Vous êtes sur la page 1sur 38

ECLIPSE : bien plus quune claircie pour le dveloppement PAGE 6

O en est UML ?
PAGE 12

Paas : Une plateforme votre service ! PAGE 22

Bimestriel - janvier/fvrier 2009

ISO 27001 normalise la scurit de linformation PAGE 32

n77

ZOOM OUTSOURCING

Lavis des Directions Informatiques

Ministre des Finances Direction Gnrale des Impts Nadine Chauvire Sous-Directrice des SI de la DGI Les solutions dApplication Intelligence CAST nous aident obtenir une meilleure visibilit de notre parc applicatif au travers de tableaux de bord composs dindicateurs techniques objectifs afin de faciliter le dialogue avec les quipes et avec nos matrises douvrage.

Groupe SFR Cegetel Eric Eteve Directeur Informatique Centre Ingnierie Mobilit La solution CAST de gestion de la soustraitance est un lment cl dans le systme de pilotage mis en place par SFR-Cegetel sur ses TMA. Nous avons constat une attention plus particulire apporte par les SSII la qualit des livrables et la fiabilit des chiffrages depuis quils savent que nous pouvons facilement les auditer.

Framatome - Groupe AREVA Michel Fondeviole DSI de Framatome-ANP CAST fournit des critres objectifs dapprciation dans le dialogue parfois difficile avec le sous-traitant ainsi que des indicateurs ncessaires au suivi de lvolution des applications et constitue au sein de Framatome un outil de progrs partag.

En savoir plus Demandez le Livre Blanc rdig par le Gartner Group et CAST sur ce thme : Information Series on Application Management : www.castsoftware.com/outsourcing Dcouvrez lexprience de plusieurs socits utilisatrices de solutions dApplication Intelligence : www.castsoftware.com/customers

www.castsoftware.com

La matrise des applications et des prestataires dans une opration doutsourcing


De la valeur ajoute de lApplication Intelligence pour piloter efficacement un parc applicatif sous-trait
es entreprises, devenues plus mres vis--vis de loutsourcing, sont dsormais capables doprer des externalisations plus stratgiques. On la rcemment observ dans lautomobile avec Renault ou dans la grande distribution avec Carrefour. Dans lexternalisation des applications mtier, cest surtout la volont daccrotre lefficacit oprationnelle de linformatique qui est motrice : pouvoir fournir plus rapidement un service valeur ajoute aux utilisateurs et aux clients dans un contexte en perptuelle volution. Comme dans nimporte quelle opration doutsourcing, le contrat liant le fournisseur est capital, en particulier les SLAs. Nanmoins, les applications mtier tant par nature soumises de frquents changements en cours de contrat, les seuls SLAs se rvlent vite insuffisants pour garantir la qualit de service et viter les drives de cots. Cest l que le bt blesse : lexternalisation des applications mtier occasionne un risque de perte rapide de savoir-faire technologique et par consquent critique. Vigilance et suivi sont de mise pour garder le contrle de la qualit de service et viter les dpendances par nature dangereuses. Lexternalisation russie dapplications mtier est donc le fruit dune vision anticipatrice partage avec le prestataire. Sont ainsi apparues des solutions dites dApplication Intelligence, bases sur

une technologie avance danalyse de code source. En fournissant des indicateurs techniques aux donneurs dordre, ces solutions permettent de piloter un parc applicatif sous-trait en temps rel, tant en terme de qualit, que de maintenabilit et de cot. Rsultat : le donneur dordre conserve la matrise intellectuelle de ses applications mtier et le contrle de la relation avec son sous-traitant. La valeur ajoute de ce type de solutions dApplication Intelligence est visible chaque tape dune opration doutsourcing, comme dcrit ci-aprs.

Obtenir une image linstant t des applications pour permettre un suivi dans le temps Transfert vers le prestataire Rduire la phase dacquisition de la connaissance pour entreprendre plus vite des tches productives Diminuer le cot li la production dune documentation exploitable et maintenable par le prestataire Contrle de la qualit et des cots en cours de projet Suivre lvolution de la maintenabilit et de la qualit pour viter toute drive Etre capable de valider la quantit et la qualit du travail factur Etre en mesure de challenger le sous-traitant lors des ngociations davenants Industrialiser les recettes techniques Renouvellement de contrat, transfert ou r-internalisation Dterminer et qualifier les carts entre la prestation prvue et les livrables recetts Disposer des informations techniques caractristiques du portefeuille applicatif en fin de prestation Le leader mondial de ce type de solutions est dailleurs un diteur franais, CAST. Reconnu par les analystes informatiques comme prcurseur du march, CAST compte plus 500 comptes utilisateurs de sa plate-forme dApplication Intelligence dans le monde.

trat con de Fin

Appe ls d 'off res

connaissance s sfert de Tran

Cycle de vie d'une opration d'Outsourcing


Co ntr le des cots
i de Suiv

technique Recette

jet pro

Audit de lexistant et prparation des appels doffres Dterminer les caractristiques techniques du portefeuille applicatif existant avant de le sous-traiter Disposer dinformations de rfrence pour valuer les propositions des soustraitants

Publi-Reportage

dito
2009 : Saas PaaSsera bien ! IT-expert vous souhaite ses meilleurs vux de russite pour cette anne 2009 ! Dsormais, tout est en place pour le dcollage du Saas (voir IT-expert de septembre/octobre 2008). videmment, chacun aromatise le concept sa sauce, quitte le dnaturer. Ainsi, Microsoft ou IBM avancent dans certaines de leurs offres que des Cloud privs pourront exister. Ils cornent ainsi fortement laspect multi-tenant originel du concept : une seule plate-forme proposant une seule et unique version de la solution tous et tout moment. Pourtant, il reste possible de maintenir le lien avec les versions logicielles traditionnelles sans pour autant multiplier des plates-formes dites Saas ! Dailleurs, lditeur CA annonce clairement la couleur en lanant des offres Saas multi-tenant permettant une interaction riche avec ses logiciels traditionnels (dits aussi on premise ou demeure). Par ailleurs, le Paas, cette plateforme favorisant dveloppement et intgration (voir dossier dans ce numro), est annonc chez Microsoft et chez IBM.
Editeur Press & Communication France Une filiale du groupe CAST 3, rue Marcel Allgot 92190 Meudon - FRANCE Tl. : 01 46 90 21 21 Fax. : 01 46 90 21 20 http://www.it-expertise.com Email : redaction@it-expertise.com Rdacteur en chef Jos Diz Email : j.diz@it-expertise.com Directeur de publication Aurlie Magniez Email : a.magniez@it-expertise.com Abonnements/Publicit Email : abonnement@it-expertise.com Conception Graphique N. Herlem Email : nico_freelance@yahoo.fr

