Posts Tagged 'SI'

Peut-on avoir confiance dans le Cloud ?

Dans son propre Système d’information, la DSI pilote toutes les données et transactions internes. Elle doit en connaitre les procédures de protection des données et de sécurité à mettre en œuvre pour se protéger ainsi que ses collaborateurs.

Cette tâche devient de plus en plus ardue au regard de la complexité grandissante des SI. Cela pousse les dirigeants à regarder vers le Cloud. Lire la suite ‘Peut-on avoir confiance dans le Cloud ?’

Livre « Intégrer Google Apps dans le SI »

Couverture livre Google Apps

Lancement d’un nouvel ouvrage co-écrit par 4 experts SQLI (Dunod)

Préface d’Adrian Joseph, Directeur Général de Google Enterprise EMEA Lire la suite ‘Livre « Intégrer Google Apps dans le SI »’

IAM – 1.bis Calcul du ROI sur un projet SSO

Vous l’aurez deviné, l’article IAM – 1. Vers une sécurité vraiment efficace met en avant les avantages du SSO dans l’entreprise. SSO est un sigle technique qui signifie en anglais « Single Sign On ». Le principe mis en avant est de faciliter l’accès à l’information de l’entreprise tout en la sécurisant par une signature unique.

Aujourd’hui, je vous propose de calculer le retour sur investissement d’un projet d’implémentation de SSO. Je vous propose aussi de calculer vos pertes financières si vous n’avez pas de SSO.

Téléchargez ce fichier Excel et modifiez les valeurs correspondant au dimensionnement de votre entreprise (les valeurs modifiables sont en blanc). Le coût du projet SSO est purement indicatif, n’est bien sûr pas contractuel et n’engage pas SQLI.

Thierry ALBAIN

IAM – 1. Vers une sécurité vraiment efficace

Voici le premier article d’une série sur le sujet de la Gestion d’identité ou IAM (Identity and Access Management). Nous allons donc aborder les thèmes relatifs à l’identité dans l’entreprise. L’identité se réfère à tout ce qui caractérise l’individu, tout ce qui le représente. Nous évoquerons les thèmes de la sécurité, de l’accès à l’information sur les individus, des processus en entreprise…

Venez les découvrir dans les semaines à venir.

Aujourd’hui, l’article démontre qu’une politique de mots de passe, aussi sévère soit-elle, peut s’avérer être totalement inefficace…

Discussion sur mon entrée dans le monde du travail.

– Bonjour Sophie, comment ça se passe dans ta nouvelle entreprise ?
– J’y suis depuis 6 mois, ça se passe bien, mais j’avoue que je n’arrive toujours pas à me faire à toute cette sécurité. C’est d’un compliqué…
– Comment ça ? La sécurité, c’est obligatoire, avec tous ces virus et ces pirates…
– Je t’explique : il a d’abord fallu que je change mon mot de passe Windows. Je devais le créer en mettant au moins une majuscule, un chiffre et une minuscule. Et puis, en plus, il fallait qu’il fasse au moins 8 caractères ! C’était dur de m’en souvenir, surtout que j’ai du appeler l’administrateur plusieurs fois parce que je l’avais oublié.
– Oui, moi aussi ça m’est arrivé.
– Attends ! C’est pas tout. Ensuite j’ai eu une messagerie, avec un autre mot de passe. On m’a dit de l’enregistrer dans l’ordinateur. Mais quand il a fallu le changer, 3 mois après, impossible de m’en souvenir !
– Chez nous, on ne le change jamais.
– C’est la même histoire pour tous mes logiciels. Je dois choisir un mot de passe tordu à chaque fois que je dois changer au bout de 3 mois. Je ne m’en sors plus. Je peux te dire que l’administrateur commence à me connaître.
– J’ai la solution ! Tu n’as qu’à faire comme moi : note tous tes mots de passe sur des post’it que tu mets sous le clavier et à chaque fois que tu en as besoin, tu l’as sous la main…

Une politique rigoureuse n’est pas toujours synonyme d’efficacité.

Une politique de mots de passe aussi rigoureuse entraîne des failles de sécurité là où on ne s’y attend pas. La politique appliquée ici protège inefficacement le SI. Certes, les mots de passe sont compliqués et donc difficiles à casser pour un hacker, mais les utilisateurs ne s’en souviennent pas. Donc, soit les utilisateurs notent les mots de passe en clair sous leur clavier, sur leur écran ou encore sur une feuille de papier qui traîne sur le bureau, soit ils ne s’en souviennent plus et le helpdesk passe 50% de son temps à réinitialiser les mots de passe pour chaque utilisateur de l’entreprise.

