sl_16

w w w . s o l u t i o n s - l o g i c i e l s . c o m

LE MAGAZ INE DES DEC IDEURS INFORMATIQUES

N°16NOV/DÉC 2010JANVIER 2011

3e ANNÉE

Le boom de ladématérialisation

© p

hoto

:Vi

ncen

t Blo

cqua

ux

L’insolentecroissance de

Primobox

Avec sa solution unique de dématérialisation en mode SaaS, l’entreprise est devenue incontournable en moins de deux ans.

Xavier Lainé,PDG de Primobox

Le boom de ladématérialisation

p.28

p.24

Déployer lessmartphones

p.42

Dans les coulisses

de laSÉCURITÉ

DOSSIER

DOSSIER

ERP et CRMSaaS et

évolutivité p.36

p.14

BIMESTRIEL N°16 NOV.2010 - JANV.2011France METRO : 6 € - BEL : 6,40 € - LUX : 6,40 €CAN : 8,50 $ can - DOM : 6,80 €

3:HIKTPF=VU[UU]:?a@k@b@q@a;M 09551 - 16 - F: 6,00 E - RD

SL016 Mag UNE D2

© P

rimob

ox -

D.R

.

SL016-Mag_UNE-D1 15/11/10 19:25 Page 1

http://www.solutions-logiciels.com/include/pub_mag_redirection.php?id=228

métiermé t i e rINDICATEURS

SOLUTIONS & LOGICIELS • 3 • n°16 - nov.2010/janv.2011

En Octobre, les demandes des clients ont baissé de 3,5 % parrapport à octobre 2009.

Cependant, comparée à septembre qui inscrivait une diminution deprès de 10%, la baisse d’octobre est beaucoup moins forte et sem-ble présager un retour à l’équilibre d’ici la fin de l’année.A noter, la hausse dans la demande de la catégorie “Systèmes, ré-seaux, sécurité”, qui a pris la place de 1er ex-æquo avec “Nouvel-les technologies” depuis deux mois. ■

> Catégories en hausse par rapport à Octobre 2009Cet indicateur est tiré de la Bourse des Services Informatiques : HITECHPROS.COM

Baromètre Octobre 2010

HITECHPROS, le “Meetic” de l’informatique

Ebrahim Sammour, Directeur général d’HITECHPROS, aconscience que son activité des services IT représente un bon

baromètre de l’activité du secteur : “en 2010, c’est reparti sur leschapeaux de roues”.Une baisse de 9% du CA de l’entreprise avait marqué l’année 2009,par rapport à 2008. Le dirigeant prévoit un CA de 12 millions d’eu-ros environ cette année, ce qui représentera une hausse à deux chif-fres par rapport à 2009.Hitechpros va avoir 10 ans : l’entreprise a été fondée en 2001. Elleest cotée sur Alternext depuis 2006. Le principe du service offertest simple : l’abonnement permet aux SSII un accès illimité à laBourse des inter-contrats, afin d’échanger les informaticiens inoc-

cuppés. “Le ‘ticket d’entrée’ estde 228 euros s’exclame le diri-geant, c’est le coût d’une machineà café !”. L’abonnement est sansdoute vite amorti car comme lerappelle E. Sammour “un inter-contrat coûte 300 euros par jourà une SSII”.

Pour les grandes etles petites structures

M. Sammour estime faciliter, pour les SSII les plus modestes, l’ac-cès aux services informatique des grands comptes grace à sa pla-teforme de médiation.Même les indépendants ne sont pas oubliés : ils représentent unpotentiel intéressant… Leur tarif d’abonnement est dégressif se-lon la durée de l’engagement, de180 euros par mois à 480 par an.“Entre 100 et 150 millions d’euros transitent chaque mois sur no-tre site précise le dirigeant, qui plaisante : “nous sommes le “Mee-tic” de l’informatique… !”. ■

Jean Kaminsky

Plateforme d’échange de services, Hitechpros représente une véritable bourse des services informatiques.2200 SSII (parmi les 3000 de la place), peuvent à travers elle échanger leurs inter-contrats

> L’activité intermédiations représente 75% du CA .

A partir de son métier historique, la bourse des inter-contrats, legroupe a de fil en aiguille enrichi la panoplie des services offertsà son écosysteme :> Le service d’intermédiation auprès des clients finaux,créé dès 2004, représente les 3/4 du CA. “Il permet aux DSI detrouver la meilleure ressource, au meilleur tarif, en toute neutra-lité et en un temps record”, explique E. Sammour.> La même année, un département Fusion-Acquisition a vu lejour, pour se transformer en 2009 en Cabinet-Conseil en rappro-chement d’entreprises (une trentaine de sociétés en moyenne cha-que année)> Bourse d’échanges pour les Centre de formation ■

> Quelques chiffres

• CA total : 10,4 Millions d’euros (2009) • 1000 à 1500 profilsdisponibles chaque semaine • 300 collaborateurs placés par an • Tarifs de base : 228 euros (SSII), 180 euros (indépendant) ■

Ebrahim Sammour,Directeur général d’HITECHPROS

SL16 D4 15

en octobre 2010 par rapportà octobre 2009

Marché de la prestation informatique -3,5%

SL016_BAROMETRE_D4 15/11/10 21:27 Page 3

N°16

l

S O M M A I R ESOMMAIRE■Nov.2010/janv.2011

C H O I S I R I D E P L O Y E R I E X P L O I T E R

Directeur de la publicationet de la rédaction :

Jean KaminskyDirection marketing :

Olivier PavieConseiller de la rédaction :

François Tonic

REDACTION :Ont collaboré à ce numéro :

François Tonic, Olivier Bouzereau, Benoit Herr,

Solange Belkhayat-Fuchs, Christine Calais.

[email protected]

Photos : D.R.

Experts : Olivier Iteanu

Maquette : Claude Marrel

PUBLICITE :Tel : 01 41 77 16 03

[email protected]@solutions-logiciels.com

Siège Social :K-Now sarl,

21 rue de Fécamp,75012 Paris

Abonnements : En lignewww.solutions-logiciels.com

ou Solutions Logiciels, Groupe GLi, 22 rue René Boulanger 75472

Paris cedex 10. Tel : 01 55 56 70 55, Fax : 01 40 03 97 79

Tarifs : 1 an, 6 numéros : 30€(France métropolitaine)

Impression :Corelio Nevada Printing, 30 allée de la Recherche 1070 Bruxelles Belgique

Dépôt légal à parutionCommission paritaire :

0313 T 89341ISSN :1959-7630

■ METIER• Hitechpros,

le “Meetic” de l’informatique . . . . . . . . . . 3

• Bilans et perspectives - Syntec numériqueLogiciels et services :+1% en 2010, +3% en 2011 . . . . . . . . . . . . . . 6

• Cadre en SSII : un métier passionnant et très polyvalent . . . . . . . . . . . . . . . .10

• CNIL, le Dsi en point de mire ? . . . . . .50

■ DOSSIER

SECURITEAssises de la sécurité 2010• Dans les coulisses du marché de la sécurité 14

• Terrain : des offres qui donnent la tendance . . . . . . . . . . . . .18

• Les Assises en “Live” . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

• Interview : Eva Chen, PDG de Trend Micro .23

■ DOSSIER

DEMATLe “Boom” de la dématérialisation . . . . . . . . . . . .24

• L’archivage électronique, une affaire de spécialistes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

• La dématérialisation des documents comptables, un fort potentiel . . .30

• Locarchives, un métier, deux SI bientôt reliés . . . . . . . .34


• Primobox,une solution unique de dématérialisation en mode SaaS

28

Assises de la sécurité en “Live” 22

■ INFRA• VMware

part à la conquête des PME . .12

SL016_SOMMAIRE-D1 15/11/10 19:26 Page 4

SIGNES DES TEMPS■

les solut ions IT en entrepr ise

Les esclaves se rebiffent.Mauvaise nouvelle pour les serveurs.

Alors, ça repart ?Les budgets, éternel souci. L’année 2010 s’achève en année de transitionet l’IT a commencé son redécollage. Selon l’ “Enquête DSI 250” de PierreAudoin Consultants (PAC), 21% des DSI interrogés estiment que leursbudgets auront connu une hausse et 27% une baisse, cette année. Leurschallenges principaux sont : “l’augmentation de l’efficacité/réduction descoûts” (62%), l’externalisation (37%), et la globalisation (27%).

L’IT fabriqué dans des camps de travail ?Justement, les Serveurs, PC et smartphones, coûtent désormais plus cher.Foxconn a été obligé d’augmenter les salaires de ses ouvriers de Shenz-hen de 70%, passant à 2 000 yuans, soit 243 euros, par mois. Une en-quête sur le géant taïwanais, usine mondiale de l’IT ( iPhone, iPod, Dell,HP, Nokia, Playstation, NeufBox…), 937 000 employés, avait révélé despunitions physiques (16%), restrictions de libertés (38%), évanouisse-ments sur la chaîne de montage (13%), vagues de suicides et heures sup-plémentaires (jusqu’à une centaine par mois) peu ou pas payées. Bref,l’usine du monde ressemble à un camp de travail militarisé et fait res-sembler la dépression des cadres de France télécoms ou les revendica-tions de nos cheminots à des caprices de riches.Mais ne rêvons pas, fabricants comme consommateurs, nous sommestrop cyniques pour nous émouvoir, et ce n’est pas demain que les chaînesde production seront re-localisées en Californie ou en Savoie…

Le DSI, dirigeant de l'entreprise numérique ?A l’assemblée générale du CIGREF, en octobre, Bruno Ménard, présidentde l’organisme et DSI de Sanofi-Aventis, démontrait l’émergence de l' “entreprise numérique”. La technologie numérique recouvre désormaisl'ensemble de l'entreprise (production, marketing, gestion…). Un rôlenouveau en découle, selon lui, pour le DSI, expert du digital : devenir le“dirigeant de l'entreprise numérique”. Quelques semaines plus tard, ennovembre, le Syntec annonce sa nouvelle dénomination : “Syntec Numéri-que”. Signe des temps, le terme “informatique” parait dépassé.Aïe, faudra-t-il prévoir dans votre budget 2011 la réimpression de voscartes de visite, avec le nouveau titre “Directeur Numérique” ?

www.solutions-logiciels.com✔L’actualité quotidienne :

développement, sécurité, internet,administration, etc.✔Les cas clients

R

Jean Kaminsky Directeur de la publication

[email protected]

■ INFRA• Dell lance le self-service

de la virtualisation . . . . . . . . . . . . . . . . . . . . . . .41

• Votre cloudcomputingest-il légal ? . . . . . . . . . .46

• CorrespondantInformatique et Liberté,pourquoi faire ? . . . .48

■ PROGICIEL

Les tendances de L’ERP et du CRMSaas et évolutivité . . . . .6

• Distribution et e-commerce : le plein detechnologies . . . . . . . . . .8

• SugarCRM incarne la troisième génération de CRM . . . . . . . . . . . . . . . . . . . . . . .40

■ COMMUNICATION

• Administrer et déployer un parc de Smartphones . . . . 42

L E M A G A Z I N E D E S

D E C I D E U R SINFORMATIQUES

SL016_SOMMAIRE-D1 15/11/10 22:35 Page 5

métiermé t i e rINDICATEURS

SL16 D4 15nov


Bilan et PerspectivesLogiciels et services

+1% en 2010, +3% en 2011

Bien que l’Insee prévoit une baisse générale des investissements des en-treprise de 1,6%, les investissements des entreprises dans le numériquese maintiennent relativement bien et Syntec numérique confirme une crois-sance de +1% pour l’activité Logiciels, Conseil & Services informatiquesen 2010 en France.

La chambre syndicale Syntec informatique aannoncé le 9 novembre sa nouvelle dénomination :Syntec numérique. L’organisme, sur la base de sonenquête réalisée avec IDC, confirme ses prévisions

de croissance de +1% pour l’activité Logiciels,Conseil & Services informatiques en 2010 en Franceet annonce une prévision de 3% pour 2011. ■

La reprise a démarré, tel que le mon-tre ce schéma . Le marché revient deloin ! il passe de -4% en 2009 à +1%en 2010. ■

Dans l’Edition de logiciels, l’émergence des nouvelles offresdynamise la vente traditionnelle des licences et de nouveauxmodes de commercialisation (SaaS, portails Online…)Par ailleurs, les applicatifs dans le domaine de la mobilitéoffrent des perspectives de croissances intéressantes. ■

2010 1%

-4%

2009

“L’Edition de logiciels est un métier en mutation”

“Cela constitue un défi pour les éditeurs, qui doivent re-penser leur modèle économique le plus rapidement pos-sible” explique Bruno Vanryb, président du Collège édi-teurs de Syntec. ■

L’infogérance maintient sa croissance

Logiciels : Une croissance de 2% attendue en 2010


Budgets en hausse

métiermé t i e r

SL16 D4 15


+2% pour l’Infogéranceapplicative,

+1% pour l’infogéranced’infrastructure.

Conseil & Services informatiques : +0,5% en 2010 La croissance de l’activité reste soutenue sur l’année par l’ex-ternalisation : la reprise reste lente pour le Conseil, l’Assis-tance Technique et l’activité Projet & Intégration même si lestaux d’activité se normalisent.

Selon Syntec numérique : “L’offshore ne profite pas du contexteéconomique pour accélérer sa progression, mais demeure unélément incontournable dans la majorité des grands contrats”.

3 000 à 5 000 créationsnettes

Le secteur renoue avec la créationnette d’emploi en 2010 sous l’effetde la reprise d'activité et du redémar-rage du turnover. 35 000 recrutementssont attendus (dont 26 000 cadres)en 2010 pour un total de 3 000 à5 000 créations nettes d'em-ploi sur l’année.

> Les perspectives sont tout par-ticulièrement dynamiques pour lesjeunes diplômés.

> Le secteur des activités numé-riques emploie 370 000 collabora-teurs dont 246 000 cadres, ce qui lepositionne parmi les premiers recru-teurs de cadres en France.

Les tensions sur les profils enpointe sont fortes. ■

Sur la base de 300 questionnaires, les DSI sont 53% à prévoirdes dépenses externes en hausse pour 2011.

Ils étaient 40% dans ce cas en 2010.

Emploi : 35 000 recrutements en 2010

La France atteint les meilleures performan-ces de croissance des principaux pays européens, après l’Al-lemagne. En 2010, seuls nos voisins d’outre-Rhin font mieuxque nous (+1,5%). La Grande-Bretagne reste stable, l’Italiedécroit de 2% et l’Espagne de 3%. ■




métiermé t i e rSSII


En SSII, le turn-over est réputé impor-tant, entre 7% et 15% semble-t-il, etle taux d’inter contrat le souci perma-nent. Les SSII traînent encore parfoisune image péjorative. Cette image estdépassée, témoigne Stéphanie Khalif-Vennat.Elle parle en connaissance de cause :17 ans d’expérience dans les métiersdu service et plus particulièrement dansla vente de prestations intellectuelleset de projets à forte valeur ajoutée. 8 an-

nées passées dans le groupe Plus, avec le développement commer-cial de plusieurs agences, puis 9 ans au sein du groupe Neurones(un peu plus de 2000 collaborateurs), en tant que Directrice Com-merciale d’une des filiales.

➜ Solutions&Logiciels : L’image des SSII n’est pas toujours trèsvalorisée, est-ce justifié ?

• Stéphanie Khalif-Vennat : Il s’agit de clichés dépassés, le mar-ché a évolué.Il y a environ 10 ans les SSII ne faisaient quasiment que de la “ré-gie”, et on les associait volontiers à des sociétés d’intérim de luxe…Les besoins et les attentes des clients sont aujourd’hui très diffé-rents. Ils veulent des résultats concrets, des indicateurs de mesure,en bref une amélioration de l’ efficience de leurs systèmes d’infor-mations… Avec l’arrivée des contrats d’infogérance (engagement de résultats),des contrats forfaitisés (engagement de moyen ou de résultats) pro-duction de Plans d'assurance qualité (PAQ) et de SLA (Service Le-vel Agreement).➜ S&L : Quels sont les critères décisifs dans le choix d’une SSII ?• S K-V : Les principaux critères qui différencient les SSII sontnombreux. Mais l’un des indicateurs qui en dit long sur la sociétéest la gestion des ressources humaines. En effet, il ne faut pasperdre de vue que la “matière première” des SSII est l’humain, parconséquent connaître la politique RH est très importante: que va-

t-elle proposer comme perspectives de carrières, de formations,d’évolutions à ses consultants ? La gestion de nos collaborateurs est primordiale, il faut savoir dé-velopper le sentiment d’appartenance de nos consultants, salariésde la SSII mais travaillant géographiquement chez nos clients…cela passe par des moments de partage: un mixte entre manifes-tations professionnelles et manifestations détente. L’idéal est d’or-ganiser une rencontre par mois (en plus du suivi du consultant enmission) par le biais de réunions de présentation de nouveaux pro-duits animées par nos partenaires ou par un de nos experts, et des“Happy hour” qui vont nous permettre de découvrir nos consultantssous un autre jour et dans un cadre différent.En conclusion, je crois qu’il est important de choisir une SSII , passeulement comme fournisseur mais avant tout comme partenaire.Elle a un vrai rôle de conseil, elle doit être source de propositionsde créativité et d’anticipation et ce avant, pendant et après la si-gnature. Il ne faut jamais oublier qu’une SSII fonctionne en relationtripartite : le consultant, le client et la SSII. Si l’une des parties n’estpas satisfaite, c’est l’ensemble du dispositif qui s’effondre. ■

Propos recueillis par Jean Kaminsky

Cadre en SSII :un métier passionnant et très polyvalent Comment exerce-t-on sa profession à l’intérieur d’une SSII ? Ces entreprises font-elles toutes le mêmemétier ? Enfin, du point de vue de la DSI en entreprise, comment choisir “sa” SSII ?

TEMOIGNAGE

Choix de la SSII : les critères à examinerStéphanie Khalif-Vennat : “cette check-list résume les bonnesquestions à se poser”

> Les références clients ;> Est-ce que la SSII travaille majoritairement avec des grands comp-

tes ou bien des PME PMI ?> Le taux de fidélisation, de pérennité de ses clients ? Un client fi-

dèle depuis plusieurs années est un client satisfait ! > Les références techniques et fonctionnelles ; > Les partenariats, alliances et éventuellement les joint-ventures ?> L’organisation interne vis-à-vis des clients : ceux-ci ont-ils un in-

terlocuteur unique ou plusieurs interlocuteurs, en fonction du su-jet traité ?

> La capacité de la SSII à gérer un projet global (mode itératif) etnon pas uniquement par lot ;

> La souplesse de la SSII à s’adapter face aux changements éven-tuels. En effet les besoins sont rarement connus à 100% au dé-part et la SSII doit être source de créativité ;

> La politique RH

Bien entendu, il y a des critères plus génériques :> Le positionnement géographique de la SSII : Paris/Ile de France,

agences en province, à l’international ?> L’entreprise est elle certifiée ISO ? > La solidité financière… ? ■

SL16 D1 14

Faire preuve de créativité et être source de proposition“Mon métier est passionnant et très polyvalent, il conjugue plusieurs as-pects, le commercial, la RH et la gestion, par conséquent il n’existe pas deroutine, mais pour le client, l’ensemble de ces aspects est transparent.La principale contrainte de notre métier est de savoir dire NON à un client,si ses exigences ne sont pas réalisables (délais, budget, métier ...). Cepen-dant, et dans certains cas, quand un projet est viable, mais pas en l’état, laSSII doit être capable de rebondir en faisant preuve de créativité et en étantsource de proposition.” ■



l virtualisation l déploiement sauvegarde INFRA

VMware part à la conquête des PME

Son écosystème se renforce avec 1300 partenaires en France et 5000 consultants formés à la virtualisation.Avec l’assistant GoPro pour configurer les serveurs virtualisés, la suite collaborative Zimbra et des applicationstierces préconfigurées, VMware veut semer dans le terreau fertile des PME-PMI.

L’écosystème en construction autour deVMware ne cesse de croître et l’éditeur

Américain le démontre chaque année da-vantage. Ainsi, la troisième édition Euro-péenne de l’événement VMworld vient-ellede réunir, à Copenhague, plus de 6 000 in-formaticiens attirés par l’infrastructure vir-tualisée qui fait de l’ombre à Microsoft. Encomparaison, ils étaient 4 700 visiteurs en2009. Au Danemark, un laboratoire éphé-mère bâtit et détruit, à l’échelle mondiale,2 000 machines virtuelles par heure commepour mieux démontrer la simplicité du sys-tème retenu par Verizon Business et Terre-mark, deux partenaires opérateurs.Seul hic, dans les petites structures, lesconnaissances en matière de virtualisationsont encore rares. VMware s’est donc as-socié à Shavlik pour concevoir un super-as-sistant qui installe le serveur ESX en quel-ques clics. “Avec GoPro, le serveur est confi-guré en dix minutes à un quart d’heure. Ilsuffit de renseigner son adresse IP et lesidentifiants d’administration”, précise, surle stand VMware, Andrew Stevens, le di-recteur chargé de la gestion du produit deShavlik. Simplifier le paramétrage du ser-veur est l’une des missions de l’assistant

cences. Dernière mission du programme,assurer les mises à niveau du système viale patch management. GoPro est accessi-ble via Internet dès maintenant et il devraitrester gratuit jusqu’à la fin de l’année 2010,voire même au-delà.