De la difficult changer dhabits IT-expert a expos maintes fois les avantages du Saas pour les utilisateurs et les entreprises. Cependant, les avantages sont nombreux galement pour les diteurs : revenus rcurrents, possibilits de maintenir des services relle valeur ajoute pour leurs quipes comme pour leurs partenaires, plus aucun problme entre versions logicielles chez le mme client, finies les interminables migrations complexes et parfois prilleuses Un jeune guitariste talentueux dfraie la chronique depuis quelques semaines. En effet, il se produit directement sur Internet et vendrait ses compositions musicales sur Internet plusieurs centaines dexemplaires par semaine. Malgr le piratage et les comportements dcris des internautes! Et certains semblent tonns lorsquil affirme refuser les propositions financires de grandes maisons de disques, en expliquant quil pense que ce modle est le futur de la musique. Quelle lucidit ! Quelle leon ce gamin de moins de vingt ans donne tous ces intermdiaires qui voient leur avenir seffondrer ! Repenser les modles avant de disparatre 2009, un an neuf ?

Parution IT-expert - (ISSN 1961-9855) est un journal dit 6 fois par an, par P&C France, sarl de presse au capital de 60 976,61 e. Avertissement Tous droits rservs. Toute reproduction intgrale ou partielle des pages publies dans la prsente publication sans lautorisation crite de lditeur est interdite, sauf dans les cas prvus par les articles 40 et 41 de la loi du 11 mars 1957. 1996 P&C France. Toutes les marques cites sont des marques dposes. Les vues et opinions prsentes dans cette publication sont exprimes par les auteurs titre personnel et sont sous leur entire et unique responsabilit. Toute opinion, conseil, autre renseignement ou contenu exprims nengagent pas la responsabilit de Press & Communication. Abonnements 01 46 90 21 21 Vous pouvez vous abonner sur http://www.it-expertise.com/ Abonnements/Default.aspx ou nous crire : abonnement@it-expertise.com

Jos Diz Rdacteur en Chef

IT-expert n77 - janvier/fvrier 2009

IT-expert n77 - janvier/fvrier 2009

Sommaire
6 Dossier
ECLIPSE : bien plus quune claircie pour le dveloppement
De la naissance de cet environnement de dveloppement Java ses dernires volutions, dcouvrez comment et pourquoi Eclipse sest impose face ses concurrents. Bien entendu, les auteurs dtaillent les technologies - schmas lappui, ainsi que les volutions en cours. Indispensable.

12

Technique
O en est UML ?
UML (Unified Modeling Language) a 10 ans. Une excellente occasion pour Pascal Roques, consultant chez A2 et auteur, dexpliquer cette approche dans les projets informatiques. Il aborde les deux approches de la modlisation avec UML : le ModelDriven Engineering et la Modlisation Agile (AM).

18

Actualits Internationales

Les informations marquantes dditeurs, de marchs, dorganisme de standardisation, de dbats en cours et de tendances.

22

Quoi de neuf docteur ?

Paas : Une plateforme votre service !


Saas, Paas, etc. Ces mots souvent mal utiliss incarnent une relle rvolution de linformatique contemporaine. Jean-Louis Baffier (South EMEA Sales Engineering Director chez Salesforce.com) et Laurent Guiraud (directeur technique chez Google France) vous apportent leur exprience quotidienne sur le PaaS, aprs des annes passes dans linformatique traditionnelle.

29

Fentre sur cour

Jean-Philippe RIGAUD, directeur technique chez Toluna


Nous exploitons et dveloppons aujourdhui notre plateforme SaaS de plus dune centaine de serveurs, de fait nous tions peut tre plus facilement lcoute de solution on demand []. Ce qui a fait la diffrence pour nous, cest la souplesse et la facilit de dploiement que nous offrait salesforce par rapport une solution traditionnelle. Avec la possibilit dintgrer facilement des flux dinformation vers et depuis Salesforce les dernires barrires se sont rompues.

31

Livres
MDM - Enjeux et mthodes de la gestion des donnes par Franck Rgnier-Pecastaing, Michel Gabassi et Jaques Finet et XML par la pratique - Bases indispensables, concepts et cas pratiques (2me dition) par Sbastien Lecomte, Thierry Boulanger.

32

Rubrique brac

ISO 27001 normalise la scurit de linformation


Si les normes peuvent apparatre austres, elles rsultent pourtant du travail de spcialistes bnficiant dannes dexprience pratique. Une garantie qui devrait suffit attirer lattention de tout informaticien, surtout lorsquil sagit de scurit. Une plonge salutaire dans les arcanes de lISO 27001 !

