SPF Finances - Architecture Building Blocks Fondements ICT Présentation générale du contexte ICT Louis Collet (Signature) Signature numérique de Louis Collet (Signature) DN : cn=louis Collet (Signature), sn=collet, givenname=louis Jean, c=be, serialnumber=50042521318 Motif : J'approuve ce document Date : 2008.05.22 12:13:47 +02'00' Version 2.0 22/05/2008 Document: FODFIN-Architectural-Building-Blocks-V2-22-05-2008-FR.pdf Propriétaire: Objet: SPF Finances Présentation générale du contexte ICT) Date: 22/05/2008 Page 1 de 141
Historique du Document Localisation du Document Ce Document est un exemplaire d un document en ligne. Les copies papier ne sont valides que le jour de leur impression. Contacter l auteur du document en cas de doute sur la version en cours de validité. : Historique des Révisions Date de cette révision: 16/01/2008 Date de prochaine révision (date) Révisio n N Date de cette révision Résumé des Modifications Modificatio ns indiquées 1.0 16/01/08 Différents travail intégré (N) 2.0 30/01/08 Stratégie serveurs application ajoutée (N) 2.1 05/02/08 Directions futures ont été élaborées (N) 2.2 12/02/08 Filenet sections ont été mises à jour (N) 2.3 13/02/08 Mise à jour composant WCM (N) 2.4 29/02/08 Ajout de la stratégie protection anti-virus (N) 2.5 21/05/08 Suppression email Manager de Filenet (N) Approbations Les approbations suivantes sont requises pour ce document. Les formulaires d approbation signés sont classés dans le PCB Nom (name) Titre (title) Diffusion Ce document a été diffusé à Nom (name) Titre (title) Objet: Présentation générale du contexte ICT Page 2 de 141
Table des matières 1. Architecture Building Blocks level 0...8 1.1 Enterprise Architecture Framework...9 1.1.1 Introduction...9 1.2 Architectural Building Blocks...12 1.2.1...12 1.2.2 Utilisation...12 1.2.3 Mises à jour...13 1.3 ABB.01 : Network & Infrastructure...14 1.4 ABB.02 : Security...16 1.5 ABB.03 : Communication & Integration...19 1.6 ABB.04 : Generic Applications...20 1.7 ABB.08 : IT Development...21 2. ABB-01 : Réseau et Infrastructure...23 2.1 Réseaux ABB.01-1...24 2.1.1 Data Connectivity ABB.01-1.1...25 2.1.2 Téléphonie IP ABB.01-1.2...26 2.1.3 Diagnostic des flux de données ABB.01-1.3...28 2.1.4 Connectivité Extranet ABB.01-1.4...28 2.1.5 Synchronisation temporelle ABB.01-1.5...29 2.1.6 Internet Protocols ABB.01-1.6...29 2.1.7 WAN ABB.01-1.7...30 2.1.8 Connectivité mobile ABB.01-1.8...31 2.2 Equipements Physiques Réseaux ABB.01-2...33 2.2.1...33 2.2.2 Evolution souhaitée...33 2.3 Computing Nodes ABB.01-3...34 2.3.1 Mainframe ABB.01-3.1...34 2.3.2 Serveurs Unix ABB.01-3.2...35 2.3.3 Serveurs de Backup et Storage ABB.01-3.3...38 2.3.4 Serveurs «Wintel» ABB.01-3.4...41 2.3.5 Desktops et laptops ABB.01-3.5...42 2.3.6 Pervasive (PDA, etc.) ABB.01-3.6...43 2.4 Printing ABB.01-4...44 2.4.1 d Impression gros volumes «FinPress» ABB.01-4.1...44 2.4.2 Printing Colombus ABB.01-4.2...50 2.5 Operating System ABB.01-5...51 Objet: Présentation générale du contexte ICT Page 3 de 141
2.5.1 Server operating systems ABB.01-5.1...51 2.5.2 Desktop operating system ABB.01-5.2...51 3. ABB-02 : Security...53 3.1 Firewall ABB.02-1...54 3.1.1 Double couche redondante ABB.02-1.1...55 3.1.2 Définition et protection des DMZ ABB.02-1.2...56 3.1.3 Intégrité du trafic Web ABB.02-1.3...57 3.1.4 Limitation des sites web indésirables ABB.02-1.4...57 3.1.5 Remote Access pour les agents ABB.02-1.5...58 3.1.6 Détection des intrusions et prévention ABB.02-1.6...59 3.1.7 Fonctionnalités Host-based security ABB.02-1.7...60 3.1.8 Intégrité du trafic mail ABB.02-1.8...61 3.1.9 Fonction Anti-Spam ABB.02-1.9...61 3.1.10 Système DNS sécurisé ABB.02-1.10...62 3.1.11 Out-of-Band Management ABB.02-1.11...62 3.2 Certification ABB.02-2...64 3.2.1 Certification du Framework CCFF...64 3.3 Authentication ABB.02-3...65 3.3.1 Service LDAP de IAM....65 3.4 Autorisation ABB.02-4...68 3.4.1 Autorisation LDAP...68 3.5 Virus Protection ABB.02-5...69 3.5.1...69 3.5.2 Evolution souhaitée...69 3.6 Identity et Access Management ABB.02-6...70 3.6.1 Authentification...70 3.6.2 Autorisation...72 3.6.3 Provisioning...75 3.6.4 Centrale Logging & Audit...76 4. ABB-03 : Communication & Integration...78 4.1 Directory ABB-03-1...79 4.1.1 Domain Name System (DNS) ABB-03-1.1...79 4.1.2 Windows Internet Naming (Wins) ABB-03-1.2...80 4.1.3 Active Directory ABB-03-1.3...81 4.2 Messaging & Events ABB-03-2...82 4.2.1 Java Message ABB-03-2.1...82 4.2.2 Recherche de topic et queue ABB-03-2.2...82 4.2.3 Renvoi Automatique ABB-03-2.3...83 Objet: Présentation générale du contexte ICT Page 4 de 141
4.2.4 Publish-Subscribe Message ABB-03-2.4...84 4.3 e-mail ABB-03-3...85 4.3.1 Mail Client ABB-03-3.1...85 4.3.2 Mail Serveur ABB-03-3.2...86 4.4 Collaboration ABB-03-4...88 4.4.1 Service Calendrier ABB-03-4.1...88 4.4.2 Lightweight Document Management ABB-03-4.3...90 4.4.3 Moteur de recherche ABB-03-4.4...91 4.4.4 Groupes de discussions forums ABB-03-4.5...91 4.4.5 Mail client ABB-03-4.6...91 4.4.6 Tasks ABB-03-4.7...91 4.4.7 White-board Note-board ABB-03-4.8...92 4.4.8 Polls ABB-03-4.9...92 4.4.9 Présence en ligne ABB-03-4.10...93 4.4.10 chat Instant messaging ABB-03-4.11...93 4.4.11 Foire aux questions ABB-03-4.12...94 4.4.12 Communautés ABB-03-4.13...94 4.4.13 Technologies de type portail ABB-03-4.14...94 4.4.14 Portail général d accès basé sur un WebOs ABB-03-4.15...95 4.5 Integration ABB-03-5...96 4.5.1 ETL ABB.03-5-1...96 5. ABB-04 : Generic Applications...98 5.1 Process Management ABB.04-1...99 5.1.1 Business Process Manager - FileNet ABB.04-1.1...99 5.2 Model Adaptation & Mediation ABB.04-2...102 5.3 Applications Server ABB.04-3...103 5.3.1...103 5.3.2 Evolution souhaitée...103 5.4 Transaction Management ABB.04-4...104 5.4.1 CICS Transaction Manager ABB.04-4.1...104 5.4.2 GCOS TP8 Transaction Manager ABB.04-4.2...104 5.4.3 BS2000 Transaction Manager ABB.04-4.3...105 5.4.4 J2EE/CCFF Transaction Management ABB.04-4.4...105 5.5 Search ABB.04-5...107 5.6 DataBase Management ABB.04-6...108 5.6.1 Relational Data Center ABB.04-6.1...108 5.6.2 Autres DBMS ABB.04-6.2...111 5.7 Content Management ABB.04-7...113 Objet: Présentation générale du contexte ICT Page 5 de 141
5.7.1...113 5.8 File & Storage ABB.04-8...116 5.8.1...116 5.8.2 Evolution souhaitée...117 5.9 Documents & Information Management ABB.04-9...118 5.10 Data Reporting & Analysis ABB.04-10...119 5.10.1 Analysis Service...119 5.10.2 Reporting Service...120 6. ABB.08 : IT Development...121 6.1 Requirements Management ABB.08-01...122 6.1.1...122 6.1.2 Evolution souhaitée...122 6.2 Solution Architecture Modelling ABB.08-02...123 6.2.1...123 6.2.2 Evolution souhaitée...123 6.3 La modélisation UML réalisée avec Together en accord avec les standards FUP est un point de passage obligé de l analyse et du développement des applications SPF. Data Architecture Modelling ABB.08-03...124 6.3.1 Data Architecture Modelling Analyse ABB.08-03-01...124 6.3.2 Data Architecture Modelling Production ABB.08-03-02...125 6.4 Application Development Environment ABB.08-04...127 6.4.2 : Borland Jbuilder 2007...127 6.4.3 Evolution souhaitée...128 6.5 Testing ABB.08-05...129 6.5.1...129 6.5.2 Evolution souhaitée...130 6.5.3 Change Management ABB.08-05-01...130 6.6 Etendre l utilisation de ce mode opératoire aux projets utilisant FUPConfiguration Management ABB.08-06...131 6.6.1...131 6.6.2 Evolution souhaitée...131 6.7 En mettant en place un logiciel de gestion de configuration, le SPF souhaite pouvoir centraliser les différents déliverables produits par les processus de développement d application (modèles UML, sources Java, ) afin d en faciliter la gestion et la réutilisation. De plus cette centralisation permet de sécuriser ce repository en utilisant les procédures standards de sécurité et de disaster recovery du SPF. Change Management ABB.08-07...132 6.7.1...132 6.7.2 Change Management Production Applications ABB.08-07-01...132 6.7.3 Change Management Applications CCFF ABB.08-07-02...134 6.8 FUP Methodology ABB.08-08...136 6.8.1...136 Objet: Présentation générale du contexte ICT Page 6 de 141
6.8.2 Evolution souhaitée...139 6.9 CCFF Framework ABB.08-09...140 6.9.1...140 6.9.2 Evolution souhaitée...141 Objet: Présentation générale du contexte ICT Page 7 de 141
Architecture Building Blocks level 0 1. Architecture Building Blocks level 0 Objet: Présentation générale du contexte ICT Page 8 de 141
Architecture Building Blocks level 0 1.1 Enterprise Architecture Framework 1.1.1 Introduction Ce document définit les modèles d Architecture ICT pour le SPF Finances. Les modèles d Architecture ICT identifient les services technologiques et fonctions requis pour supporter les applications et données business. Le modèle consiste en des «Architecture Building Blocks» (ABBs) qui représentent le groupement logique de services et fonctions ICT. Les ABB niveau 0 représentent le regroupement au plus haut niveau de ces services et fonctions. Ceux-ci sont ensuite décomposés en un nombre plus important et plus détaillés d ABB niveau 1. Le Modèle offre une représentation graphique unique des Architecture Building Blocks et de leurs interrelations et sert donc de dépôt «repository» pour les informations au niveau des technologies ICT au travers de l ensemble du SPF Finances. Ce modèle n est pas influencé par des contraintes physiques ou géographiques. Objet: Présentation générale du contexte ICT Page 9 de 141
Architecture Building Blocks level 0 Network & Systems Management User Interaction PDA Desktop Workstation Laptop Workstation User Device Operating Voice Portal Business Applications Reference Data Process Management - 5.1 Generic Application Search - 5.5 Content Management - 5.7 Document & Information Management - 5.9 Model Adaptation & Mediation - 5.2 Transaction Management - 5.4 Database Management - 5.6 File & Storage 5.8 Data Reporting & Analysis 5.10 Directory 4.1 Communication & Integration Messaging & Event 4.2 e-mail 4.3 Collaboration 4.4 Integration 4.5 Security Certification 3.2 Authentication 3.3 Authorisation 3.4 Application Development Environment - 6.4 Testing - 6.5 Configuration Management 6.6 Change Management 6.7 Requirements Management 6.1 Solution Architecture Modelling - 6.2 Firewall 3.1 Virus Protection 3.5 Network & Infrastructure Security Management Fault Management Performance Management Configuration Management ABB.07 ABB.05 ABB.06 From Application Function Model... From Data Stores... ABB.04-5 ABB.03-4 ABB.02-3 ABB.01-2 Transport and Network Layer 2.1 ABB.08-6 Network Nodes 2.2 Computing Nodes 2.3 Peripherals 2.4 Operating System 2.5 ABB.09 Application Server - 5.3 IAM 3.6 IT Development Data Architecture Modelling - 6.3 FUP Methodology 6.8 CCFF Framework 6.9 Enterprise Architecture Modelling L objectif de ce document est de décrire de manière consistante les composants principaux de Objet: Présentation générale du contexte ICT Page 10 de 141
Architecture Building Blocks level 0 l architecture en place au sein du SPF Finances pour les aspects ICT. Les objectifs de ce document sont de : Gérer de manière consistante et centrale les références et la documentation des services ICT, Offrir un point d entrée central et structuré pour la documentation ICT, Documenter l ensemble du contexte avec une priorité pour les aspects et décisions stratégiques. Le scope initial et précis de ce document, dans le contexte du projet actuel, est limité aux ABBs suivants : ABB.01 : Network & Infrastructure ABB.02 : Security ABB.03 : Communication & Integration ABB.04 : Generic Applications ABB.08 : IT Development Ce scope pouvant être élargi suivant l état d avancement du projet en relation avec le budget. Un des buts est d augmenter la connaissance et la compréhension du Framework proposé au sein du SPF de manière à assurer la prise en main et la maintenance par les membres du SPF eux-mêmes. Objet: Présentation générale du contexte ICT Page 11 de 141
Architecture Building Blocks level 0 1.2 Architectural Building Blocks 1.2.1 Les Architecture Building Blocks (ABB) sont des composants modulaires avec lesquels les modèles conceptuels d architecture et vues logiques sont développés. Chaque ABB représente un besoin fonctionnel IT nécessaire pour répondre aux besoins business. Certains ABB correspondront 1 à 1 avec une solution produit ; d autres seront implémentés de différentes manière en fonction des plates-formes (p.ex. : sur une plate-forme cela pourrait faire partie de l operating system, et sur d autres, cela pourrait être un produit optionnel). L architecture d entreprise utilise des ABBs qui, généralement, peuvent être assimilés à un service de gestion de ressources constitué d un ensemble de programmes qui maintient l état d une ressource et offre l accès sous forme d un service. Pour les descriptions des ABB dans les chapitres qui suivent, les définitions suivantes sont d application : : Software et Hardware installé et en usage ment; identifie et documente les divers composants (indique les programmes in-house, les software et hardware commerciaux, les produits standard du SPF Finances, environnements, quantités, etc.) Direction Future: choix technologiques planifiés pour les 5 années futures ;utilisée pour documenter un choix stratégique future pour l ABB. (Indiquer lorsqu approprié, les dates planifiées de déclassement (plus d investissements, déclassement/remplacement) ; date planifiée de sunset (investissement limité) ; solution préférées, emerging ; etc.) Classification: Strategic Standard de l industrie IT, solution préférée, recommandée Tactical Solution ponctuelle nécessitant cette variance (écart) par exemple limitée à un projet spécifique. Sunset Investissements futurs limités (gérés jusqu à déclassement/remplacement). Non-Strategic Existe dans l architecture mais n est pas utilisé et son usage nécessite une approbation particulière. Transition Priority: High Nécessaire dans moins d un an Medium - Nécessaire dans un délai de 2-3 ans Low - Nécessaire dans un délai de 3-5 ans 1.2.2 Utilisation Les ABBs doivent être utilisés comme un repository, une définition commune de besoins fonctionnels et comme un point d encrage pour documenter les divers composants de l infrastructure qui implémente cette fonctionnalité. Les ABBs fournissent les aux concepteurs, développeurs et autres intervenants qui doivent comprendre les divers aspects et vues de l architecture ICT. Objet: Présentation générale du contexte ICT Page 12 de 141
Architecture Building Blocks level 0 1.2.3 Mises à jour Etant donné que l Architecture d Entreprise est mouvante et en constante évolution, chaque ABB sera au fur et à mesure défini de manière plus précise en fonction des évolutions des besoins business et également de la collecte de données. Objet: Présentation générale du contexte ICT Page 13 de 141
Architecture Building Blocks level 0 1.3 ABB.01 : Network & Infrastructure Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ 30.000 utilisateurs. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Le WAN du SPF Finances est implémenté aujourd hui avec Bilan. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). Figure 1: Représentation Schématique des réseaux L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de firewall. Le firewall assure un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances et pour couvrir les besoins des 30.000 fonctionnaires, ainsi que l accès aux ressources du SPF Finances pour les usagers externes simultanés à partir d Internet. Une représentation schématisée des différents réseaux est présentée à la figure 1 ci-dessus. On y distingue : Le réseau LAN auquel les utilisateurs internes sont connectés (LAN/users) Le réseau WAN auquel les utilisateurs du SPF Finances sont connectés. Le réseau auquel sont connectés les serveurs du SPF Finances (Intranet) Une zone DMZ existe Le réseau Internet, accessible via le réseau Fedman Objet: Présentation générale du contexte ICT Page 14 de 141
Architecture Building Blocks level 0 Des liens spécifiques vers certains partenaires. Sur la même infrastructure, le SPF Finances dispose d une solution de convergence voix-données appelée TelLANoGo. Pour les aspects infrastructure système (plates-formes de processing CPU), la stratégie du SPF - Finances repose sur une approche de consolidation sur la plate-forme centrale Fujitsu-Siemens sous Solaris 9 (bientôt 10) supportant le partitionnement et la virtualisation. Il y a pourtant encore plusieurs mainframes (IBM S/390, Siemens BS2000 et Bull DPS9000) qui sont utilisés pour toutes les applications legacy. Cette plate-forme centrale repose sur l environnement «Atlas» pour les ressources de stockage (SAN) et backup (Robots) dupliqués entre les 2 data centers principaux du SPF Finances. Le Disaster Recovery Site permet la continuation de l exploitation des systèmes critiques en cas de désastre dans l un des sites. Les services d impression reposent sur deux solutions principales suivant les volumes de données à traiter et le type d application en usage. Un système permet d utiliser des outils de pré-processing et de post-processing et d imprimer des gros volumes de documents, l autre offre un service d impression personnel avec support centralisé. Objet: Présentation générale du contexte ICT Page 15 de 141
Architecture Building Blocks level 0 1.4 ABB.02 : Security Les de Sécurité au sein du SPF s articulent autour de : Firewall Authentication Autorisation Virus protection Certification Les Firewall permettent l isolation physique d un réseau par rapport à un autre et le contrôle des accès et des communications entre ces réseaux. Les Firewall permettent de définir des règles qui spécifient ce qui est et n est pas autorisé de passer d un côté à l autre du firewall. Vous trouverez une représentation schématique à la Figure 1. Le SPF Finances attache une grande importance à la confidentialité, à l intégrité et à la disponibilité de ses données, 24 heures sur 24 et 7 jours sur 7. L infrastructure de sécurité en place est redondante. Elle est constituée de deux ensembles d équipements complets. Chaque ensemble est en mesure d assurer seul l ensemble des fonctions en cas de défaillance de l autre ensemble. Les deux ensembles sont installés dans deux sites distincts, l un dans le bâtiment du North Galaxy et l autre dans le site de backup du SPF Finances (South Galaxy) Les services Firewall offrent les fonctionnalités suivantes : Double couche redondante Définition et protection des DMZ Intégrité du trafic Web Limitation des sites web indésirables Remote Access pour les agents Détection des intrusions et prévention Fonctionnalités Host-based security Intégrité du trafic mail Fonction Anti-Spam Système DNS sécurisé Out-of-Band Management La stratégie relative aux fonctionnalités «authentication», «autorisation», «certification» est couverte dans le cadre de «IAM» (Identity and Access Management). Objet: Présentation générale du contexte ICT Page 16 de 141
Architecture Building Blocks level 0 Figure 2: Plate-forme IAM Actuellement, les mécanismes de sécurité sont également supportés dans le cadre du Framework CCFF comme présenté dans la figure ci-dessous. Le Framework CCFF a entre autres pour tâche majeure d assurer la sécurité des applications développées sur le Framework par des mécanismes de sécurisation offrant une transparence maximum et des besoins en développement spécifiques au niveau des applications réduits, voire inexistants. La solution LDAP est peuplée par les applications de gestion du personnel et mise à jour pour les agents externes, mais travaillant au sein du SPF Finances (consultants). Objet: Présentation générale du contexte ICT Page 17 de 141
Architecture Building Blocks level 0 Production : authentication access schema Company Social Security Portal HTTPS wwwsocialsecurity.be Federal Portal HTTPS www.belgium.be CCFF Framework 2005 Users Citizen Certificate EID Fedict Range 212.113.77.0/25 OCSP Server HTTP (80) HTTPS (443) DNS Belnet 193.190.198.2 193.190.198.10 DNS (53) Smals-mvm t3://193.178.202.134 t3://193.178.202.137:8090 (8090) webservice 193.191.242.140 D M Z Firewall CCFF web server (Apache) Firewall Validations CCFF (signature,..) Proxy access (8080) Authentication process UserName/Password Users (Internal only) CCFF MinFin UserName/ EID Citizen Company Certificate Password LDAP 10.2.30.208 DB mandate Manager Figure 3: Authentication CCFF Objet: Présentation générale du contexte ICT Page 18 de 141
Architecture Building Blocks level 0 1.5 ABB.03 : Communication & Integration Les services de communication et d intégration reprennent : Directory Messaging and Events E-Mail Collaboration Integration Ces services sont supportés par diverses plates-formes. Le directory est une base de données qui offre une manière structurée de stocker, gérer et retrouver les informations. Ces services peuvent être spécifiques à une application ou généraux. Dans des environnements importants et distribués, ils sont les pierres angulaires de l accès réseau. Ils publient les ressources et fournissent les informations pour permettre l accès à ces ressources pour les utilisateurs autorisés. Au sein du SPF Finances, ces services (MS Active Directory, DNS, Wins, DHCP, etc.) sont déployés sur base de la plate-forme MS-Windows et supportent les services de résolution de noms. Les services de messaging & événements sont supportés par le framework CCFF. Le courrier électronique ou E-Mail est une application pour la messagerie de personne à personne; c est aussi un service qui est utilisé par d autres applications pour délivrer des données au travers du réseau. Le SPF a fait le choix d une plate-forme mail centralisée et basée sur la plate-forme SMTP de Sun. Cette solution est prévue pour la messagerie interpersonnelle et n est pas envisageable en tant que solution de messagerie inter-applications. Objet: Présentation générale du contexte ICT Page 19 de 141