Une réponse à WindowsInTuneCette initiative de VMware coïncide étran-gement avec le lancement par Microsoft del’offre Windows InTune dont la version 1.0est prévue pour le début 2011. Disponibleen bêta depuis le printemps dernier, cetteconsole d’administration centralisées’adresse au partenaire informatique de l’en-treprise ou bien à son administrateur micro.Elle contribue à gérer l’ensemble des logi-ciels, des PC et smartphones de l’entreprisesous Windows 7, XP et Vista. In Tune parti-cipe aussi à la sécurité des postes de tra-vail, via la télédistribution de patches sys-tèmes. Outre l’inventaire du parc et la miseà niveau des logiciels Windows, la plate-forme de Microsoft - rendue interactive parSilverlight - offre aussi le contrôle des ter-minaux à distance, via Internet. InTune,comme GoPro, apporte donc un gain detemps précieux pour mettre à jour le parcmicro-informatique.

qui vérifie, en premier lieu, la conformité dumatériel - un simple PC sous Windows suf-fit. GoPro lance ensuite la migration P2V dusystème d’exploitation puis installe, le caséchéant, les appliances virtuelles, des logi-ciels préconfigurés téléchargés par l’utilisa-teur. Mais l’outil de vulgarisation ne s’arrêtepas là : GoPro permet ensuite d’administrerle serveur, ses machines virtuelles et sesapplications en un clin d’œil. Il simplifie ainsila gestion du parc micro et le suivi des li-


LE CLOUD REDISTRIBUE LA GESTION DES DONNÉES

Paul Maritz, le PDG de VMware, dessine uneévolution inéluctable liée à la mobilité des utilisa-teurs et au stockage des données dans le cloud.L’entreprise va refondre sa gestion des données,distribuer et archiver les informations selon sespropres règles, quel que soit son matériel destockage.

De son côté, l’utilisateur disposera, sur son télé-phone mobile comme sur son ordinateur, de plu-sieurs personnalités distinctes. Par exemple, pourses usages professionnels, ses usages privés et

pour les réseaux sociaux. Les carnets d’adresses pourront être cloisonnés mais ils resteront néan-moins accessibles à tout moment. VMware réunit les blocs de base - par acquisition ou par déve-loppement de technologies Open Source - pour délivrer de tels services, qui seront portés d’uncloud à un autre le cas échéant. Ses récentes emplettes (Integrien pour la gestion des performan-ces en temps réel ou encore TriCipher pour l’authentification unique de l’utilisateur) complètent sastratégie de fédération de clouds. ■

SL016_INFRA-VmWorld-D2 15/11/10 21:06 Page 12

virtualisationINFRA

L’écosystème VMwarerenforce ses servicesEn fait, les PME cherchent surtout à déployerdes services informatiques plus fiables, éco-nomiques et sans maintenance manuelle.Au-tour de VMware, une kyrielle d’éditeurs et desociétés d’intégration apporte les équipes etles bonnes pratiques nécessaires à l’adminis-tration et à l’automatisation des environne-ments physiques et virtualisés. Par exemple,

RES Software permet de bâtir un portail deself-services destiné aux utilisateurs mobilessous iPhone et iPad.Veeam One apporte unesolution unifiée d’administration pour VMware.Et Trend Micro protège, avec DeepSecurty, lesserveurs virtuels en déplacement (lire l’inter-view d’Eva Chen, voir dossier Assises de laSécurité p.23).Au-delà des outils de développement et dedéploiement de VMware, de plus en plus desolutions délivrent des services d’infrastruc-ture et des services métiers via le cloud.“Pour 20 à 30% de nos clients, la virtuali-sation des serveurs participe à une meil-leure disponibilité des applications et à desservices plus performants, y compris sousSQL Server, Oracle ou SAP. Nos clients ap-précient la souplesse, la réactivité et l’agi-lité supérieure de nos solutions”, conclutMaurizio Carli. ■

Olivier Bouzereau

Les rivaux Microsoft et VMware cherchenttous deux à optimiser la production infor-matique de l’entreprise. Le premier comptey parvenir en intégrant InTune à son offred’administration System Center. Le seconden rapprochant ses outils de virtualisationde nouveaux services cloud pour l’infrastruc-ture et la productivité des équipes.Ionix apporte ainsi à VMware une vision uni-fiée du stockage et des machines virtuelles,

sur une même seule console d’administra-tion. La suite ZCS (Zimbra Collaboration Suite)propose une plateforme Web 2.0 simple àpersonnaliser, à l’aide de Zimlets, d’API etd’interfaces agrégées (mash-ups). Les ser-vices de gestion de la relation clients de Sa-lesforce.com, mais aussi les échanges vi-déo de WebEx ou les murs de Facebookcomplètent ainsi les dialogues électroniquesentre collaborateurs.“C’est le but de l’IT as a service de faciliterla consommation de services professionnelsdiffusés via le web. Nous sommes mainte-nant à l’intersection entre la virtualisation etle cloud computing”, confirme MaurizioCarli, Senior Vice-President et General Ma-nager de VMware pour la zone EMEA.


DES CHARGES APPLICATIVES ÉQUILIBRÉES ENTRE LES SITES

Peter Glock, Managing Consultant d’Orange Business Services, explique une transformation aussidiscrète que profonde provoquée par la virtualisation des serveurs d’entreprise : “Lorsqu’on conçoitune infrastructure dédiée pour nos clients, avec des applications hébergées sur nos ser-veurs, les deux sites sont actifs. Autrefois, seul le site principal était actif. Et le site secon-daire intervenait en cas de secours seulement. A présent, les deux sites tournent à 75%de leur capacité, de sorte qu’une panne sur un serveur abaisse le niveau de service sansl’interrompre. Il y a deux ou trois ans, les deux sites devaient être distants de moins de 250

kilomètres pour assurer une reprise d’activitéfaible. A présent on trouve plusieurs solutionsde réplication asynchrones qui permettent des’affranchir de cette distance. On peut dés-ormais basculer des workloads complets (OS,applications et données) entre les sites dis-tants, sans avoir à bâtir un site de reprise encas d’incident”. ■

La plateformevFabric issue dumiddlewareSpringSource

La combinaison de la virtualisation et ducloud computing est révélée par le cata-logue de solutions VMware 2011. Avalédurant l’été 2009, SpringSource apportela vision stratégique des applications dé-ployées sur le cloud. Sur son blog, le fon-dateur de SpringSource, Rod Johnsonprécise les trois couches qui composentdésormais l’IT as a Service, l’informatiqueprofessionnelle délivrée en tant que ser-vice. Première pile incontournable, en basdu schéma, on retrouve l’infrastructure etl’administration du cloud, le Virtual Data-Center. Au-dessus, la plateforme applica-tive cloud vFabric réunit les services pro-fessionnels tandis que le framework deSpring présente, sur chaque terminal clientde l’utilisateur, les données numériquesrésultant des traitements. Chaque compo-sant reste disponible séparément, maisl’offre intégrée entend procurer un choixplus efficace et plus simple que l’appro-che Azure.Net de Microsoft. Les dévelop-peurs Java retrouveront dans la plateformede services distribués vFabric des outils etréflexes connus. Leurs calculs répartis (engrille) pourront également bénéficier desderniers outils VMware acquis avec les so-ciétés Rabbit Technologies et GemStoneSystems. ■

““ Les grands comptes ont des projets de virtualisation massive

de leurs serveurs. Les PME, encore frileuses, représentent un trèsfort potentiel. Nous mettons tout en œuvre pour faire le pont

entre la virtualisation et le cloud computing. Jean-Pierre Brulard, directeur de VMware pour l’Europe du sud.

SL16 D4 15nov


On l’avait annoncé en grande pompe tout le long del’été puis à la rentrée, avec force détails, au sein de

nombreux articles publiés dans la presse, web ou papier.Et l’édition 2010 des Assises de la Sécurité n’a, une foisde plus, pas failli à sa réputation. Alors quel est le secretde jouvence de ce grand rassemblement ? Parmi les ra-res rescapés des grandes réunions IT, tous secteursconfondus, Les Assises attirent de plus en plus d’acteursde la sécurité tout comme de visiteurs. Fournisseurs deproduits, de solutions, de services … Ils sont tous prêtsà payer le prix pour s’afficher, être représentés ou ani-mer des sessions plénières, techniques, de management,de sensibilisation … dans un lieu des plus agréables. Etde l’autre côté de la barrière, l’on observe exactement lemême phénomène auprès de la cible : grands patronsinformatique, sécurité, risk managers …, des personna-

ges généralement avares de leur temps du fait de lour-des responsabilités et qui sont eux aussi prêts à sacri-fier souvent plus de trois journées consécutives d’un em-ploi du temps toujours trop surchargé pour venir rencon-trer, écouter, apprendre … les acteurs ayant réponduprésents à l’appel.Alors à qui incombe la “faute” ? A Gérard Rio, fondateuret aujourd’hui organisateur au sein de DG Consultants, fi-liale de Comexposium, des Assises de la Sécurité ? Uncharme indéniable certes et un charisme à faire remuerles foules qui pourtant ne suffisent pas à expliquer cet en-gouement. Et pourtant les chiffres sont là, pour l’anniver-saire des dix ans, ils sont plus de 98 partenaires parmi les1645 participants comptabilisés dont 664 RSSI, DSSI, DI,DSI, risks managers… à s’être expatriés à Monaco pourla durée de l’évènement. Et l’organisation n’hésite pas à


A la fois lieu d’échange d’idées et de partage d’expérience sur des sujets aussidivers que la défense des architectures Scada, des infrastructures du secteur dela santé ou de la préservation de la vie privée dans un monde de plus en plus“I.T.”, les Assises de la Sécurité sont aussi, et de plus en plus, un espace où leséditeurs, équipementiers et consultants se font connaître.

Assises de la sécurité 2010 DOSSIER

> Session durant les Assises de la sécurité 2010

> Entrée du Grimaldi Forum où a eu lieu l'édition 2010 des Assises de la Sécurité

Par Solange Belkhayat-Fuchs

Dans les coulisses du ma10e édition des Assises de la sécurité

SL016_DOSSIER-Assises-D2 15/11/10 23:32 Page 14

Alex Türk,actuel présidentde la CNIL

qualité des tables rondes et sessions qui ont été propo-sées. Des sessions qui ont ravis les présentateurs inter-rogés, trop heureux de se retrouver face à des salles gé-néralement combles …

Assises : 10 ans avant, 10 ans aprèsD’ailleurs pour l’anniversaire des dix printemps, ce fut l’oc-casion pour ses organisateurs de faire un point sur cequ’étaient les professions de la sécurité, sur ce qu’ellessont, sur ce qu’elles deviendront et ce, lors de la plénière…Si le temps technologique file à grande vitesse, celui dela sécurité dépasse la vitesse de la lumière. Car si l’onutilise peu ou prou les mêmes ordinateurs que dans lesannées 2000 (et plus ou moins les mêmes logiciels), onest passé, dans le même temps, de l’âge de pierre auxtemps modernes en matière de sécurité, rappelait en subs-tance Eric Domage, Le spécialiste sécurité chez IDC. Dixans qui ont commencé par le fameux et quasiment inexis-tant bug de l’an 2000, lequel a une fois de plus prouvéqu’avec un peu de marketing et largement plus d’uneonce de contre-vérités, il était possible de faire beaucoupd’argent avec le mot sécurité. Dix années durant lesquel-les “firewall+antivirus=sécurité absolue du SI” a souventété le mot d’ordre de l’industrie. Mais si cette formule ma-gique a contribué à améliorer la situation générale au dé-but de la décennie, la cybercriminalité, quant à elle, a su


Assises de la sécurité 2010

fournir un chiffre rarement communiqué, le nombre de“deals”, rendez-vous business, ayant eu lieu durant cettepériode : 1294. Et pour cause, dans une économie mon-diale assez sinistrée avec des réductions de budgets à toutva, ce qui intéresse c’est bien ce type d’opportunité et lelieu, au regard du nombre de décisionnaires invités et pré-sents, se prêtant à souhait à un tel exercice.Ce n’est certes pas l’air saturé de sel qui monterait à latête et ce, même s’il est loin d’être désagréable deconclure dans une telle atmosphère si l’on considère lenombre de personnes s’étant déplacées à cet évène-ment. Mais ce qui revient souvent dans les réponses desinterviewés quand on leur pose la question de l’engoue-ment pour Les Assises c’est le fait qu’il est tellement plusfacile de rencontrer leurs prestataires avérés ou poten-tiels sur quelques jours et au même endroit. Un gain detemps en tout cas suffisant pour qu’ils envisagent un teldéplacement.En dehors de cet aspect business, ce qui est égalementmis en avant par ces patrons IT de tous bords, c’est la

évoluer plus rapidement que les mentalités. Moralité, ilfaut aujourd’hui désapprendre ce réflexe conditionné, pen-ser méthode, analyse de risques, politiques de sécurité,normalisation, voire externalisation de la sécurité.En matière de préservation de la vie privée,constamment menacée par la montée en puis-sance des grands réseaux sociaux et par lemanque de transparence que ces réseaux of-frent en matière de protection des informa-tions qu’ils véhiculent et qu’ils s’approprientparfois de manière léonine. Par manque deprudence aussi de la part de leurs usagers,par manque de cadre législatif au niveau Eu-ropéen, déplore Alex Türk, Président de laCommission nationale de l'informatique et deslibertés (Cnil), qui témoignait également lorsde cette réunion plénière des Assises.De quoi demain sera-t-il fait ? C’est Michel Riguidel,chercheur à l'ENST (Ecole nationale supérieure des télé-communications) qui s’y colle, et qui nous décrit un futurconstruit sur la technologie du secret, utilisant force ré-seaux quantiques, technique que l’on “peut utiliser pourla Défense, les banques ou l'aéronautique. Elle a des pro-priétés spécifiques, puisqu'on envoie des données sous

forme de photons, par exemple, mais elle restera toujoursun complément de la cryptographie asymétrique”. Une vi-sion que M. Riguidel répète également au fil d’une inter-view donnée dans les colonnes du Journal du CNRS, etqui décrit un futur où les clefs de chiffrement ne dépen-dront plus des professionnels “marchands”de l’informa-tique traditionnelle. Des propos optimistes qu’il faudraitpeut-être tempérer car des technologies dites inviolables,cela fait à peu près 3000 ans que l’homme en invente eten perfectionne mais aussi fiables que soient ces techni-ques, elles finissent toujours par succomber aux assautsdes “adversaires”de tous bords : une inviolabilité d’algo-rithme de chiffrement frappée ... d’obsolescence, une in-tégration comportant des erreurs etc. Par ailleurs, les ré-seaux quantiques eux-mêmes peuvent être espionnés dufait que leur mise en œuvre repose sur du matériel et qui,comme tout matériel, peut être à son tour faillible.

La CNIL au cœur de la tempêteLors des Assises, le rendez-vous avec Alex Türk, Prési-dent de la CNIL devient peu à peu une coutume permet-tant de faire le point d’une année sur l’autre sur les ac-tions engagées par la commission et sur celles à venir.Cette année, l’actualité était chaude car au moment dela rencontre annuelle, eut lieu l’annonce de l’existencepotentielle d’un fichier Mens (Minorité ethnique non sé-

>Gérard Rio, organisateur et créateur de l’événement (à D.) accompagné de personnagesclés du monde de la sécurité, Philippe Courtot, patron de la société Qualys, et Eva Chen,qui préside aux destinées de Trend Micro.

marché de la sécurité


dentarisée). Inévitablement, le sujet fut abordé, ce quinous permet aujourd’hui d’en connaître un peu plus surles procédures de contrôle de la commission. “Les ser-vices de contrôle de la CNIL ont réagi immédiatement etils doivent aller dans plusieurs endroits différents (aumoins trois) par groupe de six ou sept composés d’ingé-nieurs et de contrôleurs agréés. La Directrice des contrô-les est elle-même descendue sur le terrain. Ainsi ce soir,nous saurons si oui ou non un tel fichier existe …” rap-porte Alex Türk. “Nous effectuons régulièrement de telscontrôles auprès des ministères ainsi le fichier des stics,grand fichier de la police qui nous a pris huit ou neuf moisà raison d’une douzaine de personnes monopolisées surle sujet (visite de procureurs, commissariats, au siège desministères …). Le fichier des RG a également été contrôlépar nos soins. Justice, Social, Santé aussi. Un fichier desanté est tout aussi préoccupant à nos yeux qu’un fichierrégalien. L’utilisation du nouveau numéro de sécurité so-ciale, le NIR, est également préoccupante. L’on constatesouvent son utilisation en toute illégalité dans certaines

corporations comme par exemple desagents immobiliers qui demandent à cer-tains candidats à la location leur NIR … Ilfaut rappeler que selon la législation le NIRest un numéro spécial très “puissant”parcequ’il est global et il contient des élémentssignifiants. Cependant, le NIR pourrait êtreutilisé dans le domaine Social et par exem-ple, nous avons énormément de contactsavec des chercheurs CNRS, INSERM …handicapés dans certaines études épidé-

miologiques à grande échelle. Le NIR leur permettrait derésoudre bien des problèmes à moindre coût et dans detels cas très particuliers, la CNIL peut réfléchir à l’élar-gissement de l’usage de ce numéro. Notamment pourson utilisation dans des recherches médicales et dans uncadre bien déterminé car si l’on lève la main sur le NIRcela pourrait mener au fichage de la population et à sonexploitation …”. Côté géolocalisation, le droit de regardsur les nouveaux services renvoie tout de suite sur la pro-blématique juridique de l’applicabilité du droit européenqui est un réel problème de fond et Alex Türk de déve-lopper, “Aujourd’hui, nous n’avons pas la maîtrise de cesujet … Ce que l’on fait pour l’instant, c’est des bande-rilles de plus en plus appuyées comme l’on fait les alle-mands, les canadiens, les espagnols … On a d’ailleursun contrôle en train de se boucler en ce moment dontl’instruction se termine. Cela concerne l’histoire de Goo-gle Streetview lorsqu’on avait constaté que leur véhiculeavait capté des messages (ndlr :informations diffuséespar les réseaux wifi), et l’on est intervenu dessus. C’estune façon de faire passer le message et surtout de faireen sorte que ces Groupes commencent à admettre l’idéede respecter le droit européen. La seconde action possi-ble à entreprendre est de régler la question du hiatus en-tre le droit européen et le droit américain par l’élabora-tion d’un corpus de principes fondamentaux auxquels onpourrait donner une valeur juridique contraignante”.