IT-expert n77 - janvier/fvrier 2009

ECLIPSE : bien plus quune claircie pour le dveloppement


Sous le mot cl Eclipse se cachent de nombreux aspects. lorigine, Eclipse est surtout connu pour tre un environnement de dveloppement Java (IDE Java pour integrated development environment). Cependant, Eclipse a beaucoup volu, et mme si les ides originelles motivant sa cration ont pu tre mises en uvre. Au dpart, lobjectif dEclipse consistait crer une plateforme extensible, une sorte de coquille vide que lon peut remplir facilement. Et lenvironnement de dveloppement Java a eu valeur de preuve de faisabilit et dexemple dapplication. Trs rapidement, de nombreux dveloppeurs ont adopt Eclipse, en laissant de ct leur ancien IDE Java. En particulier, JBuilder longtemps leader sest vu rattrap puis doubl par Eclipse. Pour lanecdote, Borland, diteur de JBuilder, a migr son IDE sous la plateforme Eclipse et participe dsormais activement au dveloppement de la plateforme. Aujourdhui, Eclipse est la fois une plateforme daccueil de plug-ins et une fondation grant plusieurs projets OpenSource. Ainsi, Eclipse couvre plusieurs domaines dapplication et sadresse plusieurs types dutilisateurs. Par exemple, un certain paramtrage dEclipse (cest--dire ladjonction de certains plug-ins) va permettre un dveloppeur de coder une application Web. Un autre paramtrage permettra un architecte de modliser une application. Un autre paramtrage encore permettra un chef de projet de grer son avancement ou enfin, autorisera un manager suivre les statistiques concernant lavancement de ses projets. Paralllement, Eclipse est une fondation qui gre la plateforme et les plug-ins majeurs. Elle a leffet dun catalyseur pour une communaut grandissante de participants: on parle dcosystme. En effet, on saperoit quen plus de bnficier des avances techniques extrieures, Eclipse sautoalimente : les uns offrent des possibilits dont les autres bnficient et rciproquement. Cest dailleurs souvent le but des participants : offrir un peu et recevoir beaucoup. La fondation a un but de gestionnaire et de coordinateur des intervenants et des projets quelle hberge.

IT-expert n77 - janvier/fvrier 2009

Dossier & Interviews

Quand est apparu Eclipse et pourquoi ?


Lorganisation Eclipse est ne en 2001 avec IBM au centre de linitiative. Les prmisses dEclipse apparaissent dj en 1998 quand IBM, qui lon reproche de publier des outils sans unit, dcide de crer une plateforme sur laquelle baser tous ses applicatifs et permettant de minimiser la duplication des lments dinfrastructure. Ainsi, IBM voulait avoir la souplesse de dvelopper des outils diffrents tout en facilitant lintgration des uns avec les autres.

Concernant le nom mme dEclipse, les avis divergents. Certains, potiques, avancent quEclipse est n pour clipser Sun. Dautres, plus pragmatiques, affirment quil sagissait surtout dclipser Visual Studio.

Du projet IBM lOpen source


Cest en tout cas en 2001 quIBM dcide de publier la plateforme en OpenSource pour attirer dautres entreprises pour participer son dveloppement. Afin de faire taire les mauvaises langues martelant quIBM souhaite rester le seul matre bord, lorganisation devient une fondation but non lucratif en 2004. Lintrt de ce passage est douvrir la plateforme un plus large panel dacteurs et ainsi de dynamiser son volution. En effet, partir de ce jour, des types varis dacteurs peuvent participer et apporter leur pierre ldifice en termes dinnovation, interoprabilit et rutilisabilit. Avec cette transition est apparu un nouveau type de licence : Eclipse Public License. Les termes de lEPL sont trs proches de ceux de la CPL. Tous les projets de la fondation sont distribus sous cette licence. Cela implique entre autres que lon peut commercialiser des produits bass sur ces projets et que, si on modifie le code de lun des projets, on doit redistribuer cette modification. Cela permet dassurer lactivit et le dynamisme de la communaut grce aux contributions extrieures tout en offrant une souplesse commerciale. lpoque, la fondation comptait 7 membres stratgiques et grait 19 projets. Depuis, la fondation a grandi et comprend aujourdhui 23 membres stratgiques (et plus de 200 membres actifs) et 60 projets OpenSource. Leffet catalyseur de lcosystme a fait ses preuves et la communaut continue de grandir.

Un outil unique pour tous


On la dit, on connat surtout Eclipse en tant quIDE Java, cela prend tout son sens quand on se rappelle la devise lpoque : come for the Java IDE, stay for the platform (Venez [ Eclipse] pour lenvironnement de dveloppement Java, restez pour la plateforme). En effet, il ne faut pas perdre de vue quEclipse est un agrgateur de fonctions; son credo pourrait tre tre adapt tous et sadapter chacun. Lobjectif consiste avoir une application aux trs nombreuses fonctions, tout en permettant chaque corps de mtiers de se focaliser sur la rsolution de sa propre problmatique. Le schma suivant montre comment larrive dEclipse sest matrialise chez IBM : partir dune base commune, on adresse plusieurs finalits totalement disjointes. Cet exemple est parfaitement reprsentatif du large domaine dapplication permis par Eclipse.

Qui y participe et pourquoi ?


Au sein dEclipse, il y a plusieurs types de partenaires : Stratgique : organisation qui investit des dveloppeurs et autres ressources dans lcosystme Eclipse pour dvelopper la plateforme, Entreprise : organisation qui se base sur Eclipse pour des dveloppements internes et participe lcosystme Eclipse en amliorant la performance de ses processus internes, Solution : organisation qui sintresse la plateforme Eclipse dans le but de dvelopper des solutions bases sur la plateforme, Associ : organisation qui ne prend pas part aux dcisions mais qui est mise dans la boucle, Contributeur : personne indpendante qui participe aux dveloppements dEclipse.

Portabilit et ouverture maximales


Le but de la plateforme tait aussi dtre le plus portable possible. Ainsi, Eclipse fonctionne sous tous les systmes dexploitation majeurs (Windows, Linux, Solaris) tout en sadaptant leurs Look and Feel respectifs (cest--dire, au contraire de Swing, lapparence des applications dveloppes sous Eclipse se fond parfaitement dans lenvironnement cible). Un atout majeur pour la prise en main des applications par les utilisateurs et favorisant leur adoption, tout en rduisant les besoins en formation.

IT-expert n77 - janvier/fvrier 2009

Pour information, plus on a dinfluence sur lcosystme ou la plateforme Eclipse, plus on doit participer financirement la fondation. Par exemple, un membre stratgique pourra payer jusqu 500 000 dollars (en fonction de son chiffre daffaires) ou fournir des dveloppeurs plein temps.

riche que celle quon aurait eue sous Eclipse. Innoopract vend non seulement des formations RAP mais, comme Genuitec, vend sa solution de distribution la demande , nomme Yoxos. La socit Actuate, compagnie de conseil et dveloppement en RIA (Rich Internet Application), est co-leader du projet BIRT (Business Intelligence Reporting Tool), outil permettant la gnration de rapport et dtats dcisionnels. Grce aux avances sur ce projet et sa notorit grandissante, Actuate russit vendre une solution de reporting, nomme simplement Actuate BIRT. Enfin, il convient galement de citer IBM, qui intervient dans de trs nombreux projets de la fondation, en particulier tourns autour de la modlisation et de la mthodologie (dont RUP). La socit vend des prestations de conseil en dveloppement bases sur la plateforme et propose aussi damliorer lorganisation des entreprises grce un outillage bas sur Eclipse. Il faut aussi noter le cas de la Nasa qui, limage dIBM ses dbuts, a dvelopp un mini-co systme bas sur Eclipse. La plateforme Eclipse a t retenue pour concentrer les outils de la Nasa ainsi, les diffrentes quipes lagrmentent de nouvelles fonctions. Pour certaines parties gnriques, les dveloppeurs bnficient du travail de leurs collgues et apportent aussi leur pierre ldifice. Ainsi, les images venant de Mars ont-elles t interprtes sous Eclipse !

