millions de dollars) Gestion de Contenu, Communications et Collaboration (CCC) Gestion de la relation client (CRM) Progiciel de gestion (Enterprise Ressource Planning -ERP) Gestion des approvisionnements (Supply Chain Management -SCM) Suites bureautiques Création de contenus numériques Autres logiciels applicatifs Total pour les applications d entreprise Source: Gartner (November 2009) La gestion des 3C (Contenu, collaboration, communication) et la gestion de la relation client (CRM) mènent le marché avec respectivement 2,6 et 2,3 milliards de dollars en 2009 (contre 2,14 et 1,9 milliard de dollars en 2008). Parmi les autres applications, on retrouve sans étonnement l ERP et la supply-chain, car le Saas facilite aussi la consolidation et favorise l accès universel aux applications par les filiales ou par les employés en situation de mobilité. En revanche, et malgré la guerre de tranchées entre Google et Microsoft, les suites bureautiques engendrent encore un chiffre d affaires très modeste. Si elles finissent par devenir totalement gratuites (ou presque), il faudra alors intégrer le chiffre d affaires publicitaire généré. n 2 millions d iphone en France Depuis son lancement en juin 2007 aux États-Unis, Apple a déjà vendu plus de 30 millions d iphone. D après les chiffres communiqués par les trois opérateurs français, près de deux millions d iphone ont été achetés en France fin septembre À cette date, Orange avait à vendu 1,3 million d unités du téléphone Apple, tandis que SFR en avait écoulé , et Bouygues Telecom Négociant un accord exclusif avec un opérateur de télécommunication mobile par pays, Apple avait initialement conclu cet accord avec Orange, seul habilité par le fabricant à commercialiser l iphone fin Toutefois, sur demande des opérateurs concurrents, le Conseil de la Concurrence de la Commission européenne avait cassé le contrat d exclusivité entre Orange et Apple un an plus tard, en décembre Depuis, les concurrents peuvent eux aussi vendre le précieux et rentable téléphone. D ailleurs, SFR le commercialise depuis le 8 avril 2009, et Bouygues Telecom depuis le 29 avril n Développer sous Visual Studio pour Linux ou Mac OS Grâce à une extension pour Visual Studio proposée par Novell dans le cadre du projet Mono, les développeurs peuvent désormais créer des applications en C# et en.net qui fonctionneront sous Mac OS X et sous Linux. Solution commerciale, Mono Tools for Visual Studio est proposé sous la forme d un add-on de Visual Studio 2008 SP1. Le produit contient une fonction d audit du code, baptisée Mono Migration Analyzer, pour vérifier la compatibilité avec Mono. Par ailleurs, le package est livré avec des logiciels de test sous Windows et sous Linux, et même un outil distant de débogage. Une fois tous ces outils combinés, le programmeur génère RPM avec l outil de génération de package Linux. Toutefois il peut opter pour la génération d image virtuelle de Suse Studio. Le projet Mono, mené par Miguel de Icaza, vise à effectuer le portage du Framework Microsoft.net et de sa couche d exécution (la CLR) sur Linux et Mac OS X. Cette solution respecte donc tout à fait la philosophie du projet, dollars mis à part. En effet, Novell propose Mono Tools for Visual Studio de 99 à dollars, selon l édition retenue. n 24 IT-expert n 82 - novembre/décembre 2009

25 Actualités internationales Informatica v9 : fonctions unifiées, Web 2.0 et entrepôts virtuels Informatica investit fortement en recherche et développement (16 à 18 % de son chiffre d affaires), et cela se traduit concrètement dans ses produits. De même, les multiples rachats viennent compléter ses solutions : Identity Systems (avril 2008) avec la réconciliation des données d identité (qualité des données), Applimation (février 2009) pour la gestion du cycle de vie des données, Agent Logic (septembre 2009) pour le traitement des événements complexes (CEP). La version 9 de sa plate-forme d intégration de données propose une interface unifiée, un environnement de développement unifié, et des moteurs de règles et d orchestration des flux. Une intégration des différentes briques qui s avère indispensable pour une utilisation simplifiée et cohérente. Une caractéristique incontournable à l heure ou les réglementations imposent transparence et traçabilité dans les processus d intégration et sur le cycle de vie des données. Nouveauté essentielle : les outils avec interface de type Web 2.0 facilitent la communication entre utilisateurs métiers (spécification des besoins) et informaticiens. Informatica V9 introduit aussi la notion d entrepôt virtuel permettant de gérer des données du système d information, et des informations au-delà du coupe-feu. Il devient ainsi possible de constituer des datamarts ponctuels avec des données externes, y compris à la volée. n Google Chrome OS bientôt chez vous? Après son système d exploitation pour téléphone mobile Androïd, Google lancerait bientôt le très attendu Google Chrome OS, destiné aux PC. Cette disponibilité en téléchargement du nouvel OS serait imminente, selon le site TechCrunch (et peut-être effective à l heure où vous lisez ces lignes). Des sources chinoises (fiables?) annonçaient aussi la mise à disposition de Google Chrome sur des machines prééquipées commercialisées dès novembre. Beaucoup de bruit, mais toujours rien à l horizon. Toutefois, TechCrunch annonce que Google Chrome OS ne disposerait pas encore de tous les pilotes matériels nécessaires à un système d exploitation digne de ce nom. Actuellement, l OS ne disposerait que des pilotes basiques pour le réseau ou les cartes graphiques, mais rien pour les imprimantes ou les scanners. Et Michael Arrington, le rédacteur de TechCrunch, de conclure qu à son lancement Chrome OS ne fonctionnerait à peu près correctement qu avec certains netbooks. Si ces rumeurs de lancement prématuré sont étonnantes, on peut néanmoins penser que Google pourrait tenir ses promesses d ouverture du code de Chrome OS aux développeurs. En effet, sans écosystème applicatif, les chances d un système d exploitation seraient minimes. Comme le, prouve d ailleurs le succès de l iphone, et ses campagnes publicitaires surtout axées sur les applications disponibles. n IT-expert n 82 - novembre/décembre

26 Le «Model-Based Testing» aligne exigences métier et référentiel de tests Les activités de qualification fonctionnelle sont une composante essentielle de l assurance qualité du système d information. Après avoir été longtemps le parent pauvre du développement informatique, le test connaît actuellement une véritable révolution fondée sur une industrialisation de ses processus, une professionnalisation des métiers du test, l arrivée à maturité d une chaîne outillée allant des exigences au référentiel de tests, et enfin la mise en place de centres de service, internes ou externes, dédiés aux activités de test. 26 IT-expert n 82 - novembre/décembre 2009