Attaques et protection SCADA :sensibilisation urgenteSalle comble et animée pour un sujet sur le devant de lascène du fait d’une actualité encore chaude avec le verStuxnet qui a frappé cet été. De grandes polémiques po-litiques autour de ces attaques, mais comme d’habitudepeu de certitudes donc pas de réelles réponses. Cela n’auraque mis en exergue le début de prise de conscience decertains pays quant à la fragilité de leur infrastructure Scadaet industriels face aux dangers que courent nombre desystèmes d’information. Des dangers en provenance desréseaux et notamment d’Internet car la nouveauté est queces systèmes autrefois fermés, vivant en autarcie com-plète sont désormais de plus en plus ouverts et connec-tés sur des réseaux IP. Pourquoi ? Du fait de la banalisa-tion des matériels utilisés, des systèmes d’exploitation …et également des maintenances réalisées de plus en plussouvent à distance pour se faciliter la tâche et pourquoipas, réaliser des économies. Toutes ces nouveautés, ceconfort n’a fait au bout du compte que fragiliser ces envi-ronnements critiques. Les US comme la France sont parmiles pays ayant pris conscience de ces états de fait et Stux-net n’a que mis en avant une réalité terrain déjà connue.Ainsi autour d’une table ronde dédiée, Pascal Lointierbrosse un tableau des différentes sinistralités connues afinde sensibiliser la population d’experts IT assise dans lasalle. “Dans un incident à l’origine de plusieurs décès en2007, le dossier a été ré-ouvert pour expertise et le constatfut que le système informatique aurait contribué à provo-quer l’accident. Un système Scada n’est pas infaillible etil peut engager des dommages matériels et corporels. Il ya eu et il y aura toujours des contaminations accidentel-les du système industriel sans compter les sabotages avé-rés et même d’origine interne. Erreur de commande, mo-dification du PH de l’eau et résultat : une centaine de per-sonnes brûlées au visage et aux mains. Un informaticienqui travaillait en régie sur le système de circulation routierde Los Angeles a modifié la temporisation des feux, ce quia mené à 4 jours d’embouteillage monstre avant de com-prendre d’où était l’origine. Egalement l’histoire célèbredu gamin de 14 ans qui avec une télécommande univer-selle de télé reprogrammée s’amusait à modifier la signa-lisation des feux pour les tramways à Los Angeles encore.L’enquête n’a eu lieu qu’après un déraillement occasion-nant une dizaine de blessés … Des systèmes autrefoisfermés, autonomes, commandés avec des langages detype PLC subissent aujourd’hui une aggravation du risqued’un point de vue assurance (perte d’exploitation, du chif-fre d’affaires, des dommages matériels voire corporels…).Des phénomènes qui apparaissent du fait d’environne-ments qui se banalisent et qui s’ouvrent sans que pourautant la production ait mis en place les moyens de sécu-rité nécessaires et qui prennent, la plupart du temps, 5 an-nées supplémentaires de mise en œuvre en moyenne aprèsl’évolution constatée. Ainsi il nous semble que le RSSI oul’expert en charge de la sécurité devrait s’impliquer dansla mise en sécurité de ces systèmes industriels alors queles directions de production n’ont pas la sensibilité de cette

SL16 D3 15nov



> Echanges et...soirées festives.





sécurité logique. Le RSSI a une sorte de légitimité histori-que du fait que cette culture de la sécurité logique animedéjà son quotidien. Il pourrait opérer la validation, par exem-ple, soit du cahier des charges, soit de la spécification desproduits implantés. Ainsi la compétence sécurité pourraitêtre impliquée dans la téléphonie, le badging, les impri-mantes multifonctions … Une activité de veille en quel-que sorte et une démarche d’analyse de risques par rap-port à des scénarios d’impact.”

Santé et Sécurité : des projets mais pas de budget ?Michel Gagneux, Président de l’ASIP, Agence des Systè-mes d’Information Partagés de Santé, présent autour d’unedes tables rondes dédiées au secteur de la santé, en a pro-fité pour rappeler les objectifs du gouvernement afin de ré-soudre les problèmes de sécurité des systèmes d’informa-tion de santé (SIS). De nombreuses actions sous la formede textes comme la carte CPS, les modalités de sécuritépour l’hébergement des données de santé… ont été pro-posées ces dernières années. L’agence a tout particulière-ment travaillé et s’est concentrée sur le DMP, Dossier Mé-dical Partagé, l’interopérabilité, la sécurité naturellement etles normes afin de relancer le DMP tout en mettant en placeles briques fondamentales nécessaires au développementde tout le système de santé. L’Agence et le ministère onttravaillé en tandem sur 6 briques. Dans un premier temps,l’identifiant national de santé, INS, puis la mise en formed’un cadre d’interopérabilité avec la concurrence des in-dustriels, ensuite l’agrément des hébergeurs Santé (12 lesont aujourd’hui et 40 sont en cours…), la mise en placeégalement d’un “DMP Compatible”qui permettra aux édi-

En dehors des plénières et tables rondes, Les Assisesc’est également un salon où au gré des allées, l’on

rencontre les éditeurs, constructeurs, fournisseurs deservices, consultants … Bref tous ceux qui finalement,au travers de leurs offres, donnent le ton du marché dela sécurité. Tour d’horizon non exhaustif …

> AxisParce que la sécurité, c’est également la surveillance, l’ony rencontre des acteurs tel qu’Axis qui nous explique versoù tend le métier de vidéosurveillance. “Aujourd’hui lescaméras vont au-delà de simples fonctions de vidéo sur-veillance copiées-collées vers de la technologie IP. Avecdes capacités en termes de CPU qui ont explosé, une aug-mentation de la mémoire vive et des capacités de stockage,la caméra devient un device à part entière. Il agit doréna-vant comme un capteur en mode réactif et travaille entemps réel, de telle façon que les moyens adéquats (mé-dicaux, dépannage, coercitifs …) soient envoyés en casde problèmes. Ce que l’on voit arriver c’est le mode pré-dictif comme par exemple les files d’attente gérées chezCarrefour en temps réel pour qu’elles ne soient pas trop

longues, le signal étant donné dès que le client atteint unemarque au sol. Ou encore, en cas de fort trafic routier enville, et pour réguler la vitesse du tramway à rester à17 Km, l’on peut jouer sur les feux de signalisation d’uncarrefour côté voitures pour privilégier le transport pu-blic”, explique Olivier Landel, Business Development Ma-nager Europe du Sud, marchés du transport.

> Spie A l’origine, la société est connue dansle secteur IT via la voix et la donnée. Or,la sécurité faisant partie intégrante del’offre depuis le début, elle désire au-jourd’hui se positionner clairement surce créneau. Julien Hoppenot, Respon-sable marketing sécurité chez Spie donnela tendance choisie : SIEM et gestion delogs. Un créneau d’avenir certes car lessociétés ont besoin de justifier ce qui se

passe sur leurs réseaux du fait des législations. La gestionde preuves sera bientôt au cœur des préoccupations desRSSI ou experts IT, le reporting et la corrélation de logs.

teurs de bien s’intégrer, sans oublier le réseau d’annuairesSanté Social, RPPS, indispensable et prévu pour fin 2011et enfin, une messagerie santé avec la publication d’un ré-férentiel s’appuyant sur des boîtes à lettres hébergées pardes hébergeurs naturellement agréés avec à la clé une au-thentification forte à l’accès.Mais souvent la réalité terrain est loin de toutes ces préoc-cupations pourtant majeures car elles forment la basemême d’un système d’information de santé sain et opé-rationnel. Pourquoi un tel fossé ? Par manque de budget,de compétence, de temps … Les établissements de santésont encore trop souvent faillibles de partout car il n’estévident pour personne de mettre en place une stratégiecohérente avec les moyens (souvent faibles) mis à dispo-sition. Le métier premier des établissements de santé estde soigner et non pas de monter des systèmes d’infor-mation de santé sécurisés et ce, même si la santé finitpeu à peu par dépendre totalement et complètement du-dit système. Car lors de l’attaque Conficker, il n’y a pas silongtemps, pas moins de 50% des SIS auraient tout sim-plement “planté”et personne aujourd’hui ne peut réelle-ment estimer la portée de tout ceci sur la santé des pa-tients car un impact, il y en aura certainement eu un.Alorsque faire ? Certains RSSI du secteur planchent actuelle-ment sur la question en imaginant un système sous laforme de charte peut-être. L’objectif est de rendre un peuplus responsables les fournisseurs du monde de la santéde la sécurité de leurs matériels médicaux. Pour résou-dre la question du budget, la mutualisation pourrait êtreune solution à envisager alors pourquoi pas des CloudCommunautaires Santé ? Une telle expérience a déjà étémenée avec succès en Franche Comté … A suivre. ■

Terrain : des offres qui donnent la tendance

Julien Hoppenot,Responsable

Marketing SécuritéSPIE Communications



Assises de la sécurité 2010

> SecuNeoAutre tendance, le DLP qui, peu à peudevient incontournable pour les en-treprises du fait de réglementationsqui touchent indifféremment tous lessecteurs. Supportée parPacaEst, unincubateur public situé dans la tech-nopole de Sophia, SecuNeo est unejeune pousse Française née en 2008qui mise sur cette tendance. Elle aété créée par trois anciens responsables et spécialistessécurité issus du monde du commerce en ligne ou de l’Ad-ministration : Ange Ferrari, Antoine Koener et DanielMartin. Que vend SecuNeo ? Sentinelis, un outil de DLP,un anti-fuite d’information issu d’un projet initialementpensé par des chercheurs de l’Inria. Un dlp de plus ? “Pasexactement, rétorque Ange Ferrari. Nous estimons êtreles seuls à offrir une solution ‘globale’… nous sommesen tout cas les seuls à offrir un outil capable de délivrer,en cas de fuite, une preuve recevable par un tribunal”.Sentinelis repose sur un mécanisme d’analyse compor-tementale qui compare le comportement à un ensemblede politiques de sécurité, et non uniquement sur des ca-talogues d’expressions typées. Ces bases de comporte-ment sont issues de travaux effectués en laboratoire, quiservent d’étalon de comparaison avec les profils exis-tants au sein de l’entreprise. Qu’une action sorte alorsde ces “normes”et une demande de validation est alorsémise à destination d’une personne située dans la chaînede commandement. De cette manière, peu à peu, l’ap-prentissage des comportements s’affine, tout comme leshabitudes d’usage des personnes manipulant et échan-geant des données “corporate”. L’affichage de ces aler-tes sensibilise chaque collaborateur et ce, quel que soitson statut hiérarchique et très rapidement, le volume desalertes diminue. “A titre d’exemple, précise Ange Ferrari,sur le réseau de l’un de nos clients comptant à peineplus de 100 postes, il ne se déclenche plus qu’une alertepar jour, après moins d’un mois de fonctionnement”. Cha-que transaction, chaque mouvement de fichier étant si-gné, c’est l’auteur de la transaction qui est alors authen-tifié, et non pas l’adresse IP de la machine à partir de la-quelle a été effectué l’opération. C’est cette authentifi-cation qui donne à Sentinelis sa valeur probante.

> FortinetL’équipementier n’est plus à présenter dans le monde dela sécurité. Classé parmi les fleurons des fournisseursd’appliances sécurité, il décide de passer en mode virtuelcar aujourd’hui la tendance est là : tout doit être virtuali-sable pour reproduire à l’identique les systèmes de sé-curité dans le monde virtuel. Ses quatre produits phareque sont FortiGate (UTM temps réel), FortiManager (ges-tion de configuration centralisée et supervision, FortiAna-lyzer (logs, archivage, reporting) et FortiMail (messagerie)ont donc subi les modifications nécessaires, à savoir l’op-timisation du code et son allègement pour maintenir lesperformances jusqu’alors entretenues par les Asics.

> NexthinkNe pas perdre le contrôle de son système est l’une desplus grandes préoccupations de l’expert IT. Et s’il est unehantise pour tout RSSI, c’est bien de perdre la visibilitéqu’il peut avoir sur son réseau et celle de ses postes detravail en particulier, notamment au fur et à mesure qu’évo-luent les équipements qui le constituent et que s’ajou-tent de nouvelles méthodes de travail, la mobilité en tête.Nexthink est un outil capable d’évoluer avec ces muta-tions techniques. De manière très schématique, il s’agitd’un outil de surveillance et d’alerte œuvrant au niveaudu trafic réseau (IP) et capable d’auto-apprentissage. Ileffectue une cartographie de l’architecture Lan (au senslarge), répertorie les rôles et projets IT qui s’y déroulent,vérifie la conformité de l’ensemble et établit un diagnos-tic en quasi temps réel des problèmes dès qu’ils survien-nent, avant qu’ils ne puissent impacter le bon fonction-nement de l’entreprise. De manière plus concrète, Nex-think est capable de détecter tout changement effectuésur un “endpoint”quel que soit le système qui l’anime, etréagit dès qu’un utilisateur effectue une action nonconforme ou sortant des normes d’un projet IT : téléchar-gement d’une DLL anonyme, ouverture d’un protocolenon référencé… Ce logiciel de contrôle permet d’effec-tuer une analyse granulaire de toute infrastructure en sebasant en temps réel sur l’activité réseau, même si plu-sieurs milliers de postes sont reliés sur le LAN en ques-tion. Les tableaux de bord sont simples à interpréter, selimitant parfois à l’affichage d’une cartographie “logique”ou“protocolaire”des échanges réseau, ce qui facilite la miseen exergue de tout trafic inhabituel. Cet outil de surveil-lance n’est pas limité à l’analyse des seuls réseaux phy-siques, puisqu’une version “spéciale bureaux virtuels”aété écrite spécifiquement pour les architectures utilisantdes fermes de serveurs d’applications (Citrix, TSE) ou desensembles de stations et serveurs virtualisés (VMware).

> WebsenseLa tendance du Web 2.0 a apporté son lot d’angoisse audépartement IT de l’entreprise et c’est cette direction qu’adécidé de prendre l’éditeur, nous relate Florent Santini,Directeur technique Europe du Sud et Pays Emergents.Websense propose de protéger le SI de tout ce qui pour-rait arriver par ce biais avec Defensio. Une nouvelle offrequi provient du rachat en 2009 de la société au nom épo-nyme. Il existe depuis 2010 une version gratuite qui pro-

>Secuneo, startup française avec Ange Ferrari, CEO de Secuneo

>Mode de fonctionnement de Defensio de Websense


Jean-Yves Faurois,Keynetics

Thomas Luquet,NEC IT Platform

Solutions Division



tège lorsqu’on est sur Facebook des menaces potentielles(infos ou liens menant vers les sites malicieux introduits surles blogs ou murs). Le moteur ACE de Websense participeégalement à l’analyse des informations mais pour cela ilfaut l’installer au préalable …

> NECL’entité est connue dans le monde mais si elle est le lea-der au Japon, elle est moins présente et connue surl’aspect sécurité dans nos contrées. Un point qu’elletente de rectifier en étant plus entreprenante sur nosmarchés… Thomas Luquet De NEC IT PlatformSolutions Division explique la position de NEC entermes de sécurité, “Aujourd’hui il y a une conver-gence entre réseau, serveur et communication etpour nous, contrairement à d’autres entités quidoivent opérer des acquisitions pour couvrir l’en-semble des besoins, NEC est d’ores et déjà prêt.Nous misons, entre autres, sur notre solutionVirtual PC Center alliant communications unifiéesau travers de fonctions multimédia, ces dernièrescouplées à de la VoIP et reposant sur tout environ-nement virtuel potentiel (Citrix, VmWare etMicrosoft). Nous sommes également capables d’assu-mer le management de bout en bout d’un data Center… Rappelons que NEC dépose près de 71 000 brevetspar an. Nous proposons un écosystème sur une plate-forme éco-center correspondant au double d’un rackavec une diminution par deux de la consommation éner-gétique comme du poids du rack : nous œuvrons dansle Green. Nous avons, entre autres, des solutions prédic-tives de panne, outre les PRA et les solutions de CloudHybrid permettant les PRA.”

> KeynectisParmi les tendances majeures : la PKI, point fort de l’édi-teur. A noter la distinction obtenue auprès de l’Anssi pourla qualité des logiciels utilisés et les développements. “Unequalification basée sur les critères communs et atteignantle niveau EAL 4+ auquel l’Anssi rajoute l’étude de laconformité du périmètre à laquelle on pourrait s’attendreavec une suite de PKI ainsi que l’analyse de la mise enœuvre des mécanismes de cryptographie.” précise Jean-Yves Faurois, Directeur des services et sécurité qualitéchez l’éditeur.

> NetasqTout comme Fortinet, Netasq met en avant la virtualisa-tion de son offre tout en annonçant un gestionnaire derapports d’évènements, Netasq Event Analyzer. Des rap-ports tendances qui s’adressent directement aux déci-deurs en proposant la vue adéquate pour faire de la ges-tion de risques. Il est à noter que l’équipementier évolueà l’international avec un CA réalisé à hauteur de 35% àl’extérieur en moins de 3 ans. Après les pays de l’Est, ilsort de l’Europe en passant par Dubaï pour couvrir leMoyen Orient et effectue une croissance vers les paysémergents tel l’Inde.

> SourcefireLa société se targue d’être l’une des seules à rester in-dépendante dans le domaine de la corrélation de logs etde l’IPS (Tipping point/HP, McAfee/Intel) et d’être égale-ment monoproduit. Un fait non négligeable qui lui ramènebeaucoup de clients rassurés par son côté “agnostique”.“La tendance, selon Thierry Bedos, est qu’outre la pro-tection des Data Center, nous arrivons à englober les par-ties clientes car les attaques proviennent de plus en plusdes stations de travail via IE ou FF pour rebondir sur leréseau scada … Aujourd’hui les vulnérabilités se ven-dent au marché noir et par exemple, une vulnérabilité

Adobe coûte près de 75 000 $»

> PRIM’XOn ne pense pas sécurité sans parler de chif-frement et ce spécialiste français propose sesproduits sur toutes plateformes : Windows, Li-nux et bientôt Mac OS. Cryhod est la grandenouveauté pour le chiffrement du disque dur,un élément complémentaire à l’offre ZoneCen-tral mais là, plutôt destinée aux portables.

> OlféoA la pointe des demandes, au sommet de la vague avecdes produits comme l’élaboration de la charte internet oule contrôle fin des applications Web 2.0 en choisissantles vidéos visibles, la lecture et non pas l’écriture sur Fa-cebook … Et enfin un portail web qui permet de sécuri-ser et contrôler les accès à internet permettant d’assurerla gestion de preuve, le filtrage urls … Une protection ju-ridique tous azimuths en somme. Encore un indispensa-ble de la trousse à outils de l’expert IT.

> ArismoreTendance consulting … Arismore, société Française deservice et d’intégration, de 120 personnes, est un spé-cialiste de la mutation et de l’évolution des infrastructu-res de grands groupes (telcos, banques, énergie). A lafois architectes d’entreprise et spécialistes sécurité, leshommes d’Arismore ontune approche peu cou-rante de leur métier : ilsprivilégient plus la mé-thode que la technique.Démarche logique lorsquel’on sait qu’Arismore re-présente en France, et de-puis plusieurs années,l’Open Group, et emploiepar conséquent le Togaf(The Open Group Architec-ture Framework), un en-semble de standards in-dustriels appliqués aux architectures d’entreprise. Danscette optique, la sécurité peut être résumée à un ensem-ble de mises en conformité réglementaires qui aboutis-sent à des projets de sécurité. ■

SL16 D3 15nov SL16 - D3 - 15nov

Eric Boulay, PDG d'Arismore

Michel Souque,CEO de Prim'X



> Reda Zitouni, PDG de Mobiquant,voit une problématique globale et ur-gente à résoudre pour l’entreprise. Fauted’infrastructure mobile sécurisée, desdonnées confidentielles s’échappentvia une tablette numérique ou un smart-phone que l’on perd facilement dansles transports en commun. iPhortressest la première appliance dédiée à l’administration et àla sécurité des flottes d’iPhone et d’iPad.

> David Darmon, DG de CheckPoint France, annonceune gamme modulaire composéede Software Blades dédiées à laprotection contre la fuite des don-nées (DLP) ou au suivi des usa-ges Web 2.0 (Application Control).D’autres lames fonctionnelles sontplanifiées pour 2011.

> Philippe Bodemer, le directeur général de Kas-persky Labs France, rappelle que la fenêtre de vulné-rabilité est étroite pour combattre les derniers codes mal-veillants ciblant l’entreprise oule particulier. Pour réagir tou-jours plus vite, l’éditeur russeembauche plus d’une personnepar jour depuis deux ans. ■

Tous les interviews vidéo sur :www.solutions-logiciels.com



Les spécialistes de la sécurité informatique ont profité de l’événementmonégasque pour annoncer leurs nouvelles solutions. Une belle moisson quiconfirme que l’entreprise doit étoffer ses contrôles face à l’informatique mobile,aux services externalisés et aux contraintes réglementaires. Morceaux choisis.Interviews

les Assises en “Live”

Philippe Bodemer

Jean-Noël de Galzain

Yann Pradelle

Reda Zittouni

> Eva Chen, PDG de Trend Micro, a conçu“l’homme invisible”. Cet avatar numérique est capa-ble d’examiner et d’éradiquer les codes malveillantsdes environnements virtualisés. Son nom ? DeepSe-curity. Sa mission ? “Bâtir des règles pour recouvriret protéger les machines virtuelles où qu’elles soientsur le réseau”, explique Eva Chen.

> Jean-Noël de Galzain, PDG de Wallix, spécialistedes accès sécurisés et de la traçabilité des usages en ré-seau, dévoile l’Admin Bastion. Grâce à cet équipement,l’entreprise gagne une gestion simple des identités et desdroits d’accès aux ressources même lorsqu’elles sont ex-ternalisées. Une preuve que l'Open Source peut s’ins-crire au coeur des politiques de sécurité.

> Yann Pradelle, Directeur Régional France, Espagne,Benelux et Afrique du Nord de Fortinet, confirme la per-tinence de l’UTM. Ce boîtier de sécurité tout-en-un, lancéil y a dix ans, traite des débits de plus en plus élevés.PME, grands comptes et opérateurs s’en emparent. Sonatout ? L’antivirus, le filtrage de liens et les contrôles ap-plicatifs restent indépendants du nombre d’utilisateurs.

