Embed Size (px)
Citation preview
Livre Blanc
Les infrastructures critiques :
bien maîtriser le socle du patrimoine
informatique de l’entreprise
Avril 2006
Page 2
SOMMAIRE Pourquoi les infrastructures informatiques deviennent-elles de plus en plus critiques pour les entreprises ? 3
a) Un mariage toujours plus étroit entre le système d'information de l'entreprise et ses activités 3
"L’Adaptative Entreprise" selon HP 5
b) Des systèmes d'information de plus en plus complexes et hétérogènes 7
Un exemple de transformation d’infrastructures complexes pour mieux répondre aux
besoins client : Cofidis 7
Quelles réponses apporter pour assurer un bon accompagnement du cycle de
vie d'infrastructures en constante évolution ? 9
a) La gouvernance du système d'information 9 Un des points majeurs de la gouvernance du SI : la sécurité, mais comment l'aborder? 11
b) L’industrialisation du système d’information 12
• l’urbanisation du système d’information qui va aider à maîtriser la gestion d’infrastructures
complexes et leurs évolutions 12 • la virtualisation du système d’information qui va optimiser les infrastructures 12 • les architectures orientées services qui vont apporter une grande flexibilité au SI. 12 • la mise en place de méthodologies et de normes qui va servir à créer un langage de compréhension commun des tâches à réaliser 12
c) L'appel à une sous-traitance spécialisée 15
Un exemple d’appel à la sous-traitance : le PRA (Plan de Reprise d’Activité) 17
La sous-traitance : un marché très dynamique, spécialement autour des infrastructures 19
Les infrastructures des entreprises vont elles devenir encore plus critiques dans l'avenir ? 20 Qui est MIBS ? 22
Page 3
Pourquoi les infrastructures informatiques deviennent-elles de plus en plus critiques pour les entreprises ? a) Un mariage toujours plus étroit entre le système d'information de l'entreprise et
ses activités
L'informatique a pénétré de plus en plus tous les rouages de l'entreprise la rendant ainsi indispensable à toute activité :
• Les salariés sont de plus en plus nombreux à l’utiliser pour accomplir leurs tâches, le périmètre des
applications s'élargissant à la plupart des fonctions de l’entreprise ; • Le temps réel devient une exigence des utilisateurs. Les besoins de leur métier nécessitent d’avoir
accès en continu à des bases d’information remises à jour en permanence ; la pression des marchés, la nécessaire réactivité aux besoins clients, l’accélération de la vitesse des affaires poussent de plus en plus à avoir des systèmes d’information fonctionnant en temps réel. La rapidité d’accès à l’information et son traitement rapide devient une obligation !
• Le système d'information s'ouvre de plus en plus à des utilisateurs externes (clients, fournisseurs,
partenaires). Au-delà de connexions devant toujours être assurées, leur sécurisation est une problématique essentielle pour garantir un système d’information sans risques majeurs d’attaque. Cette diffusion de l'informatique la rend terriblement critique: c'est grâce à son bon fonctionnement - spécialement dans l’ensemble des infrastructures informatiques - que l'activité d'une entreprise peut s’effectuer sans ruptures. L'arrêt du système d'information, c'est la mise en péril de l'entreprise avec des impacts financiers, d'image, de productivité qui peuvent être lourds de conséquences . Cette criticité engendre des contraintes nombreuses pour le directeur des systèmes d'information. Il doit apporter une qualité de service irréprochable face à des utilisateurs obligés de s’appuyer sur des outils performants pour bien assurer leur travail. Il doit aussi mettre en place des solutions qui puissent s'adapter rapidement aux changements incessants liés à la vie de l'entreprise en assurant l'évolution des architectures et des applications dans des délais rapides. On parle aujourd'hui du besoin d’avoir des systèmes d'information agiles caractérisés à la fois par des qualités d'adaptation et de rapidité d’évolution face aux changements. Faire en sorte que le système d'information fonctionne au quotidien, et, parallèlement, le faire évoluer en fonction des nouveaux besoins, représentent un coût élevé que le DSI est tenu de maîtriser de mieux en mieux. Le système d'information est donc soumis à des contraintes fortes (disponibilité au quotidien, agilité, flexibilité, coût maîtrisé), et les infrastructures en forment le socle critique.
Page 4
Les enjeux d’une informatique modernisée
Comment définir la criticité du système d’information ?
Elle peut être envisagée sous plusieurs angles : • Comment mon système d’information répond-il aux besoins métiers de mon entreprise? Mes applications sont-elles adaptées aux différentes tâches à accomplir ? Mes infrastructures sont-elles bien organisées pour les supporter de manière efficiente ? • Puis-je avoir la certitude que mes infrastructures seront tout le temps disponibles ou au moins remises en fonctionnement dans des délais négociés? La criticité s'entend aussi en définissant un degré de criticité variable selon les serveurs et les applications qu'ils supportent, notamment par le délai acceptable de remise en marche selon les fonctions supportées. Les serveurs sont ainsi tous critiques, mais avec des degrés qui dépendent de facteurs divers comme la proximité de l'application avec l'extérieur, la nécessité du temps réel de l'application, le lien avec d'autres applications (comme les serveurs de communication). Le degré de criticité est proportionnel aux risques encourus par l’entreprise en cas de rupture du SI. Il est important d’en faire le calcul pour déterminer les moyens à mettre en œuvre pour limiter ces risques.