27 Quoi de neuf Docteur? Le coût et l origine des anomalies Toutes les études réalisées, tant par les analystes ou au niveau académique convergent : le coût de traitement d une anomalie, selon sa détection en phase de qualification logicielle ou après la mise en production, peut aller d un rapport de 1 à Coût relatif pour corriger une anomalie Source Roland Oladeji Omoresemi, Tezza, May 2009 Exigences Conception Code Test Opérationnel Figure 1 : Coût d une anomalie en fonction du moment où elle est détectée. La figure 1 illustre cette réalité. Une anomalie détectée sur le terrain, lorsque l application est en exploitation, implique de lourds processus d analyse, de correction, de patchs spécifiques ou généraux et de livraison. À cela s ajoute la dégradation d image, ou même la perte de revenu, par exemple pour un site de vente en ligne. Un phénomène encore accentué par l aversion croissante des utilisateurs envers les anomalies : les multiples dysfonctionnements d une application ou le non-respect des exigences métier deviennent insupportables. Pour l utilisateur, la qualité n est plus négociable. On a aujourd hui une idée assez précise de l origine des anomalies. Comme l illustre la Figure 2, issue d une étude parue dans Crosstalk, the Journal of Defense Software Engineering, sur la répartition des anomalies selon leur origine, la mauvaise prise en compte des exigences métier constitue une source importante d anomalies sur le système d information. Pas de surprise : on sait bien à quel point il est difficile sur le terrain de prendre en compte des référentiels d exigences métier complexes, évolutifs, et pour souvent peu formalisés. Origine des anomalies par phase Source: Crosstalk, the Journal of Defense Software Engineering Analyse des exigences et Phase de conception : 64% Phase de codage/ implémentation : 36% Figure 2 : Répartition de l origine des anomalies Ce type d anomalies, issues d une mauvaise implémentation des exigences fonctionnelles, sera principalement détecté en phase de qualification fonctionnelle, c est-à-dire lors des phases de test visant à vérifier la bonne implémentation métier. La qualité ne se résume pas au test et doit irriguer tout le processus de production et la phase de qualification fonctionnelle. Ceci constitue une étape clé pour assurer la bonne adéquation aux exigences métier et limiter les anomalies graves se produisant en exploitation. Ainsi, la performance des phases de test fonctionnel constitue un enjeu essentiel des DSI, des grands intégrateurs et, plus globalement, des différents acteurs de l IT. Ces phases de tests fonctionnels doivent assurer une couverture complète des exigences métier afin de maximiser leur impact en termes de détection d anomalies. L industrialisation du test fonctionnel Assurer la performance et la maîtrise des coûts des phases de test fonctionnel implique la mise en place d un processus rigoureux, maîtrisé, systématique, dont la qualité soit reproductible sur chaque projet concerné : l industrialisation du test fonctionnel. Les bonnes pratiques de cette industrialisation permettent de définir les clés du succès en la matière. Elles peuvent être synthétisées en 7 points principaux : 1. Définir un budget pour la qualification fonctionnelle. La qualification fonctionnelle doit être budgétée en tant que telle et faire l objet d un suivi en phase avec la gestion du projet. Ce budget garantit la réalisation des activités de qualification fonctionnelle indépendamment des aléas du développement de l application. L estimation d un projet de test demeure une activité difficile. Cependant, elle peut s appuyer aujourd hui sur des méthodes analytiques qui permettent, en lien avec un suivi des projets et des métriques, une meilleure fiabilité de ces estimations. 2. S appuyer sur une équipe spécialisée dans le test. Le test est une activité dont l efficacité passe par la mise en place de méthodes et processus outillés permettant de garantir à la fois la qualité des tests (en termes de détection d anomalies) et d assurer une bonne productivité de la production des tests. L industrialisation des tâches de qualification conduit ainsi à préciser les différents fonctions et rôles qui doivent être réunis dans le cadre d un projet, depuis les analystes jusqu aux administrateurs, en passant par les chefs de projet, les consultants et dans le domaine du support : les responsables méthodes et outils. Les compétences seront structurées au sein d une équipe de test, dont la transversalité dépendra de l organisation de l entreprise. Un tel centre de test peut être constitué en interne ou s appuyer sur un dispositif de sous-traitance, par exemple une tierce recette applicative. L important est que la recette s appuie sur une équipe spécialisée, maîtrisant les savoir-faire spécifiques des activités de test, et formée aux méthodes et aux outils. IT-expert n 82 - novembre/décembre

28 3. Démarrer les activités de qualification dès le début du projet. Une erreur courante consiste à positionner l ensemble des activités de qualification fonctionnelle en fin de projet : lorsque le projet est en retard et qu il est urgent de livrer. En fait, la bonne solution consiste à commencer la production des tests dès les phases de spécifications terminées, voire en amont avec les aspects stratégie de test et identification des exigences. Pour cela, l approche par génération automatique des tests est un outil puissant, car la génération automatique s appuie sur un modèle de test qui est élaboré en parallèle des développements, permettant une production du référentiel de tests en phase avec les livraisons prévues. Ce modèle de test permet aussi de détecter au plus tôt les ambiguïtés ou les contradictions au sein des spécifications, avec un bénéfice immédiat pour le projet grâce à leur consolidation. 4. Piloter la production des tests à partir des exigences métier avec la génération automatique de tests (démarche «Model-Based Testing»). Définir les exigences fonctionnelles et qualifier sur la base de ces exigences permet d assurer l alignement entre l application informatique et les besoins métier. Ainsi, les tests de qualification fonctionnelle doivent être élaborés à partir des exigences métier et montrer la couverture (matrice de traçabilité bidirectionnelle des exigences vers les tests). Il s agit d assurer le pilotage des activités de test par les enjeux métier. La génération de tests à partir d un modèle des exigences (appelé modèle de test) permet de systématiser la couverture des exigences, de prendre en compte le niveau de risque lors de la génération des tests, et de faciliter la maintenance du référentiel de test. 5. Automatiser l exécution des tests dans un objectif de test de non-régression et maîtriser cette automatisation. L exécution uniquement manuelle des tests ne peut permettre d assurer ni la qualité de la recette (trop incertain dans sa mise en œuvre), ni le time-to-market (trop long dans sa mise en œuvre lors des tests de non-régression), ni la maîtrise des coûts (trop cher du fait de la répétition). Lorsque l application bénéficie régulièrement de mises à jour fonctionnelles ou techniques, il est pertinent de passer à l automatisation des tests pour permettre de tester suffisamment et de traiter les problèmes potentiels de régression. Mais l automatisation doit être maîtrisée, en particulier en utilisant des techniques de génération automatique des tests automatisés qui structurent la production des scripts en s appuyant sur des mots-clés et facilitent la maintenance. L automatisation peut aussi être freinée par des problèmes de testabilité de l application. Ainsi, les automates de tests peuvent être difficiles à mettre en œuvre sur des parties graphiques ou sur des outils de développement peu ou mal supportés. L automatisation devra donc être maîtrisée pour trouver son efficacité (rapport effort/bénéfice) maximum. 6. Mettre en place des métriques et un tableau de bord de suivi des résultats des activités de qualification logicielle. Il s agit de définir les indicateurs et leur suivi afin d évaluer la qualité des applications lors de leur réalisation, de leur utilisation et à l occasion de leurs évolutions. Pour partie, ces indicateurs sont directement issus des activités de qualification fonctionnelle (en termes de couverture et de suivi d anomalies en particulier). Ces indicateurs permettent de suivre l évolution dans le temps des critères de qualité, mais participent aussi à la maîtrise des schémas de sous-traitance. La qualification fonctionnelle peut ainsi être considérée comme partie intégrante du système d information de la gouvernance des applications informatiques. 7. Appuyer la transition vers la mise en exploitation par la qualification fonctionnelle et mettre en place un processus continu de qualification. La transition des phases de développement vers la mise en exploitation constitue une étape cruciale du projet, où se produisent de nombreux échecs. Une bonne pratique consiste à faire courir la phase de qualification logicielle sur les premières étapes de la mise en exploitation de façon à assurer une continuité des phases de test et des premières exploitations terrain. Il s agit de procéder à la mise en place d un processus continu de qualification garantissant au delà du processus plus global de gestion des configurations logicielles, la bonne réalisation de ce dernier en particulier dans son étape ultime de mise en exploitation. Les équipes en charge de la qualification fonctionnelle seront ainsi à même d apporter leur expertise aux premières phases de mise en exploitation, et d assurer une continuité de service dans la prise de maturité de l applicatif. C est aussi un moyen d engager profondément la responsabilité de l équipe de test qui doit garantir non seulement la phase de recette et la couverture des exigences fonctionnelles, mais aussi faire le lien entre le référentiel de test et les retours du terrain. 28 IT-expert n 82 - novembre/décembre 2009