> Cyril Voisin, architecte sécurité et technologies deMicrosoft France, estime que la dé-périmétrisation s’im-pose avec la gestion des flottes de terminaux mobiles.L’éditeur suggère une stratégie à base de logiciels et deservices mutualisés. Un nouvel anti-malware, ForefrontEndPoint Protection Server, une fédération des identités(Active Directory Federation Server) et une passerelled'accès sécurisés à l'intranet (UAG) sont annoncés.Cyril Voisin

Eva Chen

David Darmon

SL16 D3 12nov


SL16 D3 15nov


Créé il y a 22 ans par trois fondateurs, l’éditeurTrend Micro compte aujourd’hui 4 800 salariés dansle monde, avec un Chiffre d’Affaires supérieur à unmilliard de dollars en 2009.Nous avons rencontré Eva Chen, co-fondatrice etPrésidente de la société.

➜ Solutions & Logiciels : Vous êtes une société globale, avecdes laboratoires sur trois continents, en Asie, en Europe etaux USA.

• EC : Les menaces de sécurité sont très distribuées à présent.Nous découvrons de nouvelles attaques locales tout le temps. Pourmieux servir nos clients internationaux, nous avons établi des labo-ratoires Trend Labs au Japon, aux USA, en Europe et en Asie.

➜ S&L : En quoi cette stratégie de défense internationaleaide-t-elle les entreprises ?

• EC : Je crois qu’aujourd’hui toutes les entreprises ont des distri-buteurs, des fournisseurs ou des filiales dans d’autres pays. Leséchanges d’informations avec ces entités obligent les meilleuresfournisseurs de solutions de sécurité à proposer une couverturemondiale afin d’accompagner leurs clients. En cas de problème, oùque ce soit, nous pouvons ainsi les aider au mieux.

➜ S&L : Vous focalisez-vous à présent sur l’environnementVMware parmi les environnements virtualisés ?

• EC : Nous nous intégrons étroitement avec vCenter de VMware.Mais nous proposons également des solutions de sécurité pour lesautres environnements virtualisés. C’est le cas pour Hyper-V deMicrosoft et pour Citrix.

➜ S&L : Que proposez-vous exactement avec l’offre SecureCloud ?• EC : SecureCloud est une solution unique. Si vous retenez lecloud, aujourd’hui, vous voulez stocker vos données sur un espacede stockage fiable, dans un environnement sûr. SecureCloud cibleles utilisateurs du cloud computing qui s’inquiètent néanmoins desaccès potentiels à leurs données hébergées dans le nuage. Il s’agitd’une solution de chiffrement fondée sur une gestion d’identités,avec laquelle les données chiffrées vont sur le cloud, mais la clé dechiffrement reste dans l’entreprise.

➜ S&L : Cette solution est-elle disponible au niveau mondial ?• EC : Nous comptons maintenant quelques clients, partout dans lemonde, qui sont les premiers à adopter ce programme. Nous invi-tons d’autres clients et FAI à tester SecureCloud car cette solutionunique contribue à exploiter le cloud de façon sécurisée.

➜ S&L : Quelle est votre politique tarifaire pour SecureCloud ?• EC : Les entreprises payent en fonction du nombre de clés dechiffrement qu’elles utilisent. Les FAI, pour leur part, payent enfonction du volume total de données chiffrées.

➜ S&L : DeepSecurity cible les datacenters et la préventiond’intrusions. Fonctionne-t-il également en environnementvirtualisé ?

• EC : Tout à fait. VMware le recommande car il est conçu spécia-lement pour protéger les machines virtuelles qui se déplacent faci-lement sur le réseau. DeepSecurity apporte des règles qui recou-vrent les machines virtuelles d’un manteau protecteur et se dépla-cent aussi avec elles sur le réseau. Notre programme est interfacéaux API vSafe de VMware. Nous offrons une solution capable d’exa-miner les codes malveillants des appliances virtuelles et qu’onappelle, entre nous, “l’homme invisible”. C’est une excellente solu-tion pour les environnements virtualisés.

➜ S&L : Comment vont évoluer les solutions de sécurité d’icià un an ?

• EC : Les clients migrent progressivement vers le cloud, mais ilsont toujours leur environnement physique à administrer. Les solu-tions de sécurité doivent donc s’adapter aux environnements hybri-des. Elles doivent aider l’entreprise à contrôler ses environnementsphysiques et virtuels, ses terminaux fixes et mobiles, ses applica-tions en place et ses services hébergés.

➜ S&L : Vous attendez-vous à davantage de consolidation surle marché ?

• EC : Dans l’industrie informatique, il y a sans cesse des fusionset des acquisitions. Cela permet aux spécialistes de la sécurité d’of-frir de nouvelles solutions et aux fournisseurs d’infrastructure d’em-barquer une partie des fonctions de sécurité dans leurs réseaux.

➜ S&L : Envisagez-vous une croissance externe ou bien comp-tez-vous rejoindre un écosystème cloud en particulier ?

• EC : Trend Micro compte apporter la sécurité qui convient auxenvironnements de ses clients. Si certains de nos clients exprimentle besoin d’une nouvelle technologie et que nous ne l’avons pas,nous considèrerons alors une éventuelle acquisition. Et nous travail-lons avec tous les écosystèmes importants du marché, telsVMware, IBM et les grands fournisseurs d’infrastructures. ■

Propos recueillis par Olivier Bouzereau

Retrouvez l’interview complète en vidéo sur notre site web :www.solutions-logiciels.com


Eva Chen, PDG de Trend Micro“Notre ‘homme invisible’

examine les malwaresen environnement virtualisé”

interview

““ Exploiter le Cloud de façon sécurisée


La dématérialisation se réduit encore pour beau-coup à la simple numérisation de documents

papier, constate Jean-Marc Rietsch, Président de laFedISA, la Fédération de l’ILM, du Stockage et del’Archivage. Or ses principaux bénéfices sont plutôt àrechercher du côté de la mise en œuvre de processustotalement dématérialisés, sans aucun papier.”La dématérialisation permet une plus grande efficacité

des échanges et des processus. Les éditeurs etprestataires s’engouffrent dans le chemin ré-cemment tracé. Selon PAC, le marché mondialdes logiciels de dématérialisation atteint 1,5 MdEau niveau mondial. En France, le marché des lo-giciels et services de dématérialisation (numé-risation et workflow documentaire, hors maté-riel) est en croissance de 12% pour atteindre480 M€ sur l’année 2010. Ce qui représente2% du marché des logiciels et services français,qui lui n’augmente que de 4%.Mathieu Poujol, consultant, PAC, commente :“Le secteur public va tirer le marché. Mais sa

croissance sera ralentie par la pression sur lesprix qu’engendrera la mutualisation des plates-

formes au niveau cloud computing.” L’Etat promeut eneffet “l’e-administration”, avec, exemple parmi d’autres,la télédéclaration et le télépaiement de la TVA obligatoiredepuis début 2005 pour les entreprises dont le chiffred’affaires est d’au moins 750 000 euros.Le marché de l’externalisation se divise en secteurs :20% banque, 30% assurance, santé, social, 20% admi-nistration et 30% industrie, patrimoine et services.

“Externaliser à un prestataire de servicescomme nous, indique Benoît Drigny, directeurde l’activité BPO du groupe Jouve et présidentdu directoire de Safig, permet de sous-traitertout le cycle. Par exemple, pour une organisa-tion caritative, nous pouvons générer une cam-pagne de dons par tous les médias possibles,collecter et trier les courriers, transférer lesdonnées à un système de GED, gérer les ano-malies avec un call center, éditer le reçu fis-cal.”Jean-Louis Sadokh, Pdg d’Azur Technology, édi-teur de logiciels de dématérialisation en mode li-cence, met en avant la croissance du marché :

“En LAD, le marché croît de 10 à 11% par an, en

BPM de 9% et en GED de 3 à 4%. Nous réalisons unecroissance supérieure au marché, positionnés sur le seg-ment des moyennes entreprises, puisque notre chiffre d’af-faires atteindra 5,5 M€ en 2010 contre 4,9 M€ l’annéeprécédente. 80% de nos projets ont un budget de 50 000à 150 000 euros.” Azur Technology, propose une gammede solutions Xpert.Line qui couvre le processus dans sonensemble : Xpert.Capture (LAD/RAD), Xpert.Ivy (BPM),Xpert.ECM (GED).

Confort de l’utilisateurJ.L. Sadokh voit à l’avenir les solutions de dématériali-sation aller vers plus de simplicité : “Aujourd’hui, l’utili-sateur a encore du mal à s’approprier des solutions en-core compliquées. Nous irons vers des solutions privilé-giant le confort de l’utilisateur. A l’heure actuelle, si laLAD permet de classer automatiquement des documentspapier, l’utilisateur doit classer manuellement lui-mêmedes documents numériques, e-mails en fonction de rè-gles prédéfinies. L’avenir est à des solutions qui classe-ront automatiquement tout type de contenu, y comprisdes vidéos, photos ou documents sonores.” Benoit Dri-gny renchérit : “Notre recherche et développement tra-vaille sur le texte manuscrit et l’analyse sémantique desdocuments libres, pour en extraire les données.”La liste à la Prévert des documents dématérialisables,qu’ils soient des documents entrants, circulant dansl’entreprise ou sortants, est aussi large que l’imagina-tion peut le permettre : documents financiers, adminis-tratifs, RH, courriers, fonds documentaires, fonds patri-moniaux, convocations et PV d’assemblées généralesde copropriétés, appels de charges, actes de profes-sions réglementées…Certains acteurs ciblent des niches. Ainsi, le prestatairede services Cd-Doc a conçu et développé un système

Des formations dédiéesIl existe des formations à la dématérialisation. Demateus,organisme de formation certifié par FedISA (FédérationILM, Stockage et archivage en France) propose des for-mations d’une, deux ou trois journées. Mines ParisTechoffre une formation continue diplômante, le Bilan D’Apti-tude Délivré par les Grandes Ecoles (BADGE) “Manage-ment de l’Archivage électronique et de la Dématérialisa-tion”, en partenariat avec FedISA et Demateus. ■

SL16 D4 15

DEMATDOSSIER


Le “Boom” de la dématérDes solutions de plus en plus stratégiques et ergonomiques

“

Jean-Louis Sadokh,Pdg d’Azur Technology

Mathieu Poujolconsultant PAC

par Christine Calais

La dématérialisation est un marché en forte croissance. C’est une sourcede productivité, fiabilité et traçabilité des documents dans l’entreprise.

© C

.Cal

ais

SL016_DOSSIER-Demat-D3 15/11/10 22:43 Page 24

de gestion et d’archivage électronique de documentspour la profession notariale. Il offre aussi, commeEverial, expert en gestion de flux documentaires, uneDataroom électronique, qui renferme tous les docu-ments nécessaires à la réalisation d’opérations finan-cières ou immobilières, mise à la disposition des acqué-reurs potentiels.Tous les documents papier sont numérisés et indexésgrâce à un système de RAD/LAD/OCR. Les documentsnumériques ont valeur d’outils de gestion, et de preuve,si certaines conditions d’identification, d’authentification,d’intégrité et de pérennité sont respectées (cf. lexique).

Un projet d’entrepriseFace à la somme incalculable de documents dématéria-lisables, mieux vaut ne pas se disperser. Il faut choisirles flux d’information les plus critiques : ceux longs àtraiter, ceux coûtant cher à traiter, ou répondant à desproblématiques métier. Et commencer par un flux repré-sentatif facilement maîtrisable.Les projets de dématérialisation doivent être pilotésconjointement par la DSI et la direction fonctionnelle adhoc (Direction administrative et financière ou directiondes achats pour les documents comptables, RessourcesHumaines pour les documents RH), et appuyés par la di-rection générale. La méthodologie à mettre en oeuvrepasse d’après la FedISA par une étude préalable des be-soins de l’organisation, la mise en place d’une politi-que de gouvernance, notamment en matière d’archi-vage, la prise en compte des aspects réglementaires,et enfin, la certification d’un système fiable et efficace.Les avantages sont nombreux : amélioration de la produc-tivité, diminution des coûts de traitement, réduction des er-reurs, traçabilité, gain de place, accès à l’information im-médiat et à distance, fluidité des échanges mais aussi imagemoderne de l’entreprise, satisfaction client. ■

SL16 D4 15


DEMAT

érialisation Petit lexique> Dématérialisation :gestion de façon électronique des données ou des documents qui transitentau sein des entreprises et dans le cadre d’échanges avec des partenaires(administration, clients, fournisseurs). Trois types de dématérialisation exis-tent :

> Dématérialisation simple :transformation des supports physiques en fichiers numériques ; l’original àconserver est le document papier.

> Dématérialisation à la source :travail uniquement avec des documents électroniques.

> Dématérialisation légale ou fiscale :dématérialisation à la source, utilisée pour des documents à portée juridiqueou fiscale (factures, bulletins de paie, contrats, réponses aux appels d’offrespublics…), à valeur probante, nécessitant l’utilisation de certificat et de si-gnature électronique et d’archivage légal, pérenne et intègre. L’original estle document électronique.

> LAD :lecture automatique de documents, permettant d’extraire des informationssur des documents numérisés.

> RAD :reconnaissance automatique de documents, permettant de distinguer untype de document d’un autre à partir de l’image numérique du document.

> OCR :reconnaissance optique de caractères, procédé de traduction d’images detextes imprimés en fichiers de texte.

> BPM :Business Process Management, modélisation et exécution automatisée desprocessus métiers.

> BPO :Business Process Outsourcing, externalisation des processus documentai-res vers un prestataire, comprenant le logiciel en mode hébergé, la gestiondes processus et le personnel nécessaire.

> GED/GEIDE :gestion électronique des documents/gestion électronique d’informations etde documents de l’entreprise, vise à organiser, gérer et partager les infor-mations et documents au sein d’une entreprise.

> Editique :outils et services d’édition en masse de documents.

> Certificat électronique :fichier électronique contenant un certain nombre de données personnellessur le titulaire du certificat, permettant de l’identifier de façon unique et degénérer une signature électronique.

> Signature électronique :mécanisme permettant d’authentifier l’auteur d’un document électroniqueet de garantir son intégrité.

> Métadonnées :ensemble de données structurées décrivant des ressources numériques,maillon essentiel pour le partage de l’information et l’interopérabilité des res-sources électroniques. ■

© is

tock

phot

o.co

m /

Tom

mL


SL16 D4 15


DEMATDOSSIER

Caroline Ceintrey,responsable marketing de CDC Arkhineo

L’archivage électronique ne doit surtout pas être vucomme une simple transformation de l’archivage

traditionnel papier en électronique, met en avant Jean-Marc Rietsch, Président de la FedISA, la Fédération del’ILM, du Stockage et de l’Archivage. Au-delà de la mé-moire des entreprises, il implique en réalité, une nouvelleorganisation du système d’information qui nécessite, en-tre autres, de prendre en compte l’ensemble du cycle devie des données.”L’archivage électronique est la conservation pérenne etintègre de documents numériques, permettant une res-titution rapide de l’information. Les entreprises peuventfaire appel à un tiers archiveur, qui supporte les risquesà leur place et garantit la conservation durable, l’accèsen ligne aux informations, l’intégrité des données resti-tuées. Le choix repose sur le format standard d’archi-vage proposé, sur la confiance en un acteur pérenne, etsur la technologie et les infrastructures offertes. Le labelFNTC-TA a été accordé à quatre offres d’archivage élec-tronique à vocation probatoire par la Fédération Natio-nale des Tiers de Confiance : Archiv-Secur d’Orsid (quia été regroupé avec d’autres sociétés dans DocapostDPS, groupe La Poste), eDocuweb/secure d’Aspheria, e-STAR de Pitney Bowes Asterion, Stael de Locarchives.Certains mutualisateurs de flux documentaires ont leurpropre Système d’Archivage Electronique (SAE), commeAtos Worldline, qui traite 50 millions d’archives à voca-tion probatoire, notamment les PV issus des radars !D’autres préfèrent sous-traiter cette partie à un spécia-liste. Ainsi, b-process confie l’archivage légal sur dix ansdes factures à CDC Arkhineo, qui est aussi notammentpartenaire de Primobox, de Tessi, Jouve ou encore deNovapost. Ricoh fait appel à Docapost DPS, “qui accèdeainsi au monde des PME à travers nous,” indique Jean-

Pierre Blanger, directeur recherche et développementde Ricoh France. CDC Arkhineo s’est dotée de bonnesinfrastructures pour sa solution de coffre-fort électroni-que : la filiale de la Caisse des dépôts crée cinq archi-ves par document électronique, conservées sur trois si-tes distants. Caroline Ceintrey, responsable marketing,précise : “Quatre originaux sont créés à la même se-conde dans quatre cellules d’archivage, quatre machi-nes physiquement indépendantes.” CDC Arkhineo, c’est65 millions de documents archivés en 2009, 200 mil-lions depuis sa naissance en 2001. La filiale de La Poste,Docapost DPS, possède quatre data centers pour 3,5milliards de documents en ligne et trois millions de re-quêtes par mois. Terréal, qui fabrique des tuiles et desproduits de façade en terre cuite, a arrêté de conserverle double papier de ses factures clients, archivant les fi-chiers chez Docapost DPS. “La consultation via le por-tail Web facilite la recherche des factures clients, notam-ment en cas de réclamation,” souligne Rodolphe Ali-menti, DSI de la société.Les archiveurs garantissent la pérennité des documents.“Les disques durs des baies SAN sont renouvelés sansinterruption de service, explique Philippe Champin, di-recteur du département numérique d’Everial. Et nous dis-tribuons le disque de saphir d’Arnano, support d’archi-vage ultime, qui repose sur le gravage microscopiquedes images des documents.” ■

Les administrations sont très actives.20% de leur contenu électroniquefait aujourd’hui l’objet d’un archivage,ce taux pourrait être supérieur à 60%d’ici trois ans. Moins de 4% de leursdocuments électroniques sont ac-tuellement conservés avec une no-tion de valeur légale. Ce taux pour-rait atteindre 40% d’ici trois ans.

En outre, la loi du 15 juillet 2008 (dé-cret du 17 septembre 2009) auto-

rise désormais les collectivités pu-bliques à déposer leurs archives pu-bliques courantes ou intermédiairesauprès de prestataires agréés par leMinistère de la Culture. Ainsi, CDCArkhineo l’a obtenu le 12 octobredernier. Les villes, les hôpitaux, lesadministrations… ce sont 120 000collectivités qui vont pouvoir faire ap-pel à des tiers archiveurs physiquesou électroniques. ■

Les entreprises peuvent faire appel à des tiers archiveurs pourconserver de façon pérenne et intègre leurs documents électroniques.

L’archivage électronique, une affaire de spécialistes

ano

Jean-Marc Rietsch,Président de la FedISA.

Philippe Champin,directeur du

département numériqued’Everial.

Rodolphe Alimenti,DSI de Terréal

“

les administrations porteront le marché

> Processus d’archivage des documents - Source : CDC Arkhineo

© C

.Cal

ais

© C

.Cal

ais

© C

.Cal

ais



Des bases financières solidesDe bonnes bases financières sont cruciales pourconforter la confiance des clients et soutenir la crois-sance de l’entreprise. Ces bases vont venir rapidementpour la société, créée en 2007 par deux cadres bancai-res sortis de l’Ecole Supérieure de Commerce de Bor-deaux, Xavier Lainé et Ludovic Partyka. Dès 2009, l’en-treprise, basée à Bordeaux, lève 400 000 euros. Et l'Eu-rope soutient Primobox, dont l’investissement en R&D sur 2010est co-financé par le Fonds Européen de Développement Régio-nal (FEDER), à hauteur de 223 900 euros, et par la Région Aqui-taine à hauteur de 59 600 euros.

Nouvelle levée de fonds : 2,5 M eurosAu dernier trimestre 2010, l’entreprise touche le jackpot. Elle réa-lise un deuxième tour de table de 2,5 millions d’euros auprès deses investisseurs historiques et d’une importante société de capi-tal-risque, Consellior SA. Les investisseurs expliquent leur choix :“En packageant une offre cohérente, Primobox a su faire la diffé-rence par rapport à ses challengers. Cette nouvelle capitalisationva leur permettre de s’imposer durablement sur le marché et decontinuer à innover.”Grâce à cet apport en capital, Primobox va poursuivre une stra-tégie de croissance différenciatrice afin de s’imposer sur un mar-ché en fort développement. D’abord, l’entreprise mettra en placeune politique commerciale agressive visant à renforcer son posi-tionnement auprès des grands comptes et administrations qui re-présentent un marché cible. Primobox a d’ores et déjà implantésa direction commerciale à Paris afin de mieux répondre aux at-tentes formulées par sa clientèle nationale. Ensuite, elle va inten-sifier sa politique de partenariats techniques et commerciaux. Ellea déjà conclu des alliances technologiques avec IBM, CDC Arkhi-néo, filiale de la Caisse des Dépôts et Consignations, ainsi queReadsoft (cf. encadré). En outre, elle va renforcer ses investisse-ments en recherche et développement. X. Lainé précise : “Cedeuxième tour de table va nous permettre de renforcer notre place

DEMATDOSSIER

Primobox est une entreprise dynamique du marché de la dématérialisaen acteur global, elle étend son offre progressivement à tous les segm

tioen


SL16 D5 15

La dématérialisation est le marché qui va connaître la plusforte croissance dans les années à venir”. Xavier Lainé, pré-

sident de Primobox en est convaincu : “Notre stratégie, basée surle SaaS, nous permet d’avoir un positionnement global sur le mar-ché ; nous pouvons traiter tous types de documents et nos offressont adaptées pour répondre aux besoins des PME comme à ceuxdes grands comptes.”