Processus
métiers
Applications
Pour
Accroître l'agilité
Améliorer le fonctionnement
Simplification
Standardisation
Flexibilité
Modularité
Intégration
Appliqué
aux
Page 5
"L’Adaptative Entreprise" selon HP
“Ce ne sont pas les espèces les plus intelligentes ni les plus fortes qui survivent, mais celles qui
s’adaptent le mieux au changement”
Cette citation de Charles Darwin, extraite de sa Théorie de l’évolution des espèces, illustre très justement la nécessité pour l’entreprise de contrôler le changement nécessaire à sa prospérité, voire à sa survie. Mais s’il est permanent, inattendu, perturbateur, le changement est aussi porteur d’opportunités qu’il faut savoir saisir. Et c’est là que le système d’information peut prendre sa vraie dimension business, en fournissant à l’entreprise les moyens de s’adapter rapidement et en souplesse et en devenant source de revenus et non plus de charges. Pour répondre à cette nécessaire adaptation, ainsi qu’aux pressions sur les résultats opérationnels et financiers, HP a élaboré une stratégie qui permet d’aller au-delà des étapes classiques de la consolidation : l’Adaptive Enterprise. Les objectifs de cette stratégie sont : • Optimiser le ROI du système d’information, dégager de nouvelles opportunités de revenu, avec une maîtrise du coût total de possession. • Améliorer la réactivité et la flexibilité pour réduire les délais de conception et de mise sur le marché de nouveaux produits ou services. • Accompagner le changement et rendre le système d’information toujours plus efficace. • Développer de nouvelles fonctionnalités pour fidéliser davantage les clients. • Répondre plus rapidement et plus efficacement aux mouvements brusques du marché.
L’Adaptive Enterprise : une approche graduelle Le maître mot de l’Adaptive Enterprise est la synchronisation entre l’informatique et le business. Pour établir cette relation dynamique entre besoins business et capacités du système d’information, une approche graduelle est nécessaire. Elle porte sur les analyses suivantes : • définition des objectifs de flexibilité à l’échelle de l’entreprise et mesurer de façon permanente les améliorations engagées, • assurance que l’infrastructure est suffisamment flexible pour accueillir de nouvelles applications, de nouveaux systèmes, de nouvelles branches d’activités, • identification et résorption des composants matériel et logiciels sous-utilisés, • consolidation des actifs informatiques au sein d’une structure dans laquelle les services et les ressources sont administrés et délivrés à la demande.
Comment mesurer le degré d’agilité ? Afin d’accroître l’agilité de l’entreprise, il est impératif de définir des critères mesurables. Il faut identifier les fonctions business qui sont réactives et celles qui sont figées. Dans cette optique, HP a développé, conjointement avec l’INSEAD, une mesure d’agilité selon trois dimensions : • Rapidité : vitesse à laquelle on peut mettre en place les changements d’infrastructure, comme par exemple le temps nécessaire pour que l’entreprise soit capable de déployer une nouvelle application, de lancer la fabrication d’un nouveau produit, de bâtir une campagne promotionnelle, d’informer son réseau de distribution, etc.
Page 6
• Amplitude : profondeur du changement que l’on souhaite accomplir, de la modification mineure que l’entreprise peut absorber sans risque, à son bouleversement radical aussi bien sur son système d’information que sur ses méthodes. • Facilité : niveau d’effort humain, de coût et de risque nécessaire à l’accomplissement du changement.
4 principes fondateurs pour évoluer vers plus de souplesse • Simplification : réduire le nombre d’éléments, éliminer le spécifique, automatiser le changement. La consolidation des serveurs est un bon exemple de simplification, car elle est porteuse d’élimination des ressources sous-utilisées sur des plates-formes dispersées, de réduction des coûts d’administration... • Standardisation : utiliser des technologies et des interfaces standard, implémenter des processus standard. Cette standardisation permet d’éviter la formation de silos technologiques, desquels il est difficile de s’extraire sans une remise en cause complète des investissements. • Modularité : supprimer les systèmes monolithiques, créer des composants ré-utilisables, concevoir des architectures logiques. La modularité doit s’appliquer à tous les niveaux du SI pour que la modification opérant sur un module (routeur, serveur, application...) ne remette pas en cause les autres composants. Elle est la clé de l’évolution vers l’informatique à la demande et l’Utility Datacenter. • Intégration : lier l’informatique au business, supprimer les silos, connecter les processus et les applications au sein et à l’extérieur de l’entreprise. Cette démarche conduit à la mise en commun des ressources informatiques précédemment autonomes, conduisant ainsi à un meilleur taux d’utilisation de celles-ci. L’intégration est non seulement porteuse de réduction des coûts, mais améliore également la capacité et la rapidité de réaction à un changement, grâce à la simplification induite des processus.