Architecture Building Blocks level 0 1.6 ABB.04 : Generic Applications Les Generic Application reprennent : Process Management Model Adaptation & Mediation Transaction Management Search Databases Management Content Management File & Storage Documents & Information Management Data Reporting & Analysis Les Process Management sont les services de type workflow offrant une série de fonctionnalités permettant au business de définir, exécuter, gérer et modifier les business processus au travers d un environnement de systèmes hétérogènes. C est un système proactif qui gère les flux au travers des participants au processus, selon des procédures constituées de différentes tâches. Cet ABB cible les workflows administratifs et production. Les Model Adaptation and Mediation supportent les services de process choreography. Les divers standards en usage sont ceux de «Web» (p.ex. :., UDDI, SOAP, XML, WSDL, et WSCL). http://www.uddi.org/. Les services de Transaction Management sont constitués de: Transaction Monitor et Transaction Manager qui offrent l accès à une variété d applications et de services pour les applications end-users, ainsi que les fondations pour les applications distribuées. Les services de Relational Databases supportent les services de BD et d accès aux données. Ils sont repris au sein du SPF Finances dans le RDC standardisé sur la plate-forme IBM-DB2 Les services de Content Management supportent le stockage et la recherche d éléments tels que : documents texte, audio, vidéo, graphiques, images, etc. Les de File offrent les fonctionnalités pour la gestion de fichiers dans des environnements ouverts et distribués. C est un «application enabler» qui utilise les services des systèmes locaux pour le stockage physique et utilise les éléments des services distribués et réseaux de l architecture pour supporter l accès global aux fichiers. Le «Storage Management service» supporte la gestion et la protection des données dans un environnement hétérogène à un coût effectif. Ces fonctionnalités sont offertes de manière transparente et au travers d APIs. Objet: Présentation générale du contexte ICT Page 20 de 141
Architecture Building Blocks level 0 1.7 ABB.08 : IT Development IT Development offre un environnement technique et les diverses procédures dans le cadre du développement d applications au sein du SPF Finances Les IT Development comprennent : Requirements Management Solution Architecture Modelling Enterprise Architecture Modelling Application Development Environment Testing Configuration Management Change Management Dans le contexte du cycle de vie d une application, les services de développement se positionnent comme présenté dans al Figure 4. Figure 4 Cycle de vie d une application Le SPF Finances a initié l introduction d une méthodologie de développement d application, celle-ci ayant tout d abord pour but de formaliser et de stabiliser le déroulement des projets ICT dans un cadre commun en uniformisant : le contenu des étapes d un projet, les rôles des différents acteurs, les artefacts délivrés à chaque étape. Voulant utiliser des standards ouverts et reconnus, le SPF Finance a choisi la méthodologie de base UP (Unified Process ou «Processus Unifié») qui sera éventuellement adaptée selon les besoins et enrichie de certains concepts issus de RUP (Rational Unified Process). Les adaptations effectuées par rapport aux standards UP propres seront mentionnées dans les rubriques concernées. Etant donné que tout participant aux projets informatiques du SPF Finances doit suivre les principes et la méthodologie énoncés dans ce document (et dans les documents annexes), il s adresse à toute personne ou organisme qui participe à la définition ou au développement d une solution informatique pour le SPF Finances, que ce soit une personne ou un organisme interne ou externe au SPF Finances. Objet: Présentation générale du contexte ICT Page 21 de 141
Architecture Building Blocks level 0 La suite Borland est «l ossature» principale des outils proposés comme support de la méthodologie. Cette suite est complétée en matière de tests par des produits de HP/Mercury Interactive (HP/Mercury Quality Center) et par ER/Studio de Embarcadero pour les aspects de gestion des données. Figure 5: Vue d ensemble des outils Le schéma ci-dessus illustre leurs interactions. Ce diagramme montre les fonctions principales pour lequel l outil est utilisé et où il intervient dans le projet. Les flèches entre les différents produits représentent les liens entre les outils. Objet: Présentation générale du contexte ICT Page 22 de 141
ABB-01 : Réseau et Infrastructure 2. ABB-01 : Réseau et Infrastructure Objet: Présentation générale du contexte ICT Page 23 de 141
ABB-01 : Réseau et Infrastructure 2.1 Réseaux ABB.01-1 Les Réseaux offrent une vision commune de sémantique de transport de manière à supporter les services systèmes et applicatifs de plus haut niveau, de manière transparente et indépendante de la couche de transport réseau. Les services réseaux incluent 5 : Data Connectivity, IP Telephony, Diagnostic du flux de données, Extranet Connectivity, Time Synchronization, Le SPF Finances utilise un vaste réseau TCP/IP réparti sur tout le territoire national, comptant environ 30.000 utilisateurs. Le WAN du SPF Finances est implémenté aujourd hui avec Bilan. Ce réseau est relié à divers autres réseaux : Fedman donne accès à l Internet et aux autres SPF et institutions publiques. Des lignes louées vers certains partenaires du SPF Finances, qu ils soient publics (Commission Européenne) ou privés (fournisseurs de services). L accès au réseau du SPF Finances à partir du monde extérieur est protégé par une infrastructure de Firewall (ABB.02-1). Le firewall a été mis en place en vue d un accès sécurisé à l Internet pour les besoins des services centraux du SPF Finances. Objet: Présentation générale du contexte ICT Page 24 de 141
ABB-01 : Réseau et Infrastructure Figure 6: Vue Générale du réseau 2.1.1 Data Connectivity ABB.01-1.1 2.1.1.1 Le service Data Connectivity assure la disponibilité d accès réseau câblé au réseau interne du SPF Finances depuis un bâtiment du SPF Finances. Ce service repose sur les divers composants réseaux en place au sein du SPF Finances tels que connexions Ethernet.. Connexion au réseau Ethernet et Téléphonique. IEEE 802.3, TCP/IP Par utilisateur final, 2 connexions RJ45 sont prévues. Les PCs et la téléphonie IP utilisent les mêmes câbles et portes switch. Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint Objet: Présentation générale du contexte ICT Page 25 de 141
ABB-01 : Réseau et Infrastructure 2.1.1.2 Evolution souhaitée Pour chaque utilisateur, installer au moins 1 port LAN pour le téléphone et le PC. Prévoir la capacité en fonction de la téléphonie, avec optimisation et redondance. Le maître-mot est l uniformité, qui doit se traduire par des commutateurs directement compatibles dans tous les LAN. Au total, cela représente 1.560 commutateurs à 24 ports. 2.1.2 Téléphonie IP ABB.01-1.2 2.1.2.1 Le service Téléphonie IP sert à la communication interne et externe via une infrastructure rénovée. Sur la base de cette infrastructure, les services suivants sont assurés : Messagerie (Voice Mail) Conférence téléphonique (Conference Call) Groupes Call et Hunt Secrétaire de direction (Management Assistant) Répertoire téléphonique électronique (Directory) Call centers Intégration fax Pour fin 2009, tous les utilisateurs internes pourront faire usage de cette infrastructure. Chaque utilisateur disposera de son propre numéro, où qu il se trouve.. Service de messagerie (Voice Mail) Téléconférence (Conference Call) Groupes Call & Hunt Assistant de direction (Management-Assistant) Annuaire électronique (Directory) Call centers intégration fax trunking: SIP, H323, interne: SCCP Objet: Présentation générale du contexte ICT Page 26 de 141
ABB-01 : Réseau et Infrastructure L accès à l environnement de téléphonie IP est garanti par : Cisco IP Phone 7912 Cisco IP Phone 7940 Cisco Soft Phone L infrastructure supportant le service de téléphonie IP est redondante. Chaque jour, le serveur central (Call Manager) est sauvegardé dans le cadre des back-ups routiniers. En cas de calamité, le service sera rétabli le plus vite possible, avec un maximum de 24 heures de perte de données (sur la base des back-ups quotidiens). L infrastructure installée permet d acheminer 360 communications simultanées avec des interlocuteurs extérieurs (base : 12 PRA avec 30 canaux par PRA). La communication interne est illimitée. Parallèlement, l infrastructure autorise en même temps jusqu à 30 communications sortantes vers le réseau Proximus (via VPN). La solution de téléphonie IP utilisée repose sur les produits suivants : CallManager version 4.2(3) Unity version 4.0(4)sr1 IPCC version Express 4.0(4) IP Communicator version 2.0.1 Netwise version 6.5sp4 MEIPS version 3.00.021 Voxplorer version 2.1.9 RightFax version 9.0.0.307 «NWS FODFIN IP Tel» Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint 2.1.2.2 Evolution souhaitée Téléphonie IP pour tous les agents. Le but est d acheminer aussi les communications sortantes par Fedman au niveau fédéral ou via les réseaux VoIP publics. Objet: Présentation générale du contexte ICT Page 27 de 141
ABB-01 : Réseau et Infrastructure 2.1.3 Diagnostic des flux de données ABB.01-1.3 2.1.3.1 Examen des interruptions et défauts de performance des flux de données end-to-end.. Analyse du trafic du réseau client/serveur existant. SNMP, Netflow, ICMP,... Sniffer Fluke Optiview Fluke SuperAgent Rapports (SLA/QoS) Belgacom Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint 2.1.3.2 Evolution souhaitée Etendre la panoplie d outils en tenant compte de l évolution des modèles de trafic (notamment P2P) 2.1.4 Connectivité Extranet ABB.01-1.4 2.1.4.1 Ce service doit veiller à la disponibilité de l infrastructure nécessaire au travail à distance. Il met en place la connectivité entre les utilisateurs internes et les ressources externes, les utilisateurs mobiles et les ressources centrales, ainsi que les liaisons nécessaires pour les clients externes. Ce service comprend aussi la gestion VPN. La communication fait toujours usage de réseaux autres que ceux confiés à la gestion du département Networks. Travail à distance (Client VPN) Transmission de données entre le réseau interne et les organisations externes (site VPN) SSL IPsec Les règles d accès à distance via Internet (Client VPN) sont énoncées dans «FinNet-VPN Policy & Procedure», disponible sur l intranet. Les services relatifs à la mise en place et à la gestion du Site VPN sont toujours liés à des activités de projet. A ce titre, ils ne seront pas traités comme une modification standard. Objet: Présentation générale du contexte ICT Page 28 de 141
ABB-01 : Réseau et Infrastructure Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint 2.1.4.2 Evolution souhaitée A la lumière de la politique de sécurité revue, on prévoit le renouvellement de l environnement VPN existant, notamment avec l authentification par e-id. 2.1.5 Synchronisation temporelle ABB.01-1.5 2.1.5.1 Ce service assure la synchronisation des systèmes internes d enregistrement horaire avec une horloge atomique centrale.. IEEE-1588 NTP Stratum-1 Elproma 2.1.5.2 Evolution souhaitée En ce qui concerne ce fondement, on n identifie pas de changement à court ou à long terme. 2.1.6 Internet Protocols ABB.01-1.6 2.1.6.1 Les protocoles Internet reposent sur la technologie IP. Cela inclut Transmission Control Protocol/Internet Protocol (TCP/IP), Universal Datagram Protocol (UDP) et d autres protocoles. TCP/IP fait référence à une famille de protocoles de réseaux basés sur des standards, parmi lesquels TCP fournit la connexion host-to-host, et IP assure le routage des données d une source vers une destination. La couche TCP/IP inclut les protocoles File Transfert (FTP), Simple Mail Transfer Protocol (SMTP), News Transfer Protocol (NNTP), etc. Les protocoles TCP/IP permettent à différents réseaux de fonctionner comme une seule entité coordonnée. Les Intranets sont des réseaux utilisant la technologie Internet, mais où les accès sont contrôlés par une entité unique coordonnée. Le service principal est le service DHCP (Dynamic Host Configuration Protocol) aux plates-formes internes du SPF Finances. Ce service veille à l attribution dynamique des adresses IP à l ensemble des 30.000 PC du réseau SPF FIN. Objet: Présentation générale du contexte ICT Page 29 de 141
ABB-01 : Réseau et Infrastructure Pour la redondance, deux serveurs assurent le service, chacun couvrant 50% des adresses par scope. DHCP DHCP RFC2131, RFC1918 (10.x.x.x) BOOTP Les IP sont implémentés par DHCP Les DHCP sont assurés par Windows 2 Microsoft Windows DHCP Servers IP address : 10.20.129.20 10.128.200 50-50% split scope configuration HP document» DHCP-Wins-DNS-AD detailed design IP services 2.1.6.2 Evolution souhaitée Pour éviter toute perte d information, on vise un support technologique suffisant pour qu un deuxième centre informatique puisse être maintenu en permanence au même niveau que le centre primaire. A l avenir, on devra envisager une solution de Disaster Recovery à mettre au point avec le site DR d Anderlecht. 2.1.7 WAN ABB.01-1.7 2.1.7.1 Un réseau Wide Area Network (WAN) est un réseau qui fournit les services de communication ICT à une zone géographique plus large que celle servie par un LAN et qui peut faire usage de facilités de communication de type public proposées par des fournisseurs de réseaux externes à l entreprise. Les Wan sont ment supportés par le réseau BiLAN. Interconnectivité de réseaux LAN Réseau; MPLS, BGP, Ipv4, Diffserv, Physique: Ehternet, SDSL, Leased Lines Objet: Présentation générale du contexte ICT Page 30 de 141
ABB-01 : Réseau et Infrastructure Le réseau qui interconnecte les bâtiments du département repose sur BiLAN. La bande passante est dimensionnée suivant les règles ci-dessous : Bande passante données : 10 kbps/utilisateur Bande passante voix : 15 kbps/utilisateur Autrement dit, un bâtiment abritant 75 utilisateurs qui se servent aussi de la téléphonie IP est raccordé avec une bande passante d au moins 2 Mbps (75 x (10+15) = 1875). La technologie de ligne peut être SDSL, ligne louée ou fibre optique. Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint 2.1.7.2 Evolution souhaitée Connexions redondantes (notamment pour tél. IP). Gestion de la bande passante (QoS, infrastructure). 2.1.8 Connectivité mobile ABB.01-1.8 2.1.8.1 Ce service couvre le raccordement sans fil au réseau interne du FINNet des Finances, à partir de l extérieur des bâtiments des Finances. Connexion sans fil à FinNet GPRS UMTS HSDPA Via : GSM-modem SmartPhone PDA Carte PCMCIA pour laptop Modem intégré dans les PC Information technique - http://sharepoint Objet: Présentation générale du contexte ICT Page 31 de 141
ABB-01 : Réseau et Infrastructure 2.1.8.2 Evolution souhaitée Connectivité réseau sans fil pour les applications mobiles. Objet: Présentation générale du contexte ICT Page 32 de 141
ABB-01 : Réseau et Infrastructure 2.2 Equipements Physiques Réseaux ABB.01-2 2.2.1 Les ABBs Equipements Physiques Réseaux comprennent le hardware qui supporte le réseau et inclut tous les composants des LANs, WANs, Wireless et réseaux locaux personnels, comprenant les câbles, routers, hubs, bridges, switches, cartes réseaux, controller, fibres, patch panel, transmitters, receivers, etc. Voir les spécifications du matériel. Le câblage horizontal est de type UTP Catégorie 6. Le câblage optique vertical est de type OM-3. Le matériel actif suivant est utilisé pour les réseaux locaux Ethernet: o Catalyst 3750-24PS-S PoE (nouvelle plate-forme) o Catalyst 2924m-XL 24p (en remplacement) o Catalyst 2950T 24p (en remplacement) o Catalyst 2950G 24p (en remplacement) o 3C16406 PS40 (en remplacement) o 3C16450 PS50 (en remplacement) Information générale - http://10.20.128.135/sdsp45/login.jsp - Service Pages Information technique - http://sharepoint 2.2.2 Evolution souhaitée On vise une gestion uniforme qui puisse être assumée par une seule et même firme. Objet: Présentation générale du contexte ICT Page 33 de 141
ABB-01 : Réseau et Infrastructure 2.3 Computing Nodes ABB.01-3 Computing Nodes offre une vision commune des diverses plates-formes ICT à disposition au sein du SPF Finances. Computing Nodes comprend : Mainframes Serveurs Unix Serveurs Wintel Desktops et Laptops Pervasive (PDA, etc.). 2.3.1 Mainframe ABB.01-3.1 2.3.1.1 Objet: Présentation générale du contexte ICT Page 34 de 141
ABB-01 : Réseau et Infrastructure Type de machine : IBM S/390 Système d exploitation : z/vm Version 3 et VSE/ESA Version 2 Environnement interactif : Customer Information Control System (CICS) Environnement batch : VSE/ESA Langage de développement : COBOL Database : hiérarchique (DL/I Version 1) et relationnelle (SQL/DS Version 7). Type de machine : Siemens S110-K et S110-F (tests et développement) Système d exploitation : BS2000 V4.0 Environnement interactif : OPENUTM-60 V5.0 Langage de développement : COBOL Database : LEASY-28 V6.0 mais essentiellement utilisation de fichiers ISAM Type de machine : Bull DPS 9000/992 Système d exploitation : GCOS8 SR 5.0 Environnement interactif : TP8 : version 8IT4.2 Langage de développement : COBOL et C. Database : IDS2: version 8DB7.2. 2.3.1.2 Evolution souhaitée Le BPR Coperfin a défini comme vision stratégique un redéploiement systématique des fonctionnalités, compte tenu des impératifs de convivialité et d approche intégrée. Des projets sont en cours pour toutes les plates-formes mainframes du SPF Finances. Le but est de redévelopper les applications conformément à l approche intégrée de Coperfin. A court terme, on prévoit un plan global de retrait graduel des 3 types de mainframe. 2.3.2 Serveurs Unix ABB.01-3.2 2.3.2.1 Le service Serveurs Unix reprend l ensemble des nœuds de traitement existant au sein du SPF Finances et opérant sous le système d exploitation de type Unix. Le SPF Finances propose une plate-forme centrale de traitement reposant sur des machines Fujitsu Siemens à architecture Sparc et supportant le système d exploitation Sun Solaris. Les machines présentent généralement les caractéristiques suivantes : Objet: Présentation générale du contexte ICT Page 35 de 141
ABB-01 : Réseau et Infrastructure. Dispositifs pour augmenter la disponibilité: Alimentations redondantes, Ventilateurs redondants Possibilité de remplacer certains composants sans arrêt des machines (même partiel). Certains serveurs sont partitionnables, permettent une découpe dynamique d un serveur physique en plusieurs serveurs autonomes permettant à chacun de faire tourner un environnement différent Les serveurs disposeront de ressources d entrées-sorties propres: disques locaux, accès réseau local et réseau SAN, etc. Il est possible d intervenir sur une partition (réparations, maintenance) sans interrompre une autre partition. Certaines ressources (CPU, mémoire) peuvent être attribuées dynamiquement à une partition (ou en être retirées) sans arrêt de la partition. Offre du support d infrastructure de plates-formes Unix Compatibilité par Rapport aux : Par système d exploitation Unix, l on entend un système opérationnel complet, ce qui inclut: le système d exploitation, le système graphique X11 avec un gestionnaire d écran basé Motif, le système de gestion d environnement «CDE» ou «Common Desktop Environment», les utilitaires habituels du monde Unix, les outils de gestion des systèmes, y compris la gestion de la performance et la gestion à distance du serveur. Fujitsu-Siemens PrimePower 2500 Chaque châssis PP2500 contient plusieurs boards dont les ressources peuvent être allouées de façon dynamique aux différentes partitions Unix. La machine, dans son implémentation peut accepter jusqu à 64 CPUs. Cette capacité peut-être portée à 128 CPUs par l ajout d un cabinet d extension. Voici les caractéristiques de chaque board : 8 CPU et 32GB RAM par board CPU : Architecture SPARC64-V 1298 MHz et 2.08 GHz (sur le dernier châssis installé). Fujitsu-Siemens PrimePower 800 Le PRIMEPOWER 800 utilise les processeurs SPARC64 GP de Fujitsu ainsi que d autres technologies reconnues par le cross bar switching pour garantir une évolutivité maximale et une utilisation maximale des ressources système. La puissance de la configuration Objet: Présentation générale du contexte ICT Page 36 de 141