29 Quoi de neuf Docteur? Ces sept bonnes pratiques des activités de test fonctionnel sont au cœur des démarches réussies en matière d assurance de la qualité du logiciel. Elles correspondent aux enjeux clés des organisations amenées à gérer l aversion des utilisateurs aux bugs, la complexité croissante des applicatifs et la globalisation des démarches de développement. La Figure 4 fournit une description du processus de production de test MBT. Ce processus met en œuvre une chaîne outillée intégrant la gestion des exigences, la génération de tests et la gestion du référentiel de tests et de leur automatisation. Gestion des Exigences Design des Tests ou Conception et maintenance du référentiel de test avec la démarche «Model-Based Testing» La conception du référentiel de tests doit permettre d assurer une bonne couverture fonctionnelle des exigences dans le référentiel, de faciliter la maintenance des tests lors d évolutions applicatives ou techniques, et permettre une automatisation, au moins partielle, pour maîtriser les coûts d exécution lors des phases de test de non-régression. Ces points sont complexes, et la création, la maintenance et l automatisation des tests constituent actuellement une zone de difficulté majeure pour les projets de test. La génération automatique de tests à partir de modèle permet d obtenir une continuité entre les exigences métiers et le référentiel de tests, d assurer le suivi des évolutions fonctionnelles de l application et d accélérer la production du référentiel de tests automatisés en prenant en charge des tâches répétitives et laborieuses. C est ainsi une composante essentielle de la démarche d industrialisation du test fonctionnel. Analyse des besoins métier Génération de tests (MBT) Gestion des tests Figure 3 : Rôle central de la génération de tests Exécution des tests Les approches et techniques de génération automatique de tests ont été développées depuis le début des années 90, et sont connues au niveau international sous le terme «Model- Based Testing (MBT)». Elles ont donné naissance aujourd hui à des solutions outillées de production et de maintenance du référentiel de tests, qui s intègrent avec la gestion du référentiel et les environnements d automatisation des tests, et supportent un processus de bout en bout : des exigences métier au référentiel de tests automatisés. Analyste Métier Exigences Processus Itératif Analyste Test Automaticien de test Modèles de test Référentiel de Tests Robot d'exécution Tests générés Liens exigences Plans et cas de Tests Scripts de test Couche d'adaptation (lib. mot-clés) Testeurs Figure 4 : Construction du référentiel de tests avec le processus «Model-Based Testing» Le point de départ de la production du référentiel de test est constitué par les exigences métiers et les éléments de spécification. Ces exigences sont définies par les analystes ou experts métiers et gérées dans un outil spécialisé, sous la forme de document textuel ou dans un tableau avec une feuille de calcul. Le référentiel de tests est produit par l analyste de test, et s appuie sur une modélisation dédiée pour la génération de tests (le modèle de test). Il bénéficie de l apport d outils de génération automatique de tests pour calculer les tests, documenter le référentiel de tests et assurer automatiquement la traçabilité entre les exigences et les tests. Cette démarche permet ainsi d assurer la couverture des tests à partir du modèle. Les tests générés sont exportés dans le référentiel de tests flèche. S il s agit de tests nouveaux, ils sont créés dans le référentiel ; s il s agit de tests existants, leurs informations (description des pas de test ) sont mises à jour dans le référentiel ; si un test est supprimé, il est rendu obsolète (invalidé) dans le référentiel. Les liens de traçabilité entre les cas de tests et les exigences de test sont mis à jour flèche pour assurer la cohérence de l ensemble. Ce processus facilite la maintenance du référentiel, car une évolution fonctionnelle, une fois prise en compte dans le modèle de test, est répercutée automatiquement sur l ensemble du référentiel de tests. Dans le cas de la production de tests automatisés, le script de tests est généré (ou mis à jour s il existait déjà) flèche. Les étapes du script font appel à des fonctions (appelés aussi mots-clés ou composants de tests) implémentées par l ingénieur d automatisation. En génération automatique de tests, les scripts sont générés et maintenus automatiquement avec l outil de génération. Seule la bibliothèque de fonctions (ou de composants de test) fait l objet d une implémentation et d une maintenance manuelle. Dans le cas d une exécution manuelle des tests, la documentation du modèle de test permet de générer des tests totalement lisibles IT-expert n 82 - novembre/décembre

30 et exploitables par un testeur. Les données concrètes de test peuvent être gérées à partir du modèle de test, ou positionnées sur des scénarios paramétrés définis au moment de l exécution des tests (au travers de tables de données par exemple). Ce processus met en œuvre les compétences des différents acteurs de la chaîne outillée : l expert métier, l analyste de test qui développe le modèle de test, le testeur qui exécute manuellement les tests et l automaticien de test qui implémente les mots d action utilisés. Bénéfices du «Model-Based Testing» Les apports de la démarche MBT pour la structuration du processus de test, l amélioration de la productivité et l augmentation de la couverture fonctionnelle sont les suivants : Maintenance du référentiel - Le modèle de test permet de formaliser les exigences et les règles métier au travers d une modélisation des comportements à tester. Ce modèle factorise les règles fonctionnelles, et simplifie la maintenance en cas d évolution sur les exigences : une évolution fonctionnelle se traduit par une évolution dans le modèle et permet une mise à jour automatique de la base de tests générée. Couverture fonctionnelle - Le générateur de tests permet de produire la couverture fonctionnelle souhaitée en assurant une couverture systématique des comportements applicatifs et des processus métiers modélisés. Productivité de la production des tests - à partir du modèle de test, l ensemble des informations du référentiel de tests est automatiquement produit et maintenu lors de la génération puis de la publication. Cela simplifie la tâche de l analyste de test qui se concentre sur la formalisation des comportements à tester et la définition de la stratégie de test. Les gains de productivité peuvent être de plus de 50 % en phase de création du référentiel de tests et de plus de 70 % en phase de maintenance. Automatisation des tests - les tests générés sont documentés pour une exécution manuelle et produits sous forme de scripts dans le langage du robot de test. C est une aide importante pour l automatisation, qui est structurée par la définition des mots d actions au niveau du modèle. Chaque mot d action est implémenté sur l IHM ou les API de l application à tester. Ces éléments permettent d améliorer le retour sur investissement de l automatisation. En général, un retour sur investissement est obtenu après le 5 ème ou 6 ème rejeu des tests (sans changement), avec cette démarche on tombe à un retour sur investissement au bout de la 2 ème ou 3 ème exécution. Consolidation des exigences fonctionnelles La modélisation de test permet de détecter des ambiguïtés de spécification, et de mettre en évidence des contradictions entre différentes règles métier. C est un apport important pour consolider les exigences fonctionnelles. Ces apports se déclinent dans différents contextes du test fonctionnel : test d acceptation, de qualification fonctionnelle, d intégration de sous-systèmes applicatifs et de sécurité (test des fonctions de sécurité). Illustration : la qualification du site ServiDirect.com L application ServiDirect - est issue d un groupement d assurances suisses qui a souhaité proposer un service en ligne pour la souscription à un contrat d assurance maladie suisse avec une tarification simplifiée et unifiée. Cette application a été développée par la société CLIO SA - Genève. La validation a été effectuée à l aide des techniques de génération de test à partir de modèle UML dans le cadre du projet Interreg Test_Indus Industrialisation du test logiciel soutenu par la communauté européenne cf indus/. Nous avons réalisé une modélisation de l application web ServiDirect ( qui permet de saisir en ligne les informations nécessaires à l élaboration d un devis d assurance maladie et la possibilité de souscrire un contrat en ligne. La production d un référentiel de tests automatisés vise la couverture des exigences fonctionnelles et le calcul de la prime d assurance en fonction des options choisies. Le calcul de la prime varie en fonction de l âge, du genre, du choix du package, du capital décès/invalidité choisi, de la franchise et des options éventuelles. La chaine outillée mise en place pour ce projet de test est constituée des outils suivants : - Réalisation du modèle de test (UML) : IBM Rational Software Architect - Génération de tests : Smartesting Test Designer - Gestion du référentiel de tests : TestLink (open-source) - Automatisation des tests : Selenium (open-source) - Suivi des anomalies : Bugzilla (open-source) Les exigences fonctionnelles pour cette application sont au nombre de 40. Elles ont été complètement représentées dans le modèle de test réalisé avec l outil IBM Rational Software Architect. 30 IT-expert n 82 - novembre/décembre 2009