De nombreux partenaires actifs, jusqu la Nasa


La grande ide consiste faire dvelopper une solution par une large communaut en motivant les intervenants par un domaine technologique innovant et en sappuyant sur une problmatique fonctionnelle non encore rsolue. In fine, lorganisation peut ainsi vendre des solutions plus riches, bases sur le framework Open Source, ou encore proposer des formations et du conseil. La majorit des acteurs suivent ce principe, en voici quelques exemples parmi les membres stratgiques de la fondation. La socit Genuitec, diteur de produits bass sur Eclipse, propose MyEclipse, une solution dIDE de dveloppement J2EE ainsi que Pulse, une application permettant de fabriquer une plateforme sur mesure. Les prix de ces 2 solutions ne sont pas excessifs, mais la reconnaissance induite par ces produits permet Genuitec de vendre des formations et du conseil. Innoopract, SSII allemande, est coleader du projet RAP (Rich Ajax Plateform) qui permet de transformer une application client lourd en application client lger avec une interface aussi

IT-expert n77 - janvier/fvrier 2009

Dossier & Interviews

Une technologie sous-jacente avant tout


partir de la version 3.0, Eclipse se prsente rellement comme une plateforme client riche proposant des fonctions standardises sur un socle commun : le Workbench. Un workbench est la plateforme daccueil de services applicatifs proposant par exemple un service ddition, lditeur, permettant la modification de donnes au sens large du terme (donnes, diagrammes, textes, etc.). Un service dassistants, les wizards, permet de guider les utilisateurs lors de la saisie ou du paramtrage via un systme multipages embarquant un mcanisme dinformation en cas derreurs de saisies, davertissements ou dincohrence. Des vues permettent de prsenter, saisir, organiser linformation sous diffrentes formes. Pour terminer avec les exemples significatifs, un systme de mise jour volu propose un rafrachissement des plug-ins grant galement leurs dpendances les uns par rapport aux autres. Lensemble de ces services apporte Eclipse une forte capacit dadaptation une multitude de cas. On retrouve la plateforme Eclipse RCP (Rich Client Platform) la base de nombre dapplications consquentes. On a dj nomm IBM (IBM Lotus, IBM Lotus Expeditor, Symphony) et la Nasa, on trouve galement PlanningForce pour la gestion de projet, ForeFlight de SilverCurve aidant les pilotes davion prvoir les perturbations atmosphriques avant un vol, ou encore LabImage 1D de Kapelan Bio-Imaging qui permet lanalyse de gels lectrophorse. En somme, RCP est loin de ntre que la justification de la cration dune plateforme pour un IDE de dveloppement. Son utilisation dpasse le cadre du dveloppement dapplication mme si la majorit des utilisateurs font encore partis du domaine de lingnierie logicielle.

Cest l quEclipse prend toute la puissance : la dclaration. Le projet Equinox dEclipse implmente le framework OSGI (Open Services Gateway Initiative) fournissant ainsi un cadre de rfrence au couplage lche des plug-ins. En effet sur une simple dclaration, le plug-in dclarant peut exploiter lensemble des paramtres et des ressources fournis par le contributeur, sans connatre jusqu lexistence mme de ce dernier. Un point dextension se matrialise sous la forme dun fichier exsd (Extension XML Schema Definition) dcrivant la grammaire utiliser pour dclarer la contribution. Les types utiliss peuvent tre des types simples, comme des types complexes, des ressources fichier, images ou des classes. Les classes doivent cependant implmenter une interface ou une classe abstraite fournie par le dclarant pour tre manipule par ce dernier.

Extension Contributeur

Dclarant Point d'extension

La magie dun anonymat devenu possible Un plug-in dclarant fournit des fonctions sous la forme dun point dextension. Ce point dextension permet la dfinition des conditions de dclaration dune extension par le plug-in Contributeur. Ds lors, lorsque le plug-in dclarant est sollicit, il demande au registre des extensions quelles sont les dclarations faites sur la base du point dextension. Chaque attribut prsent dans le point dextension peut alors tre exploit. Dans le monde Java, on ne peut pas instancier directement une classe que lon ne connat pas. Or dans notre cas, le dclarant ne connat pas le contributeur. Cest ce moment que les mcanismes dEquinox prennent le relais. Linstanciation de la classe se fait sur la base de son nom qualifi (appel aussi forme canonique) dclar par le contributeur. Par consquent, sans mme connatre lobjet ainsi cr, le dclarant peut lexploiter.

Dveloppement de plug-in et services applicatifs


La plateforme de base dclipse est elle-mme une adjonction de plug-ins. Chacun fournissant une fonction spcifique. La fourniture de ces fonctions se fait par lintermdiaire des points dextensions. Un point dextension consiste en un contrat de service pass entre un dclarant et un contributeur. Le plug-in dclarant propose un service, le plug-in contributeur exploite ce service en dclarant une extension auprs du point dextension.