ABB-01 : Réseau et Infrastructure SMP peut être réaffectée dynamiquement pour que plusieurs applications puissent obtenir les ressources dont elles ont besoin quand elles en ont besoin. En conséquence, PRIMEPOWER 800 est idéal pour de nombreuses tâches d entreprise. Ce système de centre de données bien dimensionné pourra répondre à l ensemble des besoins de consolidation serveur hormis les plus grands Fujitsu-Siemens PrimePower 250 Le système Fujitsu Primepower 250 est équipé de 2 processeurs SPARC64 V et 2 disques durs scsi internes. * Processor: 1 or 2 x 1.65GHz / 1.98GHz SPARC64 V processors CPUs Memory: 2GB to 16GB memory Disk: Up to 2 x 73GB / 147GB disks 1 x 10Base-T/100Base-TX; 1 x 10/100/1000Base-T Power supply-redundancy 2 + 1 (opt.) OS: Solaris 8, 9, 10 : Taille des Mots : 64 bits Système d exploitation : Unix Clustering : De type Fail-Over (lié à l OS ou «third party») Equilibrage de charge : Equilibrage statique, de préférence lié au clustering Disques Locaux : supportent le mirroring sans impact du point de vue performance. Fujitsu Siemens PRIMERGY RX300 S2 - Xeon 3.2 GHz pour la gestion du SAN Bull Escala 2 racks AIX PL1650R contenant 2 nœuds et 1 console HMC. Le nœud numéro 1 ou «CPU drawer» contient : 4 CPUs de type POWER 5, cadencés à 1,65 GHz. 8 Gb RAM DDR1 actif. 1 carte «Dual Gigabit Ethernet» interne 2 cartes internes SCSI Ultra 320 pilotant 3 emplacements disques chacune. 6 slots PCI-X hot-plug (64 bits, 133MHz) contenant : o 2 cartes «Fiber Chanel» o o 2 cartes UTP Gigabit Ethernet 1 carte SCSI Ultra 320 pilotant : Un lecteur Tape DLT 160GB Objet: Présentation générale du contexte ICT Page 37 de 141
ABB-01 : Réseau et Infrastructure 2 contrôleurs USB 2 disques internes (pour CPU Drawer) de 72Gb 10.000 RPM Le deuxième nœud ou «CPU drawer» contient : 4 CPUs de type POWER 5, cadencés à 1,65 GHz. 12 Gb RAM DDR1 actif. 1 carte «Dual Gigabit Ethernet» interne 4 cartes internes SCSI Ultra 320 pilotant 4 emplacements disques chacune. 12 slots PCI-X hot-plug (64 bits, 133MHz) contenant : 4 cartes «Fiber Chanel» 5 cartes UTP Gigabit Ethernet 2-ports 1 contrôleur USB 8 disques internes (pour CPU Drawer) de 73,4 Gb 10.000 RPM : Il existe un clustering HACMP de type Failover. Type de machine : HP RP 5430 (Wkflw contentieux) Système d exploitation : HP-UX 11i base http://infrastructure/ 2.3.2.2 Evolution souhaitée La Stratégie en matière de plate-forme Unix est orientée vers la consolidation et la virtualisation sur les plates-formes Fujitsu-Siemens P2500 existantes. Ces plates-formes servent de base pour le support du Framework de développement en usage au sein du SPF Finances. Les contrats de support originaux étaient signés pour cinq ans. Le renouvellement de ces contrats et la modernisation de la plate-forme Unix seront de nature fréquente et devront être réalisés avec une grande prudence. 2.3.3 Serveurs de Backup et Storage ABB.01-3.3 2.3.3.1 Les administrations du SPF Finances doivent stocker un nombre croissant de données. C est dans ce contexte, dans le but d effectuer des économies d échelle et dans le souci d amélioration des services, que le SPF Finances a décidé de fournir aux administrations qui le souhaitent, un service centralisé de stockage de leurs données. Objet: Présentation générale du contexte ICT Page 38 de 141
ABB-01 : Réseau et Infrastructure La fiabilité du stockage est assurée par la redondance des disques, par la prise de sauvegardes régulières suivant des procédures prédéfinies. «Atlas» fournit les systèmes physiques de stockage et d archivage standardisés utilisables par l ensemble des applications et des systèmes du département. Les services de stockage et de sauvegarde des données sont utilisés par d autres systèmes qui peuvent se connecter au SAN : Les mainframes IBM et Siemens, Bull. Des serveurs utilisant un système d exploitation de la famille UNIX (le système Linux y compris). Des serveurs utilisant un système d exploitation de la famille Windows (obligatoirement les versions Windows 2000 et suivantes, optionnellement Windows NT4). Le DRS (Disaster Recovery Site) permet la continuation de l exploitation des systèmes critiques en cas de désastre (incendie, destruction, ) dans l un des sites. Outre la duplication de certains équipements dans les deux sites, il y a maintien de copies synchronisées des données critiques sur les deux sites de telle sorte qu en cas de problème sur un site, l exploitation puisse continuer le plus rapidement possible dans l autre. Figure 7: Présentation de l architecture «Atlas» Ce schéma ne représente que le SAN. Les serveurs et mainframes du haut sont donc encore reliés aux clients via un LAN. L architecture ci-dessus est dédoublée en deux salles informatiques, premier pas vers Objet: Présentation générale du contexte ICT Page 39 de 141
ABB-01 : Réseau et Infrastructure une bonne disaster recovery. Dans la salle informatique CR2, on trouve une partie des serveurs et des mainframes, les directors englbp01 et englbp02, ainsi que l équipement de stockage Symmetrix 272. Le StorageTek engltp01 se trouve dans la salle informatique CR3. La salle CR4 abrite les autres serveurs et mainframes, les directors englbd03 et englbd04 ainsi que les équipements de stockage Symmetrix 219 et StorageTek engltd02. La connectivité SAN passe entièrement par les 4 directors, répartis en deux fabrics. Les deux salles informatiques sont interconnectées via les directors, à l aide de 4 ISL (Inter Switch Links). Le SPF Finances fait usage d une topologie switched fabric. Celle-ci repose sur un réseau de commutateurs (switches) chargé de relier tous les hôtes à l équipement de stockage. Grand avantage du procédé : une liaison entre deux nœuds du réseau dispose toujours de toute la bande passante. En conséquence, le fait d ajouter des appareils au réseau augmente l efficacité du commutateur et ne ralentit pas les liaisons. Figure 8: Switched Fabric Après la topologie, venons-en au protocole. Au SPF Finances, tous les hôtes sont reliés aux systèmes Symmetrix via le SAN et le protocole Fibre Channel. En dépit de son nom, ce protocole est exploitable en paire torsadée comme en fibre optique. Au SPF Finances, cependant, toutes les liaisons sont en fibre optique. Stockage centralisé des données Intégration en disaster recovery Backup Le protocole utilisé Fibre Channel est un standard industriel qui utilise des fibres optiques et offre des débits de 2 Gbps. RAID 0-10 Brocade Directors : 12000, 4100, 48000 EMC SYMMETRIX DMX4500 de EMC Clariion CX-80 2 StorageTek L700e à 2 frames avec drives LTO-2 FSC CentricStor 3505-402 Objet: Présentation générale du contexte ICT Page 40 de 141
ABB-01 : Réseau et Infrastructure «Information Lifecycle Management : analyse et optimisation de l environnement de stockage». «Diagnostic et analyse des performances de l environnement de stockage Atlas». 2.3.3.2 Evolution souhaitée Le SAN esquissé ci-dessus est le grand SAN central de l environnement. Parallèlement, cependant, il existe plusieurs petits SAN, spécialement axés sur un aspect spécifique de l organisation : Workflow litiges Scanfin Dorothée ID Management Finmail Au cours des prochaines années, le but est d intégrer ces petits SAN dans le grand SAN central. La migration du SAN Dorothée est ment en cours. Dorothée est le projet de production éditique centrale. 2.3.4 Serveurs «Wintel» ABB.01-3.4 2.3.4.1 Parallèlement à la plate-forme centrale à base SPARC64, il existe une plate-forme alternative, basée sur une architecture x86 : 32 ou 64 bits. Tous les serveurs de l architecture centrale sont de type rack : Fujitsu Siemens RX600 quad processer intel 2.2 GHz, 4 GB RAM, 2*73 GB RAM RAID 1 + 2* 73 GB RAID 1 Dell 2850 dual processor 3.6 GHz, 4 GB RAM, 2*73 GB RAM RAID 1 + 3* 73 GB RAID 5 Dell 6850 quad processor 3.6 GHz, 4 GB RAM, 2*73 GB RAM RAID 1 + 2* 73 GB RAID 1 Dell 6850 quad processor 3.3 GHz (8MB L3 cache), 4 GB RAM, 2*73 GB RAM RAID 1 + 2* 73 GB RAID 1 Au besoin, les serveurs peuvent être reliés au SAN corporate. Application servers Objet: Présentation générale du contexte ICT Page 41 de 141
ABB-01 : Réseau et Infrastructure Windows 2003 SP1 operating services 2.3.4.2 Evolution souhaitée On a fait l acquisition d une nouvelle configuration de serveurs, basés sur une architecture blade. La configuration associe des processeurs dual core et quad core. On veillera à la symétrie entre les architectures mises en place au North Galaxy et au centre DRS d Anderlecht. VMWARE ESX 3.x est le standard pour la virtualisation. Tous les nouveaux projets à base Windows doivent tourner sur cette plate-forme qui reste à installer. Pour les applications, la solution de disaster recovery reposera sur HA (High Availability), DRS (Distributed Resource Scheduling) et VMWARE vmotion. En 2008, on consolidera un maximum de serveurs Windows existants dans ce nouvel environnement virtuel. 2.3.5 Desktops et laptops ABB.01-3.5 2.3.5.1 Chaque année, le SPF Finances achète de nouveaux desktops et laptops. Ces machines sont utilisées pendant 5 ans puis remplacées. La configuration des machines change chaque année, suivant l évolution technologique. Lors du déploiement de nouveaux logiciels, il ne suffit donc pas de tenir compte de la dernière configuration : il faut connaître la configuration d il y a cinq ans. En principe, chaque fonctionnaire est titulaire d un PC qui le suit dans ses mouvements. Une exception est faite par exemple pour un fonctionnaire doté d un équipement matériel non standard correspondant à une tâche déterminée (p.ex. un scanner). Si le fonctionnaire déménage dans un service qui n a pas besoin de ce matériel, le PC reste en place. Pour une gestion efficace de tous les PC, ceux-ci doivent obligatoirement être reliés au réseau et inscrits dans le domaine FINBEL. Les laptops affichent à peu près la même configuration que les desktops. Configuration 2008 : Mémoire : 2 Go Disque dur : 80 Go Carte graphique avec 64 Mo de mémoire Ecran plat 19 Processeur dual core Objet: Présentation générale du contexte ICT Page 42 de 141
ABB-01 : Réseau et Infrastructure 2.3.5.2 Evolution souhaitée Le remplacement régulier des postes fait partie de la stratégie ICT du SPF Finances. Grâce au projet MyPC, les PC sont devenus des produits courants. A l avenir, on verra si l achat des PC peut être assuré via un contrat-cadre central, commun aux divers SPF. Il importe de noter que les PC ne sont plus équipés d un lecteur de disquette. 2.3.6 Pervasive (PDA, etc.) ABB.01-3.6 2.3.6.1 Les PDA ne font pas partie de l équipement standard du SPF Finances. 2.3.6.2 Evolution souhaitée Non applicable. Objet: Présentation générale du contexte ICT Page 43 de 141
ABB-01 : Réseau et Infrastructure 2.4 Printing ABB.01-4 Les Printing au sein du SPF Finances reprennent les diverses fonctionnalités d impression à disposition. Les Printing comprennent : Service d impression gros volumes (Dorothée & Saintex), d impression centralisés (Colombus), Autres services d impression, 2.4.1 d Impression gros volumes «FinPress» ABB.01-4.1 2.4.1.1 Le SPF Finances dispose d une «automated document factory» (ADF) centralisée. Comportant les outils de composition, de design, de tri et de regroupement à la fois dans un environnement de test et de production. Ce système permet d utiliser des outils de pré-processsing et de post-processing et d imprimer de gros volumes de documents. Ce service d impression gros volume est utilisé à la fois par les services «Dorothée» et «Saintex» permettant soit le traitement de jobs de type batch ou provenant d applications métier on-line. Le layout d impression est créé à partir d un outil design de la suite OpenPrint. Les données imprimées proviennent des systèmes d information (Mainframe et serveurs) et sont envoyées dans un outil de composition qui fait la synthèse entre les données et le layout. Le document composé est envoyé dans un outil de tri-regroupement optimisant le regroupement d envois pour les mêmes personnes et le tri postal. Les documents sont alors imprimés et mis sous enveloppe grâce à l outil de façonnage qui assure que les documents sont dans la bonne enveloppe. Pour assurer une qualité maximale, le processus complet est évalué par un workflow d impression. Toutes les identifications de documents rejetés par le système de finition sont renvoyées au système d impression pour une éventuelle réimpression. Ce système permet également l envoi par e-mail des documents alors que celui-ci n est pas encore imprimé. La figure suivante présente un schéma logique de la solution en place et ses divers composants. Objet: Présentation générale du contexte ICT Page 44 de 141
ABB-01 : Réseau et Infrastructure Figure 9: Volume Printing Solution La mise en place de ce service a permis de remplir divers objectifs stratégiques du SPF Finances tels que : La centralisation des systèmes de design, d impression, de stockage, d accès aux données. L assurance de disposer de qualité et cela de manière électronique pour l ensemble des citoyens et fonctionnaires. Ces choix ont engendré les contraintes et exigences technique suivantes : Une impression au format A4. Une séparation des données et du layout. Une solution dont la partie fonctionnelle est indépendante du matériel. Il est à noter que tout appel aux services d impression FinPress assure une intégration directe avec la solution d archivage et la mise à disposition des documents imprimés au niveau de Filenet. La figure suivante montre de manière schématique l environnement d impression gros volume dans le contexte général du SPF Finances. Objet: Présentation générale du contexte ICT Page 45 de 141
ABB-01 : Réseau et Infrastructure Bull Siemens IBM Input level ASCII, EBCDIC, XML Workflow d'impression et de contrôle Composition on-line Designing Layout Composition dynamique Workflow composition SAN Output Métadata Format AFP Tri - regroupement - éclatement Spooling GSM Internet Internet Serveur d'archivage Intranet Imprimante de production Terminal Terminal Terminal Terminal Façonnage Terminal Figure 10: Vue générale FinPress L architecture de «Saintex» est présentée dans la Figure 11: Architecture de Saintex ci-dessous. Les seuls composants ajoutés à la plate-forme de Dorothée sont ceux présents dans la zone bleu ciel entre les pointillés. La solution «Saintex» est basée sur le logiciel Open Print Projector de la société SEFAS Innovation. Ce produit fait partie intégrante de la suite Open Print dont certains composants sont également présents dans le projet Dorothée. Open Print Projector est le frontal Web de la suite Open Print permettant de produire des documents unitaires depuis un poste utilisateur disposant uniquement d un navigateur Web. Les d impression s appuient sur plusieurs composants mis en œuvre dans l architecture Dorothée : L outil de maquettage des documents est Open Print Middle Office pour réaliser les modèles de document. Un même modèle de document peut être utilisé à la fois en interactif («Saintex») et en batch («Dorothée»). Les modèles de document batch actuels pourront être utilisés dans Projector : o sans modification si la génération du document ne comporte aucune saisie utilisateur ou bien, o un «wizard» ajouté au modèle de document actuel servant à définir les zones à remplir par l utilisateur en interactif et par l application métier en batch, Objet: Présentation générale du contexte ICT Page 46 de 141
ABB-01 : Réseau et Infrastructure Le référentiel central de document d Open Print pour stocker et gérer les versions des modèles de documents, Le moteur de composition Open Print Backstage pour composer les documents, L ordonnanceur éditique Process Manager pour produire les documents en batch sur la plate-forme de production Dorothée, L outil de suivi de la production Mail Tracking pour connaître le statut des plis produits par Dorothée, Remarque : Projector permet l impression locale à travers les imprimantes utilisables par le navigateur Web mais ne se substitue pas à un logiciel d Output Management type Columbus OM. Projector peut cependant être interfacé avec un logiciel d Output Management. Middle Office Dorothée Production Interactive Projector Backstage Dorothée Concepteur Utilisateur métier Serveur de design URL HTTP Visualiser / Valider document URL HTTP Serveur de production interactive SI Métier Documents Post Prod. Serveur Web Serveur d Application Serveur Web Serveur d Application DATA Extraction données Environnement de production BackStage (Moteur Open Print) Modèle 1 Référentiel Mise en production des modèles (env. recette / production) Modèle 1-a Modèle 1-B Le Centre d éditique Modèle 2 Figure 11: Architecture de Saintex Les diverses lignes de production s sont décrites dans la figure ci-dessous où les divers acronymes sont : I.C. : imprimante en continu I.F. : imprimante feuille à feuille MSP : machine de mise sous pli Sép. Job : découpe en feuille et séparateur de job Objet: Présentation générale du contexte ICT Page 47 de 141
ABB-01 : Réseau et Infrastructure Papier blanc Pinless Recto/verso I.C. I.C. MSP Papier blanc Papier blanc Papier virement Pinless I.C. MSP Feuille à feuille I.F. MSP Papier blanc ou couleur I.C. I.C. Sép. job Recto ou recto verso I.C. Sép. job Pinless Online offline ou I.C. I.C. Sép. job I.C. Sép. job Les services d impression gros volume sont équipés des dispositifs nécessaires à assurer : que tous les plis ont bien été expédiés (intégralité) que tous les plis ont été correctement composés (intégrité) Un système de suivi et planification permet de suivre toutes les phases de production, depuis l entrée des lots jusqu à la sortie des produits finis. Il fournit une information temps réel sur la production de chaque lot ainsi que des documents d aide à la production et de statistiques. Il est complété d un outil de gestion prévisionnelle de production, particulièrement adapté en cas d utilisation d un centre de production par plusieurs départements ayant des exigences particulières de planification. Un système de tracking suit également toutes les phases de production, depuis l entrée des lots jusqu à la sortie des produits finis ; il enregistre, dans une base de suivi, les informations de production au niveau document et pli ; il permet de garantir la production globale, et de produire des états de gestion complexes. Le centre de production éditique est unique et le SPF Finances n envisage pas de faire appel à un back up externe ; des mesures de sécurité doivent ainsi être mises en œuvre pour chaque fonction du centre de production éditique. Objet: Présentation générale du contexte ICT Page 48 de 141
ABB-01 : Réseau et Infrastructure Maquettage externe à l ADF Production informatique automatique Impression haut débit privilégiant le continu Façonnages divers (mise sous pli haut débit avec pilotage par fichier, sortie par destinataire, Internet, fax, etc.) Contrôle de la production et recyclage des rejets Gestion de la production Maquettage XML Web, UDDI Les imprimantes sont: PI115 & DP425 Les logiciels suivants sont en usage: Suite OpenPrint de SEFAS L accès aux services d impression se fait soit : au travers de la livraison de fichiers plats ou au format XML pour les applications requérant des impressions batch. grâce à l appel à des Web pour les applications métier requérant des impressions on-line.. «Saintexlight» «Dorothéelight» Pour explications générales de Dorothée http://minfin.fgov.be/portail1/fr/cadrefr.htm Pour la documentation pour les analystes et développeurs http://10.12.5.146/documentation_projet_fr.htm Pour la documentation des Web http://infrastructure/ Le site Intranet de Dorothée avec toute la documentation: http://sharepoint/sites/doroth%c3%a9e/default.aspx 2.4.1.2 Evolution souhaitée Dans le cadre des services d impression «Gros volume», la stratégie du SPF Finances s articule autour des axes suivants : Une fusion des solutions Offset et Digitales de manière à offrir la meilleure solution pour les divers jobs soumis L utilisation de l impression couleur dans l avenir Objet: Présentation générale du contexte ICT Page 49 de 141
ABB-01 : Réseau et Infrastructure La mise à disposition d une solution «Printing on Demand» pour les utilisateurs internes (SPF Finances) et externes (La population) dans le cadre de l impression de livrets et autre documents officiels La mutualisation de l infrastructure avec d autres SPFs. 2.4.2 Printing Colombus ABB.01-4.2 2.4.2.1 Les services d impression personnels sont supportés par le service «Columbus» assurant le scheduling. Ces services sont externalisés Impressions locales. 2.4.2.2 Evolution souhaitée Le remplacement régulier des postes et des imprimantes locales fait partie de la stratégie ICT du SPF Finances. Le projet PAPYRUS a fait des imprimantes locales un produit courant. On est en train de voir si l achat des imprimantes locales ne peut être assuré par un contrat-cadre commun aux divers SPF. Objet: Présentation générale du contexte ICT Page 50 de 141