Contraindre les utilisateurs à créer des mots de passe compliqués pour protéger le SI, ne les obligera jamais à se souvenir de leurs multiples mots de passe.

Il existe toujours la série de « questions / réponses » qui permet de retrouver un mot de passe oublié. Cette solution est efficace pour un mot de passe, mais fait perdre beaucoup de temps si elle s’applique à plus de deux mots de passe.

Une solution, à ne surtout pas envisager aujourd’hui serait d’assouplir la politique de mots de passe. C’est revenir en arrière et de plus cela faciliterait le travail des hackers.

Comment faire alors ? Existe-t-il des solutions pour verrouiller efficacement l’accès au SI ?

Il existe, en effet, des solutions pour verrouiller efficacement l’accès au SI et éviter les fuites des mots de passe par les utilisateurs. Il est possible de renforcer d’avantage sa politique de mots de passe tout en facilitant l’accès aux applications du SI par les utilisateurs.

Implémenter une politique de mots de passe efficace permet de gagner

  • en sécurité – le Système d’Informations est mieux protégé.
  • en productivité – les utilisateurs seront plus productifs.
  • en retour sur investissement – le temps perdu pour les interventions sur les mots de passe du helpdesk ou des administrateurs système deviendra négligeable.

Thierry ALBAIN

    Conférence Sustainable IT Architecture

    Le 31 janvier se sont déroulées les assises des systèmes d’information durables, organisées par Pierre Bonnet (le fondateur de la communauté « Sustainable IT Architecture »). Cette journée a été le moment de revenir sur les architectures orientées services (SOA), avec un discours mature et centré sur les problématiques rencontrées. Quelques grands retours d’expérience ont été présentés durant la journée mais le premier constat est qu’il reste néanmoins beaucoup de chose à défricher, surtout du coté des méthodologies; ce que les communautés Praxime (poussant la méthodologie Praxème) et Sustainable IT souhaitent résoudre à terme.

    Sustainable IT est une communauté qui promet de prendre beaucoup d’importance vu le nombre de participants (plus de 250 personnes, sans compter ceux qui n’ont pu venir faute de place); des auditeurs qui venaient de tous les domaines de l’informatique (Service, Editeur, DSI) et de sociétés de toutes tailles (Sun, BNP Paribas, …). Du côté des intervenants, le séminaire était animé par trois types de profil, chacun avec leurs discours propres :

    • les DSI expliquant leur démarche SOA en interne et les changements sur les habitudes de travail,
    • les éditeurs de logiciel, amenant une démarche outillée pour assurer une meilleur agilité des applicatifs,
    • les intégrateurs, avec un discours beaucoup plus centré sur les impacts applicatifs et la réalité projet.

    Un des messages forts passés à l’intention des DSI est la besoin de mobilisation des ressources pour arriver à bon port, car la route SOA est certe très intéressante mais pavée d’embuches. Le SOA se justifie par un effort de revue interne pour changer en profondeur les SI, afin de les rendre plus réactifs et plus maléables. A l’arrivée, le SI ne sera plus perçu comme une source de coût et de rigidité pour le business, et pourra fournir des vraies métriques indicateurs de l’impact sur la stratégie d’entreprise.

    Mes impressions après cette journée sont les suivantes :

    • Des intervenants de différentes qualités mais souvent au dessus de la moyenne, particulièrement du coté des DSI et des quelques éditeurs qui ont su mener une longue refléxion autour des SI et de certains principes qui ont fait ou sont en train de faire leurs preuves,
    • Le partage de vrais retours d’expérience sur les succès mais aussi les échecs de la démarche ont été très enrichissants, et ont révélé le travail effectué autour des démarches SOA et de l’organisation,
    • La présentation d’une suite logicielle (ACMS) assurée par la mise en place d’outils complémentaires découpée par préoccupation semble assez intéressant. Ces produits offrent un regard assez neuf sur la conception des applications et proposent une flexibilité et une articulation là où le métier en aurait le plus besoin, i.e. selon eux, au niveau de la gestion des données maitres (données transverses à toute l’entreprise), au niveau des processus et aussi au niveau des règles métier.