31 Quoi de neuf Docteur? Figure 5 : Extrait des exigences ServiDirect La modélisation pour le test est réalisée en UML en utilisant trois types de diagrammes : Le diagramme de classes permet la définition des entités métier (nom d entités, attributs), des relations entre ces entités (par des associations) et la déclaration des actions réalisées sur l application (via des opérations) ; il s agit d une représentation statique de l application testée. Le diagramme d états, précisé avec des annotations en OCL (Object Contraint Language), permet de représenter le flot ou processus métier d enchaînement des actions de l utilisateur ; il s agit du comportement dynamique de l application : il spécifie les effets des actions de l utilisateur sur l application testée en termes d évolutions des valeurs des attributs des entités métier. Ainsi, le modèle de test représente le comportement attendu de l application dans les différentes sollicitations dont il peut faire l objet. Le diagramme d objets (aussi appelé diagramme d instances) permet de représenter les données logiques (les classes d équivalence) de test et l état initial de l application au travers d instances du diagramme de classes, c est-à-dire les tests de saisie des champs et les contrôles s y attachant et le calcul de la prime. La première étape a été de définir le diagramme de classes associé à l application. Figure 6 : Diagramme de classes du modèle de test ServiDirect Le processus métier de l application ServiDirect est représenté par un diagramme d état UML, ou les états représentent les éléments de l interface, et les transitions les actions utilisateurs réalisées sur cette interface. Les différents écrans de l application apparaissent dans ce diagramme. Ce choix de modélisation a été fait pour assurer une couverture des champs de saisie. Les transitions entre deux écrans sont activées typiquement par des boutons à cliquer. Le diagramme de classes représente les actions réalisées sur l interface ServiDirect, et qui constitueront les pas de test, et les données métiers manipulées lors des tests (par exemple le lieu de résidence ou les informations sur la famille, ou les réponses au questionnaire médical). Figure 7 : Diagramme états/transitions ServiDirect Une fois l état initial du système défini, le modèle est importé dans l outil de génération de tests Test Designer. Pour ServiDirect, le nommage des tests à été personnalisé de manière à visualiser rapidement les cas de test nominaux et les cas d erreurs. Ils sont préfixés NOMINAL ou ERREUR. Comme le montre la Figure 8, nous retrouvons aussi les exigences (requirements) définies dans le modèle UML. IT-expert n 82 - novembre/décembre

32 Figure 8 : Test généré par Test Designer pour ServiDirect Une fois les tests générés, ils sont publiés dans le référentiel de test TestLink, comme l illustre la Figure 9. Figure 10 : Exécution d un script Sélénium sur ServiDirect La génération de tests produit automatiquement 86 cas de test logiques qui correspondent à 1078 pas de tests. Après mise en place des tables de données pour introduire la combinatoire sur le numéro postal, l âge, le genre et le nombre de membres de la famille, ceci correspond à 162 tests concrets exécutés sur ServiDirect, tous automatisés. Figure 9 : Tests ServiDirect dans TestLink L automatisation repose sur le codage Sélénium de chacune des opérations définies dans le diagramme de classes qui correspondent aux actions sur l application tel que le ferait un utilisateur : saisir le champ date, cliquer sur le bouton OK Ces opérations sont appelées depuis les fichiers de scripts contenant les tests à exécuter. La Figure 10 illustre l exécution d un script par Sélénium sur l application ServiDirect. Une fois le script exécuté le résultat est intégré dans TestLink et un lien peut être fait avec Bugzilla en cas de détection d une anomalie. La saisie se fait manuellement, via un bouton dans l application TestLink permettant de lancer Bugzilla. Les temps passés dans les différentes activités (réalisation du modèle de test, implémentation des mots d action) ont permis d atteindre des ratios de productivité de plus de 8 scripts automatisés par jour/homme, qui correspond à une métrique représentative des résultats obtenus avec la démarche de «Model-Based Testing». Le test fonctionnel fait sa révolution! Après avoir été longtemps une activité de «second rang» du développement logiciel, le test s impose comme une activité clé pour l assurance qualité des applications du SI. Cette prise de conscience se traduit au niveau de l organisation des équipes, de la mise en œuvre de processus outillés et de la qualification aux métiers du test : 32 IT-expert n 82 - novembre/décembre 2009

33 Quoi de neuf Docteur? Organisation des équipes de test L organisation en centre de test se généralise, permettant de spécialiser les compétences et les processus pour répondre efficacement au besoin de test des projets. Ces centres de test peuvent être internalisés ou externalisés, mais l objectif est le même : aller dans le sens de l industrialisation des processus de test. Processus outillés et méthodes Les processus outillés s appuient sur la génération des tests, la gestion centralisée du référentiel de tests et l automatisation pour le test de non-régression. Ils permettent une mise en œuvre efficace de méthodes basées sur la couverture des exigences. Ces processus s appuient sur des outils qui sont aujourd hui matures et intégrés. Qualification des équipes - Le FAFIEC, organisme collecteur de la formation continue dans le secteur logiciel, a créé un plan «Métiers du Test» pour former aux différents rôles d analyste de test, d automaticien de test, et de responsable d équipe test. Plus récemment, la Nomenclature 2009 du CIGREF sur «Les emplois-métiers du SI dans les grandes entreprises» a introduit le métier de testeur. Le test est devenu un des métiers du logiciel, avec des qualifications et savoir-faire spécifiques. Bruno Legeard, Directeur technique Smartesting [email protected] Fondée en 2003, Smartesting est une société spécialisée dans l industrialisation du test fonctionnel. Elle est présente en Europe et en Inde auprès des grands comptes et des intégrateurs pour fournir des solutions de génération de tests visant l optimisation des centres de test. La solution Smartesting Center est intégrée avec les offres standards du marché telles que HP Quality Center, IBM Rational Quality Manager, ou des solutions open-source telles que TestLink. Ces éléments sont une bonne nouvelle, car ils vont dans le sens de systèmes d information plus fiables et de coûts de qualification mieux maîtrisés. La démarche «Model-Based Testing» est au cœur de cette évolution, car elle permet d assurer la continuité du processus de test, depuis les besoins métier jusqu au référentiel de tests automatisés. n Fabrice Bouquet, Professeur à l Université de Franche-Comté [email protected] Par Bruno Legeard et Fabrice Bouquet - coauteurs du livre «Industrialiser le test fonctionnel : des exigences métier aux référentiels de tests automatisés» DUNOD - avril Voir Fabrice pilote les activités de Recherche dans le domaine du test au Laboratoire d Informatique de l Université de Franche-Comté, et au sein du projet INRIA Cassis. Les travaux sur le test ont démarré en 1999, et porte sur le développement de techniques, méthodes et outils de génération de tests à partir de modèles des exigences métier. IT-expert n 82 - novembre/décembre