ABB-01 : Réseau et Infrastructure 2.5 Operating System ABB.01-5 Les Operating Systems sont les services qui supportent les ABBs des Computing Nodes. Ces ABBs supportent et gèrent les ressources système locales comme les CPUs ou autres composants. Ces services comprennent : work management, environment state support, event handling, local system logon, user context management (incluant la sécurité), services systèmes multimedia, locking service, accounting, tracing, journaling, program management, et environnement runtime /POSIX. Les standards comprennent : system calls, libraries (ISO/IEC 9945-1), threads (IEEE POSIX 1003.1c), and commands and utilities (ISO/IEC 9945-2). 2.5.1 Server operating systems ABB.01-5.1 2.5.1.1 Cette partie décrit les systèmes d exploitation utilisés sur les serveurs. Système opératoire z/os BS2000 G-COS Sun Solaris 9 & 10 AIX 5.2L, 5.3 L HP-UX 11i base Linux (Mandrake) Windows 2000, 2003 En guise d alternative, l on peut également utiliser sur la plate-forme x86 des systèmes d exploitation de type Linux ou Solaris 10. 2.5.1.2 Evolution souhaitée La virtualisation matérielle et la couche logicielle «Hypervisor» sont considérées comme faisant partie de l infrastructure standard. 2.5.2 Desktop operating system ABB.01-5.2 2.5.2.1 Cette partie décrit les systèmes d exploitation qui équipent les systèmes directement exploités par les utilisateurs finaux, à savoir ABB.01-3.5. Objet: Présentation générale du contexte ICT Page 51 de 141
ABB-01 : Réseau et Infrastructure Les utilisateurs n ont pas de droits admin sur leurs propres PCs. Les logiciels sont installés via le servicedesk ; la gestion des PC fait appel à Microsoft Active Directory et SMS. Le SPF Finances a son propre service-desk pour l assistance en 1 ère ligne aux utilisateurs. Système opératoire Windows 2000 Windows XP L interface utilisateur doit être trilingue : néerlandais, français et allemand. Le SPF FIN crée en interne une image standard, qui sert à l installation ou à la réinstallation des PC. Mais selon le profil de l utilisateur, certains éléments peuvent ne pas être activés. Il existe une fonction de back-up centrale pour les s utilisateurs. 2.5.2.2 Evolution souhaitée Depuis 2007, le SPF Finances utilise Windows XP comme système d exploitation de ses desktops. Les anciennes machines tournent sous Windows 2000. Au stade actuel, il n est pas prévu de passer à Windows Vista. Objet: Présentation générale du contexte ICT Page 52 de 141
ABB-02 : Security 3. ABB-02 : Security Objet: Présentation générale du contexte ICT Page 53 de 141
ABB-02 : Security 3.1 Firewall ABB.02-1 Les Firewall permettent l isolation physique d un réseau par rapport à un autre et le contrôle des accès et des communications entre ces réseaux. Les Firewall permettent de définir des règles qui spécifient ce qui est et n est pas autorisé à passer d un côté à l autre du firewall. Le SPF Finances attache une grande importance à la confidentialité, à l intégrité et à la disponibilité de ses données, 24 heures sur 24 et 7 jours sur 7. Dans ce cadre les de Firewall sont existants. La solution est évolutive et permet une augmentation significative du trafic, du nombre d interfaces, de la vitesse de connexion des interfaces, et du nombre d utilisateurs internes et externes. L infrastructure de sécurité en place est redondante. Elle est constituée de deux ensembles d équipements complets. Chaque ensemble est en mesure d assurer seul l ensemble des fonctions en cas de défaillance de l autre ensemble. Figure 12 : Vue Générale du réseau Les deux ensembles sont installés dans deux sites distincts, l un dans le bâtiment du North Galaxy et l autre dans le site de backup du SPF Finances (South Galaxy) Les services Firewall offrent les fonctionnalités suivantes : Double couche redondante Objet: Présentation générale du contexte ICT Page 54 de 141
ABB-02 : Security Définition et protection des DMZ Intégrité du trafic Web Limitation des sites web indésirables Remote Access pour les agents Détection des intrusions et prévention Fonctionnalités Host-based security Intégrité du trafic mail Fonction Anti-Spam Système DNS sécurisé Out-of-Band Management 3.1.1 Double couche redondante ABB.02-1.1 3.1.1.1 L architecture de la solution est basée sur une configuration de firewalls en deux couches. La fonctionnalité «Double couche redondante de firewall» comprend la partie centrale de l accès internet sécurisé, c est-à-dire les routeurs, firewalls et switches (layer 4/7). Tout accès en provenance de l Internet ou de FedMan et en provenance du réseau interne est à tolérance de panne, redondant et en mode «actif-passif», avec statefull fail-over (firewall pool). Les deux pools émanent de constructeurs différents pour des raisons de sécurité. Access control Authentification des utilisateurs sur base du système d identification actif au sein du SPF Finances «Network address translation» : NAT dynamique et NAT statique. «Statefull inspection» et «Connection control» Auditing/logging/Status/ Version control du SW installé «Content security» : l objectif de ces firewalls sera d analyser intelligemment le trafic IP en tenant à jour les informations d état de la communication et des applications Critères de choix Capacité de faire face à l évolution du trafic. Possibilité d ajouter des interfaces Possibilité de faire face à une demande croissante : augmentation de la RAM, de l espace disque, etc. Indépendance par rapport à la plate-forme HW supportant le FW Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations. Objet: Présentation générale du contexte ICT Page 55 de 141
ABB-02 : Security Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT. 3.1.2 Définition et protection des DMZ ABB.02-1.2 3.1.2.1 La fonctionnalité «Définition et protection des DMZ» englobe tous les composants nécessaires pour pouvoir définir les différentes DMZ en sécurité. Les DMZ suivantes sont définies : Web server DMZ Application server DMZ (nombre à définir : minimum 4) Mail relay DMZ Web relay DMZ Remote Access DMZ DMZ FTP L architecture des réseaux des DMZ est redondante. Une panne d un équipement n empêche pas un système applicatif de trouver un point de connexion fonctionnel dans son local. Définition et protection de DMZ Support de la sécurité des DMZ Critères de Choix Capacité de faire face à l évolution du trafic. Possibilité d ajouter des interfaces Possibilité de faire face à une demande croissante : augmentation de la RAM, de l espace disque, etc. Indépendance par rapport à la plate-forme HW supportant le FW Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du directeur ICT. Objet: Présentation générale du contexte ICT Page 56 de 141
ABB-02 : Security 3.1.3 Intégrité du trafic Web ABB.02-1.3 3.1.3.1 La fonctionnalité «Intégrité trafic web» doit veiller à ce que tout le trafic web en provenance de l Internet, entrant dans le réseau interne du SPF Finances, soit exempt de tous types de «malware» (virus, spyware, worms, trojan, etc.). Les mécanismes d inspection suivants sont possibles : Proxy pour trafic web sortant Reverse Proxy pour trafic web entrant Antivirus sur trafic http/https/ftp entrant Anti-Spyware sur trafic http/https/ftp entrant Protection contre Phishing, malicious codeware, key loggers, back doors and P2P, TCP tunneling, Web email, Instant messaging. Détection des malwares Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT. 3.1.4 Limitation des sites web indésirables ABB.02-1.4 3.1.4.1 Le Service prévoit la possibilité d empêcher les utilisateurs internes du SPF Finances de visiter les sites internet dits indésirables. Il s agit principalement ici des sites pornographiques et sites de jeux, téléchargement de musique, de films La possibilité de limiter l utilisation de l accès à l Internet par les utilisateurs internes existe. Elle repose sur une durée mensuelle maximale et sur des grilles horaires autorisées Le système est en mesure de : travailler sur base de «white list» et de «black list». travailler sur base de quota réguler le trafic sur base de la largeur de bande utilisée bloquer par type de fichier. Définir des polices de contrôle par protocole. Objet: Présentation générale du contexte ICT Page 57 de 141
ABB-02 : Security L interdiction de visiter les sites indésirables peut être inactivée par le gestionnaire DMZ du système de sécurité du SPF Finances, pour certaines personnes individuellement, via LDAP. Les tentatives d accès aux sites indésirables sont conservées pendant une période minimale de un an.. Critères de choix Contrôle du trafic web et support des white et black lists Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT. 3.1.5 Remote Access pour les agents ABB.02-1.5 3.1.5.1 Les utilisateurs externes (remote users) peuvent accéder de façon sécurisée aux réseaux internes du SPF Finances, via l infrastructure de sécurité. Ces utilisateurs sont classés comme suit : Agents du SPF Finances: via IPsec sur le PC propriété du SPF. Administrateurs : IPSEC ou SSL-VPN (https) Partners : VPN-SSL Il existe un mécanisme pour garantir que les fichiers échangés en SSL-VPN sont exempts de virus. Les utilisateurs de ces différentes fonctionnalités sont identifiés et leur activité contrôlée. L utilisateur peut être identifié par une procédure d identification forte : nom d utilisateur + mot de passe + moyen d identification complémentaire assurant un haut niveau de sécurité. Les utilisateurs actuels se répartissent en trois grandes catégories personne physique de nationalité belge personne physique non belge organisations En ce qui concerne les personnes physiques de nationalité belge, la carte d identité électronique (ou un token) peut être utilisée comme moyen d identification complémentaire. Un couplage avec le système d identification interne du SPF Finances (Identity Management) pourra être mis en place. Objet: Présentation générale du contexte ICT Page 58 de 141
ABB-02 : Security L infrastructure VPN offre à l utilisateur, dûment identifié, le moyen d accéder à certaines ressources du réseau interne. Chaque utilisateur n a accès qu aux ressources pour lesquelles il bénéficie d une autorisation d accès. L infrastructure VPN a la capacité de gérer et de contrôler ces autorisations d accès, sur la base d un profil d utilisateur. Critères de choix Accès VPN L accès doit passer par : une terminaison VPN SSL propre pour les partenaires/fournisseurs/clients moyens et grands. des VPN IPSEC pour les télétravailleurs, travailleurs mobiles. Le desktop des utilisateurs est protégé contre les attaques externes lorsqu ils sont connectés au réseau du SPF Finances. La validité des certificats est vérifiée par rapport à une CRL ou via OCSP (idéalement OCSP avec CRL comme fallback). Si le certificat ne peut être validé, le système établit une session SSL qui est redirigée vers une page Web qui affiche le message d erreur approprié. Les CRL sont mis à jour régulièrement (idéalement 3 heures). En cas d utilisation d OCSP pour la validation, l URL OCSP doit être dérivé de l information figurant dans le certificat. Une partie de l information retrouvée dans le certificat sera nécessaire pour l accès à une application web. Le front-end SSL doit être capable de communiquer l information du certificat vers le serveur web. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT. 3.1.6 Détection des intrusions et prévention ABB.02-1.6 3.1.6.1 La fonctionnalité «Intrusion Detection and Prevention» est un des moyens qui sont utilisés pour protéger le réseau interne du SPF Finances contre les attaques visant le réseau, les systèmes et les applications. Ces outils surveillent en permanence le réseau et les hôtes pour déceler toute activité ou tout logiciel suspects, le comparer à la corporate policy, le signaler et si possible le bloquer et/ou le supprimer. La fonctionnalité répond aux exigences techniques suivantes : Ces outils proactifs utilisent des probes disposées «in line» dans l infrastructure de sécurité. Objet: Présentation générale du contexte ICT Page 59 de 141
ABB-02 : Security La possibilité de mettre en place des fonctionnalités de type «honeypot» pour anticiper et arrêter les attaques potentielles contre les serveurs web. Des configurations fail-open peuvent être mises en place (tout peut passer en cas de défaillance de serveur/appliance) et fail-close (tout est arrêté en cas de défaillance de serveur/appliance).. Critères de choix Détection des intrusions et prévention Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT 3.1.7 Fonctionnalités Host-based security ABB.02-1.7 3.1.7.1 En plus de la détection antivirus qui est basée sur des signatures sur les serveurs critiques, il existe une solution de détection et de prévention des intrusions sur les serveurs «host» d une manière pro-active. La solution contrôle l accès à la configuration des systèmes et au système de fichiers, l utilisation de hardware démontable et tout comportement anormal par des utilisateurs et programmes non autorisés. La fonctionnalité répond aux exigences techniques suivantes : Les policies de détection et prévention sont configurables indépendamment l une de l autre. Les mécanismes de détection et de prévention sont configurables de façon modulaire. Tous les services (IP) sont inspectés : le système utilise un mécanisme de type «selflearning» pour détecter les services utilisés dans l architecture du SPF Finances.. Sécurisation des hosts Critères de choix Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Objet: Présentation générale du contexte ICT Page 60 de 141
ABB-02 : Security Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du directeur ICT. 3.1.8 Intégrité du trafic mail ABB.02-1.8 3.1.8.1 La couche «Intégrité trafic mail» veille à ce que tout le trafic mail entrant et sortant, en provenance de l internet et arrivant dans le réseau du SPF Finances, soit exempt de tous types de «malware» (virus,spyware, worms, trojan, etc.). Tous les messages SMTP et leurs pièces jointes transitant sont contrôlés par un antivirus SMTP permettant : l analyse de toutes les pièces jointes susceptibles de véhiculer un virus : (.exe,.com,.sys,.drv,.dll) et documents Word, Excel, Powerpoint, l analyse des archives zip, rar, le rejet éventuel de types de pièces jointes la mise en quarantaine des mails contenant des fichiers attachés interdits. Critères de choix Intégrité des mails Les ne sont pas spécifiés pour des raisons de sécurité et confidentialité Voir documentation détaillée pour ces informations Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF Finances ou du Directeur ICT. 3.1.9 Fonction Anti-Spam ABB.02-1.9 3.1.9.1 Il existe un service de solution d antispam au niveau de la plate-forme firewall qui évite que des mails indésirables ne soient adressés aux fonctionnaires du SPF Finances.. Critères de choix Filtrage des spams Objet: Présentation générale du contexte ICT Page 61 de 141
ABB-02 : Security Antispam : au moins 90% des spams doivent être arrêtés (marqués comme spam) et le nombre de «false positive» doit être inférieur à 1/1.000.000. Les mails détectés comme «possible spam» peuvent être présentés à l utilisateur qui décidera s il veut ou non recevoir ce mail. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurit ICT du SPF- Finances ou du Directeur ICT.. 3.1.10 Système DNS sécurisé ABB.02-1.10 3.1.10.1 La fonctionnalité «Système DNS sécurisé» comprend tous les composants nécessaires pour mettre en place une infrastructure Domain Name Server performante et sûre.. Critères de choix DNS externe (DMZ) Le service DNS externe doit permettre à un utilisateur externe d Internet de localiser, par un nom, les serveurs situés dans la DMZ et destinés à fournir un service au public. Ce service sera couplé au service DNS du Provider, en vue de la distribution des adresses sur Internet. DNS interne. Les fonctionnaires du SPF Finances ont recours à ce service pour localiser, par un nom, les serveurs internes du SPF Finances. Les serveurs internes sont regroupés dans un domaine DNS interne, inconnu d Internet. Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du Directeur ICT.. 3.1.11 Out-of-Band Management ABB.02-1.11 3.1.11.1 Pour pouvoir surveiller et gérer les différents systèmes de réseau et de sécurité, un segment séparé «Out of-band management» est en place. Il est relié à tous les composants par une interface dédiée. Tous les systèmes de gestion nécessaires se trouvent sur ce segment. Objet: Présentation générale du contexte ICT Page 62 de 141
ABB-02 : Security Le ou les réseaux out-of-band network management sont eux aussi protégés par une technologie de firewall à base de statefull inspection. Critères de choix Surveillance et gestion de l infrastructure réseau du firewall Out-Of-Band management firewall Out-Of-Band management LAN (switch) Les Out-Of-Band management servers nécessaires Une documentation détaillée est disponible et détenue de manière confidentielle auprès du SPF Finances chez Mr Leclercq. L accès y est restreint et sujet à approbation de la part du responsable sécurité ICT du SPF- Finances ou du Directeur ICT. Objet: Présentation générale du contexte ICT Page 63 de 141
ABB-02 : Security 3.2 Certification ABB.02-2 Les de certification en usage au sein du SPF Finances s articulent autour de : Certification supportée par le framework CCFF Cache au niveau du Fedict (e-id). 3.2.1 Certification du Framework CCFF 3.2.1.1 Le Framework CCFF a entre autres pour tâche majeure d assurer la sécurité du CCFF par des mécanismes de sécurisation offrant une transparence maximum et des besoins en développements spécifiques au niveau des applications réduits voir inexistants. Stratégie SPF Finances API mise à disposition pour l accès et l usage des certificats Service de Caching offert par rapport au Fedict / e-id. «Architecture CCFF» Section 10.10.5 Module de Sécurité 3.2.1.2 Evolution souhaitée A l avenir on visera une intégration plus poussée du cadre CCFF avec l IAM. La Version 2.19 du cadre CCFF comprend une intégration initiale. Objet: Présentation générale du contexte ICT Page 64 de 141
ABB-02 : Security 3.3 Authentication ABB.02-3 Les d Authentification sont assurés par : Le Service LDAP La solution Identity Access Management. 3.3.1 Service LDAP de IAM. 3.3.1.1 Le Framework a entre autres pour tâche majeure d assurer la sécurité du CCFF par des mécanismes de sécurisation, offrant une transparence maximum et une réduction voir élimination des besoins en développements spécifiques au niveau des applications. La solution LDAP est peuplée par la solution IAM et mise à jour pour les agents externes mais travaillant au sein du SPF Finances (consultants). Production : authentication access schema Company Social Security Portal HTTPS wwwsocialsecurity.be Federal Portal HTTPS www.belgium.be CCFF Framework 2005 Users Citizen Certificate EID Fedict Range 212.113.77.0/25 OCSP Server HTTP (80) HTTPS (443) DNS Belnet 193.190.198.2 193.190.198.10 DNS (53) Smals-mvm t3://193.178.202.134 t3://193.178.202.137:8090 (8090) webservice 193.191.242.140 D M Z Firewall CCFF web server (Apache) Firewall Validations CCFF (signature,..) Proxy access (8080) Authentication process UserName/Password Users (Internal only) CCFF MinFin UserName/ EID Citizen Company Certificate Password LDAP 10.2.30.208 DB mandate Manager Figure 13: Authentication CCFF Objet: Présentation générale du contexte ICT Page 65 de 141
ABB-02 : Security La sécurisation des accès au CCFF est déléguée à IAM. La sécurisation des accès aux services fournis par CCFF est déléguée à IAM. La sécurisation de la session utilisateur. La sécurisation des flux de données. Sécurisation des accès au CCFF. L accès aux applications intégrées au CCFF est protégé par un système d authentification unique (single sign-on) et non-ambigu. Il y a 2 mécanismes distincts d authentification, selon la nature de l utilisateur : o Utilisateurs internes : basée sur le serveur LDAP ment opérationnel pour le mail interne du SPF Finances et mis à jour par IAM. A terme authentification via IAM o Utilisateurs externes (citoyens) : basée sur certificats PKI Cette authentification est réalisée sur base de l environnement PKI de la SMALS. Sécurisation des accès aux services fournis par CCFF. La sécurité est basée sur la définition d un profil qui est associé à chaque utilisateur. Ce profil définit les fonctionnalités auxquelles l utilisateur pourra accéder ainsi que la nature des données qu il peut consulter. Ces profils utilisateurs sont mémorisés au niveau du serveur LDAP utilisé pour l authentification des utilisateurs internes. Tout utilisateur inconnu du LDAP recevra un profil par défaut. A terme cette sécurisation sera déléguée à l IAM. L identification des utilisateurs est entièrement et uniquement gérée au sein du CCFF. Elle n est jamais propagée vers les applications extérieures avec lesquelles le CCFF interagit. C est le CCFF lui-même qui sera authentifié auprès de celle-ci et qui gèrera les droits de ses utilisateurs. Sécurisation de la session utilisateur. Dès qu il est authentifié, l utilisateur a accès au CCFF dans le cadre d une session. Lorsqu il quitte CCFF, la session est clôturée. Après un temps d inactivité, la session est automatiquement rompue et l utilisateur doit à nouveau s authentifier. Un suivi très précis des actions effectuées au sein du CCFF par l utilisateur est réalisé par l intermédiaire d une journalisation systématique de toutes les interactions fonctionnelles utilisateur/ccff. Ce module de journalisation inclut un système d administration qui permet de gérer son état (activation, désactivation). Sécurisation des flux de données. La protection des flux de données contient deux volets. Le premier permet de garantir l émetteur des données grâce à la Objet: Présentation générale du contexte ICT Page 66 de 141