    J’ai aussi noté quelques idées intéressantes que je vais vous résumer en quelques mots. Tout d’abord, le SOA doit être mené comme un projet de « refonte », c’est à dire qu’il faudra changer profondément l’architecture des applications, la maintenance opérationnelle des services et par conséquent l’organisation. Evidemment pour réussir cette refonte, elle ne doit pas être réalisée avec d’un seul bloc en raison de l’effet tunnel qui s’avère souvent mortel pour les projets de refonte du SI. Ici, la refonte doit être menée de manière incrémentale, et en trois étapes :

    • le SOA esthétique ou SOA de surface,
    • le SOA étendu,
    • le SOA de refonte.

    Ces trois étapes sont sensées améliorer graduellement la nouvelle démarche de conception des applications, avec des quick win internes justifiant sa continuation. Cet effet graduel va pouvoir laisser aux participants le temps d’intégrer l’apprentissage de nouveaux langages, la capitalisation des méthodes de conceptions, et d’évaluation projet.

    Un autre concept discuté dans la journée est celui des variantes, c’est-à-dire le fait qu’au même moment on peut avoir besoin « d’un même applicatif pour des prises de décision dans des contextes différents ». Ces variantes ou règles de variation doivent être sorties du code pour ne pas figer et mélanger ces règles sensibles dans un embroglio de code. C’est dans ce contexte que la plateforme ACMS, souhaite intervenir en amenant des concept assez novateurs et qui offrent une réponse d’agilité à trois niveaux : données, processus et règles métier. Ainsi l’introduction d’un BRMS (moteur de règles) semble sortir des couples classiques de « services \ processus » (avec un BPM évidemment), cependant l’intégration et l’interopérabilité transparente entre les différents outils d’agilité me laisse encore un peu perplexe.

    Néanmoins, je pense que ce sont des bons produits en soi et il faudra suivre de près la plateforme ACMS, qui pourrait constituer à terme une base sur lesquels articuler les applicatifs et peut-être même le SI dans sa globalité, qui sait ?

    Ainsi pour conclure, les concepts forts de la journée étaient :

    • L’approche SOA entraine une Refonte du SI (organisation, architecture, démarches et procédures de dévelopement applicatif), et donc un vrai changement des habitudes !
    • L’introduction de l’agilité avec la plateforme ACMS,
    • La présentation d’une démarche centrée sur la méthode et l’impact culturel dans les entreprises.

    Pour en savoir plus n’hésitez pas à vous inscrire dans les communautés Praxime et Sustainable IT :

    Il n'y aura pas de SI purement SOA

    Vous trouverez ci-dessous la transcription d’une interview réalisée pour 01 DSI et publiée dans le numéro du 18 janvier de 01 Informatique.
    La version complète en PDF de cette interview est aussi disponible ici.

    01DSI : SOA a été l’un des thèmes récurrents de l’année 2007. Sa réalité dans les entreprises est pourtant beaucoup plus modeste. Comment expliquer cette différence ?

    Aujourd’hui, les barrières technologiques sont tombées. HTTP, XML, IP… Toutes ces technologies nous permettent d’envisager des architectures orientées services. Reste que pour faire collaborer deux services, il faut qu’ils s’échangent des paramètres, qu’ils aient un langage, un référentiel communs. Et là, on tombe dans la problématique classique de l’urbanisation du SI. Qu’est-ce qui est dans le référentiel ? Qu’est-ce qui n’y est pas ? Qui est propriétaire des données? Bref, envisager un SI complètement SOA implique de passer au crible l’ensemble des processus et des données de l’entreprise. La tâche est immense, voire impossible d’un point de vue pratique. Du coup, aujourd’hui, les projets SOA qui avancent sont de petits projets ou, au moins, des projets à périmètre restreint, de type éditique ou CRM, par exemple. Avec ce type de projets, l’ambition est mesurée mais le risque maîtrisé, car on ne propage pas les problématiques d’une application à une autre.

    01DSI : L’urbanisation est donc directement mise en cause… Que font les urbanistes alors ?

    Rapprochons le rôle de l’urbaniste de celui de l’architecte. Comme dans la « vraie vie », l’urbaniste s’occupe du cadre dans lequel l’architecte va construire ses applications. L’architecte s’occupe de l’intérêt du projet, l’urbaniste de l’intérêt général. Or, en France, l’expérience montre que les urbanistes en sont encore souvent à cartographier le système, pas à édicter les règles d’évolution du SI en fonction d’une vision métier stratégique.

    01DSI : Il n’y a pas d’issue alors ?