L’entreprise offre une solution unique de dématérialisation à va-leur probante des échanges documentaires d’entreprise en modeSaaS. Un mode à la base de son slogan : “Vous faire gagner dutemps et de l’argent sans investissement.”Primobox compte aujourd’hui plus de 250 clients, une cinquan-taine conquis sur les deux derniers mois, dont plusieurs grandscomptes. Elle devrait atteindre plus de deux millions de bulletinsde paie dématérialisés pour un total de huit millions de documentsdématérialisés sur l’année à venir.Primobox compte passer d’un effectif de 25 personnes à 38 en2011, du fait de sa croissance.

“

©Pr

imob

ox

> copie d’écran de Demat RH

3 questions à Xavier Lainé, CEO de Primobox> Votre stratégie ?Notre stratégie, basée sur le SaaS, nous permetd’avoir un positionnement global sur le marché.Nous pouvons traiter tous types de documents etnos offres sont adaptées pour répondre aux besoinsdes PME comme à ceux des grands comptes. C’estce qui fait notre force aujourd’hui.

> Vos clients ?Nous ne communiquons que très rarement sur lenom de nos clients, surtout quand il s’agit de grandscomptes. La discrétion est une composante indis-

sociable de notre activité eu égard à la nature confidentielle des docu-ments que nous traitons. Nous préférons communiquer sur le nombrede documents traités, cela nous semble plus pertinent et transparent.

> La résistance aux changements est-elle un frein ?Nous avons créé une cellule de consultants spécifiquement destinée àaccompagner nos clients dans leur projet. Ensuite, tout dépend de lanature des documents. Pour un bulletin de paie par exemple, un tra-vail spécifique de communication auprès des CE, des représentants dupersonnel et des salariés sera nécessaire. Avec plus de 60 clients surce segment et une antériorité de plus d’un an, nous savons aujourd’huiparfaitement comment procéder afin de garantir à l’entreprise un tauxd’acceptation maximum qui sera le garant de son ROI. ■

Une solution unique de démat éEn moins de deux ans, l’entreprise est devenue incon to

SL016_DOSSIER-PrimoBox-D5TaP 15/11/10 19:37 Page 28

d’acteur majeur dumarché de la dématéria-

lisation des documents RH tout enrenforçant notre présence sur le seg-

ment de la facture électronique et de ladématérialisation des factures fournis-

seurs.”

Une offre globaleL’offre de la Primobox permet de traiter jusqu’à 80% desflux documentaires d’entreprise, en premier lieu les pluscritiques. L’éditeur fournit une solution applicative per-mettant de classer, gérer et stocker les documents auformat numérique, reçus et produits quotidiennement parl’entreprise. Démat Fact est un module de dématériali-sation de factures clients et fournisseurs, visant les en-treprises ayant un volume significatif de factures à trai-ter. Démat RH, lancée fin 2009, est une solution de dé-matérialisation des bulletins de paie et des documentsRH. Elle vise les entreprises de plus de 100 salariés, lecœur de cible étant celles de 500 à 5 000. Ce sont100 000 bulletins de paie qui sont dématérialisés cha-que mois grâce à elle. Primobox traite aussi les autresflux de l’entreprise, comme les courriers, les bons delivraison… Ces offres s’accompagnent d’un service

d’archivage électronique à valeur probante, en partena-riat avec CDC Arkhinéo. Primobox travaille également enmarque blanche avec ses clients, en collaboration avecIBM et CDC Arkhinéo.“Beaucoup de nos clients nous contactent au départ pourune problématique bien précise comme la dématériali-sation de leurs bulletins de paie ou de leurs factures, faitremarquer X. Lainé. Très vite, ils choisissent d’étendre ladématérialisation à d’autres typologies de documents.”Primobox garantit à ses clients des solutions toujoursen conformité avec le cadre légal et réglementaire envigueur et les décharge de tous risques juridiques. “Ladématérialisation ne s’improvise pas, juge Xavier Lainé.Elle nécessite d’importantes connaissances juridiqueset une réelle expertise sur chacun des flux traités, c’estce que nous offrons à nos clients en plus de nos tech-nologies.” Primobox accompagne ses clients en termesde communication interne, ce qui est crucial quand ils’agit de dématérialiser les bulletins de paie, mais aussipour les autres projets de dématérialisation. Ceci afind’obtenir l’adhésion du plus grand nombre, facteur clédu succès. ■

Sylvie Rousseau et Jean Kaminsky

sam

tion. Se positionnant ents de ce marché.

En couverture DEMAT


Partenariat avec ReadsoftPrimobox a récemment conclu une alliance stratégique avec la société ReadSoft, spé-cialiste de la dématérialisation des documents entrants et des processus. Cet accordpermettra de proposer une solution industrielle répondant simplement à des problé-matiques complexes liées à la dématérialisation des factures fournisseurs, courriers,documents RH ou encore la numérisation du patrimoine documentaire. ■

lancement de MyPrimoboxAprès le coffre-fort électronique pour les salariés des entreprises avec

Primobox Démat RH, Primobox vient de lancer son pendant logique, lecoffre-fort électronique pour le grand-public. C’est le fruit d’un travail dedeux ans en recherche et développement mené par les équipes Primoboxen partenariat avec CDC Arkhinéo. Ce service en ligne permet d’archiver àlong terme au format numérique les documents importants, dans un coffre-fort électronique, au sein des infrastructures de la Caisse de Dépot et Consi-gnation. Charles du Boullay, directeur général de CDC Arkhinéo,se réjouit de ce partenariat qui “permet d’offrir aux particuliers unesolution haut de gamme en parfaite adéquation avec leurs atten-tes. La solution répond à leurs principales préoccupations en al-liant des garanties élevées en termes de sécurité et de pérennitéde leurs documents électroniques sur le long terme et une gammede services étendue leur permettant de faciliter la gestion au quo-tidien de leurs documents personnels.”My Primobox coûte 4,90 euros par mois pour une capacité d’1 Go d’élémentsstockés. Les applications sont hébergées et maintenues par IBM. Primobox, an-nonce “s’engager sur une obligation de résultat en termes de conservation etsur un taux de disponibilité garantie de 99,85% de ses services, comparableaux exigences du secteur bancaire.” ■

SL16 D5 15

La CCI de Bordeaux dématérialise ses bulletins de paie

La Chambre de Commerce et d’Industrie de Bordeaux, soucieuse d’optimiser sesprocessus de gestion de paie, a choisi d’utiliser la solution de Primobox. Elle va luipermettre de traiter de manière électronique et automatiséeplus de 700 bulletins de paie en moyenne chaque mois. D’icifin 2010, elle confiera à Primobox la dématérialisation de sesbulletins de paie ainsi que celle de ses documents administra-tifs et de son courrier. Tous les documents seront archivés ausein des coffres-forts électroniques de CDC Arkhinéo. ■

t érialisation en mode SaaSn tournable sur le marché

SL016_DOSSIER-PrimoBox-D5TaP 15/11/10 19:37 Page 29

Les factures dématérialisées en France ont été au nom-bre de 140 millions en 2008, sur deux milliards de

factures échangées, dont un quart sont adressables parles acteurs de la dématérialisation. En Europe, 12% desfactures sont dématérialisées.Les avantages de la dématérialisation simple sont déjànombreux. L’envoi des factures clients est automatisé etfiabilisé, et de nombreux litiges sont évités. Les délais deréception des factures sont raccourcis, de même que letemps de traitement. L’intégration automatique dans lessystèmes comptables permet de rationaliser le proces-sus de rapprochement, le circuit de validation et la ges-tion des litiges. Les coûts de traitement de la facture, quisont estimés en facture papier de 14 à 20 euros, pas-sent à moins de dix euros.La dématérialisation fiscale apporte en outre le “zéro pa-pier”. Les coûts sont ainsi réduits, l’archivage physiquedes factures papier étant supprimé. Pour les émetteursde facture, deux types d’envoi sont alors autorisés : l’en-voi en EDI au format structuré EDIFACT ou XML pour uneintégration automatique dans le système d’information,l’envoi d’e-factures sous forme de PDF signés électroni-quement.“En France, certains secteurs se sont mis à la dématé-rialisation fiscale de factures, constate Emmanuel Chi-vot responsable de l’offre Worldline Invoice d’Atos World-

line, le centre d’expertise d’Atos Origin dansles services transactionnels. Les plus avancéssont la grande distribution, l’automobile et l’in-dustrie pétrolière. Mais il y a aussi l’optique oula publicité, et des secteurs à potentiel, commel’e-commerce B2B.”Worldline Invoice est une plate-forme de dé-matérialisation de factures multilingue, en EDIou en PDF signé, opérationnelle pour de grandscomptes internationaux dans vingt pays d’Eu-rope et cinq pays d’Asie. En 2009, elle a traitésix millions de factures électroniques. Elle prenden charge toute la chaîne de valeur, depuis la

signature électronique jusqu’à l’archivage centralisé parpays en passant par l’horodatage. Atos Worldline s’asso-cie au cabinet PricewaterhouseCoopers Tax ConsultantsSCCRL pour l’étude des contraintes légales et fiscales.

Essor du mode SaaSDe nombreux prestataires offrentdes plates-formes de dématériali-sation de factures, tels Accelya avecClear’Invoice, ou b-process, filialede la BRED Banque Populaire, avecbillManager. Les éditeurs proposentaussi leurs solutions. Jean-MichelBérard, président du directoire d’Es-ker, éditeur de solutions et servicesde dématérialisation, observequ’”avec la crise, les solutions à la demande ont le venten poupe, car cela nécessite peu d’investissements. Lanôtre augmente de 50% par an, pour atteindre 45% denotre chiffre d’affaires, soit entre 12 et 13 M€.”Les plates-formes de dématérialisation s’adaptent autype de format et à la structure de données des facturesfournisseurs reçues pour intégrer les données dans leformat requis dans le système d’information du client.“Le problème reste l’interopérabilité des solutions, concèdeEmmanuel Chivot. Par exemple, il faut se mettre d’ac-cord sur le format d’échange à utiliser pour les méta-données accompagnant le PDF signé.”L’interopérabilité est donc un long chemin tout au longduquel les concurrents doivent devenir partenaires. Ainsi,b-process a noué des partenariats et alliances stratégi-ques pour une interopérabilité technique effective avecquelques acteurs européens : Certipost en Belgique, Au-thentiDate en Allemagne, Marakanda en Suède.

Dématérialiser le cycle d’achatsC’est en fait tout le cycle d’achat qui peut être dématé-rialisé, du bon de commande à la facture en passant parle bon de livraison, et de même pour le cycle de gestiondes commandes clients. Jean-Michel Bérard indique :“notre cœur de cible sont les laboratoires pharmaceuti-ques, les fabricants d’instruments médicaux, les grandsgroupes qui vendent aux artisans, qui reçoivent leurscommandes essentiellement par fax. Le gain de tempsest essentiel, pour livrer au plus vite le client. Et beau-coup de nos clients demandent à attacher à leurs factu-res les bons de livraison et bons de commande pour qu’il

S


DEMATDOSSIER

La dématérialisation des documents comptables, au premier rang desquelsles factures, constitue un énorme gisement de productivité.

La dématérialisation des documents comptables,

un fort potentiel

Emmanuel Chivot,responsable del’offre Worldline

Invoice d’AtosWorldline

Jean-Michel Bérard,président du

directoire d’Esker

© C

.Cal

ais




DEMATDOSSIER

le bulletin de paie promis à un bel avenirPour Jean-Michel Polomat, responsable commercialgrands comptes de TrustMission, qui traite sous formatpapier ou électronique tous types dedocuments, “le marché le plus por-teur est la dématérialisation du bul-letin de paie, associé à un coffre-fortcommunicant.” Pour être un original,le bulletin numérique est en PDF si-gné, déposé dans le coffre-fort élec-tronique de l’entreprise pour 5 ans etcelui du salarié pour 45 ans. La ques-tion de l’interopérabilité des coffres-forts se pose, quand le salarié changed’entreprise. En France, le marché est tout récent, issude la loi du 12 mai 2009. La plate-forme de dématéria-lisation Primobox dématérialise 100 000 bulletins de paiechaque mois. Canal+ et M6 ont déjà opté pour le bulle-tin de salaire dématérialisé. Novapost, éditeur de solu-tions SaaS, travaille avec les éditeurs pour intégrer la dé-matérialisation dans les logiciels de paie.

Pour Erik Sabatier, directeur général de Novapost RH,“50% du budget doit être alloué à l’accompagnement auchangement, pour que le salarié accepte un bulletin nu-mérique. Dans les entreprises, le taux d’acceptation va-rie de 30 à 80%, avec une moyenne de 50%.” ■

> Le stand deNovapost au salonSolutions Démat’,en octobre 2010.

Héritière de l’Aéropostale, la compagnie aérienne Europe Air-post, membre du groupe ASL Aviation, a dématérialisé ses

60 000 factures fournisseurs annuelles. Thierry Cornuault, direc-teur du contrôle de gestion et de la comptabilité de la société, ex-plique : “Nous perdions énormément de temps à valider nos fac-tures, et ceci avait pour conséquence des délais de règlement denos fournisseurs très longs, quelquefois plus de 45 jours. Sans ou-blier les pertes de factures, des sources d’erreurs inhérentes auprocessus et les coûts des photocopies et postaux nécessaires àla validation dans les différents services.”Europe Airpost a installé la solution globale d’Azur Technology entre

mi-2008 et le 1er trimestre 2010 : Xpert.capture pour la lecture auto-matique des factures, Xpert.Ivy pour automatiser le workflow de valida-tion des factures, et Xpert.ECM pour l’archivage des factures et la GED.

Jean-Louis Sadokh, Pdg d’Azur Technology, souligne qu’”EuropeAirpost était mal cotée à cause de ses délais de paiement chez sesfournisseurs. Désormais, elle est beaucoup mieux cotée, payantbeaucoup plus rapidement.” Il précise un gain : “ses factures car-burant font plusieurs pages. Nous avons automatisé à 95% les im-putations analytiques des coûts par poste, facilitant le travail ducontrôleur de gestion, qui peut ainsi analyser la rentabilité par vol,par avion, par client, par aéroport.” ■

Europe Airpost dématérialise ses factures fournisseurs

© C

.Cal

ais

n’y ait aucune discussion possible.”L’EDI reste encore l’affaire d’une minorité, tirée par lagrande distribution et l’automobile. Ainsi, le groupe Dim,spécialisé dans les bas et collants, et qui travaille avecla grande distribution, reçoit 35% de ses bons de com-mandes par EDI.

Carlson Wagonlit Travel France et BWTdématérialisent leurs factures clientsCarlson Wagonlit Travel France a commencé par déma-térialiser ses factures sortantes pour l’activité voyagesd’affaires France (cinq millions de factures envoyées paran). Le projet est mis en production en septembre 2007avec Accelya. Les factures destinées aux grands comp-tes sont dématérialisées fiscalement en un format struc-turé. Puis en 2009, l’entreprise décide d’aller vers le zéropapier pour tous ses clients. 5 800 comptes de factura-tion clients devraient ainsi recevoir leurs factures déma-térialisées fiscalement en PDF signé d’ici début 2011,pour un volume de près de trois millions de factures.La filiale française du spécialiste du traitement de l’eauBWT émet 150 000 factures clients par an. Elle a choisila solution de GED en open source d’Alfresco. Elle a éco-nomisé la moitié du temps de suivi et de dispatch desfactures, qui a été utilisé à la gestion des relances client.Le succès a reposé sur l’implication de la DAF et de laDG, la formation d’une journée dans chacune des 25agences commerciales, et l’étude précise des flux et desplans de classement. ■



Physique ou électronique, le métier de l’archivagerepose sur le cycle de vie du document : verse-

ment et indexation, conservation, consultation, destruc-tion ou sortie définitive”, constate Marc Frossard, Di-recteur informatique de Locarchives.Locarchives, spécialiste de l’archivage physique, proposedepuis quatre ans de l’archivage électronique. “Début2011, nous allons fournir à nos clients une seule inter-face de gestion Web, un seul module de recherche mul-ticritères quel que soit le support”, annonce Marc Fros-sard. L’utilisateur veut avoir accès à l’information encontinu et ne veut pas avoir plusieurs SI.” Ce qui sup-pose d’être capable de gérer toutes les archives du clientau sein d’un seul plan de classement (qui classifie lesdocuments par type).Car jusqu’ici, deux systèmes d’information, l’un pour l’ar-chivage physique, l’autre pour l’archivage électronique,prévalent. L’année prochaine, une surcouche applicativeleur permettra de travailler ensemble.Le premier repose sur un système développé en interne :“il n’existe pas de produit comparable sur le marché.Nous faisons du sur mesure par rapport à l’organisationqu’on veut faire évoluer,” explique M. Frossard. En backoffice se trouve le système d’information logistique, quia dix ans d’âge. Avant chaque nouvelle entrée en stock,une unité d’archives, qui est indexée, est créée dans lesystème ; un code-barres lui est affecté. Ce système esten cours de refonte. Equipés aujourd’hui de terminauxmobiles batch, les opérateurs en entrepôt seront à par-tir de mai 2011 équipés de terminaux Windows Mobile,permettant une transmission des données en temps réel.

Dix à quinzemillions de pagenumériséesEn front office, le logiciel Sagaest la porte d’entrée, via leportail en ligne Saga Web,(disponible depuis 1999), de10 000 utilisateurs à leurs ar-chives physiques. Ils peuventsoit obtenir le document re-quis par voie numérique,grâce à un scan à la de-mande, soit être livrés chezeux selon le délai choisi. Les

plus grands clients sont interfacés avec le SI de Locar-chives ; les ordres de recherche d’archives peuvent s’ef-fectuer par EDI.

Les 2000 utilisateurs gèrent leursarchives électroniques en ligneLe second système repose sur des briques du marché,notamment Livelink d’Open Text, éditeur en EnterpriseContent Management (ECM), qui permet aux 2 000 uti-lisateurs de gérer leurs archives électroniques en ligne.Les documents sont soit nativement électroniques, soitnumérisés. Le site de Peronne, dans la Somme, disposed’un atelier de dématérialisation, qui numérise dix à quinzemillions de pages par an. Le Système d’Archivage Elec-tronique (SAE) dispose d’une capacité de stockage àl’heure actuelle de 40 Terabytes, sur des baies de stockageSAN. L’architecture technique permet de gérer de grosvolumes et des utilisateurs concurrents (simultanés).Locarchives a obtenu en septembre 2010 le label FNTC-TA pour son offre d’archivage électronique à vocationprobatoire par la Fédération Nationale des Tiers deConfiance. Quatrième société à l’obtenir, elle est la pre-mière parmi celles issues de l’univers de l’archivage phy-sique.

Sécurité des installationsPour garantir un archivage pérenne et intègre, la sociétéest très soucieuse de sécurité. “Nous testons la lisibilitéchaque année et changeons régulièrement les supportsd’archivage CD-ROM. Les documents sont convertis enformat ouvert PDF Archive (PDF/A). Les disques des baiesde stockage SAN sont remplacés tous les quatre ans.”Le site informatique primaire de Saint-Ouen, siège de lasociété, est répliqué à Peronne, dans le cadre du Plande Continuité des Activités.

Croissance attendue de l’archivage électroniqueD’ici cinq ans, la société estime que 10 à 20% des ar-chives seront électroniques. Elle espère ainsi que sa partpassera de 5% dans le chiffre d’affaires actuel (estiméà 35 M€ en 2010) à 20%. “Nous n’avons pas réalisé decroissance externe pour l’instant, indique Xavier Ber-loty Directeur général de Locarchives. Toutefois, notretaille actuelle nous permet de regarder de près des ac-quisitions autour du numérique.” ■

S


DEMATDOSSIER

Le système d’information de Locarchives (7 sites en France) permet degarantir un archivage pérenne et intègre, qu’il soit électronique ouphysique, et offre à l’utilisateur la possibilité de gérer ses archives en ligne.

“

> L’archiviste crée une unitéd’archives dans le SI.