ABB-02 : Security signature électronique PKI. Ce module devra donc permettre de signer les données à émettre et de vérifier la signature de données reçues. Le deuxième volet doit assurer la confidentialité totale ou partielle des données échangées durant certaines phases des applications. De manière plus précise, il s agit ici d éviter que certaines informations ne soient véhiculées en clair sur le média de communication, en particulier les données introduites par les utilisateurs durant la phase d identification. «Architecture CCFF» Section 10.10.5 Module de Sécurité «TOW Sécurité : authentification et mandats» - Document de de fonctionnement 3.3.1.2 Evolution souhaitée A terme, la sécurisation des accès aux services fournis par CCFF sera déléguée à l IAM. La version 2.19 du framework CCFF est un premier pas vers cet objectif futur. Objet: Présentation générale du contexte ICT Page 67 de 141
ABB-02 : Security 3.4 Autorisation ABB.02-4 Les services d autorisation permettent la gestion des accès aux diverses applications ou fonctionnalités et reposent sur les divers services de Certification et d Authentification. Au sein du SPF Finances ces services sont : Autorisation LDAP Identity Access Management (IAM) 3.4.1 Autorisation LDAP 3.4.1.1 Cette solution «legacy» est basée sur l infrastructure LDAP du SPF Finances qui assure l authentification et une partie des autorisations sur base des informations disponibles.. 3.4.1.2 Evolution souhaitée Le but est d utiliser le plus possible les policy agents pour l authentification, car ils permettent tout de suite d implémenter facilement et uniformément le SSO. Le policy agent répond aux impératifs de sécurité du SPF Finances. Pour les applications qui ne peuvent faire appel au policy agent ou pour les produits commerciaux prêts à l emploi que l on ne peut modifier, il existe aussi une possibilité d authentification via le serveur LDAP corporate, avec un proxy-user. Cette méthode présentant des inconvénients en termes de sécurité, elle ne sera acceptée que si l intégration à l aide du policy agent n est pas possible. Objet: Présentation générale du contexte ICT Page 68 de 141
ABB-02 : Security 3.5 Virus Protection ABB.02-5 3.5.1 Les «Virus Protection» assurent la protection des stations de travail et serveurs du SPF Finances. Critères de choix McAfee Les dernières versions des programmes et définitions de virus sont déployées sur tous les postes de travail via SMS. 3.5.2 Evolution souhaitée La protection anti-virus repose sur trois piliers Protection anti-virus des postes de travail et des serveurs Protection anti-virus au niveau de l IAS (voir 3.1.3 Intégrité du trafic Web et 3.1.8 Intégrité du trafic Mail) Protection anti-virus au niveau de la messagerie Objet: Présentation générale du contexte ICT Page 69 de 141
ABB-02 : Security 3.6 Identity et Access Management ABB.02-6 La plate-forme IAM met en place quatre grands blocs de services destinés aux applications du SPF Finances : Authentification / Web SSO Autorisation Provisioning Logging centralisé Pour la gestion et l implémentation de ces services, il existe des outils ou des cookbooks qui permettent de procéder avec un maximum d efficacité. Figure 14: SPF Finances - IAM 3.6.1 Authentification 3.6.1.1 : Objet: Présentation générale du contexte ICT Page 70 de 141
ABB-02 : Security et produits utilisés La plate-forme IAM offre plusieurs services d authentification : Authentification par policy agent Authentification par rapport au serveur LDAP Single Sign On Sun Java System Access Manager 7.1 Sun Java System Identity Manager 7.1 Sun Java System Directory Server 5.2 sp4 Sun Java System Directory Proxy Server 5.2 Sun Java System Application Server 9.1 Sun Java System Message Queue 4.1 Sun Java System Access Manager Policy Agents 2.2 Sun Java System Webserver 7.0 upd 1 Solaris 10 -- 12.00.11-14 Authentification par policy agent (applications Internet) Le policy agent est un firewall applicatif qu on installe sur le serveur Internet ou sur le serveur d applications. Il aiguille toutes les requêtes entrantes vers le gestionnaire d accès, où l on vérifie si la personne en question est déjà authentifiée. Dans la négative, l intéressé doit se réauthentifier. L utilisation du policy agent pour l intégration avec IAM bénéficie de la préférence. Le policy agent est disponible pour la plupart des serveurs Internet ment disponibles sur le marché. Pour la liste complète : voir le site de Sun Microsystems http://www.sun.com/download/index.jsp?cat=identity%20management&ta b=3 Authentification LDAP standard Objet: Présentation générale du contexte ICT Page 71 de 141
ABB-02 : Security Pour les applications qui ne peuvent faire appel au policy agent ou pour les produits commerciaux prêts à l emploi que l on ne peut modifier, il existe aussi une possibilité d authentification via le serveur LDAP corporate, avec un proxy-user. Cette méthode présentant des inconvénients en termes de sécurité, elle ne sera acceptée que si l intégration à l aide du policy agent n est pas possible. Single Sign On Lorsqu on utilise le policy agent pour les applications Internet, il s agit du SSO prêt à l emploi. Les conditions sont au nombre de trois : Un policy agent doit être disponible pour la plate-forme et installé. Le serveur doit être à même de traiter les requêtes http qui utilisent un FQDN. Il faut une connectivité entre le policy agent et le framework IAM. On peut également passer par l API SSO Java. A ce sujet, adressez-vous toujours au team IAM. : SSO Cookbook Docs.Sun.Com policy agent cookbook Docs.Sun.Com api documentation 3.6.1.2 Evolution souhaitée Le but est d utiliser le plus possible les policy agents pour l authentification, car ils permettent tout de suite d implémenter facilement et uniformément le SSO. Les policy agents répondent aux impératifs de sécurité du SPF Finances. 3.6.2 Autorisation 3.6.2.1 :. Coarse grained access control Fine grained access control Rule based access control Role based access control RBAC -1 Policy Manager Objet: Présentation générale du contexte ICT Page 72 de 141
ABB-02 : Security et produits utilisés Sun Java System Access Manager 7.1 Sun Java System Directory Server 5.2 sp4 Sun Java System Directory Proxy Server 5.2 Sun Java System Application Server 9.1 Sun Java System Message Queue 4.1 Sun Java System Access Manager Policy Agents 2.2 Sun Java System Webserver 7.0 upd 1 Solaris 10 -- 12.00.11-14 Objet: Présentation générale du contexte ICT Page 73 de 141
ABB-02 : Security La plate-forme IAM supporte plusieurs formes de contrôle d accès, paramétrables au niveau du Policy Manager. Policy Manager est une application écrite sur mesure par Sun pour le SPF Finances. Elle se superpose à Access Manager et Identity Manager. Son but est de simplifier la gestion des matrices d accès en introduisant les utilisateurs business. Coarse Grained Access Control (contrôle d accès large) Course Grained Access Control signifie que dans Policy Manager, il est possible d imposer des restrictions d accès au niveau de l URL ou d une partie d URL. Fine Grained Access Control (contrôle d accès fin) Par ailleurs, il est possible de faire appel à une API Java pour le contrôle d accès fin, par exemple au niveau de la transaction business. Dans ce cas, outre les données de l utilisateur, l appel contient aussi les données de la transaction ainsi que d éventuels paramètres. Un sous-ensemble de cette API Java est aussi implémenté dans le CCFF Framework. Par ce biais, il peut être sollicité directement pour toutes les applications qui tournent sur cette plate-forme. Role & Rule Based Access Control (contrôle d accès à base de rôles et règles) Dans la matrice d accès de Policy Manager, les rôles applicatifs sont associés à des restrictions en termes d URL ou à des transactions business pour une application. Par extension, il est possible d associer des conditions aux transactions business. Un exemple : un utilisateur ne peut exécuter la transaction business X que s il revêt le rôle applicatif de gestionnaire de dossier junior et que la juridiction de son bureau correspond à celle du dossier. Les rôles peuvent être alloués sur la base des attributs du profil de l utilisateur final. RBAC-1 A la demande des applications, on a développé dans le cadre du projet IAM une application qui permet aux autres de demander au système IAM quels utilisateurs disposent de droits suffisants pour accomplir une action donnée. Autorisation pour les applications prêtes à l emploi Les applications prêtes à l emploi peuvent utiliser les groupes LDAP ou AD pour l autorisation. Au départ de Identity Manager, ces groupes peuvent être automatiquement constitués dans LDAP et Active Directory. Objet: Présentation générale du contexte ICT Page 74 de 141
ABB-02 : Security IAM integration document Access Manager documentation on docs.sun.com Manuel policy manager (en préparation développement) 3.6.2.2 Evolution souhaitée Le contrôle d accès fin est considéré comme la méthode privilégiée pour les applications sur mesure du SPF Finances. Le contrôle d accès large offre quant à lui une solution pour la protection des applications Internet COTS. 3.6.3 Provisioning 3.6.3.1. Provisioning des données utilisateur vers les différents systèmes cibles. Self-service pour la réinitialisation des mots de passe Sun Java System Directory Server 5.2 sp4 Sun Java System Directory Proxy Server 5.2 Sun Java System Identity Manager 7.1 Sun Java System Application Server 9.1 Sun Java System Message Queue 4.1 Sun Java System Webserver 7.0 upd 1 Oracle 10.2.0.1.0 PostgreSQL 8.1.4 Solaris 10 -- 12.00.11-14 Objet: Présentation générale du contexte ICT Page 75 de 141
ABB-02 : Security Mise à disposition (provisioning) des données utilisateurs Deux fois par jour, la base de données du personnel est synchronisée avec le système IAM. Tous les changements intervenus dans la base de données sont automatiquement répercutés dans les systèmes cibles connectés. Actuellement, le système IAM alimente en standard le LDAP fédéral, le LDAP corporate, le LDAP du système de messagerie et l Active Directory. Il est possible d inclure d autres systèmes dans cette chaîne de provisioning. Le provisioning est assuré à l aide de connectors. Il existe ment une longue série de connectors destinés à différents systèmes cibles. Leur liste est disponible sur le site Internet de Sun Microsystems. Au besoin, on pourra aussi développer un connector sur mesure. Il faut toujours consulter le team IAM pour savoir si un système peut prétendre au provisioning. Le but n est pas de mettre en place une série de systèmes parallèles. On préfère toujours intégrer une application sur une plate-forme existante. Si le provisioning s impose, il convient de s adresser au team IAM. La meilleure solution sera étudiée cas par cas. Le logiciel utilisé à cette fin est Sun Identity Manager. Self-service pour la réinitialisation des mots de passe Les utilisateurs ont la possibilité de réinitialiser eux-mêmes leur mot de passe à l aide d un système de question et réponse challengeresponse. Docs.sun.com : Identity Manager & liste des connectors disponibles 3.6.3.2 Evolution souhaitée Le SPF Finances vise à intégrer le provisioning pour un maximum de systèmes. 3.6.4 Centrale Logging & Audit Objet: Présentation générale du contexte ICT Page 76 de 141
ABB-02 : Security 3.6.4.1. Tenue centralisée de l access logging Tenue centralisée du logging pertinent pour l audit Sun Java System Access Manager 7.1 Sun Java System Directory Server 5.2 sp4 Sun Java System Directory Proxy Server 5.2 Sun Java System Application Server 9.1 Sun Java System Message Queue 4.1 Sun Java System Access Manager Policy Agents 2.2 Sun Java System Webserver 7.0 upd 1 Solaris 10 -- 12.00.11-14 Access logging (journalisation de l accès) centralisé Access Manager journalise automatiquement l accès à toutes les applications intégrées sur la plate-forme IAM. L intégration du policy agent suffit à cet effet. L utilisation de l API IAM logging permet d enregistrer dans les journaux des informations complémentaires utiles. A cet effet, un champ de 1024 caractères est disponible par action. Les directives à appliquer concrètement sont exposées dans le document de l interface IAM logging. Journalisation centrale utile à des fins d audit Une partie des transactions journalisées des systèmes intégrés qui peuvent servir aux audits peut être centralisée sur la plate-forme IAM. Ces informations des journaux sont limitées en taille. Elles doivent respecter un format déterminé, également décrit dans le document de l interface. IAM Logging interface document 3.6.4.2 Evolution souhaitée Le SPF Finances vise une intégration maximale des fonctionnalités de logging et d auditing. Objet: Présentation générale du contexte ICT Page 77 de 141
ABB-03 : Communication & Integration 4. ABB-03 : Communication & Integration Objet: Présentation générale du contexte ICT Page 78 de 141
ABB-03 : Communication & Integration 4.1 Directory ABB-03-1 Les «Directory» fournissent un dépôt central d informations au niveau des ressources dans le réseau. Les exemples de ressources incluent les serveurs de fichiers, disques, applications, utilisateurs et stockages, etc. Les caractéristiques ou attributs associés à une ressource peuvent inclure nom, adresse réseau et date de création. Les Directory reposent sur l existence d une convention de nomenclature pour les ressources réseau. L utilisation d un modèle de nomenclature cohérent permet l accès à une ressource par son nom, même si une caractéristique telle que sa localisation a été modifiée. Les Directory comprennent : DNS WINS Active Directory 4.1.1 Domain Name System (DNS) ABB-03-1.1 4.1.1.1 Le Domain Name System (ou DNS, système de noms de domaine) est un système permettant d établir une correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une information à partir d un nom de domaine. Le SPF Finances utilise ment deux serveurs DNS internes sous le contrôle de Windows 2003 SP1. Ces deux serveurs ne sont pas intégrés dans l Active Directory. Ils sont appelés FNGSVADIPS01 (serveur DNS primaire) et FNGSVADIPS02 (serveur DNS secondaire). Les zones sont stockées dans le registry. L enregistrement automatique des hôtes (p.ex. PC) n est pas autorisé. Il n y a donc pas de DDNS (dynamic DNS) en activité. DNS Naming Service, Domain Name Service, 2 MS Windows DNS Servers IP address 10.20.129.20 and 10.128.200 in a primary, secondary configuration HP document» DHCP-Wins-DNS-AD detailed design IP services 4.1.1.2 Evolution souhaitée Dans une perspective d avenir, il peut être intéressant d évoluer vers les zones intégrées Active Directory. L activation de DDNS est à envisager. Objet: Présentation générale du contexte ICT Page 79 de 141
ABB-03 : Communication & Integration 4.1.2 Windows Internet Naming (Wins) ABB-03-1.2 4.1.2.1 WINS (Windows Internet Naming Service) est un serveur de noms et services pour les ordinateurs utilisant NetBIOS. C est un dépôt central d informations (base de données), auquel un client voulant contacter un ordinateur sur le réseau peut envoyer des requêtes pour trouver l adresse IP à joindre, plutôt que d envoyer une requête globale (à tout le monde - broadcast - ) pour demander l adresse à contacter. Le système réduit alors le trafic global sur le réseau Comme décrit dans le document Global IP Design l infrastructure WINS tournera sur 2 systèmes centraux, FNGSVADIPS01 (10.20.129.20) et FNGSVADIPS02 (10.20.128.200). Ces systèmes supporteront la résolution générale des noms NetBIOS : Support de Legavy et des clients MS de bas niveau comme NT4/Win98/95/MSDos. Support de l intégration du nouvel environnement AD avec les domaines hérités NT4 et W2K ment en place au SPF Finances. Support des applications héritées qui utilisent encore l API NetBIOS. WINS NetBios Comme décrit dans Global IP Design, l infrastructure WINS tournera sur 2 systèmes centraux, FNGSVADIPS01 (10.20.129.20) et FNGSVADIPS02 (10.20.128.200). Ces systèmes supporteront la résolution générale des noms NetBIOS : Support de Legacy et des clients MS de bas niveau comme NT4/Win98/95/MSDos Support de l intégration du nouvel environnement AD avec les domaines hérités NT4 et W2K ment en place au SPF Finances. Support des applications héritées qui utilisent encore l API NetBIOS. 2 serveurs MS Windows WINS : 10.20.129.20 et configuration push-pull 10.128.200. HP document» DHCP-Wins-DNS-AD detailed design IP services 4.1.2.2 Evolution souhaitée Pas de plans. Encore provisoirement réservé au support des systèmes hérités. Objet: Présentation générale du contexte ICT Page 80 de 141
ABB-03 : Communication & Integration 4.1.3 Active Directory ABB-03-1.3 4.1.3.1 Le SPF Finances dispose d une architecture Active Directory simple : un Active Directory single forest, single domain, basé sur le système d exploitation Windows 2003 SP1. Le domaine/forêt s appelle finbel.intra. Six (6) contrôleurs de domaine sont répartis sur deux sites, CHUB1 et CHUB2. La réplication interne a lieu toutes les 15 minutes et la réplication intersite toutes les 2880 minutes (2 jours). L organisation des organizational units (OU) est relativement standard. Tous les utilisateurs font partie d une OU provisionnée par IAM (Identity and Access Management). Logon services File/print services Application services 6 contrôleurs de domaine sur 2 sites (CHUB 1 et CHUB 2) Document HP : DHCP-WINS-DNS-AD Detailed design Active Directory Architecture (24 mars 2004) 4.1.3.2 Evolution souhaitée On utilise ment une implémentation Active Directory de base. On prévoit la mise en service d outils de gestion avancée pour le support des groupes, des sauvegardes/restaurations des objets Active Directory ainsi que pour la gestion des policies. Une intégration plus poussée à Identity and Access Management est également prévue pour la gestion des groupes. Objet: Présentation générale du contexte ICT Page 81 de 141
ABB-03 : Communication & Integration 4.2 Messaging & Events ABB-03-2 Les Messaging & Events permettent à plusieurs applications du SPF Fin d échanger des données en passant par une API standardisée. Les composants de messagerie fournissent les services suivant: Une abstraction sur le serveur d applications. Une recherche de topic et queue. Un mécanisme de renvoi automatique des messages Un mécanisme d abonnement aux messages (publish-subscribe) 4.2.1 Java Message ABB-03-2.1 4.2.1.1 Cette couche d abstraction permet d éviter des particularités (au niveau des contextes) de JBoss et Weblogic. Toutes les nouvelles applications qui envoient des messages DOIVENT passer par cette couche. Le module d abstraction sur le serveur d applications est disponible au sein du framework. les objets de transfert (Message et les classes qui en héritent, Topic, Queue, Destination) les interfaces CCFFSender et CCFFReceiver. une factory MessagingFactory pour obtenir les instances des interfaces JMS. http://infrastructure.finbel.intra/xwiki/bin/view/ccff/messaging 4.2.1.2 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. 4.2.2 Recherche de topic et queue ABB-03-2.2 4.2.2.1 Ce composant permet l obtention après vérification des paramètres d une destination. On fournit un nom de destination (topic ou queue) et le nom de la «connection factory» pour obtenir la destination. Si besoin est, les paramètres d authentification peuvent également être fournis. Si les paramètres sont incorrects ou que la destination n est pas disponible, une JMSException est jetée. De cette manière, on peut vérifier avant de démarrer des actions «business» que le mécanisme de messagerie est OK. Objet: Présentation générale du contexte ICT Page 82 de 141
ABB-03 : Communication & Integration Le module de recherche de destination est accessible aux applications client... JMS http://infrastructure.finbel.intra/xwiki/bin/view/ccff/ps http://infrastructure.finbel.intra/xwiki/bin/view/ccff/messaging 4.2.2.2 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. 4.2.3 Renvoi Automatique ABB-03-2.3 4.2.3.1 Ce service permet de renvoyer automatiquement les messages en cas d échec lors du premier essai. Le module de ré-essai est accessible aux applications client. Les API pour les applications client Une application Web qui ne sert qu à lancer le mécanisme de renvoi Un module dans l application d administration JMS. http://infrastructure.finbel.intra/xwiki/bin/view/ccff/messaging 4.2.3.2 Evolution souhaitée Le ré-essai est (jusqu à présent) synchrone. C est un problème potentiel si beaucoup de messages ont échoué vers une même destination. Un MDB serait plus adéquat. Objet: Présentation générale du contexte ICT Page 83 de 141
ABB-03 : Communication & Integration 4.2.4 Publish-Subscribe Message ABB-03-2.4 4.2.4.1 Ce composant consiste en une surcouche sur le publish & subscribe JMS. Elle apporte quelques simplifications et permet d y introduire une logique propre au SPF Finances.. JMS. http://infrastructure.finbel.intra/xwiki/bin/view/ccff/ps 4.2.4.2 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. Objet: Présentation générale du contexte ICT Page 84 de 141