Le chemin vers l’Adaptive Enterprise
Pour mener le système d’information, et par extension l’entreprise dans son ensemble, sur le chemin de l’Adaptive Enterprise, il convient de procéder par étape. Le métier, les contraintes et l’existant propres à chaque entreprise moduleront ce chemin, à la fois dans son envergure et dans sa durée. Cependant, les étapes fondamentales restent sensiblement identiques : • Stabilité du business • Efficacité du business • Agilité du business
Page 7
b) Des systèmes d'information de plus en plus complexes et hétérogènes Cette diffusion grandissante de l'informatique dans tous les rouages de l'entreprise entraîne une complexité accrue de la gestion d'infrastructures multiples, hétérogènes et évolutives. On arrive ainsi à un dilemme : alors que les infrastructures ne font pas partie du cœur stratégique et de compétences de l’entreprise, leur bonne gestion est cruciale pour des entreprises qui sont confrontées à des infrastructures de plus en plus complexes dont elles doivent avoir une maîtrise totale. Les entreprises ont intégré au fur et à mesure de leurs besoins des serveurs supportant des applications dédiées qui ont chacun leur vie, leurs contraintes, leurs évolutions. Leur intercommunicabilité implique aussi de gérer non seulement chacun des serveurs informatiques, mais d’assurer des services transverses comme notamment la communication ou la sécurité. Un exemple de transformation d’infrastructures complexes pour mieux répondre aux besoins
client : Cofidis
A propos de Cofidis
En 1982, Cofidis lance le concept du crédit par téléphone en s'appuyant sur les compétences de ses 2
actionnaires :
• Le groupe 3 Suisses International pour la vente à distance
• CETELEM pour le crédit à la consommation
Aujourd'hui, Cofidis propose une gamme de crédits à la consommation : crédit permanent, prêt
amortissable, cartes de crédit Cofidis.
Cofidis se positionne aujourd'hui comme le leader du crédit à la consommation.
Cofidis s’est dotée des moyens nécessaires pour vendre et gérer exclusivement à distance des crédits à la
consommation et de trésorerie. Ces moyens incluent notamment le système d’information, qui se doit
d’être fiable, sécurisé et réactif.
En 2003, Cofidis s’est trouvé confrontée à une impasse technologique : l’infrastructure en place n’ayant
connu aucune évolution depuis 1998/1999, elle ne permettait plus aux conseillers de répondre
efficacement aux demandes exprimées par les clients.
Pour répondre à de nouveaux besoins, notamment en termes d’industrialisation, de diminution des coûts
et de simplification du système d’information, Cofidis a décidé de s’appuyer sur MIBS qui l’a conseillée à
tous les niveaux du cycle de vie des infrastructures.
« La proximité, l’expertise, le savoir-faire transverse ont été des éléments clés dans notre choix. MIBS a
su apporter le conseil, l’expérience et les bonnes pratiques nécessaires à la mise en œuvre de projets
LAN
WAN
Wifi Serveurs
de
Serveurs
de stockage
Serveurs
d'applications
Serveurs
techniques
PRA
Systèmes hétérogènes
Sécurité réseaux + systèmes
Page 8
complexes, structurants pour Cofidis. » souligne Michaël Caraux, Responsable de l’Architecture
technique chez Cofidis.
Maître d’œuvre et partenaire conseil, les équipes de MIBS se sont associées à celles de Cofidis afin
l’accompagner sur quatre projets de migration lourds:
Evolution et pérennisation : migration Tru64 vers HP-UX
Cofidis souhaitait basculer son environnement de base de données, auparavant sur des plates-formes
Tru64 avec Informix, vers une architecture HP (Itanium) HP-UX, avec Oracle.
MIBS a réalisé une assistance à maîtrise d’œuvre technique afin d’aider Cofidis à définir l’architecture,
ainsi que les moyens d’exploitation les mieux adaptés aux besoins (Plate-forme Unix, stockage,
sauvegarde).
Déploiement : la première intégration MC/SG Itanium en France
L’objectif de Cofidis dans ce projet était double : d’une part, migrer d’une solution COMPAQ TRU64
vers une technologie HP Itanium cluster MC/SG 4 nœuds et, d’autre part, migrer Informix vers Oracle.
MIBS a mis en œuvre la plate-forme technique et accompagné Cofidis dans sa migration en retenant les
solutions suivantes : 6 HP, rx2600, 3rx5670, 1 rx620, 3 baies EVA5000, clusterisation MC/Service
Guard.
« Cette migration nous permet aujourd’hui d’avoir une plate-forme ouverte au standard du marché et
cette nouvelle architecture, plus évolutive nous permet d’envisager la création de nouveaux produits pour
notre clientèle, chose impossible avec l’ancienne solution. » explique Michaël Caraux « Quelques mois
après la mise en place de cette nouvelle plate-forme, nous constatons déjà une diminution par 2,5 des
temps de traitement des batch. La qualité de service offerte aux conseillers est désormais optimale.»
Exploitation : des outils pour superviser
Cofidis utilisait les outils de la gamme HP pour superviser l’infrastructure technique. Il s’agissait donc
de faire vivre cet outil, former les équipes et les aider à industrialiser la solution. MIBS a réalisé l’audit
de la plate-forme NNM OVO et présenté ses préconisations dans le cadre d’un rapport détaillé.
Blade : une approche consolidation
Cofidis souhaitait diminuer son coût de possession de serveurs.