34 Comment évaluer l e-mage de votre entreprise? Depuis l avènement du web 2.0, les possibilités offertes aux internautes d exprimer leurs opinions se multiplient. Ils peuvent s épancher sur leur vie, leurs passions, mais aussi sur les entreprises, leurs produits, leurs marques, leurs actions financières, etc. Désormais acteurs, les internautes deviennent des médias à part entière, susceptibles d influencer la réputation d une entreprise ou de s en faire le relais. Ils commentent l actualité des entreprises sur leur blog, critiquent un produit sur un site d avis de consommateurs, déposent des photos ou des vidéos de publicités détournées pouvant porter atteinte l image d un produit ou d une entreprise, créent un groupe sur Facebook pour rassembler un maximum de clients mécontents d un service Et toutes ces opinions peuvent être reprises à leur tour rapidement et aisément par l ensemble des internautes. De quoi faire frémir les entreprises et leurs services de communication. Et ce phénomène est susceptible de toucher toutes les entreprises, grandes ou petites, qu elles soient ou non en lien direct avec le grand public. Même les entreprises qui ne sont pas présentes sur Internet peuvent faire l objet d opinions sur le web de la part d internautes les connaissant ou pas! Le suivi des opinions sur Internet est aujourd hui devenu une activité très importante dans la gestion de l image des entreprises. 34 IT-expert n 82 - novembre/décembre 2009

35 Comment ça marche? Les multiples facettes de la veille d opinion La veille d opinion s intéresse à différents aspects, du fait même de la nature des différents types d opinion que les internautes peuvent exprimer et véhiculer sur une entreprise et son «environnement». Elle cherche ainsi des réponses à plusieurs questions fondamentales : Où parle-t-on de l entreprise, de ses produits, de ses marques, de ses dirigeants, de ses concurrents, de ses clients, etc.? Comment en parle-t-on? Quelle est la tonalité des propos? Qui a exprimé l opinion : un client, un prospect, un concurrent, un journaliste, un expert? A quelles entreprises, quelles marques, quels produits, quelles personnalités, quels mouvements sont-ils associés? Les opinions exprimées se sont-elles propagées sur le web? Comment? Quel impact actuel et futur? Les réponses apportées par la veille à ces questions permettent notamment d établir une comparaison entre l image de l entreprise, de ses produits, de ses marques, de ses dirigeants véhiculée dans les médias traditionnels et celle véhiculée par les médias sociaux comme les blogs par exemple. Il sera également possible d identifier les leviers d une image positive et les points noirs causes du déficit d image, de mesurer l accueil d un nouveau produit par les internautes et le comparer avec ce qu en dit la presse, de suivre l impact des actions d e-communication réalisées par l entreprise, de détecter les attaques et les campagnes de déstabilisation dont peut faire l objet l entreprise, ses produits, etc. Au final, et de manière synthétique, la veille d opinions permet un suivi : de l e-reputation d individus, par exemple des dirigeants d entreprise, c est-à-dire le suivi de l image de ces individus auprès des internautes ; de l image de marque ; de l image de produits ; de l image «corporate» d une entreprise ; de la propagation d opinions. Quelles solutions? Le marché des solutions de veille d opinions sur Internet est aussi prometteur que dynamique. Ce dynamisme est d ailleurs porté par le très grand nombre de services web 2.0 gratuits : services de surveillance de commentaires, métamoteurs sociaux, moteurs de recherche spécialisés sur les blogs, les forums, l actualité, les personnes Recherche de blogs Recherche de forums Recherche de news Recherche de microblogging Exemples : Google Blog Search Technorati Icerocket Blogpulse Ask Blog Exemples : Bigboards BoardReader Boardtracker Google Groups KeoTag Omgili Exemples : Google News Yahoo Actualités Topix MSNBC Exemples : Monitter TweetBeep Twilert Twitter Search Twitturly Recherche de personnes Métamoteurs sociaux Suivi de commentaires Exemples : 123people Pipl Spokeo Whoshouldifollow Zoominfo Exemples : Icerocket (BigBuzz) Samepoint Serph Socialmention Whostalkin Exemples : Backtype cocomment Commentful Co.mments Yacktrack Les principaux services web 2.0 gratuits pour faire de la veille d opinions IT-expert n 82 - novembre/décembre

36 Mais au-delà des services gratuits disponibles sur Internet, il existe également de nombreuses solutions payantes : AMI, BIZ360, BurellesLucen, BuzzLogic, Cision, Digimind, Factiva, LexisNexis, MoreOver, Nielsen, Radian6, Spotter, Synthesio, TNS, TrendyBuzz Ces acteurs proviennent d horizons divers : des spécialistes de la mesure d opinions ou du suivi d image sur les médias traditionnels qui proposent désormais les médias sociaux : TNS, Nielsen, Cision, BurrellesLuce ; des spécialistes d Internet et des médias sociaux cherchant à proposer une offre globale tous médias comme BIZ360, RADIAN6, SPOTTER ; des fournisseurs d informations cherchant à proposer une offre globale comme Factiva, LexisNexis, MoreOver Bien que pouvant être très différentes les unes des autres, les solutions de veille d opinions présentent un certain nombre de fonctionnalités communes : surveillance de mots clés particuliers ou de noms de marques, d entreprises, de produits ; suivi de l évolution du nombre d opinions exprimées sur ces mots clés ou noms ; mise en avant des expressions les plus utilisées autour des mots clés ou des noms ; tableau de bord interactif ; envoi d alertes ; Mais si les fonctionnalités proposées peuvent sembler identiques d une solution à l autre, les technologies sur lesquelles elles reposent diffèrent, ce qui peut amener à des résultats plus ou moins qualitatifs. Quelques aspects techniques importants Surveiller et qualifier des opinions sur Internet à l heure du web 2.0 n est pas une chose aisée, et bien plus compliquée qu une veille classique sur Internet. Les médias sociaux sur lesquels les internautes s expriment reposent sur des modes de fonctionnement et des niveaux d interconnexions les uns aux autres aussi riches que complexes. Les mécanismes de propagation d une information sur le web 2.0 sont très spécifiques du fait du maillage entre les différents supports et sources d informations : blogs, sites communautaires, forums de discussions, réseaux sociaux, services de bookmarking sociaux etc. Une opinion négative ou une rumeur diffusée par un seul blog peut engendrer une réaction en chaîne qui peut amplifier le phénomène de manière considérable pour peu que le blog en question jouisse d une «aura» particulière! Réaliser une veille d opinions efficace nécessite la maitrise du web 2.0, de ses outils, de ses dynamiques sociales propres, de ses mécanismes de création, de diffusion et de propagation de l information. Ainsi, lors du choix d une solution de veille d opinions, il faudra vérifier plusieurs aspects techniques dont trois sont particulièrement sensibles : la prise en compte et le suivi des opinions formulées dans des commentaires ; la mesure de la tonalité des opinions exprimées ; l évaluation de l influence possible des opinions ; Prise en compte et suivi des commentaires Dans la grande majorité des cas, les opinions formulées sur Internet le sont dans les commentaires attachés à un document principal. Ce document principal peut être un article, une image, une vidéo, etc. Identifier une opinion revient à traiter les commentaires comme des informations à part entière, mais liées à d autres informations qui sont soit le document principal, soit d autres commentaires. Par exemple, un article faisant référence à un produit peut générer un grand nombre de commentaires de consommateurs sur le produit en question. Chaque commentaire peut représenter en lui même une opinion différente qui fait référence au produit, mais aussi au contenu de l article. Ainsi, lorsque l on s intéresse au commentaire, il faut également examiner le contenu du document principal qui a suscité ce commentaire pour mieux appréhender le sens du commentaire. 36 IT-expert n 82 - novembre/décembre 2009