ABB-03 : Communication & Integration 4.3 e-mail ABB-03-3 e-mail supporte la messagerie électronique one-to-one (messagerie entre 2 personnes), one-tomany (émission de masse, publication de nouvelles ou messagerie vers des groupes), ou la messagerie d une application vers une personne et vice versa (utilisé par exemple dans l intégration de workflow avec les systèmes de messagerie). Les E-mail comprennent: un mail client, un mail server potentiellement un mail gateway. 4.3.1 Mail Client ABB-03-3.1 4.3.1.1 Le composant client mail accepte les mails depuis et envoie les mails vers le composant mail serveur. Les messages E-Mail sont généralement encodés en texte ASCII mais peuvent répondre au même besoin pour des fichiers de type non-texte, tels que des images et graphiques, des fichiers son, des documents divers qui sont envoyés en tant qu attachement en mode binaire. Recevoir les mails entrants depuis le serveur mail Fournir une interface utilisateur permettant de parcourir, classer et faire suivre les e-mails reçus. Fournir une interface utilisateur pour la création de nouveaux e- mails et spécifier les noms et adresses des récepteurs Envoyer les mails en partance vers le serveur mail pour routage vers les récepteurs. VIM, MAPI, CMC API, SMTP, X.400 MHS, POP3, SNADS, Internet Message Access Protocol, and MIME. Les clients E-Mail en place au sein du SPF Finances sont: L interface Web standard offerte par le produit en place L utilisation de client POP3 ou IMAP4 4.3.1.2 Evolution souhaitée La plate-forme électronique mail sera renouvelée en 2009. Les clients supportant la plate-forme to-be devront avant tout être faciles à utiliser. Objet: Présentation générale du contexte ICT Page 85 de 141
ABB-03 : Communication & Integration 4.3.2 Mail Serveur ABB-03-3.2 4.3.2.1 Le composant Mail serveur contrôle le routage, l échange et la livraison des e-mails. Il met à disposition des options tel que les «blind copies», confirmation de délivrance, confirmation de réception, cryptage des e-mails et authentification de l expéditeur ; et il fournit l analyse de «meilleur chemin de routage» ainsi que le support de tolérance aux pannes. Les services offerts supportent la messagerie de personne à personne et ne sont pas prévus pour le support métier d applications. Stockage et gestion des inbox des utilisateurs au niveau du serveur Envoi de mails depuis les inbox serveur vers les clients mail à la demande. Réception des out-bound mails depuis les clients mails. Routage des out-bound mails vers d autres inboxes des récepteurs sur le même serveur ou vers d autres serveurs mail ou un Gateway Mail. Gestion de liste de distribution partagée VIM, MAPI, CMC API, SMTP, X.400 MHS, POP3, SNADS, Internet Message Access Protocol, and MIME. La version utilisée est SJES (Sun Java Enterprise System) 2005Q1 pour l e-mail, le calendrier et le directory server. Sun Java System Messaging Server (version 2005Q1, upgrade à Q4 en préparation) Messagerie évolutive et sécurisée pour entreprises et fournisseurs de services Intégrée au Sun Java[tm] System Calendar Server Accès à l e-mail via clients multiples, y compris Sun Webmail Support des dossiers partagés personnels, publics et distribués ; fonctions de vérification orthographique Intégrée à Java System Directory Server et Java System Access Manager pour la gestion des utilisateurs Support des standards tels que IMAP4, POP3, SMTP, SNMP, LMTP, LDAP et d autres API publiées pour l extension et la customisation des services de messagerie. Fiche technique : http://www.sun.com/software/products/messaging_srvr/ds_messaging. xml Objet: Présentation générale du contexte ICT Page 86 de 141
ABB-03 : Communication & Integration 4.3.2.2 Evolution souhaitée Au SPF Finances comme ailleurs, la messagerie électronique est devenue un outil de communication indispensable, tant au niveau interne que dans les relations avec l extérieur. Le contrat couvrant la plateforme de messagerie prend fin en 2009. La future plate-forme devra se conformer aux normes du marché et se montrer suffisamment robuste pour supporter le grand nombre d utilisateurs du SPF Finances. Objet: Présentation générale du contexte ICT Page 87 de 141
ABB-03 : Communication & Integration 4.4 Collaboration ABB-03-4 Les de Collaboration sont des services facilitant la communication et la collaboration des personnes. Mise en place d une plate-forme de travail collaboratif de type portail. Elle comprendra notamment les outils de : Calendrier (calendrier personnel et calendrier de groupe) Lightweight Document Management Moteur de recherche Groupes de discussions forums Mail client Tasks White-board Note-board Polls Présence en ligne chat Instant messaging Foire aux questions Communautés Technologies de type portail Portail général d accès basé sur un WebOs 4.4.1 Service Calendrier ABB-03-4.1 4.4.1.1 Le portlet de calendrier intégré dans la plate-forme exo permettra à chaque utilisateur de pouvoir gérer son agenda, mais également de pouvoir, via la même interface, collaborer en termes de planning avec les membres du groupe auquel il appartient, mais également le cas échéant avec des utilisateurs d autres groupes. Totalement intégrée (il s agit d un portlet accessible au moyen du portail général d ExoPlatform), l agenda permettra à chaque utilisateur de gérer son agenda, de gérer également ses ressources (au travers de la gestion des tâches qui y est intégrée). Développée en Ajax, son interface intuitive permettra une appropriation aisée par les utilisateurs. Extrêmement riche en fonctionnalités, il propose par défaut les fonctionnalités suivantes : Agendas publics privés options free-buzy partage d agenda (partage d un agenda par l utilisateur avec tout le monde, un ou plusieurs utilisateurs, un ou plusieurs groupes) Vision immédiate, à travers la même interface, des calendriers des membres du groupe, d un ou de plusieurs personnes Objet: Présentation générale du contexte ICT Page 88 de 141
ABB-03 : Communication & Integration Interface offrant une vision homogène et consolidée de plusieurs agendas.mini-calendrier (qui facilite la navigation) Recherche d événements, de tâches Import-export aux formats standard Synchronisation d agenda Vue multi-agendas Catégorisation des événements Rappel d événements et de tâches par e-mail et messagerie instantanée avec prise en compte des fuseaux horaires Affichage multiple du calendrier : jour, semaine, mois, vue générale avec tâches et événements Affichage via une interface intuitive et rapide, développée en Ajaxet basée sur le concept de WebOS (virtualisation du desktop) Verrouillage de plages Invitations Notification par mail alerte rappel Choix automatique de plages libres communes parmi plusieurs calendriers d utilisateurs d un même groupe Recherche avancée Gestion et partage des agendas et planning Ical, WCAP (Web Calendar Access Protocol), caldav Objet: Présentation générale du contexte ICT Page 89 de 141
ABB-03 : Communication & Integration En cours de réalisation (démarrage du projet pilote le 17 novembre 2007) ExoPlatform : portlet Calendar Le portlet de calendrier intégré dans la plate-forme exo permettra à chaque utilisateur de pouvoir gérer son agenda, mais également de pouvoir, via la même interface, collaborer en termes de planning avec les membres du groupe auquel il appartient, mais également le cas échéant avec des utilisateurs d autres groupes. Totalement intégrée (il s agit d un portlet accessible au moyen du portail général d ExoPlatform), l agenda permettra à chaque utilisateur de gérer son agenda, de gérer également ses ressources (au travers de la gestion des tâches qui y est intégrée). Développée en Ajax, son interface intuitive permettra une appropriation aisée par les utilisateurs. Fiche technique : www.exoplatform.org (documentation générale), wiki.exoplatform.org (documentation technique) 4.4.1.2 Evolution souhaitée La plate-forme de collaboration fait partie de l architecture intégrée de gestion des connaissances. Le but est de créer par phases une plate-forme de collaboration pour la mettre à la disposition de plusieurs services du SPF Finances, dans le prolongement des projets expérimentaux menés à bien ces dernières années. 4.4.2 Lightweight Document Management ABB-03-4.3 4.4.2.1 4.4.2.2 Evolution souhaitée Pas définie en ce moment. Objet: Présentation générale du contexte ICT Page 90 de 141
ABB-03 : Communication & Integration 4.4.3 Moteur de recherche ABB-03-4.4 4.4.3.1 4.4.3.2 Evolution souhaitée Pas définie en ce moment. 4.4.4 Groupes de discussions forums ABB-03-4.5 4.4.4.1 4.4.4.2 Evolution souhaitée Pas définie en ce moment. 4.4.5 Mail client ABB-03-4.6 4.4.5.1 ABB Décrit au niveau ABB-03-3.1 4.4.6 Tasks ABB-03-4.7 4.4.6.1 Objet: Présentation générale du contexte ICT Page 91 de 141
ABB-03 : Communication & Integration 4.4.6.2 Evolution souhaitée Pas définie en ce moment. 4.4.7 White-board Note-board ABB-03-4.8 4.4.7.1 <Une petite description de la fonctionnalité en place> 4.4.7.2 Evolution souhaitée Pas définie en ce moment. 4.4.8 Polls ABB-03-4.9 4.4.8.1 Objet: Présentation générale du contexte ICT Page 92 de 141
ABB-03 : Communication & Integration 4.4.8.2 Evolution souhaitée Pas définie en ce moment. 4.4.9 Présence en ligne ABB-03-4.10 4.4.9.1 4.4.9.2 Evolution souhaitée Pas définie en ce moment. 4.4.10 chat Instant messaging ABB-03-4.11 4.4.10.1 4.4.10.2 Evolution souhaitée Pas définie en ce moment. Objet: Présentation générale du contexte ICT Page 93 de 141
ABB-03 : Communication & Integration 4.4.11 Foire aux questions ABB-03-4.12 4.4.11.1 4.4.11.2 Evolution souhaitée Pas définie en ce moment. 4.4.12 Communautés ABB-03-4.13 4.4.12.1 4.4.12.2 Evolution souhaitée Pas définie en ce moment. 4.4.13 Technologies de type portail ABB-03-4.14 4.4.13.1 Objet: Présentation générale du contexte ICT Page 94 de 141
ABB-03 : Communication & Integration 4.4.13.2 Evolution souhaitée Pas définie en ce moment. 4.4.14 Portail général d accès basé sur un WebOs ABB-03-4.15 4.4.14.1 4.4.14.2 Evolution souhaitée Pas définie en ce moment. Objet: Présentation générale du contexte ICT Page 95 de 141
ABB-03 : Communication & Integration 4.5 Integration ABB-03-5 Integration comprend les building blocks requis pour mettre en place un service d intégration d applications avec d autres applications ou systèmes d autres lignes de business. On y retrouve généralement: Les services EAI Les Enterprise Bus Les outils ETL 4.5.1 ETL ABB.03-5-1 4.5.1.1 Les d Extract Transform and Load (ETL) sont supportés par la plate-forme IBM WebSphere Information Server et des composants : ProfileStage MetaStage DataStage QualityStage 4.5.1.1.1 ProfileStage ProfileStage est un outil de reverse engineering de métadonnées. ProfileStage analyse les données pour générer les métadonnées. Les résultats du profiling, obtenus à l aide des données de ProfileStage, se composent de descriptions de structure et de transformations. ProfileStage permet de générer un modèle de données correct et cohérent : les erreurs et incohérences (des métadonnées) dans les données source sont détectées avant les phases ETL proprement dites (plutôt qu a posteriori, ce qui entraîne un développement ETL récursif). A partir des résultats de l analyse de profiling, il est possible de créer les jobs DataStage nécessaires pour transformer les données sources en une structure de métadonnées correcte. ProfileStage est intégré dans la plate-forme d intégration Websphere Data Integration. Cela signifie que les métadonnées peuvent être échangées avec MetaStage. ProfileStage est un outil destiné au stade de la conception (design) ; il n est pas utilisé lors des tests ni en production. 4.5.1.1.2 Metastage Outil pour gestion des métadonnées MetaStage utilise des connecteurs propres à chaque outil pour l importation des métadonnées.ces connecteurs sont appelés Metabrokers et existent en standard pour des produits multiples. MetaStage est utilisé à toutes les phases de tous les projets partiels du processus de data warehouse. 4.5.1.1.3 DataStage DataStage est le composant central de la suite ETL. DataStage applique une interprétation graphique dans ses solutions d intégration des données (extraction, intégration et transformation de gros volumes Objet: Présentation générale du contexte ICT Page 96 de 141
ABB-03 : Communication & Integration de données, avec des structures de données simples à complexes). L intégration des données en temps réel est possible. 4.5.1.1.4 QualityStage QualityStage soumet les données à des transformations qui en améliorent la qualité : Investigation : Analyse lexicale pour convertir le contenu libre d un champ en structure fixe. Standardisation : Conversion des termes en d autres termes équivalents mais standardisés (p.ex. Avenue -> Ave., Monsieur -> M. ) Data Matching : Détermine si des données légèrement différentes concernent le même objet. Data Survivorship : Supprime des enregistrements légèrement différents qui décrivent les mêmes objets. A partir d une analyse statistique, on examine si les enregistrements peuvent être considérés comme identiques ou non. DataModel Reverse Engeneering DataConnectivity DataIntegration DataQuality WebSphere Information Management Server ProfileStage MetaStage DataStage QualityStage 4.5.1.2 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. Objet: Présentation générale du contexte ICT Page 97 de 141
ABB-04 : Generic Applications 5. ABB-04 : Generic Applications Objet: Présentation générale du contexte ICT Page 98 de 141
ABB-04 : Generic Applications 5.1 Process Management ABB.04-1 Les Process Management offrent les fonctionnalités de Workflow. Ces services sont couverts par le Business Process Manager (BPM) de la suite FileNet P8. 5.1.1 Business Process Manager - FileNet ABB.04-1.1 5.1.1.1 La suite FileNet offre une infrastructure logicielle intégrée et ouverte qui couvre : des fonctions étendues pour la gestion de toutes les formes de contenus d entreprise ; des fonctions étendues pour la gestion des enregistrements ; des fonctions étendues pour la gestion des flux ; une plate-forme de développement d applications évolutive. 5.1.1.2 La gamme FileNet Les fonctions éprouvées de gestion de contenu, des enregistrements et de flux rationalisent les activités de l organisation tout en améliorant la mise en conformité avec les réglementations, en permettant la gestion des documents, augmentant l efficacité opérationnelle, minimisant les coûts d exploitation. FileNet offre une architecture à la fois étendue, robuste et flexible, comprenant une interface Web simple à utiliser, des API et technologies serveur de premier plan. La gamme de produits P8 de FileNet, est composée de 8 suites. Le SPF Finances possède ment des licences sites pour 7 d entre elles : Suite Content Manager (CM) Business Process Manager (BPM) Record Manager (RM) Form Manager (FM) Image Manager (IM) Team Collaboration Manager (TCM) Web Content Manager (WCM) Remarques Acquis avec licence site installé et utilisé Acquis avec licence site installé et pas utilisé Acquis avec licence site pas installé Acquis avec licence site pas installé Acquis avec licence site pas installé Acquis avec licence site pas installé Pas acquis. Le produit ne sera plus supporté par le fabricant en Q2.2008 Objet: Présentation générale du contexte ICT Page 99 de 141
ABB-04 : Generic Applications 5.1.1.3 La suite FileNet en détail Concrètement le produit se compose d applications pour utilisateurs finaux (suites d applications web) et d APIs Java. Dans le domaine de la gestion de contenu, FileNet CM permet des modèles de documents élaborés : classes de documents, héritage entre classes, métadonnées à valeurs multiples, contenus multiples, liens entre documents. FileNet CM possède aussi des fonctions finement configurables à propos de l infrastructure de stockage (sécurisé, on-line) et des environnements à haute disponibilité. Dans le domaine du BPM, FileNet BPM fournit tous les patterns BPM de base (séquence, parallélisme, exceptions, délais) et des fonctions BPM plus pointues telles qu accès à des services web, réutilisation de sous-processus, appels en cascade de processus, liaison avec les CM, héritage entre processus. 5.1.1.4 Les usages de FileNet Un système FileNet P8 en entreprise permet donc de définir et stocker les documents, de les retrouver via leurs métadonnées, de gérer leur archivage, de gérer leurs versions en travail de groupe (réservation, mise à jour d une nouvelle version), de définir et exécuter des processus, simples ou complexes Objet: Présentation générale du contexte ICT Page 100 de 141
ABB-04 : Generic Applications 5.1.1.5 Le Business Process Manager (BPM) de FileNet en détail Le module Business Process Manager de FileNet permet d augmenter les performances des processus internes et d améliorer la productivité et la prise de décision pour l automatisation et l optimisation des processus. Fournit la gestion de processus incluant un outil de modélisation, analyse en profondeur, simulation et monitoring de l activité du business. Gère automatiquement les «process exceptions» pour permettre des réponses immédiates aux événements internes ou aux demandes des clients. Fait intégralement partie de la suite FileNet P8 qui est entièrement intégrée avec les autres Enterprise Content Management d IBM. Supporte les standards de processus comme BPMN (modélisation de processus) et XDPM (définition et exécution) FileNet Process Engine 3.5.1.194 Anglais (Etats-Unis) FileNet Tracker 3.5.1 Anglais (Etats-Unis) FileNet Publishing Plug-in 3.5.1 Anglais (Etats-Unis) P8 3.5.2005 Anglais (Etats-Unis) www.filenet.com 5.1.1.6 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. Objet: Présentation générale du contexte ICT Page 101 de 141
ABB-04 : Generic Applications 5.2 Model Adaptation & Mediation ABB.04-2 Pas supporté explicitement. Le CCFF n offre aucun service à ce sujet Objet: Présentation générale du contexte ICT Page 102 de 141
ABB-04 : Generic Applications 5.3 Applications Server ABB.04-3 5.3.1. J2EE 1.4 J2EE 5 Weblogic 8.1 Weblogic 10 JBoss 4.0.5 http://infrastructure.finbel.intra/xwiki/bin/view/ccff/appserver Documentation technique Bea Weblogic : http://edocs.bea.com/wls/docs100/index.html Documentation technique JBoss : http://docs.jboss.org/jbossas/guides/j2eeguide/r2/en/html/ 5.3.2 Evolution souhaitée Bea Weblogic fut choisi dans le cadre du marché «application server» comme support des applications «mission critical». Jboss fut choisi dans le cadre du même marché comme support des applications «non mission critical». Le support de Bea pour Weblogic 8.1 s arrêtant en septembre 2008, cette version n est pas une version d avenir sur laquelle il faut construire. Objet: Présentation générale du contexte ICT Page 103 de 141
ABB-04 : Generic Applications 5.4 Transaction Management ABB.04-4 Transaction Management offre un contrôle de toute transaction. Transaction Management comprend: CICS CCFF Transaction Manager (J2EE). 5.4.1 CICS Transaction Manager ABB.04-4.1 5.4.1.1. 5.4.1.2 Evolution souhaitée Suit le scénario de retrait graduel des mainframes. 5.4.2 GCOS TP8 Transaction Manager ABB.04-4.2 5.4.2.1 Mise en oeuvre des applications de collaboration GCOS 8/TP8 - Tuxedo basée sur les 3 solutions Interoperability 8: TP8 connect with Tuxedo Reverse TP8 connect with Tuxedo XA8 for Tuxedo La fonctionnalité intégrale d une architecture client/serveur entre les applications TP8 et Tuxedo avec possibilité de mise à jour sécurisée et cohérente des bases de données par les deux moniteurs TP est donc proposée. Objet: Présentation générale du contexte ICT Page 104 de 141
ABB-04 : Generic Applications 5.4.2.2 Evolution souhaitée Suit le scénario de retrait graduel des mainframes. 5.4.3 BS2000 Transaction Manager ABB.04-4.3 5.4.3.1. 5.4.3.2 Evolution souhaitée Suit le scénario de retrait graduel des mainframes. 5.4.4 J2EE/CCFF Transaction Management ABB.04-4.4 5.4.4.1 Ce service précise les interfaces standard entre un transaction manager et les parties impliquées dans un système transactionnel distribué : le and resource manager, l application server et les applications transactionnelles. JTA Objet: Présentation générale du contexte ICT Page 105 de 141
ABB-04 : Generic Applications 5.4.4.2 Evolution souhaitée Aucune évolution n est prévue pour le moment. Objet: Présentation générale du contexte ICT Page 106 de 141
ABB-04 : Generic Applications 5.5 Search ABB.04-5 Pas supporté explicitement. Objet: Présentation générale du contexte ICT Page 107 de 141
ABB-04 : Generic Applications 5.6 DataBase Management ABB.04-6 Les Database Management sont responsables du processing et de la gestion des données au travers d un certain nombre de systèmes de gestion de bases de données. Database offrent la possibilité de gérer les données opérationnelles pour supporter les transaction business et accéder aux données des applications business pour supporter la prise de décision adaptée. Cela couvre tous les types de software de gestion de bases de données y compris les bases de données relationnelles, orientées objet, propriétaires et hiérarchiques. Les bases de données individuelles et les instances de bases de données sont supportées par ces services et peuvent être incorporées dans d autres ABBs ainsi qu en tant que «package solution software» et systèmes intégrés tels que ERP et CRM. Au sein du SPF Finances les services offerts sont: Le Service Relational Data Center (RDC) Les autres DBMS 5.6.1 Relational Data Center ABB.04-6.1 5.6.1.1 Le Service Relational Data Center offre le support relatif à l infrastructure de bases de données relationnelles IBM-DB2. Le RDC a pour vocation de mettre fin à la multiplication du nombre de licences et de serveurs qui sont apparus lors des divers marchés ces dernières années. Il vise aussi à gérer de plus en plus de données et à en permettre l accès à des nombreuses applications pour les utilisateurs internes et externes du SPF Finances. RDC permet donc de couvrir l augmentation de la demande d utilisation des bases de données relationnelles et de maîtriser leurs coûts en ayant une idée précise de leur évolution. L intégration au sein d un seul serveur de base de données et d un centre de compétences de tous les services nécessaires garantit l unicité logicielle et organisationnelle. Le service RDC n assure en aucune manière la qualité de l architecture des données proposée dans le cadre de projets de développements.. Objet: Présentation générale du contexte ICT Page 108 de 141