>Marc Frossard,directeur informatiquede Locarchives.

la DSI de LocarchivesLa DSI compte une vingtaine de personnes, àl’exploitation mais aussi aux études et déve-loppement pour la conception. Elle dispose d’unbudget de 2,2 M€ hors charges de person-nel : 1,2 M€ pour les investissements et 1 M€

pour les charges. Le SI est centralisé à Saint-Ouen, siège de la société, auquel se connec-tent les autres sites. Il y a 250 postes clientssur sept sites. La DSI s’est attaquée à la vir-tualisation de serveurs de traitement et de ser-veurs de base de données. Ainsi, l’applicationde gestion commerciale est virtualisée. ■

Marc Frossard,directeurinformatique deLocarchives.

Locarchives,un métier, deux SI bientôt reliés


de 70 000 utilisateurs aujourd'hui. La solu-tion est très moderne, a beaucoup d'avancesur ses compétiteurs, mais nécessite en-core de notre part un peu d'évangélisation.”

Microsoft Dynamics CRM 2011C'est aussi le cas de Microsoft, qui, s'il nepropose pas encore ses ERP Dynamics NAVet AX dans ce mode, possède néanmoinsune offre SaaS. Mais surtout, le géant deRedmond vient de lancer, sur le salon Solu-tions CRM+BI, Microsoft Dynamics CRM On-line. Cette offre existait depuis deux ans enAmérique du Nord et va être déployée aucours du premier trimestre 2011 sur l'en-semble de l'Europe et de l'Asie. Hébergéepar Microsoft à Dublin, elle va mettre à dis-position des utilisateurs cette nouvelle ver-sion de Microsoft Dynamics CRM 2011 enmode cloud avant même d'être proposée enmode “on premise”.Un hébergement à Dublin ? Pourquoi pas ?L'Irlande fait partie de l'Union Européenne.

trer sur son métier”, estime Jérôme Ter-nois, ingénieur d'affaires chez LawsonFrance. “C'est pour cela que nous nous som-mes engagés dans le cloud et proposons ànos clients des abonnements mensuels”.Même les éditeurs de progiciels “best-of-breed” comme Lefebvre Software se sontlancés et ont nommé, en la personne deChristophe Richer, un directeur des opé-rations 'SaaS' et 'Cloud'.

Divalto : déjà plus de 70 000utilisateurs en SaaSBien entendu, certains, comme Divalto, ontpris de l'avance et ont fait du SaaS et ducloud une stratégie d'entreprise. “Nous avonstoujours voulu travailler sur ce marché etavons pour cela racheté Idylis, une start-upavec un produit très technologique. Proposéen SaaS, il se compose de 19 modules etest très puissant à l'échelle des TPE”, ex-plique Thierry Meynlé, président du direc-toire du groupe Divalto. “Il compte déjà plus

Cloud roi : Lawson y vient

À tout seigneur tout honneur : le SaaS etle cloud sont désormais omniprésents

et même leurs plus fervents détracteursd'antan s'y mettent. “C'est maintenant latroisième fois que je vis le phénomène duon-demand dans ma carrière. [...] je prédisque le SaaS suivra le même chemin que sesdeux prédécesseurs : il n'ira nulle part”, dé-clarait Harry Debes, CEO de Lawson, dansun article paru il y a tout juste deux ans surZDNet Asia et intitulé “Le marché du SaaSva s'effondrer dans les deux ans”. Au-jourd'hui, le même éditeur, qui n'a toujourspas changé de CEO, s'est aligné sur sesconcurrents et propose plusieurs offres cloud,en interne ou externe, dont notamment Law-son M3 10.1 sur infrastructure Amazon Elas-tic Compute Cloud. “La nouvelle générationd'ERP, c'est celle qui permet à l'utilisateurde s'affranchir complètement des aspectstechniques pour lui permettre de se concen-

Les tendances de l’ERP et du CRMSaaS et évolutivité

CDC Software (CDC pour“Customer-Driven Com-pany”, ou “société pilotéepar les clients”) se déve-loppe depuis peu enFrance, au travers de sonoffre Ross Enterprise ERP,destinée aux entreprisesdes industries de processde taille moyenne, mais

aussi de la base installée de Pivotal CRM, queCDC Software a rachetée, ou de son offre MESCDC Factory. CDC attaque la plupart des mar-chés sur lesquels il s'installe en indirect. C'est lecas de la France, avec la société Anteor, distri-buteur exclusif de ses produits en France.

Bruce Cameron, Président, nous a expliqué com-ment il construisait une offre cohérente autourde ses différents produits, mais nous a aussi li-vré une intéressante vision de l'avenir de l'ERP.

➜ Quelle est votre vision du marchéaujourd'hui ?

Bruce Cameron : le marché demeure peu réac-tif et les ressources informatiques restent pré-

cieuses. Nous estimons que le fait que Ross soitassez rapide à implémenter nous a aidés sur lemarché actuel, au moins sur notre cœur de ciblequi est les entreprises des industries pharmaceu-tiques et de l'agro-alimentaire. L'industrie agro-alimentaire est sans doute la plus universelle :tout le monde doit manger... Notre base de clientsest très loyale : nous leur proposons une cinquan-taine de modules et de l'ordre de 2/3 de notrechiffre d'affaires est réalisé avec des clients exis-tants, soit pour faire évoluer leur système soit enleur vendant de nouvelles fonctionnalités.

➜ Et votre vision de l'ERP de demain ?Je pense qu'il faudra poursuivre l'ouverture desarchitectures afin que les données puissent pluslargement être partagées par les autres applica-tions. Les bases de données elles-mêmes, commeSQL, devront être plus ouvertes. De plus en plus,les entreprises refusent d'avoir des données re-dondantes, des bases de données multiples et/oupropriétaires.La facilité d'utilisation fait aussi partie des atten-tes. Une interface familière, qui ressemble si pos-sible à celle de Microsoft, de manière à ce que

l'utilisateur se sente immédiatement à l'aise dansla navigation, me paraît aussi être un must.En ce qui concerne le SaaS, je ne pense pas quel'ERP soit un excellent candidat pour ce moded'utilisation, surtout du fait du recours incessantqu'a un ERP à la base de données. Je ne pensepas que le SaaS représente 1% des ERP à l'heureactuelle. Je ne pense pas non plus qu'un Sales-Force.com s'attaque un jour à l'ERP. Nous avonsdes offres SaaS pour l'import/export, pour le e-commerce, mais pas pour l'ERP. Nous estimonsque lorsque deux entreprises partagent les mê-mes données, le SaaS est une bonne solution,indépendamment des considérations de plates-formes. Il permet de se concentrer sur son mé-tier et moins sur la plate-forme.Le marché des grands comptes étant saturé, lataille des projets diminue beaucoup et les entre-prises veulent ce dont elles ont besoin dans l'ins-tant. Et le mettre en œuvre le plus rapidementpossible. Il n'y a plus de place pour des cyclesd'implémentation de 2 ans. Nos délais d'implé-mentation moyens de Ross sont de 4 à 6 moiset notre ratio licences/services est de 1. ■ BH

CDC Software fourbit ses armes Un entretien avec Bruce Cameron, Président de CDC Software

Par Benoit Herr

PROGICIEL l focus l actualité

Les nouvelles tendances et celles de la reprise s’illustraient, en rencontrant de nombreux acteurs sur les salonsd’octobre : ERP, Solutions CRM+BI, Solutions Demat et un bouquet d'autres salons professionnels.


Bruce Cameron,Président de

CDC Software

© D

R

SL016_PROGICIEL-D3 15/11/10 21:13 Page 36

n'a pas le temps, et si la réponse n'est pasimmédiate ça ne va pas”, remarque ThierryMeynlé. “L'ERP de demain alliera toutes cesfacilités de recherche, de navigation, de ré-ponse instantanée, de rapidité et de puis-sance mais également toutes les fonctionsde portail, de réseaux sociaux, de chat. Il estclair qu'au quotidien, les gens passent deplus en plus de temps sur Internet et quandils cherchent quelque chose ils vont sur Goo-gle, formulent leur demande et obtiennentune réponse. Notre vision, c'est celle d'unERP qui intègre toutes ces facilités et c'est

ce que nous sommes en trainde construire actuellement.”

Un SI communicantTous les acteurs que nousavons eu l'occasion d'en-tendre s'accordent sur unpoint : le SI de demain seracommunicant, bien pluscommunicant et interopéra-ble qu'aujourd'hui. “L'ERP

sera le creuset dans lequel on fera naturel-lement le CRM, la BI, la GED et on viendray rapporter la gestion des compétences,des carrières, toute la dimension RH”,ajoute Eric Angelier en guise de conclusion.“Des SI interopérables avec d'autres bri-ques fonctionnelles qui peuvent arriver aufil du temps. On voit que les besoins évo-luent du fait de l'arrivée de nouvelles tech-nologies, de nouvelles demandes. L'unedes premières qualités d'un ERP pour l'en-treprise, c'est donc son évolutivité”, ajouteEric Orenes de son côté. ■

Car la loi Informatique et Libertés du 6 jan-vier 1978 interdit le transfert de données àcaractère personnel vers un pays tiers àl'Union européenne n'offrant pas un niveaude protection adéquat. Et les nombreux paysémergents ne sont pas les seuls à ne pas bé-néficier d'un agrément : les États-Unis parexemple n'ont pas non plus été reconnus parla Commission Européenne comme offrantun niveau de protection adéquat. Il y a pour-tant de fortes chances pour que tout ou par-tie des données d'un cloud s'y retrouvent.

L'internationalisation des PME“Les entreprises ont aujourd'hui une dimen-sion internationale”, constate Cédric Lava-gna, directeur commercial du groupe Ordi-rope, à propos des PME. “Il y a quelques an-nées encore, le centre de production, le cen-tre de distribution et le siège se trouvaientdans le même pays. Aujourd'hui, elles tra-vaillent de façon mondiale : elles fabriquentdans un pays, ont des centres logistiquessur différents continents et des centres dedistribution dans chaque pays.”

“L'ERP de demain, c'est celui qui pourra êtreutilisé depuis n'importe où sur le globe, à n'im-porte quel moment”, estime de son côté Phi-lippe Plantive, directeur général de Proginov.

Instantanéité, souplesse et proximitéL'ERP est sur un marché de renouvellement,même s'il existe encore de nouvelles instal-lations. Les entreprises ont donc l'expériencede tels projets et en connaissent les travers.Elles savent aussi ce qu'elles peuvent en at-tendre et lors de la mise en place d'une nou-velle solution, elles en veulent un peu plusqu'avant. “Les entreprises cherchent à orien-

ter leur SI vers un outil deproductivité et non pas àle considérer comme unmal nécessaire”, confirmeEric Orenes, directeurcommercial et marketingde Wavesoft.“Aujourd'hui, les entre-prises se réveillent et lesbesoins sont encore plus

tournés vers des solutions clé en main, trèsproches du métier et des clients concernés,proposées par des professionnels, avec unensemble de services adaptés”, estime deson côté Eric Angelier, président et fonda-teur d'Apsylis. Et Olivier Heintz, directeur

de projets chez Néréide, de confirmer : “dufait de la reprise, les entreprises ont une vo-lonté forte de disposer de produits souples,qui répondent à leur évolution. Aujourd'hui,grâce à la reprise, elles sont sur de nou-veaux marchés et de nouveaux axes de dé-veloppement. Il est donc impératif que le SIpuisse évoluer en fonction de leurs besoins.”

Le Web 2.0“La troisième génération de CRM que l'onobserve aujourd'hui est celle de l'intégra-tion avec le monde du Web 2.0, notammentdes réseaux sociaux, et la possibilité d'uti-liser un CRM comme on utilise un réseausocial, c'est-à-dire de voir ce qui se passechez les collègues. On peut aussi intercon-necter son CRM avec des réseaux de typeLinkedin ou Viadeo”, note François Papon,responsable de la société Carrenet, intégra-

teur de SugarCRM et so-ciété de conseil en CRM.

“Nous pensons quel'ERP de demain doitpouvoir répondre à lagénération 'Google' ou'génération Y', dont leshabitudes de travail sonttrès proches de ce que

l'on trouve dans la grande consommation”,confirme Amor Bekrar, PDG d'IFS France.“Quand ils arrivent dans l'entreprise, il fautleur proposer des outils leur permettant detravailler de la même manière.”

“Pour moi, le multi-canal est l'un desaxes très forts de développement pourdemain. Les réseaux sociaux peuventaussi rentrer dans le multi-canal. Jecrois beaucoup à cet aspect-là pourl’ERP de demain, très communicant”,ajoute Miren Lafourcade, directrice gé-nérale de Nout.

Pour Sylob, qui s'exprime par la voix de sonprésident, Jean-Marie Vigroux, “L'ERP dedemain est communiquant au sein de l'en-

treprise, mais aussi avecles clients et les fournis-seurs. C'est donc unERP qui va plus loin quece qui existe aujourd'huiavec les systèmes EDIclassiques.”

“Lorsqu'il cherche quel-que chose, l'utilisateur

focusPROGICIEL


Francois Papon,Carrenet

Jean-Marie Vigroux,Sylob

Miren Lafourcade,DG de Nout

Eric Orenes,Wavesoft

CLOUD : le Syntec publie un guide contractuel

L'engouement pour le cloud et le SaaS est tel,et les éditeurs tellement désemparés face àces défis, que Syntec Informatique a publié unguide contractuel sur le sujet, que l'on doit no-tamment à la plume de Maître Olivia Flipo, ducabinet Staub & Associés. Les fournisseurs desolutions en mode SaaS doivent en effet conce-voir des contrats adaptés à ce mode d'utilisa-tion, être au fait des contraintes liées au trai-tement des données personnelles, à la confi-dentialité et à la sécurité des solutions, pouréviter d'engager leur responsabilité tout en ré-pondant aux besoins des clients. Ce guide sedouble même d'un “pack location éditeurs”,une offre de financement destinée à permet-tre aux éditeurs membres de Syntec de pas-ser en mode locatif. ■

© D

R

© D

R

© D

R

© D

R


Côté e-commerce

Dans les étages, les allées étaient au moinsaussi pleines sur le salon e-commerce Pa-ris 2010 qu'au rez-de-chaussée pour Equip-mag. Certains, comme Generix ou Atos World-line avaient même un stand sur les deux sa-

lons. C'est dire à quel point l'un est com-plémentaire de l'autre. Là, ce sont 27 500visiteurs (selon les organisateurs) qui ontparcouru les allées du salon et visité lesquelque 550 stands, contre 25 000 pourl'édition précédente, soit une hausse de10%. “En 7 ans, e-commerce est de-venu le plus gros événement dédié enEurope”, constate Alain Laidet, commis-saire général.

Il faut dire que le secteur se porte plu-tôt bien : de la plus insignifiante deséchoppes au plus grand groupe de dis-tribution, tout le monde se met au e-commerce. C'est ce que confirment leschiffres les plus récents de la Fevad (Fé-dération du e-commerce et de la venteà distance) : les ventes sur Internet ontprogressé, de 29% au premier semes-tre par rapport au même semestre de2009 et près d'un français sur deux a

désormais déjà acheté en ligne. Le montantglobal de ces ventes est estimé à 14,5 mil-liards et si cette croissance se maintient, lechiffre sur l'année pourrait dépasser 32 mil-liards. Ces résultats sont supérieurs aux pré-visions et font de la France l'un des mar-chés les plus dynamiques en Europe. Ils sontaussi à mettre en perspective avec un re-tour à la croissance pour le commerce dedétail (+2% sur le premier semestre), aprèsle recul de -1,4% qu'on a connu en 2009.Sur les 12 derniers mois, le nombre des si-tes a également progressé, dans les mêmesproportions : on en compte désormais70 200 contre 54 200 il y a un an. ■

BH

Ambiance ! De son côté, Pascal Madry, di-recteur de l'institut pour la ville et le com-merce, estime, en prenant l'exemple descaisses en libre-service, “qu'il faut faire at-tention aux innovations technologiques vi-sant à transférer une charge d'exploitationsur le consommateur sans réelle contrepar-tie pour lui, a fortiori si ces innovations sontpar ailleurs destructrices d'emplois”.

Il est vrai qu'au-delà des solutions très spé-cialisées dans le commerce, les acteurs plustraditionnels du secteur des logiciels avaienttous répondu présent à l'appel, Microsoft, quis'est appuyé sur l'événement pour lancer sanouvelle solution Dynamics AX for Retail, entête. Cegig ou Generix n'étaient cependantpas en reste. Le premier y présentait sa nou-velle offre Yourcegid Retail et son espace In-novation Store, et le second sa “Cross Chan-nel Experience”. RedPrairie, de son côté, avaitaxé sa présence sur les nouvelles fonction-nalités de sa solution Site Manager, tournéesvers la mobilité. IBM, Aldata, Octime, Progi-nov, 3LI, Octime, Prios et de nombreux au-tres se sont également affichés à Equipmag.

Le magasin du futur

Equipmag, salon dédié aux points devente, au retail et à la distribution se tient

tous les deux ans depuis 1951. Il a accueillicette année plus de 400 exposants et 12 000visiteurs. Placé sous la thématique du ma-gasin du futur, en ces temps de virage versles ventes online et multi-canal, il semblepourtant que cette thématique ait fait re-cette. La part belle a été faite aux expo-sants traditionnels du secteur, depuis leséquipements spécialisés jusqu'à la ma-nutention en passant par le mobilier etles vitrines, la signalisation, l'éclairagela climatisation ou la décoration.

Mais les exposants proposant des bor-nes interactives, comme Cash SystèmesIndustries, ou des systèmes de monéti-que, comme Cashmaster ou BH Holding,étaient venus en force. Signalons quenombre de ces exposants proposent dessolutions logicielles spécialisées dans lecommerce. C'est le cas de Keyneone-soft, qui se spécialise dans les solutionsd’interactivité et de mobilité destinéesaux points de vente, ou de Ack, qui pro-pose des logiciels de back-office et defront-office aux enseignes de la distri-bution alimentaire et du commerce spé-cialisé dans le bricolage.

Les nouvelles technologiesomniprésentesLes nouvelles technologies sont désormaispartout, dans l'équipement des magasins, àun point tel que Michel Choukroun, consul-tant en problématiques de distribution, pro-fesseur à l'université de Paris Dauphine etconseiller-expert du groupe Xerfi-Preceptas'est fendu d'un billet d'humeur intitulé “Fide la techno dans les points de vente si onoublie l'essentiel !”, qui commence ainsi :“je refuse la technologie à outrance dans lesmagasins. Je refuse les e-smartphones, lese-tablets, les e-paiements, les e-senteurs,les e-musiques et vidéos de toutes sortes.”

Distribution et e-commerce : le plein de technologies

PROGICIEL l focus l actualité

Bien que leurs organisateurs soient différents, les salons Equipmag et e-commerce se sont tenus au mêmeendroit et au même moment, fin septembre, au Hall 7 de Paris Expo, Porte de Versailles. Des salons assezcomplémentaires et l'occasion pour le monde du commerce de faire le plein de technologies.

SL16 D4 15


© D

R

© D

R



traditionnels et entretenons des relations surle long terme avec nos clients.

➜ S&L : Quelle est votre situation en Eu-rope et comment vous positionnez-vous commercialement ?

• LA : Nous sommes passés de 4 personnesà 17 l'an dernier à notre siège de Munich.Nous nous développons très rapidement : no-tre croissance annuelle dépasse les 50%. Letroisième trimestre sera encore bon et noussignons 500 à 600 nouveaux clients par tri-mestre (en réalité 700 nouveaux clients et+60% de CA sur Q3 NdlR). Nous avons lancéla version 6 en début d'année et les retoursque nous avons sont excellents. Enfin, nousproposons désormais une version OEM, quipermet à d'autres éditeurs d'intégrer Su-

garCRM dans leurs produits et leur évitede développer leur propre solution.

En France, nous comptons plusieurscentaines d'installations, dont CocaCola. Nous nous positionnons sur lemarché des PME via nos partenaires-intégrateurs. Nos concurrents s'appel-lent Saleslogic, Microsoft DynamicsCRM et Salesforce.

Mais comme SugarCRM est nativementWeb, elle ressemble plus à un Face-book qu'à un Office. Nous ne sommespas de la première génération de CRM,client/serveur, comme Oracle Siebel.

Nous ne sommes pas non plus de ladeuxième génération qui, à l'instar d'un Sa-lesforce, s'évertue à convaincre les gensque le SaaS est sécurisé. Les gens sont ha-bitués aujourd'hui à utiliser des applicationscomme Facebook ou Twitter. SugarCRM serapproche de celles-ci, s'appuie sur le lan-gage PHP et sur une plate-forme ouverte,propose un studio et des outils graphiques.Et bien sûr, on peut développer toutes lesextensions que l'on souhaite. En bref, c'estla troisième génération de CRM. ■

Propos recueillis par Benoît Herr

ments et améliorations apportés à la versioncommunautaire sont également intégrés dansles autres versions.