IT-expert n77 - janvier/fvrier 2009

tendre, ou permettre dtendre


Ce mcanisme de point dextension/extension est disponible pour le dveloppement des applications RCP ou des plug-ins de dveloppements spcifiques. Il est possible de dfinir ses propres points dextension pour permettre dautres dveloppeurs de complter les fonctionnalits du plug-in. Par exemple, on prendra lditeur de code Java. Dans lditeur, dans la marge, quelques informations sont mises disposition des dveloppeurs : warning, erreurs, mais aussi des fonctions comme des propositions de correction du code en fonction des erreurs ou warnings dtects. Le plug-in JDT (Java Developpement Tool) propose denrichir ces informations. Ainsi, le plug-in AJDT (programmation par aspect) ajoute des informations sur les pointcuts sur lesquels laspect est tiss dans cette mme marge. On regrettera toutefois lopacit de certaines fonctions de JDT vis--vis des dveloppeurs de plug-ins. Seuls les projets dits amis (grs par la fondation Eclipse) comme AJDT sont en mesure dtendre par lintermdiaire du code ces fonctions pour des raisons de visibilit des packages. Cette opacit est vraie pour les releases entre les versions 3.0 et 3.3, la version 3.4 (Ganymede) proposant plus de points dextensions. Un exemple typique, la coloration syntaxique. Jusqu la version 3.3, il tait ncessaire de tlcharger les sources, de les modifier pour intgrer des contraintes propres, comme la prsentation de code source gnr par des outils MDA. Aujourdhui lvolution de la coloration syntaxique est plus aise. De ce fait, la plateforme client lourd est solide, et un ensemble de plug-ins tout aussi robuste puisque dvelopps en concertation repose sur celle-ci. De nombreux partenaires contribuent ensuite lvolution de la plateforme sur des domaines varis. Ainsi, il est possible de trouver sur une mme plateforme un IDE Java, un IDE C++, un outil de dfinition de rapport (BIRT, Jasper), un outil de dveloppement de flux ETL (Talend), un ensemble doutils permettant la modlisation, la conceptualisation de mcaniques complexes (EMF, GEF, GMF), des Outils MDA (JET, Acceleo).

intelligible. GEF (Graphical Editing Framework) achve le processus de construction pour produire, par lintermdiaire dun paramtrage les outils ncessaires la manipulation des objets dans un modle. Ces outils sont un diteur, une palette dobjets et une mthode de reprsentation. Ainsi, lutilisation de ces trois plug-ins permet de faire dune reprsentation intellectuelle, un outil de reprsentation oprationnel et partageable par la simple adjonction du plug-in produit dans lenvironnement Eclipse. Tout cela en moins dune heure pour un modle simple et une bonne connaissance de ces plug-ins. Et peu dIDE sont capables doffrir ce type de prestations.

Client lourd, composant serveur, client lger ?


La plateforme Eclipse se prsente sous deux formes. Lune sous la forme dun client lourd, lautre porte sous la forme dun composant serveur accessible depuis un client lger : Eclipse RAP (Rich Ajax Platform). Eclipse utilise massivement les frameworks SWT (Standard Widget Toolkit), et jFace. Il existe une implmentation de ces classes trs oriente client lourd, celle servant la plateforme RCP de lIDE Java. La fondation Eclipse a dvelopp un ensemble dimplmentations spcifiques pour les clients lgers portant le workbench client lourd vers un workbench orient web. Ce simple portage est aujourdhui fiable sur des pans complets de la plateforme, cependant un effort important reste produire pour que ce portage soit aussi simple dans les faits que sur le papier pour lensemble des plug-ins de la plateforme. Ainsi, des applications dveloppes sous la forme de plug-ins destins des clients lourds, peuvent tre portes sur la plateforme RAP avec peu ou quasiment pas dadaptation. Les mcanismes dEquinox sont eux aussi ports sur RAP, permettant le dveloppement et le dploiement de portions dapplication, des modules prsentant des couplages lches facilitant de ce fait leur dploiement et leur maintenance. Une volution majeure dans les architectures n-tiers connues aujourdhui.

Des concurrents de taille


Les concurrents dEclipse aujourdhui sont multiples en fonction des domaines sur lesquels Eclipse est utilis. Sur le march des IDE de dveloppement Java les principaux concurrents sont NetBeans (Sun), Visual J++ (Microsoft) ou JDevelopper (Oracle). Les communauts autour du dveloppement dapplications dans dautres langages ne sont aujourdhui pas encore trs dveloppes avec Eclipse. Microsoft conserve en effet une part importante du dveloppement en C/C++, toutefois loffre dEclipse grappille chaque anne des parts de ce march. Comme nous lavons expliqu prcdemment, la plateforme Eclipse peut galement accueillir des applications dune autre nature que les applications de dveloppement. Sur ce terrain, NetBeans propose une offre similaire. On noubliera pas non

Petit zoom sur les projets modeling dEclipse


EMF (Eclipse Modeling Framwork) est un plug-in permettant de dcrire un mtamodle de donnes destin tre manipul pour la description de modles. Pour rappel, un mtamodle dcrit lensemble des objets utiliss dans la reprsentation intellectuelle dun problme complexe. Par exemple, le mtamodle dUML fait apparatre une notion de classe, dhritage, dtat, etc. Chaque classe reprsente dans un diagramme de classes UML correspond une instance de lobjet classe du mta modle. Cette mtamodlisation se traduit par un fichier XML formalis en EMF. Une fois les diffrents objets, leurs relations, leurs cardinalits, proprits... dfinis, le plug-in GMF prend le relais. GMF (Graphical Modeling Framework) dfinit les modalits de transformation du modle EMF en une reprsentation graphique

10

IT-expert n77 - janvier/fvrier 2009

Dossier & Interviews

plus la plateforme Flex (Adobe) trs rpandue sur le terrain des applications multimdias en client lourd mais galement en client lger. La concurrence sur les RIA (Rich Internet Application) est quant elle bien plus prsente. Les frameworks divers comme Rubis on Rails, GWT (Google Web Toolkit) ou jBoss Seam sont des prtendants trs srieux face Flex et RAP. lexception du portage en client lger, la seule plateforme capable de couvrir le mme spectre est NetBeans. La plus grosse faiblesse dEclipse, qui est galement sa plus grande force, repose sur le dveloppement des plug-ins. Jadis, ces dveloppements pouvaient paraitre chaotiques dans la mesure o les plug-ins ntaient gnralement pas livrs en mme temps que la plateforme. Toutefois depuis la version 3.2, la fondation sinvestie dans une politique de releasing commune autour des diffrents plug-ins. Ainsi, dans la mesure du possible, les versions de la plateforme Eclipse et une grande partie des plugins Eclipse proposent une nouvelle version de manire simultane et concerte. Il est donc possible dexploiter les fonctions des projets comme EMF, GMF et consorts ds la release de la nouvelle plateforme sans subir le dlai, gnralement constats, dadaptation des produits annexes, pour des raisons dopacit ou de programmation concurrente, trs connues dans le monde du logiciel sur tagre. Dautres plug-ins dvelopps par des diteurs ou des communauts indpendantes de la fondation entrent galement dans cette dmarche comme le plug-in SVN de Polarion : Subversive.