ABB-04 : Generic Applications La mise à disposition sur la plate-forme centrale Atlas du software et des licences IBM DB2 nécessaire à toute nouvelle application ainsi que la création des bases de données nécessaires La mise à disposition des bases de données pour les environnements depuis le développement jusqu à la production. Il s agit au minimum des environnements : o Développement o Intégration o Acceptance o Production Le support d accès sécurisé avec intégration LDAP ou IAM. La gestion et le monitoring technique journalier des bases de données mises à disposition Les services de fail-over «manuel» sur l infrastructure centrale en cas de défaillance. Les services de backup et recovery standards pour les environnements : o «A froid» pour les environnements de développement et intégration o «A chaud» pour les environnements d acceptance et production Les services de «Point in time recovery» pour les environnements. Les services de support DBA pour les environnements non développement Des services de «conseil» et support ad-hoc dans le cadre de tuning et design. IBM-DB2 UDB est la plate-forme software de base pour l ensemble des types d utilisateurs y compris les utilisateurs mobiles. Objet: Présentation générale du contexte ICT Page 109 de 141
ABB-04 : Generic Applications Les produits et options en usage sont : Nom DB2 UDB ESE V8.1 DB2 UDB ESE V8.1 DPF DB2 Text Extender DB2 Net Search Extender V8.1 DB2 Image Extender DB2 Audio Extender DB2 Video Extender DB2 XML Extender DB2 Spatial Extender DB2 Data Links Manager 8.1 DB2 Information Integrator Standard Edition V8.1 DB2 UDB PE V8.1 DB2 Recovery Expert for multiplatforms V1.1 DB2 Migration Toolkit DB2 Query Patroller V8.1 DB2 Performance Expert for multiplatforms V1.1 DB2 Table Editor for multiplatforms V8.1 SGBD Data Partioning Feature, permet le partitionnement et l utilisation en cluster Gestion des liens externes avec protection de type transactionnel Connexion de la DB à des sources de données externes DB2 Personal Edition Etend les capacités de restauration Affecter des priorités aux accès DB Assistance pour le tuning Accès direct à des tables situées dans différentes DB Objet: Présentation générale du contexte ICT Page 110 de 141
ABB-04 : Generic Applications DB2 High performance unload for multiplatforms V1.2 QMF for Windows V8.1 Améliore les manipulations de gros volumes Accès à DB2 depuis Windows Wiki RDC std 5.6.1.2 Evolution souhaitée La plate-forme RDC est la plate-forme stratégique du SPF Finances pour tous les nouveaux développements d applications. Les buts poursuivis sont l abstraction de l implémentation physique des données supportée par la mise en place d une couche de présentation «business» permettant l accès à ces données de manière transparente. Divers services additionnels seront analysés et évalués dans le futur tels que : d «Archivage» de type «Life Archive» Les services de monitoring sont graduellement migrés vers la plate-forme HP Openview assurant le management global de l infrastructure ICT. Des solutions de clustering pour amélioration du service fail-over. 5.6.2 Autres DBMS ABB.04-6.2 5.6.2.1 A côté du service RDC ment central pour le SPF Finances, il subsiste pour des raisons soit :. Historiques : systèmes legacy Techniques : packages livrés sur un DBMS particulier Autres : applications décentralisées et non contrôlées par l ICT SQL99 Objet: Présentation générale du contexte ICT Page 111 de 141
ABB-04 : Generic Applications Oracle version 7,8 & 9 : o Petites applications à l ISI o Gestion du personnel (partie) o NCTS aux Douanes (application livrée par l EU) o Workflow contentieux sur ancienne version Filenet MS-SQL*Server pour le support HP Openview MySQL sur certaines applications PHP DL1/IBM VM VSE IDS2/Bull GCOS8 Fichiers indexés séquentiels/siemens BS2000 Références vers les divers documents reprenant les de ces implémentations?? 5.6.2.2 Evolution souhaitée Dans le cadre de ces services DBMS, la stratégie du SPF Finances est d envisager la migration vers la plate-forme RDC à chaque fois que cela est possible et acceptable. Dans la négative, les versions divergentes sont maintenues de manière indépendantes jusqu au «sunset» des applications supportées. Par exemple : Migration du Workflow contentieux vers la nouvelle version de FileNet qui fonctionne sur DB2 Gestion du personnel qui sera à terme reprise dans le cadre du projet «e-hr de P&O» verra la disparition de l application et de son DBMS. Objet: Présentation générale du contexte ICT Page 112 de 141
ABB-04 : Generic Applications 5.7 Content Management ABB.04-7 Les Content Management offrent les fonctionnalités de Workflow. Ces services sont couverts par le Content Manager (CM) de la suite FileNet P8. 5.7.1 La suite FileNet offre une infrastructure logicielle intégrée et ouverte qui couvre : des fonctions étendues pour la gestion de toutes les formes de contenus d entreprise ; des fonctions étendues pour la gestion des enregistrements ; des fonctions étendues pour la gestion des flux ; une plate-forme de développement d applications évolutive. 5.7.1.1 La gamme FileNet Les fonctions éprouvées de gestion de contenu, des enregistrements et de flux rationalisent les activités de l organisation tout en améliorant la mise en conformité avec les réglementations, en permettant la gestion des documents, augmentant l efficacité opérationnelle, minimisant les coûts d exploitation. FileNet offre une architecture à la fois étendue, robuste et flexible, comprenant une interface Web simple à utiliser, des API et technologies serveur de premier plan. La gamme de produits P8 de FileNet, est composée de 8 suites. Le SPF Finances possède ment des licences sites pour 7 d entre elles : Suite Content Manager (CM) Business Process Manager (BPM) Record Manager (RM) Form Manager (FM) Image Manager (IM) Team Collaboration Manager (TCM) Web Content Manager (WCM) Remarques Acquis avec licence site installé et utilisé Acquis avec licence site installé et pas utilisé Acquis avec licence site pas installé Acquis avec licence site pas installé Acquis avec licence site pas installé Acquis avec licence site pas installé Pas acquis. Le produit sera plus supporté par le fabricant en Q2.2008 Objet: Présentation générale du contexte ICT Page 113 de 141
ABB-04 : Generic Applications 5.7.1.2 La suite FileNet en détail Concrètement le produit se compose d applications pour utilisateurs finaux (suites d applications web) et d APIs Java. Dans le domaine de la gestion de contenu, FileNet CM permet des modèles de documents élaborés : classes de documents, héritage entre classes, métadonnées multi-valuées, contenus multiples, liens entre documents. FileNet CM possède aussi des fonctions finement configurables à propos de l infrastructure de stockage (sécurisé, on-line) et des environnements à haute disponibilité. Dans le domaine du BPM, FileNet BPM fournit tous les patterns BPM de base (séquence, parallélisme, exceptions, délais) et des fonctions BPM plus pointues telles qu accès à des services web, réutilisation de sous-processus, appels en cascade de processus, liaison avec les CM, héritage entre processus. 5.7.1.3 Les usages de la suite FileNet Un système FileNet P8 en entreprise permet donc de définir et stocker les documents, de les retrouver via leurs métadonnées, de gérer leur archivage, de gérer leurs versions en travail de groupe (réservation, mise à jour d une nouvelle version), de définir et exécuter des processus, simples ou complexes Objet: Présentation générale du contexte ICT Page 114 de 141
ABB-04 : Generic Applications 5.7.1.4 Le Content Engine (CE) de FileNet P8 en détail Le Content Engine combine une puissante gestion de document avec des fonctionnalités de workflow et processus pour automatiser et piloter les activités liées à la gestion du contenu. CE est l élément central de la gestion du contenu, de la sécurité et de la gestion du stockage pour la suite FileNet P8. Combine des fonctionnalités universelles de gestion de contenu et avancées de gestion de document avec les principales fonctionnalités disponible sur le marché en matière de processus de gestion de contenu pour gérer de l information non structurés pour une utilisation plus adaptés et plus rapide dans l organisation Permet la gestion active du contenu au travers de l organisation de manière transparente Maintient un contrôle de sécurité sur les métadonnées, les processus et les activités de complétudes. Améliore les tâches de gestion de documents en fournissant une gestion des versions intensives, approbation des workflows et support de la publication intégrée. Fournit les outils pour déployer des solutions «clé en main» utilisant des workflow «out-of-the box» et des possibilités de processus. JSR170 FileNet Content Engine Versionning Tool 2.00.0001 Anglais (Etats-Unis) FileNet Content Engine 3.5.2 Anglais (Etats-Unis) FileNet Workplace 3.5.1 Anglais (Etats-Unis) FileNet Publishing Plug-in 3.5.1 Anglais (Etats-Unis) P8 3.5.2005 Anglais (Etats-Unis) www.filenet.com 5.7.1.5 Evolution souhaitée En 2007, Fedict a attribué le marché de la modernisation du site portail fédéral. L approche retenue est modulaire. Pour la gestion des informations sous-jacentes, on a opté pour la technologie de gestion de contenu Internet de SDL Tridion. Dans le cadre de la structure modulaire de la plate-forme de gestion des connaissances, le SPF Finances retiendra la même technologie que celle précédemment choisie par Fedict. Objet: Présentation générale du contexte ICT Page 115 de 141
ABB-04 : Generic Applications 5.8 File & Storage ABB.04-8 Les «File & Storage» offrent les capacités d utilisation de l infrastructure de storage et backup décrits dans l ABB-01. Ces services ne sont pas ceux utilisés pour le monitoring de l infrastructure Ces comprennent : Les softwares et agents de backup Les softwares d accès aux composants 5.8.1 La gestion des back-ups est confiée au logiciel Legato Networker 7, installé sur le serveur englfabu. Legato gère tous les programmes (schedules) de back-up (quelles données, quand). Les bandothèques StorageTek sont gérées via les serveurs englfbac et englfcac ; englfcac assure le failover de englfbac. ACSLS (Automated Cartridge System Library Software) est installé sur ces serveurs. ACSLS pilote les deux bandothèques en traduisant à l intention de StorageTek les requêtes de englfabu (montage, démontage de bandes). Failover et load balancing sont assurés par le logiciel PowerPath. PowerPath découvre, utilise et surveille les différents chemins qui mènent à chaque disque logique du Symmetrix. Par disque, ces chemins sont rassemblés en un path set. Quand un chemin d un path set ne fonctionne plus correctement, PowerPath reçoit un time-out et veille à rétablir la communication par un chemin alternatif. L opération est entièrement transparente pour les applications de l hôte. Pour toutes les E/S, PowerPath cherche aussi le chemin optimal, tenant compte des chemins disponibles et de la charge qu ils supportent. La couche PowerPath se situe sous les applications de l hôte. Les applications feront passer leurs E/S par PowerPath.. Figure 15: Architecture PowerPath Gestion et coordination des backups Gestion du l/o Load balancing Objet: Présentation générale du contexte ICT Page 116 de 141
ABB-04 : Generic Applications Legato Networker 7 Automated Cartridge System Library Software. PowerPath «Information Lifecycle Management : analyse et optimisation de l environnement de stockage». «Diagnostic et analyse des performances de l environnement de stockage Atlas». 5.8.2 Evolution souhaitée Depuis 2003, on visait la mise en place d une plate-forme centrale de traitement et de stockage, avec garantie de haute disponibilité et de performance. Cette plate-forme a vu le jour dans le cadre d ATLAS. La plate-forme ATLAS comporte toutes les fonctions nécessaires ( remote mirroring des données, load balancing ) pour permettre une restauration après accident tout en garantissant un maximum de disponibilité des applications. La plate-forme est régulièrement renouvelée (par exemple en 2008) suite à l évolution technologique, à l accroissement des besoins en capacité et aux nouvelles conceptions en matière d infrastructure ou d architecture des applications. Objet: Présentation générale du contexte ICT Page 117 de 141
ABB-04 : Generic Applications 5.9 Documents & Information Management ABB.04-9 Voir section 7, FileNet. 5.9.1.1 Evolution souhaitée Voir la «Vision Stratégique» dans le contexte DIMS. Objet: Présentation générale du contexte ICT Page 118 de 141
ABB-04 : Generic Applications 5.10 Data Reporting & Analysis ABB.04-10 Les Data Reporting & Analysis se composent de : Analysis Reporting 5.10.1 Analysis Service 5.10.1.1 Microsoft SQL Server 2005 Analysis Service (SSAS) SQL Server 2005 met en place une plate-forme end-to-end de business intelligence avec analyse intégrée, notamment Online Analytical Processing(OLAP) ; KPI ; data mining; rapportage. SSAS met l information à disposition via le Unified Dimensional Model (UDM). L UDM est un dépôt central de métadonnées dont les entités business, la logique business, les systèmes de mesure, etc., peuvent se servir pour les rapports, les OLAP browsers, les KPI et les applications analytiques. SPSS Base SPSS Base est un package statistique destiné aux analystes et chercheurs. Il comporte une large panoplie de fonctions statistiques, ainsi qu un puissant composant de visualisation. SPSS Clementine Clementine est un environnement de data mining pour les experts business. Clementine permet de mettre au jour les modèles dissimulés dans les données d entreprise. Il est possible de construire des modèles prédictifs qui anticipent les événements. SPSS Predictive Claims (Risk Control Builder) Ce composant permet d exploiter les modèles prédictifs dans les processus business, afin d automatiser la prise de décisions. On a normalement recours au scoring en temps réel des données/processus.. 5.10.1.2 Evolution souhaitée Pas connue en ce moment. Objet: Présentation générale du contexte ICT Page 119 de 141
ABB-04 : Generic Applications 5.10.2 Reporting Service 5.10.2.1 SQL Server 2005 Reporting service (SSRS) SQL Server 2005 met en place une plate-forme end-to-end de business intelligence avec analyse intégrée, notamment Online Analytical Processing(OLAP) ; KPI ; data mining; rapportage. SSRS fournit un service couvrant tout le cycle de vie du rapportage : Report authoring : les développeurs de rapports peuvent créer et publier les rapports sur un serveur de rapportage en se servant des outils de développement Microsoft et autres qui supportent le standard Report Definition Language (RDL). Report management : administration de l environnement de rapportage. Les définitions de rapport ou folders sont publiés et gérés en tant que services Web. Report Delivery : l architecture pull & push est supportée. Report security : SSRS instaure un modèle de sécurité flexible à base de rôles. 5.10.2.2 Evolution souhaitée Pas connue en ce moment. Objet: Présentation générale du contexte ICT Page 120 de 141
ABB.08 : IT Development 6. ABB.08 : IT Development Objet: Présentation générale du contexte ICT Page 121 de 141
ABB.08 : IT Development 6.1 Requirements Management ABB.08-01 6.1.1 Le «Requirements Management» Service doit permettre aux utilisateurs Business et ICT de documenter les divers besoins et spécifications correspondantes et d en tracer l utilisation au cours du développement du système d information. Capture et gestion des spécifications fonctionnelles Disposer de facilités de reporting accessibles aux utilisateurs Business et ICT CaliberRM est une solution de gestion des besoins multi-plate-forme à la base des développements de logiciels. Point de départ essentiel pour l intégration d activités participant d une bonne gestion du cycle de vie des applications, CaliberRM est intégré dans la gamme de produits ALM de Borland, de sorte que les exigences sont visibles et traçables tout au long du processus de développement des applications. FUP-D2-Exigences.doc FUP-MO-D2-Exigences.doc FUP-Cycle de Vie.doc, notamment sections 3.1.7, 3.2.7, 3.3.7 et 3.4.7 FUP-Delivrables Overview.doc section «Discipline exigences» 6.1.2 Evolution souhaitée La définition détaillée et structurée des spécifications des applications par les analystes Business est un facteur clé dans la qualité des solutions développées. CaliberRM est le point central de gestion et de description des spécifications des applications, via les liens existants avec les logiciels de gestion de configuration, de modélisation UML, et de testing automatisé. Objet: Présentation générale du contexte ICT Page 122 de 141
ABB.08 : IT Development 6.2 Solution Architecture Modelling ABB.08-02 6.2.1 Le Service d Architecture Modelling permet l exploitation des spécifications définies et la traçabilité de celles-ci. Il offre les fonctionnalités suivantes : la réalisation, au moyen d une interface graphique, des diagrammes définis par UML 1.4 et UML 2.0 Facilite la génération de code à partir des schémas Offre des fonctionnalités de reporting Permettre l exploitation des spécifications définies au moyen de l outil de capture de spécifications décrit plus haut, ainsi que la traçabilité par rapport à celles-ci. Permettre la réalisation, au moyen d une interface graphique, des diagrammes définis par UML 1.4 et UML 2.0, ainsi que des diagrammes ERD de modélisation de données relationnelles. Faciliter la génération de code J2EE à partir des schémas UML Offrir des fonctionnalités de reporting étendues. UML 1.4 & 2.0 Borland Together 2006 SP2: Borland Together 2006 SP2 est une solution de modélisation globale, de conception visuelle UML (modeling language) destinée à ceux qui développent des architectures applicatives d entreprise et doivent échanger avec les intervenants de diverses entités techniques ou fonctionnelles FUP-MO-D2-Exigences.doc FUP-D2-Exigences.doc FUP-D3_Analyse_Conception.doc FUP-MO-D3-Analyse et conception.doc FUP-Cycle de Vie.doc, notamment sections 3.1.7, 3.2.7, 3.3.7 et 3.4.7 FUP-Delivrables Overview.doc section «Discipline analyseconception» 6.2.2 Evolution souhaitée Objet: Présentation générale du contexte ICT Page 123 de 141
ABB.08 : IT Development 6.3 La modélisation UML réalisée avec Together en accord avec les standards FUP est un point de passage obligé de l analyse et du développement des applications SPF. Data Architecture Modelling ABB.08-03 Les services Data Architecture modelling ont pour but de supporter la modélisation de DB au niveau de l Entreprise. Le SPF a choisi de déployer deux outils de modélisation de données : Together, «orienté analyste» permettant d intégrer la modélisation de données aux autres tâches d analyse et Embarcadero, orienté DBA permettant de gérer les modèles dans un environnement orienté «opérations». 6.3.1 Data Architecture Modelling Analyse ABB.08-03-01 6.3.1.1 Together permet d intégrer la modélisation UML des données et la modélisation E/R des bases de données relationnelles dans un même outil à destination des analystes, ceci afin de pouvoir faciliter la transition et la traçabilité entre les deux modes de représentation. Permettre la modélisation de DB relationnelles Permettre la constitution d un dictionnaire de données Permettre la modélisation relationnelle au niveau conceptuel Permettre la modélisation conceptuelle de données à partir de modèles UML Permettre la gestion des conversions entre les diagrammes de classe UML et les diagrammes Entité - Relations. Conventions de nommage SPF Together 2006 SP2 Together 2006 SP2 permet la création de modèles de données conceptuels OO (diagrammes de classes) ainsi que de modèles conceptuels et physiques E/R par les analystes fonctionnels et les designers d application. Les modèles ainsi crées peuvent être liés aux autres modèles UML réalisés en Together 2006 et versionnés par les utilitaires de versioning standard du SPF Objet: Présentation générale du contexte ICT Page 124 de 141