MIBS a opté pour la mise en place d’une solution Blade et des outils d’administration liés, afin de
diminuer le coût d’achat par serveur, industrialiser le déploiement et consolider la supervision.
Page 9
Quelles réponses apporter pour assurer un bon accompagnement du cycle de vie d'infrastructures en constante évolution ? La forte demande informatique de ces dix dernières années a entraîné notamment une explosion des équipements distribués. Leur gestion a nécessité la mise en place de stratégies pour mieux maîtriser le coût et la qualité de l’informatique ; on en mentionnera trois grands axes : • La mise en place d'une véritable gouvernance du système d'information, • L’industrialisation du système d’information • L’appel à une sous-traitance maîtrisée capable d'intervenir par des offres sélectives ou de bout en bout pour aider à faire évoluer le système d’information, en s’appuyant sur une expertise pointue venant renforcer les compétences internes. a) La gouvernance du système d'information La gouvernance du système d'information n'est plus un vain mot ! elle s'inscrit dans la gouvernance plus générale de l'entreprise dont la mise en œuvre s'est accélérée sous les pressions réglementaires telles que la loi Sarbanes-Oxley ou l’IFRS. Le management se doit d’appliquer le principe de gouvernance globale à son organisation afin d’éviter toute dérive comportementale ou décisionnelle (ex. : grandes affaires type Enron, Worldcom…) Par ailleurs, l’environnement dans lequel les sociétés évoluent s’est considérablement complexifié. On constate ainsi le renforcement des attentes clients d’une part et l’accroissement des exigences des actionnaires d’autre part. La gouvernance du SI consiste à piloter l’activité et les ressources IT de l’organisation selon les orientations stratégiques définies par le management, lequel peut ensuite transmettre une information fiable et cohérente aux actionnaires.
Actionnaires Clients Organisations
publiques ou
privées
Pression sur la
valeur délivrée
Pression sur les
performances
Page 10
Pyramide des acteurs de la gouvernance IT La gouvernance du Système d’information a pour tâche, entre autres, de repérer les risques majeurs issus de l'informatique : pannes, menaces sur la sécurité, sinistres, défaillances de sous-traitants, risques projets et elle doit mettre en œuvre les moyens qui vont minimiser ces risques. La gouvernance IT, à l’image d’un outil de pilotage, s’appuie sur une évaluation permanente des performances de l’organisation par rapport aux objectifs fixés par le management et comparées à celles de la concurrence. On établit généralement une matrice d’évaluation qui porte sur 8 axes clés d’analyses : • Le contrôle de l’alignement du SI sur la stratégie d’entreprise et ses processus organisationnels et fonctionnels, • La mise au point du plan d’architecture et de développement du SI (planification des projets et allocation des ressources), • L’évaluation des risques technologiques et structurels liés à la maturité des processus et des infrastructures, • L’évaluation de la valeur ajoutée dégagée par le portefeuille projets de la DSI, • L’appréciation du coût des ressources informatiques utilisées (ressources humaines, infrastructures…), • La gestion des ressources humaines (disponibilité et compétences) en accord avec le plan de développement du SI, • La mesure des performances des services délivrés par les divers outils et systèmes informatiques, • L’évaluation de la transparence vis-à-vis des budgets informatiques et des moyens de contrôle appliqués.
Page 11
Un des points majeurs de la gouvernance du SI : la sécurité, mais comment l’aborder ? La gestion de systèmes complexes et ouverts passent obligatoirement par une réflexion sur la sécurité et les mesures à prendre pour en garantir un maximum de sécurité. La norme BS7799 forme un guide de recommandations structurées qui définit un processus pour mettre en place une politique de sécurité dans l’entreprise. Cette norme définit un code de bonnes pratiques pour la sécurité de l’information en entreprises, autour de plusieurs axes majeurs, tels que notamment : • La politique de sécurité • L’organisation de la sécurité • Les biens sensibles et la classification des informations • La sécurité appliquée aux personnes, aux locaux • La communication et l’exploitation • Le développement et la maintenance • La continuité Chacun des axes donnent lieu à une procédure d’analyse visant à évaluer la sécurité, en définir les objectifs, à déployer les solutions de sécurité retenues, les évaluer et les contrôler et les faire évoluer dans le cadre d’un processus d’amélioration continue. La bonne intégration des normes BS7799 peut être certifiée.
Parallèlement à cette norme, quelles sont les étapes à suivre pour être sûr d’avoir abordé toutes les problématiques de sécurité ?
La question a été posée à Jérôme DEROUVROY
Consultant Réseaux et Sécurité chez MIBS
CISSP, Lead auditor BS7799
« La sécurité, dans une entreprise, est souvent réduite, dans un premier temps, au périmètre de
l’informatique. Evaluer sa sécurité, c’est trop souvent demander au responsable réseau si l’accès
Internet est filtré correctement, ou au responsable système si tous les postes de travail sont pourvus d’un
anti-virus. Cette vision est certes réductrice, mais encore trop souvent rencontrée.
« La politique, en matière sécurité, ne doit pas dépendre de la technique. Au contraire, c’est la technique
qui dépendra de la politique élaborée. »
C’est à partir de ce constat, de prime abord surprenant, que doit se bâtir une stratégie de protection du
patrimoine de l’entreprise, à l’initiative de personnes ayant la mission de faire fructifier ce patrimoine :
la direction.