Les preuves de lefficacit du modle OSGI ayant t faites dans le monde du client riche, puis dans le monde du client lger (RAP), les diteurs et communauts des serveurs dapplications entrent dans cette mme approche, comme Glassfish (i.e. Sun AS). Les plateformes RCP et RAP sont de parfaits supports pour le dveloppement dapplications composites ou dapplications portail. Lapplication typique savrant le poste de travail unifi: utiliser une interface commune, normalise, laissant peu de place limprovisation, mais proposant toutes les fonctionnalits ncessaires laccs aux applications. Un tiers prsentation flexible mais guid. Avec le dveloppement de lapplication RAP on pourrait aller jusqu imaginer dobtenir un jour une plateforme unique proposant lensemble des services ncessaires nimporte quel poste de travail de lentreprise, de lassistante au dveloppeur. Noublions pas que lIDE Eclipse reste une application RCP. quand donc les IDE de dveloppement, les applications de supervision ou les applications mtiers, intgralement en client lger sous la forme dun poste de travail unifi, voir universel?n

Quel devenir pour Eclipse ?


La communaut Eclipse se dveloppe de plus en plus, et des partenariats ou des utilisateurs ne cessent de lenrichir. Par exemple, Obo, une entreprise nantaise, fournit une solution de dveloppement MDA bas sur Eclipse. Cet outil utilise EMF, GEF et GMF, trois projets Eclipse auxquels Obo participe activement. Cette entreprise utilise, propose et hberge des plug-ins de la fondation. Cet accent mis sur la modlisation et la mtamodlisation montre une volont dindustrialisation forte des solutions autour de lIDE et de la normalisation des dveloppements. Le projet Modeling dEclipse renforce sa position autour des solutions sur base RCP, en proposant des moyens simples et efficaces de crer des outils de modlisation ou de gestion. Lensemble, ou presque, des outils de cartographies physiques (SIG) ou logiques (Organisation) peut tre trait par lintermdiaire de ce type dapproche. Ces mmes outils permettent de crer des plug-ins spcifiques de modlisation et/ou de reprsentation de systmes cibles.

Mathieu Lombard, Business Consultant, Practice ACS

Guilhem Delebecque, Architecte - Urbaniste

Acteur majeur du conseil et des services informatiques en Europe, Sopra Group propose lensemble des prestations ncessaires aux entreprises pour faire voluer leurs organisations et leurs systmes dinformation. Sopra Group compte aujourdhui plus de 12 000 collaborateurs. Son positionnement est global, depuis la rflexion stratgique en amont des projets dans une approche de direction gnrale, jusqu la conduite de grands projets dintgration de systmes et loutsourcing applicatif. Le Groupe poursuit, par ailleurs, le dploiement mondial de son activit dintgration dapplications et de gestion des processus mtiers travers sa filiale Axway, avec une gamme complte de solutions et de services.

IT-expert n77 - janvier/fvrier 2009

11

O en est

UML ?
Aprs plus de 10 ans dexistence, o en est UML? Dun ct, les tenants des mthodes agiles en vogue actuellement, telles que XP (eXtreme Programming) et Scrum, ne parlent quasiment pas de modlisation, ou semblent mme sen mfier. De lautre, certaines entreprises ont engag dnormes investissements sur une approche dirige par les modles (Model-Driven Engineering) et prtendent gnrer presque 100% de leur code applicatif automatiquement. Quen est-il vraiment? Ces deux approches dutilisation dUML sont-elles vraiment inconciliables ?

12

IT-expert n77 - janvier/fvrier 2009

Technique

quoi bon modliser ?


Le recours la modlisation est depuis longtemps une bonne pratique du dveloppement logiciel. Un modle constitue en effet une reprsentation abstraite dun systme destin en faciliter ltude et le documenter. Cest un outil majeur de communication entre les diffrents intervenants au sein dun projet. Le fait de tracer ou de lire des diagrammes implique de travailler plus visuellement et dexploiter le pouvoir que possde notre cerveau de saisir rapidement des symboles et des relations exprimes (majoritairement sous la forme de cases et de lignes) dans un espace bidimensionnel. Chaque membre de lquipe, des utilisateurs jusquaux dveloppeurs, utilise et enrichit le modle diffremment. En outre, les systmes devenant de plus en plus complexes, leur comprhension et leur matrise globale dpassent les capacits dun seul individu. La construction dun modle apporte donc une rponse efficace. Le modle sert des objectifs diffrents suivant lactivit de dveloppement, et sera construit progressivement avec des points de vue de plus en plus dtaills. En spcification des exigences, il convient de considrer le systme comme un tout (une bote noire) afin dtudier sa place dans le systme mtier plus global quest lentreprise. On dveloppe pour cela un modle de niveau contexte, afin de tracer prcisment les frontires fonctionnelles du futur systme. Lors de la phase danalyse, le modle commence reprsenter le systme vu de lintrieur, mais sans rfrence une solution technologique. Il se compose dobjets reprsentant une abstraction des concepts manipuls par les utilisateurs. Le modle comprend par ailleurs deux points de vue, la structure statique et le comportement dynamique, qui aident complter la comprhension du systme dvelopper. En phase de conception , le modle dcrit la solution informatique qui sera utilise, en intgrant les choix des langages, des outils, et des plates-formes de dveloppement. Un modle suffisamment dtaill peut ici servir gnrer automatiquement du code dans un langage de programmation objet, avec un outil appropri. Pour le dploiement enfin, le modle permet de reprsenter les matriels et les logiciels interconnecter. Analogie Pour illustrer au mieux ce quest un modle, Grady Booch (un des pres dUML) a tabli un parallle entre le dveloppement logiciel et la construction BTP. Cette analogie est judicieuse, car les plans tracs pour construire un immeuble refltent parfaitement bien lide danticipation, de conception et de documentation du modle. Chaque plan dveloppe un point de vue diffrent suivant les corps de mtier. Par exemple, le plan des circuits deau et le plan des passages lectriques concernent le mme immeuble mais sont ncessairement spars. Enfin, chaque plan se situe un niveau dabstraction diffrent suivant lusage que lon dsire en faire. Ainsi, le plan de masse permet danticiper les consquences de limplantation de limmeuble sur son environnement, alors que les plans de construction par tage vont permettre aux diffrents corps de mtier de travailler avec prcision. Notons cependant que lanticipation ne permet pas de prendre en compte les besoins changeants des utilisateurs. Or, dans la majorit des projets informatiques, ces besoins voluent au fil du temps. Il est important de ladmettre et de grer le changement. Le processus de modlisation du logiciel doit donc tre adaptatif et non pas seulement prdictif, contrairement ce qui se fait dans le BTP !