ABB.08 : IT Development FUP-D3_Analyse_Conception.doc FUP-MO-D3-Analyse et conception.doc Convention_de_nommage-2.52.doc FUP-Cycle de Vie.doc, notamment sections 3.1.7, 3.2.7, 3.3.7 et 3.4.7 FUP-Delivrables Overview.doc section «Discipline analyseconception» 6.3.1.2 Evolution souhaitée La modélisation UML réalisée avec Together en accord avec les standards FUP est un point de passage obligé de l analyse et du développement des applications SPF. 6.3.2 Data Architecture Modelling Production ABB.08-03-02 6.3.2.1 Embarcadero permet aux DBA s d analyser les structures de données DB2 dans une optique transprojets, afin de pouvoir gérer et optimiser leur emploi dans le contexte de la production. Permettre la modélisation de DB relationnelles Permettre la constitution d un dictionnaire de données Permettre le reverse engineering automatique de structures de données relationnelles existantes Pouvoir gérer et optimiser des données DB2 Objet: Présentation générale du contexte ICT Page 125 de 141
ABB.08 : IT Development Embarcadero E/R Studio E/R Studio est une application de modélisation de données destinée à la conception et la réalisation de bases de données logiques et physiques. Son environnement de conception multi-niveaux répond aux besoins quotidiens des administrateurs de bases de données, des développeurs et des architectes de données chargés de la conception et de la maintenance d applications de base de données volumineuses et complexes. L application permet aux utilisateurs de créer, de comprendre et de gérer la modélisation de bases de données vitales au sein d une entreprise. Elle supporte le cycle de vie complet des applications grâce à un certain nombre de fonctions, parmi lesquelles: de puissantes capacités de modélisation logique et physique synchronisation bidirectionnelle des modèles logique et physique, et entre modèles et base de données une architecture ouverte permettant d étendre les fonctionnalités du produit 6.3.2.2 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. Objet: Présentation générale du contexte ICT Page 126 de 141
ABB.08 : IT Development 6.4 Application Development Environment ABB.08-04 L Application Development Environment offre toutes les fonctionnalités nécessaires au développement d applications. Les fonctionnalités sont : Environnement de développement Capacités de déploiement d applications Au sein du SPF Finances, ces fonctionnalités sont supportées par Borland Jbuider 6.4.1 : Borland Jbuilder 2007 Ecrire le code J2EE des applications Permettre la traçabilité par rapport aux diagrammes et objets créés dans les phases précédentes. Exploiter les diagrammes UML réalisés au cours des phases d analyse et de design Offrir un environnement de développement intégré, avec une interface utilisateur performante. Offrir des fonctions avancées de support au développeur (bibliothèque de design patterns,...) Permettre l interaction bidirectionnelle entre diagrammes Uml et code Java Supporter les API J2EE et JEE dans un environnement WebLogic / JBoss Fournir des fonctionnalités de build d applications complexes Permettre le reverse-engineering de projets J2EE et JEE développés dans un environnement Jbuilder Permettre le déploiement d applications dans les environnements de test, intégration, acceptation, et production Weblogic et JBoss J2EE 1.5 Struts Borland Jbuilder 2007 FUP-D4_Implementation.doc FUP-MO-D4-Implementation.doc FUP-Cycle de Vie.doc, notamment sections 3.1.7, 3.2.7, 3.3.7 et 3.4.7 Objet: Présentation générale du contexte ICT Page 127 de 141
ABB.08 : IT Development 6.4.2 Evolution souhaitée Les standards ouverts J2EE et JEE sont les plates-formes stratégiques du développement d applications au SPF Finances. Les logiciels mis à la disposition des développeurs facilitent le développement d applications complexes en mettant en œuvre ces standards, tout en permettant une intégration maximale avec d une part les modèles UML résultant de l analyse et d autre part, les phases de tests ultérieures. Objet: Présentation générale du contexte ICT Page 128 de 141
ABB.08 : IT Development 6.5 Testing ABB.08-05 6.5.1 L activité de testing est la recherche systématique de défauts dans l ensemble des délivrables d un projet. C est le processus qui consiste à examiner les résultats d un processus en comparant ces résultats avec un ensemble de résultats attendus ; ensuite de gérer les variances. Le Testing est réalisé en vue de s assurer qu un produit qui est développé répondra aux attentes des utilisateurs finaux. Définition et gestion des plans, scénarios et scripts de test Support des tests fonctionnels, de performance, d intégration, de régression, ainsi que le test de composants. Rapports étendus des tests effectués Intégration avec la gestion des spécifications Mercury Quality Center vous permet de recueillir les besoins, de planifier et de programmer les tests, d analyser les résultats et de gérer les anomalies et les problèmes. Application Delivery Dashboard offre des indicateurs de performance clés pour tous les projets liés à la qualité et aux performances. Il offre une visibilité en temps réel quant à la santé des applications et de l infrastructure. Mercury Functional Testing supporte les tests par les scripts QuickTest Professional. les résultats des tests apparaissent dans une interface commune. Il permet à toute l équipe de créer des suites de tests sophistiquées avec une formation minimale. Il fonctionne correctement avec tous les environnements, les fichiers et les processus métier. Il documente et reproduit les anomalies pour les développeurs,. Mercury Performance Center/ LoadRunner permet de connaître le comportement du logiciel, et ses performances dans des conditions de mise en charge. FUP-D5_Test.doc FUP-MO-D5-Tests.doc FUP-Stratégie de test maître.doc FUP-Cycle de Vie.doc, notamment sections 3.1.7, 3.2.7, 3.3.7 et 3.4.7 FUP-Delivrables Overview.doc section «Discipline Tests» Objet: Présentation générale du contexte ICT Page 129 de 141
ABB.08 : IT Development 6.5.2 Evolution souhaitée Le SPF Finances considère que l automatisation des activités de tests d application, ainsi que la traçabilité entre tests et spécifications de l application permettront d augmenter sensiblement la qualité des applications mises à la disposition des utilisateurs. Pour cela, chaque projet de développement devra définir une stratégie de test, respectant la «Stratégie de test maître» du SPF. Afin de valider les aspects techniques et fonctionnels du projet, les activités définies dans cette stratégie de test impliqueront les participants ICT et Business au projet. 6.5.3 Change Management ABB.08-05-01 6.5.3.1 La procédure de change management décrite dans la discipline D5 tests de FUP permet d enregistrer les anomalies rencontrées lors des tests d intégration et d acceptance, de les associer aux artefacts / sources et de suivre les changements apportés à ceux-ci. Critères de choix enregistrer les anomalies rencontrées lors des tests les associer aux artefacts / sources suivre les changements apportés à ceux-ci Liens avec Artefacts Cycle de vie des demandes de changement Starteam 2005 R2 Module Change Requests FUP-MO-D5-Tests.doc 6.5.3.2 Evolution souhaitée Objet: Présentation générale du contexte ICT Page 130 de 141
ABB.08 : IT Development 6.6 Etendre l utilisation de ce mode opératoire aux projets utilisant FUPConfiguration Management ABB.08-06 6.6.1 L ABB Configuration Management reprend les outils qui supportent les procédures de planning, développement et maintenance supportant le déploiement de ressources hardware ou software au travers de l infrastructure. La base de données de Configuration Management (CMDB) supporte ces activités sur une base journalière. Les logiciels et activités décrites ci-dessous ne concernent les aspects du Configuration Management relatifs au développement logiciel. Permettre la consolidation, le partage, le suivi et la diffusion des deliverables réalisés Permettre la gestion des accès multi-utilisateurs aux modèles; la gestion de groupes d utilisateurs,... Assurer la gestion des versions des différents modèles et sources créés par les logiciels Permettre le suivi des anomalies détectées dans les applications et de leur correction. Permettre la consolidation des différents modèles dans un repository central. Permettre la réalisation d analyse d impact lors de la modification de modèles. Permettre la réalisation et la gestion d un dictionnaire de données centralisé. Borland Star Team 2005 / 2006. FUP-Project Setup.doc, section 4. Star Team 6.6.2 Evolution souhaitée Objet: Présentation générale du contexte ICT Page 131 de 141
ABB.08 : IT Development 6.7 En mettant en place un logiciel de gestion de configuration, le SPF souhaite pouvoir centraliser les différents déliverables produits par les processus de développement d application (modèles UML, sources Java, ) afin d en faciliter la gestion et la réutilisation. De plus cette centralisation permet de sécuriser ce repository en utilisant les procédures standards de sécurité et de disaster recovery du SPF. Change Management ABB.08-07 6.7.1 Le service Change Management assure la validation et le suivi des demandes de changement au sein du SPF Finances. Cette activité distingue 2 types d applications : les applications en production et les applications en phase de projet/développement. Pour les applications en production la gestion du changement «Change Request» est assuré par une cellule QC-CR. Les diverses demandes de change du Business sont validées au niveau Business avant de parvenir au sein de la cellule QC-CR qui en réalise une analyse technique et fonctionnelle avant d en approuver la réalisation. 6.7.2 Change Management Production Applications ABB.08-07-01 6.7.2.1 Introduction Les travaux de maintenance des applications exploitées dans différents environnements (COBOL, JAVA, PHP, ) sont assurés par les programmeurs disponibles. Dans ce cadre, une coordination des disponibilités et de suivis des tâches de programmation est assurée par la cellule QC-CR. Sont exclus de cette procédure tous nouveaux développements qui doivent être intégrés dans le Plan ICT et approuvés par Monsieur Louis Collet. 6.7.2.2 Objectifs La Cellule QC-CR a pour objectifs de : Recevoir des Directions les requêtes de modifications applicatives à programmer (maintenances évolutives, maintenances correctives et migration équifonctionnelles) ; Évaluer l effort nécessaire pour réaliser les travaux ; Selon les disponibilités, attribuer la tâches à la personne la plus adéquate ; Faire le suivi de l avancement des travaux ; Sur base hebdomadaire, informer le management de l état d avancement ; Anticiper les situations d éventuelles défaillances et avertir le management. Objet: Présentation générale du contexte ICT Page 132 de 141
ABB.08 : IT Development 6.7.2.3 Procédure La procédure met en œuvre un mécanisme d attribution et de suivi de Change Requests. Elle optimise les disponibilités des experts ICT pour les Directions Business. Cette procédure ne modifie en rien les relations opérationnelles entre le demandeur, l analyste et l expert ICT concernés. Elle augmente la réactivité de l équipe «ICT Applications», afin : de dégager du temps de service en faveur des Directions concernées, d augmenter la visibilité et de réduire la dissipation des responsabilités inter services. Le FlowChart dans la figure suivante présente les principes à haut niveau. 1) Le demandeur annonce sa requête (Change Request- CR) via la boîte aux lettres de sa Direction qc-cr-dirxyz@minfin.fed.be. 2) La direction approuve et décide de faire réaliser le CR par son envoi à la cellule QC-CR qc-cr@minfin.fed.be. 3) L équipe de gestion des Change Requests, selon les disponibilités et en collaboration avec le chef de projet ou/et les experts ICT, valide et attribue la tâche au programmeur adéquat. 4) La direction, le demandeur, le chef de projet et l expert ICT concerné sont informés de la date probable de livraison. 5) Une fois par semaine l état d avancement est communiqué aux Directions et chefs de projets respectives. 6) Lors des travaux, un statut d évolution est géré. 7) De commun accord le CR sera clôturé. Objet: Présentation générale du contexte ICT Page 133 de 141
ABB.08 : IT Development Behoefte bestaat Programmeur QC-CR Directe Belastingen Analist maakt analyse Stuurt aanvraag naar zijn/haar directie Directie beoordeelt Directie gaat akkoord => stuurt CR door naar QC-CR Neemt CR in ontvangst Overlegt met programmeur over vooropgestelde datum en inhoud van de analyse Iedereen akkoord over planning en inhoud van de analyse Ja Neen QC-CR verwittigt analist van planning Wekelijkse opvolging QC-CR houdt analist op de hoogte Neen Is de vooropgestelde datum overschreden Ja Onderhandelen Onderhandelen Nieuwe planning opmaken Analist ontvangt het eindresultaat QC-CR wordt op de hoogte gebracht Het eindresultaat wordt opgeleverd In progres 6.7.2.4 Evolution souhaitée Le SPF Finances étendra l utilisation de ces services. 6.7.3 Change Management Applications CCFF ABB.08-07-02 6.7.3.1.. Objet: Présentation générale du contexte ICT Page 134 de 141
ABB.08 : IT Development 6.7.3.2 Evolution souhaitée N/A Objet: Présentation générale du contexte ICT Page 135 de 141
ABB.08 : IT Development 6.8 FUP Methodology ABB.08-08 6.8.1 Le SPF Finances a initié l introduction d une méthodologie de développement d applications, celle-ci ayant tout d abord pour but de formaliser et de stabiliser le déroulement des projets ICT dans un cadre commun en uniformisant : le contenu des étapes d un projet, les rôles des différents acteurs, les artefacts délivrés à chaque étape. Voulant utiliser des standards ouverts et reconnus, le SPF Finances a choisi la méthodologie de base UP (Unified Process ou «Processus Unifié») qui sera éventuellement adaptée selon les besoins et enrichie de certains concepts issus de RUP (Rational Unified Process). La méthodologie FUP définie 4 étapes : Inception Elaboration Construction Transition A chaque étape, il y a certains artefacts qui devraient être produits, comme décrit ci-dessous (source: FUP-Cycle de vie.doc). 6.8.1.1 Artefacts Inception Discipline Activités Artéfacts Modélisation métier Modéliser les processus métiers Diagramme des cas d utilisation métier textuelle des cas d utilisation métier Diagramme d activité Modéliser les acteurs métiers Modéliser les entités métiers Diagramme de séquence Diagrammes classes acteurs Diagramme des classes métier Diagramme état-transition Initialiser le glossaire Intégrer tous les éléments métier Glossaire Dossier d analyse métier Exigences Rédiger le document de Vision Document de Vision Identifier les acteurs et les cas Modèle de cas d utilisation d utilisation Rédiger les cas d utilisation principaux textuelle selon modèle type Rédiger les exigences non fonctionnelles Exigences supplémentaires Analyse / Conception Catégoriser, prioriser les exigences fonctionnelles et non fonctionnelles Définir l architecture de l application Décrire l existant applicatif Modèle des besoins Liste complète des exigences Architecture logicielle Cartographie de l existant Définir le plan de migration des données et fonctionnalités Plan de migration des données et fonctionnalités Tests Définir les critères d acceptation Liste des critères d acceptation Objet: Présentation générale du contexte ICT Page 136 de 141
ABB.08 : IT Development Définir la stratégie de test Stratégie de tests Gestion projet Réaliser le plan de projet Liste des risques Macro-planning Plan Budget / Ressources 6.8.1.2 Artefacts Elaboration Discipline Activités Artéfacts Analyse métier Compléter et mettre à jour le glossaire Glossaire Exigences Consolider et finaliser les éléments (cf Inception) Analyse / Conception produits en Inception (Pré-études) Finaliser la rédaction détaillée des cas d utilisation Finaliser l architecture logicielle Concevoir l interface utilisateur Elaborer le modèle des données Concevoir la base de données Analyser en détail les cas d utilisation textuelle selon modèle type Dossier d architecture logicielle finalisé Maquettes statiques écran Modèles cinématiques Modèle conceptuel des données Modèle physique des données Modèle d analyse et de conception (réalisation des cas d utilisation) Contrats d interface Plan de migration Définir l intégration du Legacy Décrire la migration des données Développer le prototype d architecture Prototype d architecture Construire la maquette fonctionnelle Maquette fonctionnelle Définir le plan d intégration du système Plan de build d intégration Implémenter les éléments structurants Composants de base Tests unitaires exécutables Rapports d exécution des tests Intégrer les éléments implémentés Build / Système exécutable Développer les interfaces vers le legacy Interfaces Test Finaliser les critères d acceptation Critères d acceptation Ajuster la stratégie de test Stratégie de test Configurer les environnements de test Définir et exécuter les tests d intégration pour les éléments implémentés Environnements de test Dossier de tests Bilan de test Valider le prototype Bilan de prototype 6.8.1.3 Artefacts Construction Discipline Activités Artefacts Analyse / Conception Finaliser le modèle des données Modèle conceptuel des données Modèle physique des données Finaliser le modèle de migration Modèle de migration Finaliser le détail de la réalisation des cas d utilisation Modèle d analyse et de conception (réalisation des cas d utilisation) Mettre à jour le plan d intégration du système Plan de build d intégration Implémenter tous les éléments Composants - code source Tests unitaires exécutables Rapports d exécution des tests Objet: Présentation générale du contexte ICT Page 137 de 141
ABB.08 : IT Development Tests Intégrer tous les éléments implémentés Définir et exécuter les tests d intégration par itération définie Build / système exécutable Dossier de test Bilan de test Déploiement Rédiger les supports de formation Supports de formation Rédiger la première version du plan de déploiement Plan de déploiement version Bêta 6.8.1.4 Artefacts Transition Discipline Activités Artefacts Corriger les anomalies Version finale exécutable découvertes en itération d acceptation et en itération de pilote Test Réaliser les tests d acceptation Bilan des tests d acceptation Réaliser le(s) pilote(s) Bilan du ou des pilote(s) Déploiement Finaliser le plan de déploiement Plan de déploiement finalisé Rédiger le plan de formation, les supports de formation Former les utilisateurs Rédiger les manuels utilisateurs Réaliser le transfert de compétences Déployer l application Plan de formation et Supports de formation Formation des utilisateurs Manuels utilisateurs Dossier d exploitation Version opérationnelle en production Méthodologie de développement Standardiser les phases d un projet Standardiser les artefacts Standardiser les rôles joués par les différents intervenants Unified Process Rational Unified Process FUP. FUP-Introduction.doc FUP-Convention de nommage.doc FUP-Delivrables Overview.doc FUP-Cycle de Vie.doc Objet: Présentation générale du contexte ICT Page 138 de 141
ABB.08 : IT Development 6.8.2 Evolution souhaitée Tout participant aux projets informatiques du SPF Finances doit suivre les principes et la méthodologie FUP. Objet: Présentation générale du contexte ICT Page 139 de 141
ABB.08 : IT Development 6.9 CCFF Framework ABB.08-09 6.9.1 Le CCFF est une plate-forme de communication et technologie faisant office de site portail vers le monde interne et extérieur et permettant de dispenser des e-services aux citoyens et aux entreprises, à d autres administrations publiques et aux fonctionnaires du SPF Finances. Le CCFF offre une plate-forme de développement reposant sur des technologies ouvertes avec un accès rapide et fluide aux mainframes, une infrastructure de production robuste et tournée vers l avenir, l indépendance nécessaire envers les restructurations au sein du SPF Finances et enfin une sécurité poussée. Le CCFF peut donc être vu sous trois angles: Un «middelware» qui offre un accès uniforme et simplifié aux données et applications des mainframes. Une plate-forme de développement pour les applications destinées aux utilisateurs et aux systèmes d information externes et internes. Une plate-forme de développement et d utilisation pour les applications à haute disponibilité. Dans ce building block architectural, on se concentre sur le CCFF en tant que plate-forme de développement. Sécurité Présentation Back-end Communication Utilitaires Internal Applications Framework fonctionnel Framework JBoss CCFF Portal Autres La liste complète de tous les composants est disponible à http://infrastructure.finbel.intra/xwiki/bin/view/ccff/liste+des+com posants. J2EE 1.4 / J2EE 5 Struts 1 / 2 JPA / Ibatis Objet: Présentation générale du contexte ICT Page 140 de 141
ABB.08 : IT Development. http://infrastructure.finbel.intra/xwiki/bin/view/ccff/welcomepac kage http://infrastructure.finbel.intra/xwiki/bin/view/ccff/ 6.9.2 Evolution souhaitée L approche veut que toute technologie utilisée dans le CCFF représente un standard reconnu par une norme ou de fait dans l industrie informatique. Aucune solution propriétaire, hormis les développements réalisés par le SPF, n est utilisée - ce qui représente un gage évident d indépendance. Si pour certaines solutions, un produit propriétaire du marché doit être utilisé, le CCFF l encapsulera afin de permettre son remplacement de la façon la plus transparente possible. Objet: Présentation générale du contexte ICT Page 141 de 141