➜ S&L : Certaines sociétés de consultingspécialisées dans le cloud et partenai-res de gens comme Salesforce.com vousvoient désormais comme un concurrentsérieux, y compris sur le cloud...

• LA : Il y a une sorte de concurrence nou-velle qui s'est établie. Notre stratégie consisteà ne pas imposer de solution technique auclient : il choisit sa plate-forme d'exécution.Nous avons notre propre offre on-demand/SaaS, tout comme certains de nospartenaires, et nous avons aussi des clientsqui préfèrent utiliser leurs propres serveurs.

L'application est nativement Web : elle res-semble à une application SaaS pour l'utili-sateur final et notre modèle économique estcelui du SaaS, car basé sur un abonnementannuel, quelle que soit la solution techniquemise en œuvre. Ce modèle présente de nom-breux avantages : il nous permet notammentd'avoir des partenaires locaux et des servi-ces de proximité pour pénétrer des marchéscomme la France. En ayant démarré d'em-blée sur un modèle basé sur des abonne-ments, nous évitons les problèmes de mo-dèle d'affaires que connaissent les éditeurs

Larry Augustin est l'un des investisseursles plus importants et les plus connus

du monde Open Source. Membre du conseild'administration de SugarCRM depuis 2005,il en est devenu le président en 2009. Crééeen 2004, la société californienne SugarCRMpropose la suite logicielle de CRM éponymeen Open Source. Son mode de fonctionne-ment est cependant hybride, puisqu'à côtéde la version communautaire et gratuite,l'éditeur propose des versions payantes. Lasociété renforce en ce moment sa présencedans les pays de l'UE, dont la France, qu'elleconsidère comme un marché important.

Nous avons rencontré Larry Augustin à l'oc-casion du récent Open World Forum, unemanifestation internationale dédiée à l'éco-système Open Source qui a réuni 1 500personnes à Paris fin septembre.

➜ S&L : Qu'est-ce qui différencie lesversions de votre produit, com-munautaire et commerciale ?

• Larry Augustin : Nous avons un noyauunique sur lequel se basent toutes lesversions. Et nous produisons nous-mê-mes la version communautaire ; maisles autres développeurs peuvent créerdes add-ons ou des extensions. Le pro-jet n'est donc pas piloté directement parla communauté, comme peut l'être Apa-che, par exemple. Notre mode de fonc-tionnement ressemble plus à celui dePentaho, OpenBravo ou Jaspersoft.

Les fonctionnalités de la version communau-taire sont orientées vers les développeurs etles organisations de petite taille. Les versions“enterprise” et “professional” intègrent plusde fonctionnalités destinées aux utilisateursfinaux d'entreprises de taille plus importante,comme le reporting, le workflow ou des sé-curités de groupe.L'Open Source permet de toucher des pu-blics beaucoup plus larges que les produitscommerciaux, que ce soit des développeursou des clients potentiels. Les développe-

PROGICIEL l CRM l l portrait lLarry Augustin, CEO de SugarCRM, nous explique en quoi sa solutionse distingue et incarne la nouvelle génération d'applications de CRM.


SugarCRM incarne la troisième génération de CRM

LarryAugustin,

CEO deSugarCRM

> La page d'accueil de SugarCRM

© V

ince

nt B

locq

uaux


l architecture l déploiementINFRA


Convergence, interopérabilité, virtualisation, tels sont les mots clés de lanouvelle offre de Dell à l’intention des DSI et des administrateurs.

Le principe de la virtualisation est largement accepté par lesclients. Mais dans les faits, 10 à 20% seulement des serveurs

physiques sont virtualisés”, remarque Nathalie Rotceig, Respon-sable Solutions Grands Comptes, chez Dell France.

Interopérabilité, le mot-cléLa solution : l’architecture ‘Virtually Integrated Systems’ (VIS), an-noncée en début d’année, avec lancement cet automne, “une suitesoftware conçue pour aider les clients à accélérer l’adoption de lavirtualisation”, qui fait converger applications et serveurs.“Cette solution, ouverte et basée sur les standards, offre un niveauélevé d’automation et de support aux ressources existantes desclients (réseau, stockage…), fournissant aux utilisateurs finaux unesolution simple d’administrer les actifs physiques et virtuels de leurcentre de données”, commente le constructeur.Les offres intégrées représentent une nouvelle tendance, illustrée

par l’alliance Cisco-VMware-EMC, ou les annonces de HP de cetété. C’est au tour de Dell de se lancer sur ce marché prometteur.Mais il le fait à sa façon : le “Delivery Center”du constructeur se veutavant tout interopérable, en opposition aux solutions propriétairesde nombre de ses rivaux. L’ouverture est l’atout différenciant, in-siste l’équipe du constructeur : “nous voulons éviter la révolutiondans le datacenter, contrairement à nos concurrents”déclare Fran-cisco Bueno, Enterprise Solution Executive Dell EMEA.

Trois couches, au service des Admins, des utilisateurs et des DSI.Ce “Delivery center”comprend trois couches et vise trois cibles : lapartie Aim pour les Admins, la couche Lean pour les utilisateurs etenfin la partie Vidir, destinée aux managers du SI, mais annoncéepour 2011.Un premier client de taille a déployé le système, la Santa ClaraUniversity.

> AIM est la couche “admin”, l’appli est le fruit d’un rachat enJuin 2010 (société Scalent). Tarif indicatif (licence + support) : 2200€par socket.

> Le Self Service Creator permet à l’utilisateur l’accès à sesapplications, en fonction d’un catalogue, et sans attendre la fourni-ture par l’IT. Edité par Dynamics Ops, le soft est intégré en OEM etpackagé par Dell. Tarif indicatif (licence + support) : 1900€ par socket.

> DIRECTOR reste at-tendu pour 2011, ce sera un“Hub des opérations IT”, per-mettant à la DSI le contrôlede l’ensemble.Pour ce module, il sembleque des négociations pourl’acquisition ou un partena-riat OEM d’un software se-raient en cours…

Jean Kaminsky

Dell lance le self-service de la virtualisation

Nous voulons éviter la révolution dans le datacenter . “

“

SL16 15 D3

“

SL016_ADMIN-DELL_D1 15/11/10 21:30 Page 41

l mobiles l actualité focusCOMMUNICATION

Edge et 3G. Android connaîtune segmentation certainedans les versions installéeset la migration vers le sys-tème le plus récent n’est pasforcément rapide. Et l’évo-lution vers la v3 restera àmesurer. Donc prudence.Sur Nokia, le même pro-blème peut intervenir surdes systèmes anciens, idempour Windows Mobile. Pour WindowsPhone 7, le parc devrait être homogène.

L’assistance et le support sont deux critèresimportants car il faut pouvoir dépanner et ai-der l’utilisateur nomade. “Le helpdesk est deplus en plus inondé par les demandes desupport pour les appareils mobiles, y com-pris les iPhones. Les fonctionnalités de confi-

guration à distance, disponi-bles maintenant dans Res-cue, vont permettre aux pro-fessionnels du support d’ac-compagner leurs utilisateursdans l’adoption des termi-naux mobiles sans perte de

productivité, rapidement et effi-cacement,” ajoute LeeWeiner, Direc-

teur Support et Collaboration Product chezLogMeIn. “Au-delà du support efficace dessmartphones, les nouvelles capacités de Res-cue autorisent les centres de support à pren-dre une véritable dimension de fournisseurde service et de garant de la productivité del’entreprise.”

De nombreuses solutions (en local ou SaaS)existent. À vous d’en choisir une !

Comment gérer son parcde smartphonesAujourd’hui, chaque plateforme possède sesoutils d’administration, de déploiement et ilest difficile de mettre en place une unique

nistration et de gestion. Si un parc mobilehétérogène existe, la seule solution est d’op-ter pour une solution tiers comme nous leverrons plus loin.

Les points à surveillerLa sécurité est le premier élément à mettreen place :➜ établissement d’un VPN➜ session cryptée (https, ssl, pki…)➜ données cryptées ➜ authentification et accès à l’annuaire➜ politique de sécurité pour chaque profil

utilisateur ou chaque catégorie

La fonction messagerie étant la plus usitée,l’outil d’administration doit impérativementêtre compatible avec Exchange ou équiva-lent, Notes, etc. Parfois, des clients de mes-sageries d’entreprise sont disponibles.

Le plus souvent, il faut définir un profil parutilisateur / terminal puis le déployer (avecles applications et les droits d’accès). Cesont ces profils que l’on monitore tout enrécupérant les informations techniques duterminal et des applications.

L’une des difficultés est l’hétérogénéité desplateformes. Blackberry est assez homo-gène dans son parc et sa gestion. iPhonel’est aussi, même si on peut avoir des dif-férences de versions systèmes et de termi-naux, le problème vient surtout des versions

Depuis l’apparition de l’ iPhone, le Smart-phone déferle en entreprise même si

Blackberry existait déjà depuis plusieurs an-nées. Aujourd’hui, Android, iPhone, Black-berry sont les plateformes les plus actives,en attendant Windows Phone 7 disponibledepuis mi-octobre. Mais cette arrivée posede sérieux problèmes à l’entreprise et toutparticulièrement au service informatique. Etsi le Blackberry était bien intégré, ce n’estpas toujours le cas pour les autres systè-mes, sans compter l’évolution constante deces plateformes.

Les risques d’anarchie del’administration et de l’usageAvant le Smartphone, le système d’informa-tion était contrôlé et seul le service informa-tique autorisait ou non tel matériel, tel logi-ciel. Désormais, avec la frontière toujours plusmince entre personnel et professionnel,le Smartphone a fait une ir-ruption parfois anarchique etforcée au cœur de l’entreprise.“Aujourd’hui, la IT ne contrôlerien. Elle ‘suit’. Et il y a des pro-blèmes de déploiement, degestion, et de sécurité”, commente GillesSamoun (PDG NTRGlobal). A la base, leSmartphone pose plusieurs problèmes, quine diffèrent pas de ceux de l’informatiquemobile en général : sécurité, assistance à dis-tance, gestion de l’authentification, gestiondes données, accès aux applications métiers.

Le Smartphone arrive en effet régulièrementpar l’usage personnel puis s’impose à l’in-formatique qui doit l’intégrer. Cela bousculeles habitudes mais surtout la manière degérer et d’accéder à son réseau. Et actuel-lement, le même phénomène apparaît avecl’iPad mais nous y reviendrons plus tard.D’autre part la diversité des plateformes estun autre problème car aucun constructeur /éditeur n’a le même niveau d’outils d’admi-

Le Smartphone fait fureur mais comment l’administrer, le déployer sur un parc de dizaines, de centaines oude milliers de terminaux mobiles ? RIM possède une solide expérience qui a fait son succès en entreprise.Mais les concurrents avancent très vite et l’usage personnel impose souvent son choix à l’entreprise.

SL16 - D4 - 15nov


> iPhortress, de la société Mobiquant, le pre-

mier boîtier serveur de gestion et sécurisation

exclusivement dédié aux flottes iPhones/iPads.

Administrer et déployer un parc de Smartphones

SL016_COMM-Mobiles-D3 15/11/10 19:50 Page 42

> smartphone1 : l'outil de prise de contrôle à distance de NTRGlobal

plateforme pour l’ensemble des systèmes mobiles. Le Blackberryayant son propre serveur, il sera souvent en dehors des outils tiers.Dans les outils, il y a ceux qui gèrent l’infrastructure et ceux qui gè-rent uniquement le terminal (logiciel principalement). Rarement, lesdeux. Un outil semble aujourd’hui incontournable : le MdM (Mobiledevice Management).

> Blackberry : solide avec BESRIM propose depuis plusieurs années un serveur dédié : EnterpriseServer (ou BES). Il supporte la messagerie (plus ou moins complèteselon l’édition du BES), un nombre d’utilisateurs limité ou illimité,l’application de calendrier, la messagerie instantanée, la téléphonie,

COMMUNICATION

Découvrez

Aastra Premium

www.aastra.fr/premium

Bénéficiez de plusieurs avantages et réductions sur nos solutions et celles de nos partenaires par le biais du Club Aastra Premium.

Vos avantages :

Réductions sur votre projet de communica-tion d’entreprise

1 an d’adhésion gratuite au Forum Utilisateurs Aastra

Réductions sur une formation de votre choix

Profitez des offres d’Aastra et de ses partenaires sur notre site :

Le site des utilisateurs et futurs utilisateurs de solutions Aastra

mobiles

QUELQUES SOLUTIONS DU MARCHÉEditeur / solution Plateformes supportées Fonctions

NTRGlobal : Smartphones Contrôle à distanceremote support Assistance / support

Ibelem : Smartphones Console uniquePushmail Gestion messagerie

MonitoringAdministration distance

Good Technologies : iPhone InventaireGFE Android Provisionning

Windows Mobile monitoringPalmOSSymbian

Sparus Software : iPhone Inventaireeverywan Android Provisionning

Windows Mobile MonitoringPrise de contrôle à distance

SAP Sybase : Blackberry InventaireAfaria iPhone Provisionning

Android MonitoringWindows Mobile Prise de contrôle à distancePalmOSSymbian

NetMotions Wireless : Windows Mobile SécuritéMobility XE VPN

MonitoringReporting du terminal

LogMeIn : Android Support distantLogMeIn Rescue iPhone Administration

Windows Mobile messagerie

SOLUTIONS & LOGICIELS • 43 • n°16 - nov/décembre 2010

SL16 D3 14nov



quand vous devez déployer une applicationmétier. Si cela n’est pas suffisant, des so-lutions tiers très spécialisées existent à l’ins-tar de l’éditeur Kace et son ManagementAppliance. Là on passe par une Appliancematérielle et logicielle.

> Android : en attendant la v3Le succès d’Android tient en partie à la mul-tiplication des terminaux compatibles et aunombre de développeurs qui alimentent enapplications la boutique en ligne. Mais au-jourd’hui, Android cible surtout le grand pu-blic.Au niveau entreprise, le système ne pro-pose rien de concret, ni sur les outils d’ad-ministration. Un peu comme l’iPhone à sesdébuts. Cette absence explique la quasiinexistence d’Android en entreprise. Moto-rola annonce un Droid Pro avec des outilsprofessionnels du marché. Mais c’est encoreune action isolée. Il existe des solutions tierspour l’administration : Good Technologies,SAP Sybase iAnywhere, Sparus Software.

“C’est avec la version 3 d’Android que le vi-rage entreprise commencera”, prédit Be-noît Lemaire (PDG Ibelem). Et le construc-teur propose des outils et mécanismes deVPN, sécurité. Il faut par contre éviter quece soit les constructeurs qui rajoutent dessurcouches au système car dans ce cas, ily a un risque d’anarchie et de compliquerla tâche des administrateurs si le parc n’estpas homogène.

> Windows Phone 7Windows Phone 6.5 a beaucoup souffert dela concurrence et Windows Phone 7 vienttout juste d’être dévoilé, les premiers termi-naux arrivent fin octobre en France. Micro-soft précise qu’Office sera disponible dansune édition mobile ainsi qu’un support Ex-change, Sharepoint. Pour l’administration,il faudra sans doute attendre la prochaineversion de System Center Configuration Ma-nager (SCCM) qui doit unifier la gestion desparcs mobiles dont Windows Phone 7 (etdes terminaux Nokia).

> Nokia, Symbian 3Le constructeur possède un outil de confi-guration : Nokia Configuration Tool. Il per-met de configurer le profil de chaque termi-nal : personnalisation, messagerie, sécurité(VPN, PKI, cryptage). Il est compatible avecune large gamme de téléphones du construc-teur et le tout nouveau Symbian 3. Plusieurséditeurs tiers prennent en charge les gam-

tes fonctions de gestion et de déploiement.On peut par exemple utiliser des profils deconfiguration possédant une configurationdes éléments du téléphone, de l’accès VPN,messagerie, cryptage des données. Il estpossible via l’utilitaire de “personnaliser” uneflotte au nom de la société ou encore d’ap-pliquer différentes configurations selon l’uti-lisateur. L’outil permet d’autoriser ou nonl’accès à des applications installées par dé-faut (YouTube, Safari, accès AppStore, etc.).Vous pouvez aussi y définir les accès Ex-change et LDAP. L’utilitaire prend aussi encharge le déploiement d’applications sanspasser par le AppStore. Particulièrement utile

la sécurité avec stratégie de sécurité, la ges-tion du déploiement, la console d’adminis-tration, le contrôle et l’effacement à distancedu terminal… L’un des points cruciaux estla gestion à distance du terminal : assis-tance, suppression des données, neutrali-sation en cas de perte ou de vol du termi-nal. Il s’agit d’une fonction primordiale pourtout serveur de gestion mobile. BES est bienconnu pour cela.

> iOS : limité mais en progrèsCôté Apple, on dispose de l’outil “utilitairede configuration iPhone”. Sans être l’égald’un BES, il offre tout de même de puissan-

SL16 D4 15nov

> Sybase : architecture de fonctionnement de la plateformed'administration de SAP Sybase Afaria

Si éditeurs et intégrateurs s’activent sur leparc mobile, les opérateurs de télécoms sonteux aussi très actifs car n’oublions pas queleurs réseaux sont incontournables pour l’achatet l’activité.Au printemps dernier, Orange Bu-siness Services a d’ailleurs conclu un accordavec SAP Sybase. OBS s’appuie sur les outilsd’administration de Sybase pour gérer Black-berry et des parcs hétérogènes. L’offre Black-berry est accessible en mode SaaS et sur unserveur BES ! Le service est payant (par mois).

Bouygues Telecom avec sa partie entreprisepropose aussi une gestion de flotte mobile(surtout par rapport aux forfaits) et possède

un volet service (aide à l’installation et dé-ploiement, support à l’exploitation…). SFR(avec Business Team) propose une gammede services pour les flottes mobiles (Parc OnLine) : gestion et suivi du parc, administra-tion, VPN. Le service s’adapte à la taille del’entreprise et de la flotte.

Dernier élément important : le coût d’uneflotte mobile. Outre le prix du terminal,il faut rajouter le forfait (voix + donnéesou uniquement données). Et l’un des dé-rapages concerne le roaming à l’étran-ger qui peut se révéler financièrementimportant ! ■

Ne pas oublier les opérateurs

COMMUNICATION



mes Nokia (Smithmicro par exemple). Des opérateurs comme OrangeBusiness Services travaillent depuis longtemps avec Nokia. Cepen-dant, Nokia France ne possède plus de section purement entreprise.Nokia semble en retard par rapport à Blackberry ou même Apple,mais la base installée demeure très importante. Cependant, leconstructeur tente de sortir des Smartphones plus professionnels àl’instar du Nokia E7 incluant Exchange Active Sync ou encore Mi-crosoft Communicator Mobile pour la messagerie instantanée.

Utiliser des outils d’administration serveurset en mode SaaSDes outils pour quoi faire ? Outre les aspects de sécurité (mot de passe,authentification, cryptage des données, effacement à distance…), il ya toute la gestion au quotidien du Smartphone (état de fonctionnement,état matériel), et support distant pour aider un utilisateur bloqué ousuite à un dysfonctionnement. La prise de contrôle à distance du ter-

minal est une fonction es-sentielle de tout MdM.

Quelques solutionsdu marché (voir tableau p.43)

Au-delà des outils logi-ciels, vous pouvez aussipasser par de l’infrastruc-ture matérielle via des ap-pliances.Mobiquant, une sociétéfrançaise, propose depuispeu un boîtier serveur poursécuriser les terminauxApple, avec PKI intégrée,

gestion et déploiement des paramètres du terminal, politique de sécu-rité, messagerie, reporting.Si vous optez pour un déploiement d’une flotte de Smartphones ou detablettes, nous vous conseillons de passer par des intégrateurs, SSII,spécialisés car un tel déploiement ne s’improvise pas : audit des be-soins, définition du terminal, des règles de sécurité, des applications,de l’administration… Des sociétés comme iSeeds Software ou Ibelempeuvent vous aider. Et n’oubliez pas de gérer la conduite du change-ment ou encore d’acquérir en interne les compétences nécessaires.

Pour quels usages ?Finalement, le smartphone ne révolutionne pas réellement l’usage desterminaux mobiles en entreprise. Le Smartphone reste un outil de pushmail, à 90 % selon Ibelem, de calendrier, et de terminal de consulta-tions de données CRM, ERP, avec parfois des outils de saisie rapide dedonnées. Quid des applications métiers ? Elles sont quasiment absen-tes, malgré l’activisme de quelques éditeurs spécialistes comme Da-nem. Les boutiques de AppStore fournissent des applications utiles auquotidien (voyages, transports…) mais qui apportent peu en produc-tivité d’entreprise.Par contre, la tablette tactile de type iPad est un terminal très inté-ressant pour les applications d’entreprise. Ibedem le constate déjàsur le déploiement de petites flottes. Les outils de virtualisation, deVDI s’interfacent très bien avec ces tablettes. “Beaucoup de chosesse passent autour de l’iPad” s’enthousiame Gilles Samoun.