Une politique de sécurité est un ensemble formalisé d’éléments stratégiques, de directives, de procédures
et de règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information
d’une entreprise.
Page 12
Rédiger une politique de sécurité, c’est donc réaliser un document qui puisse s’appliquer à l’ensemble
des salariés de l’entreprise, suffisamment général pour que, d’une part chaque personnel de l’entreprise
puisse s’y référer et le décliner à ses propres besoins, et suffisamment concis, pour que, d’autre part,
chacun puisse y trouver, clairement exprimés, les principes de bases de la Sécurité. Ceci se déroule
généralement en plusieurs étapes : 4 ou 5 selon les cas.
• La première étape est une étape de formalisation, consistant à définir le projet de rédaction de la
politique de sécurité : acteurs, organisation, périmètre et moyens. Du sérieux de la réalisation de cette
étape dépendra la crédibilité du document final. Il est important que le groupe de travail réunisse les
principaux représentants de chacune des branches de l’entreprise.
• La seconde étape consiste à constituer le référentiel documentaire nécessaire. Ce référentiel
rassemble l’ensemble des textes, des lois, des obligations contractuelles auxquels est soumise
l’entreprise, mais aussi les documents internes, souvent oubliés, tels que schémas directeurs, et autres
rapports d’audit.
• Une fois le référentiel constitué, l’étape suivante consiste à synthétiser l’ensemble des informations,
pour définir les éléments stratégiques, et les besoins en termes de sécurité : qu’est-ce qui doit être
protégé, l’accent est-il à mettre en confidentialité, en intégrité, en disponibilité, en traçabilité, … ? Cette
étape peut être déroulée implicitement ou, mieux, faire l’objet d’une étude approfondie à travers une
analyse de risque.
• A l’issue de cette synthèse, il faut sélectionner les principes généraux de sécurité et à élaborer les
règles que l’entreprise veut voir respecter en son sein. Une fois le travail de réflexion effectué, un travail
de formalisation rédactionnelle est à fournir pour livrer un document rédigé de façon simple, dans un
langage « vulgarisé » compréhensible par l’intégralité du personnel, signé par la direction.
Cette politique de sécurité « mère » sera par la suite déclinée en politiques de sécurité « filles »,
appliquées à des domaines spécifiques (exemple : politique de sécurité des accès distants).
Une fois la politique de sécurité rédigée, il est important de la mettre en place, et c’est là que les outils
interviennent. Le responsable réseau va appliquer la politique de sécurité pour filtrer les accès extérieurs
(politique de sécurité appliquée par le firewall), le responsable de messagerie va appliquer la politique
de sécurité pour les e-mails (type de pièce jointe autorisée, taille, …)…
En résumé, la politique de sécurité exprime la volonté de la direction de pérennisation de l’entreprise,
étape indispensable mais malheureusement pas suffisante dans un contexte de concurrence économique
difficile, voire hostile...
b) L’industrialisation du système d’information
L’industrialisation du système d’information passe aujourd’hui par plusieurs leviers de transformation : • L’urbanisation du système d’information qui va aider à maîtriser la gestion d’infrastructures complexes et leurs évolutions • La virtualisation du système d’information qui va optimiser les infrastructures • Les architectures orientées services qui vont apporter une grande flexibilité au SI. • La mise en place de méthodologies et de normes qui va servir à créer un langage de compréhension commun des tâches à réaliser
Page 13
Les leviers de l'industrialisation du SI
L’urbanisation du système d’information Le système d’information, pour s’aligner sur la stratégie d’entreprise, doit être suffisamment agile et réactif et supporter sans déboire tout changement organisationnel ou structurel. Or, le SI d’une organisation est comparable à une cité urbaine dont l’histoire et le patrimoine sont en perpétuelle évolution : Héritage du passé et architectures modernes se superposent avec plus ou moins de cohérence. Ainsi, l’urbanisme originairement appliqué à la rationalisation des villes et de leurs infrastructures s’est étendu au monde de l’entreprise pour finalement devenir un nouveau concept lié à l’architecture informatique : l’urbanisation du SI. Une démarche d’urbanisation peut de dérouler selon trois étapes: • Tous les domaines fonctionnels de l’entreprise (production, administration…) sont détaillés en processus puis modélisés. Cela permet d’identifier les éventuelles redondances et éliminer certaines tâches non créatrices de valeur. • Ensuite, la DSI réalise une cartographie du système d’information qui lui servira de référentiel unique. Cette étape consiste à recenser toutes les bases de données et applications de l’entreprise et à identifier les fonctionnalités qu’elles remplissent. • L’ultime étape de l’urbanisation correspond à la mise en correspondance cohérente (grâce à des règles d’échanges, de synchronisation…) des processus fonctionnels avec la cartographie du SI, pour créer un système cible rationalisé, plus modulaire et mieux maîtrisé.