37 Comment ça marche? Par ailleurs, le web 2.0 repose sur différentes techniques permettant de déporter les commentaires sur des sources différentes. Ainsi, il est possible via les backtrack de faire un commentaire sur un blog d un post réalisé sur un autre blog et d alerter le lecteur de ce blog qu un commentaire a été fait ailleurs sur le web. Il faut donc être en mesure pouvoir «suivre» ou «traquer» cette discussion qui se déroule un peu partout sur le web. Dynamique des commentaires dans le cadre du web 2.0 Enfin, ces discussions s étalent dans le temps. L outil de veille crawl doit donc pouvoir suivre sur une période de temps de quelques jours une discussion, sans en perdre le fil et sans remonter trop loin dans le temps, ni se perdre sur d autres sujets plus ou moins liés C est pourquoi ce concept de traque intelligente s avère complexe et techniquement ambitieux. Malheureusement aujourd hui, très peu de solutions de veille parviennent à réaliser cette collecte intelligente de l information en prenant en compte les liens des commentaires entre eux et avec le document principal. Mesure de la tonalité des opinions Opinion : avis émis sur un sujet. Cet avis peut être positif, négatif ou neutre. Ainsi, si l on considère que tous les commentaires sont des opinions, alors il ne suffit pas de compter les commentaires pour savoir si l on parle beaucoup d une marque ou d un produit. Il faut également être en mesure de savoir si ces avis sont positifs, négatifs ou neutres. C est l objet de la mesure de la tonalité. Cette mesure de la tonalité est très importante pour les entreprises, car elle évalue l image d une marque, d un produit ou d un service, ainsi que son évolution dans le temps ou même dans l espace. C est-à-dire d une source d information à l autre, d un type de média à l autre, etc. S il existe aujourd hui des solutions de mesure automatique de la tonalité des discours sur Internet, telles que celles proposées par les sociétés Temis et NStein, les résultats ne sont pas forcément au rendez-vous d un point de vue qualitatif lorsque le domaine considéré est très large en termes de thématiques abordées et de vocabulaire employé. Un long travail de paramétrage est alors nécessaire pour adapter les solutions aux domaines visés. Le schéma suivant présente les différentes approches de la mesure de tonalité ainsi qu une synthèse de la problématique. IT-expert n 82 - novembre/décembre

38 Étiquetage manuel Apprentissage supervisé Apprentissage non supervisé Synonymes Antonymes Mots porteurs d opinions Problèmes Forte dépendance au dictionnaire Mesure de l intensité des opinions Dictionnaire d adjectifs Statistiques des moteurs de recherche Temporalité non prise en compte Mesure de la tonalité d une opinion La mesure de tonalité peut s effectuer de deux manières : soit manuellement, en lisant et en étiquetant les opinions selon leur tonalité, soit automatiquement en utilisant des techniques d apprentissage. Ces techniques d apprentissage, qu elles soient supervisées ou non, reposent sur l utilisation de dictionnaires d adjectifs propres à un domaine qui peuvent être enrichis de différentes informations : synonymes, mots porteurs d opinions, statistiques des moteurs de recherche, etc. Dans le cadre de l apprentissage supervisé, des experts définissent ces dictionnaires. Pour l apprentissage non supervisé, l outil construit au fur et à mesure les dictionnaires à partir des opinions qu il traite, par le biais d algorithmes d intelligence artificielle. L utilisation de dictionnaires pose cependant de nombreux problèmes. Tout d abord, les outils de mesure de tonalité utilisant ces dictionnaires sont fortement dépendants de leur contenu et de leur couverture sur le domaine traité. Par ailleurs, ils ne prennent pas en compte (ou très mal) l intensité de l expression d une opinion. De plus, ils ne parviennent pas à mesurer et à suivre l évolution d une opinion au cours du temps. Enfin, une difficulté supplémentaire repose sur les méthodes de redressement du texte (correction du langage SMS, dictionnaires d abréviation, tags linguistiques par secteurs d activité, univers de discussion, etc.) qui ne sont pas toujours efficaces. Évaluation de l influence d une opinion Une fois que l on sait identifier une opinion, déterminer à quoi elle se rapporte exactement et qualifier sa tonalité, il est possible de se préoccuper de l influence de son auteur ou de la source d information sur laquelle elle a été publiée. En effet, cette influence déterminera aussi l impact de l opinion. Touytefois, si un individu perçoit relativement bien ce qu est la notion d influence (en première approche), il est beaucoup plus difficile de la mesurer et encore plus de prédire son impact. La notion d influence est véritablement au cœur de la problématique de veille d opinion et l on trouve sur Internet, proposée par de très nombreux acteurs qui prétendent faire de la mesure d influence. Et lorsque l on étudie de manière précise les méthodes utilisées pour mesurer l influence, on ne peut que constater que ces mesures sont très limitées et n évaluent que très partiellement ce qu est l influence. Ainsi, sur Internet on trouve des acteurs qui mesurent l influence à partir de l audience de la source d informations. Malheureusement, un site peut avoir une audience très importante, si l auteur de l opinion est connu pour avoir des avis sans intérêt, l influence sera très limitée! D autres solutions mesurent l activité sociale des sites, c est-à-dire le nombre de commentaires ou interactions de tout type des internautes avec les contenus du site. La même objection que précédemment peut être faite à l encontre de cette méthode. 38 IT-expert n 82 - novembre/décembre 2009

39 Comment ça marche? Une autre méthode consiste à mesurer le nombre de liens entrants et sortants de la source d informations de manière à donner une idée sur la popularité et la possibilité que le contenu soit accéder ou repris. Là encore, ce n est pas parce qu un site est populaire qu un avis formulé par une personne en qui les internautes n ont pas confiance aura une quelconque influence. Mesure d audience Mesure de l activité sociale Twitter 22 Mentions Technorati 18 Comments delicious 15 Comments StumbleUpon 9 Reviews Reddit 1 Comments (1 votes) Google Blog Search 7 Comments Mesure des liens 4 4 Analyse de la structure des réseaux de liens links links links links Quelques méthodes de mesure d influence Dans les faits, il n existe pas aujourd hui une méthode fiable pour mesurer l influence sur Internet. Il est vrai que l influence dépend en très grande partie de facteurs humains. Ils reposent notamment sur la confiance que l on accorde à l auteur ainsi que sur le profil de l audience. Par exemple, un avis négatif sur un produit n aura pas la même influence sur une personne qui possède déjà le produit que sur une personne qui souhaite acquérir ce produit ou un produit équivalent Le lecteur intéressé par cette problématique d influence pourra lire le livre blanc ( wordpress.com/2008/01/16/white-paper-distributed-influence-quantifying-the-impact-of-social-media/) élaboré par Edelman qui dresse un panorama très complet. Des outils qui doivent encore progresser Au final, si de très nombreuses solutions se positionnent sur le très prometteur et très dynamique marché de la veille d opinion, il faut reconnaître que très peu d entre elles prennent réellement en compte les spécificités de la veille sur le web 2.0 avec les commentaires, la mesure de la tonalité et de l influence. Elles permettent cependant de réaliser un premier niveau de suivi des opinions déjà très utile aux entreprises qui commencent à peine à mesurer pour certaines d entre elles l importance et la spécificité du web dans la gestion de leur image. n Gilles Balmisse, Directeur associé Knowledge Consult KnowledgeConsult est un cabinet spécialisé dans la mise en oeuvre de la gestion des connaissances, du travail collaboratif, des réseaux, de la gestion des contenus, de la veille ainsi que de la conduite du changement et des outils associés. IT-expert n 82 - novembre/décembre