François Tonic


SL16 D4 15nov

COMMUNICATION mobiles



l cloud l déploiement sauvegarde INFRA

Votre cloud computing est-il légal ?

Le Cloud est à la mode depuis bientôt 2 ans, notamment grâce au Saas (Salesforce, Google apps, etc.). Avec unmonde informatique de plus en plus externalisé et dématérialisé, il ne faut pas se soustraire aux obligations léga-les et réglementaires de l’entreprise.

Le cloud rajoute une nouvelle complexitéque l’on aurait tort de sous-estimer ou

pire, de ne pas considérer. Oui, le cloud com-puting doit être pris en compte dans la ges-tion du risque et dans l’ensemble des obli-gations légales et réglementaires de l’en-treprise, notamment envers les données pri-vées et la durée de conservation des don-nées. Non, le cloud computing ne soustraitpas l’entreprise à ses obligations et respon-sabilités. Elle ne doit pas se défausser surle fournisseur car c’est à elle de s’assurerdes garanties nécessaires envers les don-nées du prestataire cloud…

Le rôle du service juridiquedevient incontournable“Le cloud va forcer (les entreprises) à êtreplus “standard”, à être plus dans la légalité,par exemple, mieux respecter la CNIL” dé-clare Bernard Huc (Enterprise Architecture& Cloud Certified Global Architect chez So-geti). Il est vrai qu’aujourd’hui, le SI n’estpas toujours très rigoureux dans le respectdes procédures CNIL, sur la conservationdes données et leur sécurité, etc. Et finale-ment, nous retrouvons, grosso modo, lesmêmes problèmes dans le cloud mais cedernier nécessite une rigueur d’approchequi oblige à structurer les processus, no-tamment sur la partie donnée.

Le cloud introduit, comme nous l’a préciséB. Huc, une nouvelle dimension. Si jusqu’àprésent, les techniciens contrôlaient l’infor-matique, avec le cloud, il y a une obligationd’évolution. Les gens du métier doivent par-ticiper activement au cloud dès sa concep-tion. Car, quel que soit le cloud, la techni-que perd de son importance pour se tour-ner vers l’utilisateur, le métier. Dans une ap-proche cloud, le service achat aura son motà dire car on achète du cloud comme un“simple” service.

traiter à un cloud situé en Amérique ou enAsie sans qu’on le sache explicitement dansla documentation et le contrat. Les donnéesmétiers ne sont pas soumises aux cadreslégaux (sauf si des données personnellesapparaissent, il faudra alors les gérer).Plusieurs gros fournisseurs de cloud ont

changé leur politique face à ce problème delocalisation. Amazon a longtemps refusé dele dire, désormais c’est clairement indiqué.Microsoft avec Windows Azure aussi. Goo-gle qui visait jusqu’à présent le geek et lepublic pour Google App Engine devra lui aussise poser la question de cette localisationpour accrocher le marché entreprise.D’une manière générale. “Le problème d’au-

Au niveau au-dessus, c’est le rôle centraldu service juridique qui émerge. Que l’onsoit dans un cloud privé interne, du cloudpublic, du Saas, le juridique doit auditer lesrisques légaux et réglementaires. Mais il fautreconnaître que son intervention reste en-core marginale. “Dans le Grand Emprunt,aucune question ne portait sur la lé-galité. Nous sommes en train de ladécouvrir”, complète Bernard Huc.

Cependant, un problème surgit avecla globalisation introduite par le cloudet la nécessité d’être de plus en plusflexible. Les délais des procéduresCNIL. “Ce n’est plus tenable. La CNILne peut plus gérer. Cela va être unproblème” prévient Bernard Huc.Au-jourd’hui, il n’est pas pensable d’at-tendre un ou deux mois pour une au-torisation. Le contexte cloud exigeune réactivité.

Où sont stockées mesdonnées ?“Refusez les prestataires qui ne veu-lent pas dire où sont stockées les don-nées” prévient Bernard Huc.C’est une question quetoute entreprise qui veutfaire du cloud doit po-ser aux prestataires etfournisseurs. Cette lo-calisation est vitale afinde respecter le “privacy”,les transactions transfrontalières, la péren-nité des données, etc. Car si le Datacenterservant de stockage de ces données se si-tue en Europe (ou en France) ou en dehorsde l’Union, la problématique légale changeainsi que les procédures CNIL. Mais d’unemanière générale, il ne faut pas la moindreopacité des fournisseurs cloud envers l’en-treprise surtout qu’un fournisseur peut sous-


““ La vraie question est de savoir quel risque industriel encourtl’entreprise et quelle confiance peut-on avoir à l’égard du réseau ou

du cloud externe ?


cloudINFRA

D’autre part, “quand je quitte un fournis-seur, tout doit disparaître” prévient Yves LeRoux. A cela se rajoute : que faire en cas defaillite du fournisseur ou de saisie des ser-veurs ? Tous ces risques s’évaluent et segèrent. Il faut trouver un juste milieu entreles obligations légales et les risques si onne respecte pas entièrement les lois. “C’estun calcul de risk business et non IT” reca-dre Yves Le Roux. “Si je perds telles don-nées, combien cela va-t-il me coûter. Il fautdoser les risques”, poursuit notre expert.

En Saas, garder les donnéeschez soiUn des problèmes vient aussi de l’externa-lisation parfois trop massive de données ERP,CRM, paie, voire, RH. Ce n’est pas forcémenttrès conforme. Même si aujourd’hui, les prin-cipaux acteurs du marché se veulent plustransparents comme Salesforce.com dontl’attitude fut par le passé critiquée.Aujourd’hui,l’éditeur respecte bien mieux les cadres lé-gaux nationaux. On peut aussi garder en in-terne les données et utiliser en externe Sa-lesforce, la solution proxy de PerspecSys PRSfacilite cette interface. L’éditeur propose aussides services sur mesure pour les entrepri-ses comme sur la suppression totale desdonnées. Mais Jean-Louis Baffier (direc-teur technique, Salesforce) précise d’em-blée : “nos clients sont les uniques proprié-taires de leurs données”. Et selon les projetset les contraintes particulières, Salesforcepeut s’adapter. Et il préconise aussi un dia-logue entre services juridiques. ■

François Tonic

saire. Finalement, depuis desannées, les entreprises, parméconnaissance ou mauvaisemaîtrise du SI, font transiterdes données stratégiques surles réseaux. Les récentsconflits entre des Etats et leconstructeur RIM posent laquestion de la confidentialité.“Les communications sontécoutées”, prévient M. Huc.Aux Etats Unis, le Patriot Actautorise à aller voir dans desdonnées privés et d’entreprisequ’elles soient américaines ou

étrangères, parfois, sans le moindre juge-ment. Les accords SWIFT avaient provoquéen Europe un tollé car ils autorisaient lesEtats-Unis à regarder l’ensemble des don-nées bancaires et transactions, même intraeuropéennes. SWIFT 2 ne l’autoriserait pasmais les Américains peuvent voir les transac-tions Europe – pays tiers…

Un service cloud soumis auxlois canadiennesLa vraie question est de savoir quel risqueindustriel encourt l’entreprise et quelleconfiance on peut avoir à l’égard du réseauou du cloud externe. Comme l’indique Ber-nard Huc, “qu’est-ce que l’on partage ?”.N’oubliez pas que le fournisseur est soumisaux cadres légaux de son pays d’origine.Ainsi si vous avez un service cloud au Ca-nada, il est soumis aux lois canadiennes, etc.

Attention tout de même. “Tout le monde sefocalise sur la loi. Mais on oublie les res-ponsabilités sur les données. Si on confiedes données à des prestataires, il faut quecela se fasse sans vol, sans perte, ni dégra-dation” tonne Yves Le Roux.

dit (du fournisseur) est rédhibi-toire”, précise Bernard Huc.Idéalement, vous devez pouvoirauditer vos prestataires et four-nisseurs ou tout le moins avecdes informations les plus pré-cises possibles. Cela peut êtreun motif pour recaler un four-nisseur cloud ! “Si j’ai un acci-dent chez un fournisseur com-ment faire une enquête ?” sedemande Yves Le Roux (Prin-cipal Consultant - région EMEA- CA Technologies). Idéalement,chaque accident de fonctionne-ment d’un service cloud devrait débouchersur une enquête accident de la part de l’en-treprise.

La gestion des donnéespersonnellesSi jusqu’à présent, le SI prenait des libertésavec la gestion des données personnelleset des données ayant une contrainte destockage dans le temps, le cloud doit inci-ter le DSI à remettre à plat cette gestion.Car le cloud pose des problèmes pour l’in-tégrité des données ayant une durée de viede plusieurs années et sur comment s’as-surer qu’elles n’ont pas été modifiées, al-térées, ou encore comment être certain del’identité des signataires. Cela passe par desprocess de signature électronique. Par exem-ple une facture électronique doit être conser-vée entre 5 et 10 ans… Mais cela poseaussi la question de la pérennité des solu-

tions techniques choisies. Et il faut que leDSI contrôle le nombre de copies des don-nées, le cloud introduit des notions de ré-plication, de load balancing qui multiplientles points de stockages et le nombre d’oc-currences.

Il faut impérativement que l’entreprise fassele tri entre les données sensibles et non sen-sibles. A cela se rajoutent les contraintesréglementaires et légales sur ces données. Apartir de là, il sera possible de choisir le modede stockage, d’archivage et l’externalisationou non de ces données. Un audit sera néces-

SL16 D3 15nov

FAUT-IL UN MONSIEUR “CLOUD” ?

La question se pose légitimement et deviendra

centrale d’ici 12 à 18 mois. Car le DSI voit que

le cloud s’impose comme l’avenir du SI et mo-

difie en profondeur celui-ci et les relations avec

les autres acteurs de l’entreprise, internes et

externes. “Au lieu de M. Cloud, je mettrais plu-tôt M.Architecte d’entreprise” nuance notre ex-

pert Sogeti. Cet architecte se focalisera sur les

contrats, prendra en charge une partie de la

sécurité, de l’approche business et juridique.

“Beaucoup de DSI sont conscients des problé-matiques métiers du cloud. Nous les sentonsbouger”, poursuit M. Huc. Il est donc néces-

saire d’avoir une personne dépassant l’appro-

che technique, IT. Ce sera sans doute un Homme

clé du cloud. ■

RISQUES :Les 3 questions à se poser.Une simple checklist peut aider à y voir clair :1 > si les données ne sont pas chez moi,

l’administrateur du prestataire, ou lemien accède-t-il à mes données ?

2 > Si un service tombe, est-ce que je dis-pose du bon backup lors de la remiseen activité dudit service ?

3 > Le fournisseur sous-traite-t-il ? Si oui,où ? Et combien d’exemplaires de mesdonnées y-a t-il ? Par exemple, Ama-zon réplique entre 3 et 6 fois chaquedonnée. ■


Yves Leroux,(Principal Consultant - région

EMEA - CA Technologies)


l cloud l déploiement sauvegarde INFRA


Le correspondant Informatique et Liberté (CIL) s’estimposé dans nombre d’entreprises. Sa désignation

n’est pas obligatoire même si un projet de loi a été dé-posé au Sénat en ce sens. Les profils sont très variés,le CIL peut être un informaticien, un juriste, un qualiti-cien, un déontologue. Son rôle est de veiller à l’appli-cation de la Loi Informatique et Libertés et de maîtri-ser les risques juridiques de l’entreprise par rapportaux données personnelles et tout ce qui concerne lavie privée dans le SI.

“Le CIL a une grille de lecture du cloud computing quiest la Loi Informatique et Libertés. Il analyse ce dispo-sitif à travers ce prisme. Il doit s’abstraire du discoursmarketing pour s’en tenir à la réalité. Il doit notammentaider à définir la durée de conservation des donnéespersonnelles. Avant, nous avions peu de réplications,avec la virtualisation et le cloud, on ne sait plus forcé-ment où sont nos données, ni le nombre de copies exis-tantes. Quand on purge des informations, il faut se de-mander si toutes les occurrences ont bien été effa-cées”, explique Bruno Rasle (délégué général AFCDP– Association Française des Correspondants à la pro-tection des Données à caractère Personnel).

Le rôle du CIL n’est donc pas neutre. Il devrait être pré-sent très en amont du projet cloud voire de l’ensem-ble des processus et aborder la sécurité des donnéespersonnelles. Sont-elles suffisamment protégées, parquelles techniques et si besoin, ces techniques corres-pondent-elles aux lois et limitations éventuelles du paysoù se trouve la donnée ? Car par exemple, concernantla cryptographie, il peut y avoir une différence sur leniveau de la clé de cryptage (128 ou 256 bits), etc. Lacomplexité du cloud ne facilite pas le travail. BrunoRasle met en exergue un élément clé : “le partenairede l’entreprise dans le cloud ne doit pas rompre lachaîne, il doit pleinement jouer son rôle dans le res-pect du cadre légal”.

Il n’existe pas un cas de figure valable pour toutes lesentreprises. Cependant, des points DE base sont à vé-

rifier. “L’idéal est de faire du ‘Privacy by Design’ c’est-à-dire d’embarquer dès la conception de son cloud laprotection de la vie privé. Cette approche commenceà apparaître en France”, explique Bruno Rasle.

Evaluer le coût du privacy“Avec le cloud nous passons à l’étape au-dessus de lasimple sécurité des données personnelles. Ainsi au-jourd’hui, on note de plus en plus la présence de l’ISO27001 sur les documentations, je parie que très pro-chainement les acteurs principaux de cesecteur se targueront d’avoir désigné eux-mêmes un CIL” recadre Bruno Rasle. Cepen-dant, il est très difficile d’évaluer le coût bud-gétaire d’une bonne gestion juridique, duprivacy sur le cloud. Cela dépend beaucoupdes fournisseurs mais aussi de la vigilancede l’entreprise.

“Il y a tout de même une question impor-tante, c’est celle de l’applicabilité des lois”,rappelle notre expert. Depuis des années, ily a échanges entre la CNIL et Google concer-nant l’installation de cookies sur le poste de

l’utilisateur. Pour la CNIL, si le poste de travail est enFrance, la loi Informatique et Libertés s’applique. L’édi-teur américain est d’un avis différent…

Si votre entreprise dispose d’un CIL, celui-ci deman-dera à être très tôt inclus dans le projet cloud et pro-cédera régulièrement à un audit. Car le cloud changebeaucoup et régulièrement. Par exemple, si un jour,l’entreprise envisage de prendre un prestataire cloudqui héberge les données en dehors de l’Union euro-péenne, l’entreprise doit demander une autorisationpréalable de flux transfrontalier à la CNIL. “Dans cecas, l’entreprise doit attendre la décision de la CNILmême si cela prend quelques mois. Tout ceci est trèsencadré et la personne concernée par ce stockage doitêtre clairement informée que ses données serontstockées à l’étranger”, conclut Bruno Rasle. ■ FT

“

Bruno Rasle,délégué général

AFCDP

Correspondant Informatique et Liberté :pourquoi faire ?Le CIL, un homme clé dans les processus du cloud

le partenaire de l’entreprise dans le cloud ne doit pas rompre la chaîne, il doit pleinement jouer son rôle dans le respect du cadre légal “



métier mé t i e r JURIDIQUE

Cnil, le Dsi en point de mire ?

164 Contrôles en 2007, 218 en 2008, 270 en 2009 et plus de 300 contrôles annoncés pour 2010. Depuis Août 2004et les nouveaux pouvoirs conférés par la Loi, la Commission Nationale de l’Informatique et des Libertés (CNIL) mul-tiplie les contrôles et les procédures de sanctions.

Les entreprises du secteur privé sont lespremières visées, avec 85 % des contrô-

les effectués en 2009. La Cnil dispose dés-ormais d’une palette impressionnante desanctions possibles.

Une palette de sanctionsLa première sanction est l’avertissement avecou sans publicité. La sanction peut paraîtrethéorique ou sans ampleur. C’est une erreur,car la Cnil n’hésite pas à ac-compagner l’avertissementnon seulement d’une publi-cation sur son site et sur lesite legifrance.gouv.fr, leportail service public de ladiffusion du droit,mais aussielle agit par voies de com-muniqués de presse, d’in-terviews de son Présidentse répandant sur le cassanctionné et l’entrepriseconcernée. La presse et lessites d’information, les fo-rums publics, Twitter, re-prennent généralement en-suite largement les actionsde la Cnil. Le buzz qui endécoule est souvent dévas-tateur en terme de chiffred’affaires pour les entreprises concernées,surtout lorsqu’elles évoluent en BtoC. Le pré-sident de la Cnil l’a reconnu : “cet avertisse-ment rendu public est pour nous la manièreplus forte de poser le problème” . Ensuite, laCnil peut prononcer des sanctions pécuniai-res pouvant aller jusqu’à 5% du chiffre d’af-faires de l’entreprise avec un maximum de300 000 euros. Enfin, en cas d’urgence “lors-que la mise en œuvre d’un traitement ou l’ex-ploitation des données traitées entraîne uneviolation des droits et libertés”, elle peut dé-cider l’interruption du traitement en causepour une durée maximale de trois mois. C’estla mesure qu’elle a prise le 22 Avril dernieren suspendant un système de vidéosurveil-lance mis en place au sein d’une entreprise

tème d’information. L’article 34 de la Loi de1978 prévoit que le responsable du traite-ment est tenu de prendre “toutes précau-tions utiles” pour préserver la sécurité desdonnées et, notamment, empêcher qu'ellessoient déformées, endommagées, ou quedes tiers non autorisés y aient accès. L’ar-ticle L 226-17 du code pénal dispose que :“le fait de procéder ou de faire procéder àun traitement de données à caractère per-sonnel sans mettre en œuvre les mesuresprescrites (…) est puni de cinq ans d'em-prisonnement et de 300 000 Eurosd'amende.”

La protection du DsiOn le voit donc bien, ces différentes sanc-tions ne devraient pas atteindre le DSI à ti-tre personnel car elles concernent l’entre-prise seule. Mais la qualité professionnelledu DSI pourrait être mise en cause par l’en-treprise en sa qualité d’employeur. En effet,les contrôles exercés par la CNIL et les dis-cussions devant elle, sont souvent éminem-ment techniques. Le DSI doit donc souvents’expliquer. Le DSI aurait le plus grand in-térêt à ce que l’une des trois mesures sui-vantes soient prises par l’entreprise : soitexclure explicitement du champ de son in-tervention toute mise en conformité à la Loiinformatique et libertés dans son contrat detravail ou tout document équivalent, soit ex-clure cette mise en conformité implicitementpar la désignation d’un tiers par l’entreprisecomme correspondant dit informatique etlibertés, le CIL, institution créée en 2004 etqui tend à intégrer au sein de l’entrepriseun “Monsieur loyal” sur les questions Cnil :si ce n’est le Dsi, ce n’est donc pas de saresponsabilité. Soit, troisième solution, don-ner au Dsi l’autorité, la compétence par laformation, et les ressources pour faire faceà ces obligations qui ne sont pas nouvellesmais qui rapprochent considérablement del’entreprise depuis 2004. Car oui, en se rap-prochant de l’entreprise, la Cnil entre aucontact du Dsi. ■

pour lutter contre les “actes de dégradationet de vols commis sur ce site”. Le dispositifavait été installé par la société sans qu’aientété accomplies les formalités préalables au-près de la CNIL .

Y compris pénales !Mais la palette des sanctions ne s’arrête paslà car la Loi n’a pas abrogé les sanctionspénales qui peuvent être appliquées par les

tribunaux de l’ordrejudiciaire. Il y adonc un cumulpossible de sanc-tions et il n’est plusrare qu’une entre-prise sanctionnéepar la Cnil se voitensuite poursuivieau pénal. Les arti-cles 226-16 à226-24 du codepénal prévoientjusqu’à 5 ansd’emprisonnementet 300 000 eurosd’amende et même1,2 million d’eurosd’amende pour lespersonnes mora-

les. Le propre de l’action pénale est juste-ment de casser la “coquille” société pour at-teindre les personnes physiques. Le plussouvent, les actions concerneront le repré-sentant légal, soit le Gérant ou Président,sauf si celui-ci a délégué ses pouvoirs à undirecteur, comme le DSI. Ces sanctions pé-nales sont, notamment, le fait de “y com-pris par négligence, de procéder ou de faireprocéder à des traitements de données àcaractère personnel” sans déclaration ouautorisation préalable de la Cnil ou “le faitde collecter des données à caractère per-sonnel par un moyen frauduleux, déloyal ouillicite”, soit le plus souvent sans l’accordpréalable de la personne concernée. Il existeune obligation spécifique de sécurité du sys-

Par Olivier Itéanu, avocat à la Cour d‘Appel de Paris


SL016_METIER-CNIL-D1 15/11/10 21:17 Page 50



Documents

sl_16