Page 14
La virtualisation du système d’information La DSI est aujourd’hui confrontée à la nécessité de rendre de plus en plus flexible ses capacités de traitement et de stockage pour les adapter aux demandes des utilisateurs, tout en justifiant de l’efficacité et de l’efficience de chacun de ses projets et investissements. Les budgets informatiques de plus en plus serrés couplés à des besoins utilisateurs croissants, obligent les responsables informatiques à rationaliser et consolider leurs investissements. La maturité technologique de la virtualisation vient à point nommé dans pareil contexte. Elle permet une maîtrise et une flexibilité plus aisées et nettement moins coûteuses du stockage des données de l’entreprise. La mise en commun d’éléments de stockage physiques (serveurs, connecteurs…), jusque là indépendants, décuple les possibilités de stockage de l’entreprise. Plusieurs environnements cohabitent de manière parfaitement indépendante et indifféremment du serveur qui les supporte. La virtualisation permet donc de libérer 100% des ressources d’un serveur physique, généralement utilisé à moins de 20% de ses capacités en raison des incompatibilités inter-applications. • D’un point de vue budgétaire et managérial, les gains de la virtualisation sont rapidement identifiables : • Optimisation des ressources (regroupement des applications sur un espace global de stockage restreint, grâce à une partition plus élevée des serveurs), • Interchangeabilité des supports physiques (réduit l’impact pour les utilisateurs lors d’une panne, et permet de libérer facilement des espaces libres dévolus aux tests par exemple), • Amélioration de la performance (espace de stockage plus rapidement disponible), • Réduction des coûts d’infrastructure (baisse du nombre serveurs et de connecteurs nécessaires), • Diminution des coûts d’administration en relation avec la diminution du nombre de serveurs, • Réduction des coûts indirects (espace au sol, énergie, climatisation).
Page 15
Architectures
Orientées
Réduction des coûts
Urbanisation des SI Implémentation
nouvelles
Optimisation des
processus
Les architectures orientées services C’est la méthode par laquelle on conçoit, on définit et on construit des applications en utilisant des blocs applicatifs réutilisables appelés Services. Les Services sont des fonctions clairement définies, indépendantes de la plate-forme technique et de l’état des autres services. À la différence de l’orienté objet, les données ne sont pas forcément liées aux traitements. Cette collection de services hétérogènes, interopérables et faiblement couplés permet de créer et d’exécuter des applications composites et/ou des processus métiers.
La mise en place de méthodologies et de normes La mise en place d'outils servant à définir des process communs ou des normes standardisées apporte un langage de travail homogène entre tous les partenaires travaillant sur les infrastructures : la norme BS7799 sur la sécurité permet de mesurer le niveau de sécurité du système d'information, tandis qu'ITIL, une standardisation des process autour des infrastructures, apporte de la cohérence dans les interventions des différents prestataires.
c) L'appel à une sous-traitance spécialisée La complexité des infrastructures implique de faire appel à des partenaires à forte compétence qui vont pouvoir intervenir : • soit par des offres de "bout en bout" pour accompagner le cycle d'évolution des infrastructures et les besoins de l'entreprise dans le temps, • soit par des offres plus ponctuelles sur des expertises pointues dont l'entreprise a besoin tout au long de la vie de ses infrastructures. L'accompagnement de "bout en bout" peut inclure du conseil, bon nombre d'entreprises considérant que le conseilleur est bien placé pour mettre en œuvre ses recommandations. Il va inclure aussi du déploiement d'infrastructures jusqu’à son éventuelle exploitation.
Page 16
• Le conseil, en définissant les évolutions à apporter (optimisation des architectures par rapport à leur coût, leur alignement métier, leur plates-formes techniques) ou en accompagnant le maître d’ouvrage dans ses projets • Le déploiement, en prenant en charge le déploiement des nouvelles infrastructures • L’exploitation, en gérant sur site ou hors site, les infrastructures dans un cadre de responsabilité globale pluri-annuelle avec des engagements de services bien définis.
Quel est l'intérêt de faire appel à l'extérieur pour gérer
et faire évoluer ses infrastructures ? L'entreprise va y trouver plusieurs avantages, selon le profil du prestataire : • Une compétence pointue, voire dédiée sur les infrastructures avec des lignes de force par plate-forme technologique, par type d'applications (stockage, messagerie,…), ou bien encore par prestations. Dans tous les cas, ces compétences forment le cœur de métier du prestataire à la différence de l'entreprise utilisatrice pour laquelle elles ne sont qu'un levier de gestion de ses activités, • Un apport d'expérience et de solutions déjà rencontrées dont va profiter le client. • Un devoir de conseil de la part du prestataire face aux décisions techniques que la société prend. • Un appui en méthodologie et en outils.
Page 17
Un exemple d’appel à la sous-traitance : le PRA (Plan de Reprise d’Activité) Les entreprises sont conscientes aujourd’hui que la continuité d’activité est une nécessité vitale de leur survie : mais comment la garantir face à des risques multiples liés aux pannes et aux sinistres ? comment l’anticiper et la gérer en période de crise ? Il est important d’adopter une démarche méthodologique précise afin d’établir un plan de reprise d’activité efficace : une aide par une société extérieure capable d’accompagner la société dans sa démarche, de la conseiller et de mettre en œuvre les moyens décidés s’avèrent souvent utiles pour réussir son PRA dans l’ensemble de ses composantes. Le PRA, schématiquement, va s’articuler autour de trois pôles d’action :
Une phase de diagnostic • Analyse des besoins de l’entreprise en continuité de services par activités, en définissant plusieurs axes : les ressources humaines, les données, les moyens informatiques et télécommunications. • Inventaire des moyens existants pour assurer cette continuité dans les différentes strates de l’entreprise.