UML : lobjet de tous les projets


Le modle en tant quabstraction dun systme saccorde parfaitement avec les concepts orients objet. Un objet peut en effet reprsenter labstraction dune entit mtier utilise en analyse, puis dun composant de solution logicielle en conception. La correspondance est encore plus flagrante lorsque les langages de dveloppement sont eux-mmes orients objet. Do le succs de la modlisation objet ces dernires annes pour les projets de plus en plus nombreux utilisant C++, Java, C#, Python, etc. Aujourdhui, le standard industriel de modlisation objet est UML (Unified Modeling Language). Il est sous lentire responsabilit de lOMG (Object Management Group), un groupement

IT-expert n77 - janvier/fvrier 2009

13

dindustriels dont lobjectif est de standardiser autour des technologies objet, afin de garantir linteroprabilit des dveloppements. LOMG comprend actuellement plus de 800 membres, dont les principaux acteurs de lindustrie informatique, mais aussi les plus grandes entreprises utilisatrices dans tous les secteurs dactivit (www.omg.org).
UML 2.2

03/2005
Industrialisation
03/2003 : rvision 1.5 UML 1.5

11/1997 : adoption par l'OMG 09/1997 : rvision 1.1 UML 1.1

Sept diagrammes comportementaux : - Diagramme de cas dutilisation (montre les interactions fonctionnelles entre les acteurs et le systme ltude) - Diagramme dactivit (montre lenchainement des actions et dcisions au sein dune activit) - Diagramme dtats (montre les diffrents tats et transitions possibles des objets dune classe) - Diagramme de squence (montre la squence verticale des messages passs entre objets au sein dune interaction) - Diagramme de communication (montre la communication entre objets dans le plan au sein dune interaction) - Diagramme de vue densemble des interactions (fusionne les diagrammes dactivit et de squence) - Diagramme de temps (fusionne les diagrammes dtats et de squence)
Diagram

01/1997 : soumission l'OMG 06/1996 10/1995

UML 1.0 UML 0.9 Unified Method 0.8 Partenaires UML

Standardisation
Structure Diagram Behavior Diagram State Machine Diagram

Unification
10/1994 Booch'93 + OMT-2

Class Diagram

Component Diagram

Object Diagram Package Diagram

Activity Diagram

Use Case Diagram Interaction Diagram

Composite Structure Diagram


I. Jacobson OOSE

Deployment Diagram

G. Booch Booch-91

J. Rumbaugh OMT-1

Fragmentation

Sequence Diagram

Interaction Overview Diagram Communication Diagram Timing Diagram

Historique dUML
Source : site OMG

UML se dfinit comme un langage de modlisation graphique et textuelle destin comprendre et dcrire des besoins, spcifier et documenter des systmes, esquisser des architectures logicielles, concevoir des solutions et communiquer des points de vue. UML unifie la fois les notations et les concepts orients objet. Il ne sagit pas dune simple notation graphique, car les concepts transmis par un diagramme ont une smantique prcise et sont porteurs de sens au mme titre que les mots dun langage. UML 2 (officiellement adopt depuis mars 2005 par lOMG) sarticule autour de 13 diagrammes diffrents, rpartis en deux grands groupes : Six diagrammes structurels : - Diagramme de classes (montre les briques de base statiques : classes, associations, interfaces, attributs, oprations, gnralisations, etc.) - Diagramme dobjets (montre les instances et leurs liens statiques) - Diagramme de packages (montre lorganisation logique du modle) - Diagramme de structure composite (montre lorganisation interne dun lment statique complexe) - Diagramme de composants (montre des structures complexes, avec leurs interfaces fournies et requises) - Diagramme de dploiement (montre le dploiement physique des artefacts sur les ressources matrielles)

Les 13 diagrammes UML2

Modlisation agile : retour du feutre et du paperboard


Scott Ambler, grand promoteur de la modlisation agile (AM), a dtaill ses ides dans un livre paru chez Wiley en 2002 : Agile Modeling: Effective Practices for Extreme Programming and the Unified Process. Il a repris les valeurs et principes de XP (eXtreme Programming) en les adaptant la modlisation. En rsum, les cls dune modlisation russie consistent : promouvoir une communication efficace entre tous les participants du projet; se forcer dvelopper la solution la plus simple possible qui satisfasse tous les besoins; obtenir des retours rapides et frquents; avoir le courage de prendre des dcisions et sy tenir; avoir lhumilit de reconnatre quon ne sait pas tout et que les autres ont une valeur apporter ses propres efforts. Les tenants de la modlisation agile, comme Craig Larman, recommandent de recourir la modlisation avec les outils les plus simples possible. Ce sont les champions du feutre et du tableau blanc !