40 Livres Management des données de l entreprise Master Data Management et modélisation sémantique ERP, fichiers clients, CRM Parmi les multiples applications, comment s assurer qu une information soit fiable pour l ensemble des services de l entreprise? D autant que l environnement informatique devient de plus en plus complexe, et qu il faut souvent «faire avec l existant» où données, traitements et processus se mélangent parfois joyeusement! Les solutions de Master Data Management incarnent un référentiel de «meta-données» permettant une description de référence des données stratégiques de l entreprise. Dans son ouvrage, Pierre Bonnet explique la nécessité impérieuse de gouvernance de l information (souvent négligée dans les projets MDM), accentuée par la multiplication des réglementations liées à la traçabilité et à la maîtrise des données (Sarbanes Oxley, Bâle 2, IAS-IFRS ). Le MDM, pas seulement pour la DSI Auteur informatique reconnu, Pierre Bonnet s adresse aussi bien aux DSI qu aux responsables métiers ou à la direction générale, et démontre la valeur indispensable qu apportent les données à toutes les activités de l entreprise. En effet, la contribution stratégique s impose pour favoriser une cohérence des informations métier mise en place de façon harmonisée par l informatique. Le livre clair et accessible profite de nombreux schémas très explicites. Et s il reste théorique, là où des exemples de terrain auraient pu renforcer le propos, il apporte malgré tout des réponses aux bonnes questions : quelles fonctions de gouvernance mettre à disposition? Comment améliorer l alignement du SI avec les réglementations? Quel est le retour sur investissement? Comment valoriser l actif immatériel SI et ses données? Quels sont les principes de la modélisation sémantique? Quelle est l architecture technique? Management des données de l entreprise Pierre Bonnet Date de parution : octobre Éditeur : Hermes-Lavoisier 290 pages - environ 65 E Le grand livre du DSI : Mettre en oeuvre la direction des systèmes d information 2.0 Il ne faudrait pas se laisser abuser par ce titre marketing douteux surfant sur les effets marketing du web 2.0. En effet, ce livre n est pas que du vent! Consolidation, virtualisation, décloisonnement des applications, qualité des données, reporting, ouverture des systèmes tout en préservant l existant à budget constant : le directeur informatique accumule les challenges complexes. Jean-Louis Lequeux et Jean-François Challande proposent diverses approches et méthodologies pour les défis quotidiens et à moyen terme de la direction informatique. La première partie sur le pilotage de la DSI attaque sur l alignement stratégique (coûts et gestion, processus métiers et cycle de vie des informations, choix techniques et économiques), en illustrant les propos de plusieurs cas d entreprise détaillés, dont des exemples à ne pas suivre! Gros reproches faits à l informatique, la maîtrise des projets et les performances sont analysées et expliquées, avec un passage consacré aux profils (utilisateurs architectes, database managers, développeurs ). Ici encore, les auteurs présentent un cas de manque de dialogue développement-exploitation. On sent l expérience de terrain. Dialoguer, toujours et encore La seconde partie, intitulée «Communiquer», aborde les relations avec les utilisateurs, les prestataires, ou dans l écosystème informatique (étendu) de l entreprise. La troisième partie se penche sur les défis actuels des technologies : qualité, urbanisation et référentiel ; les utilisateurs, la sécurité et les interfaces ; la gestion des projets : les ERP, la SOA, le Saas et l avenir du hardware. Et l ouvrage se termine par deux chapitres sur le nouveau rôle des DSI pour le futur. Très complet et indispensable. Le grand livre du DSI Jean-Louis Lequeux et Jean-François Challande Date de parution : mai Éditeur : Éditions d Organisation 352 pages - environ 38 E 40 IT-expert n 82 - novembre/décembre 2009

41 Rubrique à brac Le KM mix pour développer et disséminer les connaissances dans l entreprise À l ère de l économie de la connaissance, comment certaines entreprises réussissent-elles à se positionner efficacement dans ce nouveau contexte et en tirer le meilleur parti? Celles qui enregistrent une croissance depuis le milieu des années 90 dans ce monde globalisé, multipolaire, ont assimilé l aspect critique de la gestion de l immatériel. Elles ont su développer et maintenir une capacité à agir sur leur environnement de manière la plus pertinente, plus rapidement et à meilleur coût que leurs concurrentes. Concrètement, elles arrivent à conjuguer stratégie, organisation, processus, système d information, outils logiciels et comportements dans des dispositifs qui fluidifient le développement et la circulation des informations et des connaissances au sein de leur structure et de leurs modes de fonctionnement. Quelle approche peut aider les entreprises à relever ce challenge en choisissant les dispositifs optimaux pour développer et disséminer leurs connaissances au mieux de leurs besoins? IT-expert n 82 - novembre/décembre