Une phase de préconisation et de mise en oeuvre • Définition des priorités d’activités. • Établissement des moyens à mettre en œuvre pour un plan de reprise en cas de crise. Une phase de test • Établissement de tests pour valider la solution retenue. • Renouvellement régulier des tests. PRA : la méthodologie MIBS La démarche de mise en place d’un PRA, que MIBS déploie dans le cadre plus large du plan de continuité d’activité, se décompose de la façon suivante : • Analyse fonctionnelle des enjeux métiers : Il s’agit de définir avec le plus de précisions possibles le coût d’arrêt du SI (pour l’entreprise) et les attentes de la mise en œuvre du PRA. Pour cela, nous recensons les applications à sécuriser, au sens métier utilisateurs. • Audit technique du système d’information : Il va servir à évaluer la capacité du SI à •répondre aux besoins ou enjeux de l’étape précédente. Pour cela, il faut connaître les ressources du SI et de les cartographier. MIBS définit les flux d’informations entre chaque système pour connaître les interdépendances des différents systèmes. Les procédures et les process de fonctionnement de la DSI sont également à prendre en compte. Une fois que ces deux premières briques sont réalisées : analyse des enjeux business et analyse du système d’informations, MIBS compare ce dont le client dispose en terme d’infrastructure, et les objectifs fixés initialement. • Analyse des écarts et des risques : La réalisation de cette analyse permet de chiffrer précisément les capacités du SI à rendre le service attendu. On mesure le coût du risque en incluant son occurrence et son type. • Conception de solutions : La solution est conçue en fonction des études préalables. Elle peut être technique (nouvelle architecture), fonctionnelle (mise en place de procédures) ou organisationnelle (réorganisation du SI). A la fin de cette étape, le client possède tous les tenants et aboutissants, et est en mesure de décidé d’un GO/ NOGO.
Page 18
• Mise en œuvre de la solution : Une fois que l’on a défini l’architecture, qui s’appuie sur des technologies et sur un projet, nous réalisons celui-ci. • Suivi régulier : Après avoir testé le PRA mis en place, le maintien en condition opérationnel devient incontournable. L’arrivée de nouvelles applications, de nouveaux services, l’obsolescence des infrastructures conduisent à une remise en questions perpétuelle de l’architecture, des procédures Le cadrage initial, l’analyse de l’existant et la capacité d’adaptation du SI sont les facteurs clefs de succès de la mise en place d’une solution de PRA. Réussir la sous-traitance en services autour de ses serveurs critiques : quelques règles
• Définir un périmètre d'intervention pouvant aller d'une demande ponctuelle à un accompagnement
plus global. • Sélectionner un prestataire dont les compétences en services d'infrastructures soient le cœur de métier. • Repérer ses compétences en outils et process. • Déterminer ses modalités d'intervention selon des niveaux de services en adéquation avec les besoins
utilisateurs.
Page 19
La sous-traitance : un marché très dynamique, spécialement autour des infrastructures Un poids considérable des infrastructures dans la dépense informatique La dépense informatique en France a atteint 70 milliards d'euros en 2005. Elle recouvre l'ensemble des dépenses internes et externes des entreprises en informatique (personnel, matériel, sous-traitance, réseaux). 48% de cette dépense sont liés aux infrastructures : dépenses en matériels, personnel interne dédié à l'exploitation, sous-traitance autour des serveurs, des PC et des réseaux. On voit que l'optimisation des infrastructures et leur bonne gestion ont un impact direct sur le montant et l’évolution de la dépense informatique !
Dépenses autour
des
infrastructures
48%
Dépenses autour
des applications
52%
Dépense informatique 2005 :
70 milliards d'euros
Une forte demande de sous-traitance autour des infrastructures La dépense de sous-traitance en services autour des infrastructures représente 9,7 milliards d'euros en 2005. Elle évolue au fil des années vers des contrats récurrents, mais garde néanmoins une forte dynamique en conseil et en réalisation (soit en régie, soit au forfait). Elle se décline selon différentes prestations allant du conseil à l'infogérance en passant par les projets. Les infrastructures : les différentes formes de sous-traitance
Page 20
Des prestataires apportant des offres multiples adaptées aux besoins
diversifiés des entreprises
Page 21
Les infrastructures des entreprises vont elles devenir encore plus critiques dans l'avenir ? À coup sûr la réponse est positive. Ne serait ce que par les besoins croissants des entreprises de construire puis de gérer leur base de connaissances, mais aussi d'y accéder rapidement : une des richesses de l'entreprise va résider de plus en plus dans sa capacité à accéder à l'information et d'y réagir : c'est le cœur de la business intelligence qui présuppose une infrastructure capable de saisir cette connaissance, de la gérer, de la stocker puis de la restituer. C’est pourquoi le concept d’ILM (Information Life Cycle Management) a pénétré dans les entreprises afin d’avoir une démarche globale de gestion de l’information circulant dans l’entreprise, à la fois du côté des données que du côté des documents non structurés, afin d’assurer une fluidité d’accès à cette connaissance. La gestion efficace du patrimoine d’informations d’une entreprise fera de plus en plus partie de son capital et de sa valeur ajoutés. Parallèlement à ces besoins croissants de gestion de la connaissance, les pressions pour une gouvernance d’entreprise encore plus effective avec les contraintes réglementaires de transparence des activités, de meilleure maîtrise des risques, vont obliger les entreprises à valider encore plus la solidité de leurs infrastructures. Plus le système d’information tend vers une meilleure adéquation des services qu’il fournit à ses utilisateurs avec leur environnement métier, plus le socle des infrastructures devra être solide et transparent dans l‘évolution des besoins : c‘est un des challenges majeurs du DSI !