    Si, bien sûr, mais je ne pense pas que l’on voie un jour des SI purement SOA. En matière d’urbanisation, il y a deux approches. L’une, plus française, est l’approche top-down. Elle est excellente d’un point de vue théorique mais ses bénéfices en termes de ROI ne sont perceptibles qu’à long terme, ce qui revient à dire qu’elle est difficile à faire passer auprès des directions financières. La seconde, plus anglo-saxonne, de type bottom-up , est plus risquée à terme mais bénéficie d’un ROI plus rapide. En fait l’approche topdown est un piège si on la pense au niveau global. Le SI est stratifié, historique. pratiquement, le top-down ne peut s’appliquer qu’à un niveau local. Il faut donc arbitrer entre les deux approches. Et cet arbitrage est particulièrement complexe.

    01DSI : Malgré ces freins, l’arrivée de SOA, mais aussi, les offres SaaS, les services Web, marque-t-elle la fin des progiciels ?

    Certainement pas. Mais ils vont devoir évoluer et le processus est d’ailleurs déjà engagé. Les éditeurs vont devoir donner accès à leurs briques élémentaires. Les boîtes noires qu’ils étaient doivent se transformer en boîtes blanches. C’est d’ailleurs l’une des clés du succès de SOA.

    01DSI : Une bonne nouvelle quand même sur le front du SOA ?

    Oui, sans doute. La complexité des SI augmente parce que les métiers sont toujours plus exigeants. SOA ne réduit pas cette complexité mais accroît l’agilité du SI vis-à-vis de ces demandes croissantes. Du coup, la bonne nouvelle, c’est que les informaticiens ont du travail pour longtemps…

    Bilan de l'année passée et prédictions pour 2008

    En janvier dernier, je vous avais proposé 4 prédictions pour l’évolution des systèmes d’informations en 2007. Il est maintenant temps d’en faire le bilan.

    • 1 – Les technologies Java et .NET vont augmenter leur pénétration des SI. Cette prédiction s’est largement confirmée puisque nous avons vu en 2007 de plus en plus de projets de refonte en Java d’applications back office. Ces dernières, souvent basées sur des technologies anciennes avaient jusqu’ici bien resisté à la vague Java/J2EE, ce n’est plus le cas. Dans le même temps, la plateforme .NET a connu un essor très important sur le marché français l’année dernière. On peut sans risque mettre cette progression sur le compte de la facilité d’utilisation et du haut niveau d’intégration de cette plateforme.
    • 2 – Les technologies de virtualisation des serveurs vont se banaliser. Cette prédiction s’est aussi largement réalisée puisque l’année 2007 a été celle du boom des offres de virtualisation. On peut citer par exemple la progression spectaculaire de l’utilisation des outils VMWare et leur intégration dans des offres d’hébergeurs.
    • 3 – Les projets de monitoring applicatifs vont connaître un fort développement. Cette prédiction ne s’est que partiellement vérifiée. En effet, les solutions de mesure de la performance du point de vue utilisateur (monitoring de type 2) se sont bien développées (e.g. IP-Label) mais les produits d’APM (Application Performance Management) et de BAM (Business Activity Monitoring) n’ont pas connus la progression que nous attendions. Leurs coûts élevés a sans doute constitué un frein à leur adoption. L’apparition prochaine de produits Open-Source sur ces segments devrait relancer l’interêt des entreprises pour ce type de solutions.
    • 4 – Les solutions Open-Source vont continuer leur progression. Cette prédiction s’est largement réalisée si l’on en croit la progression des outils Open-Source sur les projets où nous intervenons. Certains de ces produits atteignent aujourd’hui un bon niveau de maturité et rivalisent trés honorablement avec les solutions des grands éditeurs. Parmi eux, ceux de JBoss (RedHat) et d’Apache se démarquent significativement.

    Pour cette nouvelle année, je vous propose de renouveler l’exercice avec les prédictions suivantes :

    • 1 – Les offres de cloud-computing vont connaitre un développement spectaculaire. Elles devraient, à terme, remettre en cause les approches classiques de gestion de la production informatique.
    • 2 – Les architectures orientées services (SOA) vont réellement commencer à prendre pied dans le coeur des SI.
    • 3 – Le développement d’applications en offshore va progresser de façon très significative.

    Je vous donne rendez-vous en début d’année prochaine pour faire le bilan de ces prédictions.

    Bonne année 2008.


    Mises à jour Twitter

    Entrer votre adresse e-mail pour vous inscrire a ce blog et recevoir les notifications des nouveaux articles par e-mail.

    Rejoignez 29 autres abonnés

    Catégories

    Statistiques

    • 64,074 hits