42 Développer et disséminer les connaissances Même s il existe de nombreuses manières de développer et disséminer les connaissances dans l entreprise, toutes se basent sur des mécanismes fonctionnels, organisationnels, comportementaux et bien entendu sur des outils logiciels. D un point de vue analytique, les dispositifs qui peuvent concourir au développement et la dissémination des connaissances relèvent des types suivants : collaboration ; capitalisation ; documentation ; formation ; assistance. Les dispositifs collaboratifs usuels sont les réunions, les groupes de travail, les équipes de projet, les communautés de projet et les communautés de pratique. Et ces derniers s appuient sur des espaces collaboratifs et parfois sur des Wikis. Les dispositifs de capitalisation les plus fréquents sont les bases de connaissances, les cartographies des connaissances et les systèmes à base de connaissances. Leur mise en œuvre est supportée par des logiciels dédiés utilisant le plus souvent des approches de modélisation par ontologies. Usuellement, les ressources documentaires sont classées en documentation générale ou en documentation métier, et les organisations qui supportent les activités de documentation sont les centres de documentation et les services de production et de gestion de la documentation métier. Parmi leurs principaux outils de prédilection, on retrouve les logiciels d Entreprise Content Management (ECM ou gestion de contenu d entreprise) ou les Intranets documentaires. Côté modes de formation, le compagnonnage, l apprentissage, la formation continue interne ou externe représentent les actions les plus significatives. Autre phénomène : la formation au sein des entreprises s appuie de plus en plus sur des Universités d entreprise. Enfin, les dispositifs d assistance se répartissent en deux catégories. Les dispositifs centralisés tels les centres de contact et les dispositifs décentralisés s appuient ou non sur des annuaires (réseaux sociaux, localisation d experts, FAQ, forums, etc.). Les uns et les autres disposent de logiciels dédiés. Le KM mix pour organiser savoir, savoir-faire et informations La vocation du KM mix consiste à aider les collaborateurs à identifier les dispositifs optimaux pour développer et disséminer les connaissances au sein de leur entreprise pour en améliorer la performance. Cette définition des dispositifs optimaux de gestion des connaissances à mettre en place se base sur un classement des connaissances qui y sont manipulées, à travers des approches par périmètre et par niveau de consolidation. L approche par périmètre sert à fixer les domaines de connaissances de l entreprise concernée. Le classement des connaissances par domaine fait référence aux contenus des connaissances. En fait, il existe des connaissances techniques et des connaissances organisationnelles. L approche par niveau de consolidation permet de déterminer les natures des connaissances manipulées par cette entreprise. Certaines sont valables seulement dans leur contexte, d autres s avèrent plus générales. La classification des connaissances proposée est présentée par niveau de consolidation descendant : éléments théoriques : appartiennent soit à des disciplines scientifiques, soit à des disciplines non scientifiques, mais pour lesquelles un accord entre spécialistes a permis de mettre au point et de formaliser une ou plusieurs théories ; réglementations : sont le produit d un consensus entre professionnels d un domaine, éventuellement suivi d un parcours législatif ; savoir-faire : sont le résultat de l accumulation et de la synthèse par les professionnels de leur formation initiale et continue avec leurs expériences bonnes ou mauvaises mises en perspective ; bonnes pratiques : sont le résultat d un travail de bilan sur une action, une opération ou un projet passés dans la perspective d éviter la reproduction d erreurs, de tirer le meilleur parti de ce qui a bien marché et de progresser continuellement ; trucs et astuces : sont les procédés qu un professionnel développe pour mieux agir et maîtriser certaines parties de son environnement technique ou organisationnel ; cas : sont des descriptions plus ou moins formalisées en détail de situations concrètes dont la mise à disposition peut éclairer le traitement d une problématique rencontrée. Mise en œuvre du KM mix D un point de vue opérationnel, la mise en œuvre du KM mix s appuie sur une matrice qui porte en ordonnées les natures de connaissances et en abscisses les domaines de connaissances existants et à renforcer ou à développer (Dom. Con i) pour l entreprise en distinguant bien les connaissances techniques et les connaissances organisationnelles. Le tableau de la page suivante présente la matrice du KM mix. 42 IT-expert n 82 - novembre/décembre 2009

43 Rubrique à brac Connaissances techniques Connaissances organisationnelles Dom. Con 1 Dom Con 2 Dom Con N Dom. Con 1 Dom Con 2 Dom Con N Eléments théoriques Réglementations Savoir-faire Bonnes pratiques Trucs et astuces Cas similaires Dispositif de gestion de connaissances Au croisement d une ligne (nature de connaissances) et d une colonne (domaine de connaissances) peut être défini le dispositif optimal. L opération d analyse des domaines de connaissances à travers leurs besoins par nature de connaissances est renouvelée autant de fois qu il y a de cases dans la matrice du KM mix. Trois exemples de mise en œuvre du KM mix Un groupe industriel international souhaite développer la performance, et en particulier la disponibilité d un des équipements centraux de son processus industriel. Il s agit principalement ici de connaissances techniques et de bonnes pratiques. Compte tenu des spécificités régionales (Amérique du Nord, Amérique du Sud, Europe, Asie ), des processus implémentés et des responsables de maintenance dans les unités de production, un ensemble de communautés de pratique régionales ont été implémentées. Un groupe financier international désire faire partager à tous ses collaborateurs la connaissance des normes Bale II de gestion des risques bancaires. Il s agit de connaissances techniques et d éléments réglementaires. Prenant en compte l utilisation prévue des connaissances et la disponibilité des uns et des autres pour les acquérir, l entreprise a opté pour la réalisation d une formation par un module d e-learning. Un groupe international veut développer les connaissances des managers concernant la conduite des changements pour mieux traverser une période de restructuration très importante. Il s agit donc de connaissances organisationnelles. Par ailleurs, le choix s est porté sur le partage d expériences concrètes et de cas réel, plutôt que sur la théorie. Dans ces conditions, et en intégrant notamment la taille de la population cible ainsi que de la disponibilité des outils technologiques, l entreprise a mis en place une base de connaissances. Au final, on obtient une liste de dispositifs de gestion des connaissances à mettre en place pour atteindre la cible des objectifs d amélioration de la performance fixée pour l entreprise. La force de l approche par le KM mix est double. D une part, elle procure une vue de l ensemble des domaines de connaissances existants et cibles de l entreprise ; d autre part, elle permet de déterminer de manière optimale les dispositifs pratiques à mettre en place pour développer et disséminer des connaissances en rapport à celle-ci. Les cinq étapes de la démarche opérationnelle La démarche opérationnelle proposée pour déployer le KM mix se positionne comme la succession d étapes visant à obtenir la liste de dispositifs à mettre en œuvre et les conditions nécessaires. Elle se décompose en cinq étapes : 1. identification des domaines existants de connaissances pour les aspects techniques comme organisationnels ; 2. prise en compte de la cible définie en termes de connaissances à développer, à maintenir ou à abandonner par domaine ; 3. réalisation de l état des lieux détaillé de chaque domaine de connaissances et identification des manques de connaissances ; 4. fixation des dispositifs de gestion des connaissances à mettre en place pour chaque domaine et pour chaque nature de connaissances ; 5. organisation de l implémentation des dispositifs de gestion des connaissances. L identification des domaines existants de connaissances de l ensemble de l entreprise pour les aspects techniques comme organisationnels est réalisée par une double approche. D une part, les principales parties prenantes de la direction en charge des IT-expert n 82 - novembre/décembre

44 connaissances techniques et organisationnelles sont consultées, à travers des entretiens et réunions de mise en commun. D autre part, les collaborateurs de terrain sont consultés via une enquête en ligne de manière à obtenir également une vision de terrain. La prise en compte de la cible définie en termes de connaissances à développer, à maintenir ou à abandonner par domaine pour l ensemble des domaines de connaissances peut sembler une opération simple à réaliser. Elle l est si la cible a bien été définie. Malheureusement, ce n est pas toujours le cas. Il faut la définir, et cette opération peut nécessiter un travail conséquent. La réalisation de l état des lieux détaillé de chaque domaine de connaissances et l identification des manques de connaissances (par nature en rapport aux améliorations attendues de la performance décrites dans la cible) doit être conduite avec méthode, car la notion de domaine de connaissances peut paraitre abstraite. Il est donc nécessaire de procéder de manière organisée et exhaustive sans se limiter aux fonctions et services existants déjà dans l organisation. Cette opération s avère d autant plus critique dans la démarche qu elle prépare, à travers les différents éléments assemblés, la détermination des dispositifs optimaux à mettre en place. Elle permet aussi d identifier leur acceptabilité par les collaborateurs. La fixation des dispositifs de gestion des connaissances à mettre en place pour chaque domaine et pour chaque nature de connaissances procède sur la base des critères précédemment définis : population cible, disponibilité des outils technologiques et maturité de la population cible par rapport à ceux-ci, culture de la population cible et de l organisation, ressources, délais et implication du management pour la mise en œuvre. L organisation de l implémentation des dispositifs de gestion des connaissances consiste dans un premier temps à définir les priorités. Ensuite, il convient de mettre en place la gestion de projet adaptée pour réussir les différentes opérations. n Denis Meingan, Directeur associé [email protected] KnowledgeConsult est un cabinet spécialisé dans la mise en oeuvre de la gestion des connaissances, du travail collaboratif, des réseaux, de la gestion des contenus, de la veille ainsi que de la conduite du changement et des outils associés IT-expert n 82 - novembre/décembre 2009