Page 22
Qui est MIBS ? MIBS Infrastructure et Services est né du regroupement en 2005 de Medasys Infrastructures et Services et IB Solutions. Fort de 250 personnes, MIBS intervient comme architecte des infrastructures critiques du système d'information et offre des services d'intégration globale d'infrastructures sécurisées, complexes et hétérogènes. MIBS décline son rôle d’intégrateur grâce à des compétences en administration et supervision du SI, en architecture réseaux, en stockage et en sauvegarde. Il intervient aussi pour définir et mettre en œuvre des plans de reprise d'activité et des plans de sécurité globale. Grâce à ses agences couvrant l'ensemble de la France, MIBS peut assurer l’ensemble des services de proximité nécessaires au déploiement de nouvelles infrastructures. MIBS forme ainsi, grâce à son positionnement sur les prestations autour des infrastructures critiques, la charnière indispensable entre constructeurs et intégrateurs fonctionnels.
Quelques grandes entreprises qui ont fait confiance à MIBS TELECOMMUNICATIONS ET HEBERGEMENT :Alcatel, Bouygues Telecom, Evolium, France Telecom, Orange, Tiscali BANQUE ASSURANCES : AON, Axa, Banque de France, BNP, Caisse d’Epargne, CDC Ixis, CLC Bourse, Cofidis, Covefi, Crédit Agricole, Crédit du Nord, Crédit Lyonnais, GIE MMA SI, GPA Assurances, ING Direct, SMABTP INDUSTRIE : Aigle, Airbus, Alstom, Astrium, Aventis, Axalto, Carrier Transicold, Danone, Davigel groupe Nestlé, Ducros, EADS, EDF, Framatome, JC Decaux, kookaï, Lapeyre, Lindt Sprungli, Renault, Sagem, Schlumberger, Snecma, STMicroelectronics, Thalès SERVICES : Accenture, ANCV, Atos Origin, Cerberus, CSP, Delmas, DHL, Experian, Leroy Merlin, Monoprix, PriceWaterhouseCoopers, RATP, RFF, Seita groupe Altadis, SNCF ADMINISTRATION ET SANTE : Centre hospitalier René Dubos, CNRS, Hospices Civils de Lyon, Ministère de l’Économie et des Finances
Quelques exemples de projets clients
COFIDIS : accompagnement de Cofidis dans la migration de matériels, de systèmes d’exploitation et de bases de données. Mise en oeuvre et déploiement de la migration d'une solution Digital VMS vers HP Itanium et Informix vers Oracle LAPEYRE : mise en oeuvre des infrastructures ERP (Peoplesoft) et CRM (E-Piphany) VEOLIA : environnementMigration de plate-formes de développement et de production HP OpenView v6 vers v7 sur Sun Solaris GROUPE DAUPHINOISE / RHONALPSERVICES : mise en oeuvre d'une solution de sauvegarde centralisée. Mise en oeuvre d'une infrastructure de consolidation de serveurs. MANA (opérateur télécom) : gestion du parc réseau, mise en oeuvre de solutions de mesure de bande passante et qualité de service. ONERA : refonte du réseau : préparation du design, déploiement et intégration de la solution
Page 23
Nom MIBS Infrastructure & Services
Localisation MIBS / IB-Group (siège social France) 24, rue Saarinen BP 60253 94568 RUNGIS Cedex
Dirigeants Loïc Villers, Directeur Général d’IB-Group et PDG de MIBS Frédéric Vaillant, Directeur Général MIBS Jacques Meunier, Directeur Général MIBS
Chiffres clés du groupe
(IB Group)
Chiffres d’affaires au 31/03/05 : 90M € Capitaux propres : 25 M € Coté Euronext, Segment Next Economy, compartiment C
Activité Architecte du Système d’Information.
Né de la fusion entre Medasys Infrastructure & Services (France et Suisse) et IB Solution, MIBS se positionne sur toutes les composantes du système d’information en tant qu’intégrateur global d’infrastructures sécurisées.
Effectifs Effectifs Groupe : 330 personnes Effectifs MIBS : 250 personnes
Expertises Administration et supervision du SI, Architecture réseaux, Infrastructures systèmes/stockage/sauvegarde, Qualité de service et Performances, Plan de reprise d’activité, Sécurité globale du système d’information.
Implantations Une présence régionale forte à travers un réseau de 8 agences Ile-de-France, Lyon, Lille, Rennes, Bordeaux, Rouen, Aix-en-Provence, Toulouse