14

IT-expert n77 - janvier/fvrier 2009

Technique

Cas dutilisation Modle du domaine

(diag. de classes)

Une modlisation collaborative Avec des outils simples


Exemple de modlisation agile : site web de librairie en ligne

Et des modles publics Mais pas pour faire de la documentation


La modlisation agile : outil de communication

Les principales bonnes pratiques de modlisation agile sont les suivantes : Crez plusieurs modles en parallle, utilisez le diagramme le plus adapt la situation, tournez-vous vers un autre diagramme ds que vous tes bloqus pour continuer avancer une allure stable. Modlisez en petits incrments et avec les autres, au lieu dessayer de crer le modle magique qui englobe tout depuis votre tour divoire Prouvez vos modles avec du code pour montrer que vos ides marchent vraiment en pratique et pas seulement en thorie. Utilisez des notations simples afin que le contenu de vos modles soit facile valider, avec les outils les plus simples. Focalisez-vous uniquement sur les aspects que vous devez modliser et nessayez pas de crer tout prix un modle trs dtaill. Modlisez plusieurs, montrez vos modles publiquement sur les murs ou un site web, appliquez le principe XP de proprit collective. Ne vous embarrassez pas de modles temporaires, et ne mettez jour vos modles que quand a fait mal Pour les tenants de lAM, la valeur ajoute principale de la modlisation (comme pour la planification, dailleurs) rside dans lactivit de modlisation elle-mme, et non pas dans le modle obtenu. Craig Larman va jusqu dire : Tout modle est faux ! Et cest OK ! .

Model-Driven Engineering (MDE)


Depuis dix ans, la complexit des systmes informatiques sest fortement dveloppe, avec - par exemple - l'apparition de la problmatique des lignes de produits logiciels, visant minimiser simultanment les cots de dveloppement et le temps de mise sur le march de nouveaux logiciels d'une mme famille. Comme dans les autres sciences, les ingnieurs essaient de plus en plus de sappuyer sur la modlisation pour matriser cette complexit, tant pour produire le logiciel (conception) que pour le valider (test). Ce que propose l'approche dirige par les modles (MDE en anglais pour Model Driven Engineering) consiste mcaniser le processus que les ingnieurs expriments suivent la main. L'intrt pour cette approche a t fortement amplifi lorsque lOMG a rendu publique son initiative MDA (Model Driven Architecture), qui peut tre considre comme une restriction de MDE la gestion de l'aspect particulier de dpendance d'un logiciel une plateforme d'excution. Lambition du MDA est damliorer la qualit et le cot de la production dapplications. Lobjectif consiste modliser fonctionnellement une application (PIM) afin de gnrer les modles et codes techniques (PSM).

IT-expert n77 - janvier/fvrier 2009

15

MIA-Studio Objecteering MDA Modeler Acceleo BLU AGE

PIMs

AndroMDA Omondo EclipseUML D.OM etc.

PSMs
EJB CORBA Web Services

Code
Faire des modles indpendants des plateformes (PIM) S  pcifier des rgles de passage (mapping) vers les modles

dpendants des plateformes (PSM)


Automatiser au mieux la production de code:PIM->PSM->Code

Source : site BLU AGE

Quelques outils MDE (liste non exhaustive)

Lapproche MDA de lOMG (grandes lignes)

Le processus de conception peut alors tre vu comme un ensemble de transformations de modles, chaque transformation prenant des modles en entre et produisant des modles en sortie, jusqu' obtention d'artfacts excutables. Ainsi, quand on doit driver un nouveau produit, qu'il soit simple volution d'un produit existant ou nouvelle variante, on peut se contenter de rejouer automatiquement la plus grande partie du processus de conception, en changeant simplement quelques dtails ici et l.

Comment choisir entre UML pour MDE et UML agile ?


Un dveloppement pilot par les modles gagne aussi tre conduit dans une dmarche agile, itrative et incrmentale, telle que Scrum. Ainsi, le projet gagnera en transparence et du logiciel oprationnel sera rgulirement disponible. Par ailleurs, un projet agile sera compltement centr sur le dveloppement du code et des tests. Certes, cela ne signifie pas que l'quipe ne modlise pas, car il est trs efficace de communiquer l'aide de modles utilisant une notation unifie comme UML. Nanmoins, des marqueurs, des tableaux blancs et des appareils photo peuvent probablement suffire. Tout dpend du contexte du projet, de sa complexit, mais aussi de lquipe et de la disponibilit doutils et de comptences de modlisation. Chaque approche peut fournir ses success stories, mais il est probable que lutilisation dUML se fasse de plus en plus dans le cadre dun processus de modlisation agile plutt que dans celui dune approche MDE, beaucoup plus difficile mettre en uvre et donc risque dans la pratique. n

Gnration simple de code Java partir dUML

Pascal Roques, Consultant senior, A2 - Artal Innovations

Il convient pour cela disposer doutils particulirement puissants, permettant de dfinir des transformations de modles, des gnrations de documents et des templates UML (squelettes de code et patterns) adapts au contexte de chaque projet. Et ce point incarne prcisment la principale difficult dans lapplication pratique du MDE : comment travailler en itratif et en incrmental, plusieurs sur le mme modle de rfrence ? Les outils actuels ne rpondent pas forcment avec efficacit la ncessit de fusion/diffrence de modles, etc.

Pascal Roques est consultant senior chez A2, avec plus de vingt ans dexprience dans la modlisation des systmes complexes (SADT, OMT, UML, SysML). Il est lauteur des livres UML 2 en action (2007), UML 2 par la pratique (2008), Cahier du programmeur UML 2 (2008) et Mmento UML (2005) chez Eyrolles. Pascal Roques a obtenu la certification OMG-Certified UML Advanced Professional propose par lOMG. Il est galement ScrumMaster certifi.

16

IT-expert n77 - janvier/fvrier 2009

Votre gestion de linformation,

Parlons-en !

25 & 26 MARS 2009


CNIT - PARIS - LA DFENSE

EXPOSITION & CONFRENCES

Demandez votre badge sur www.documation.fr Code invitation : ITEP

> Archivage > Business Process Management > Dmatrialisation - Facturation lectronique > Editique - Output management > Etudes et Conseil > Fournisseur de contenu, infomdiaires > Gestion de catalogues > Gestion de contenu > Gestion de contenu multilingue, traduction > Gestion de documents > Gestion des actifs numriques > Indexation - Recherche et catgorisation > Intelligence conomique > Intranet > Knowledge Management > Lecture automatique de documents > Moteur de recherche > Open Source > Portail dinformations > Publications multicanaux > Scurit, signature lectronique > Sret de linformation > Travail Collaboratif > Veille > Video Content Management > Web 2.0

internationales
Bientt un quatrime oprateur mobile 3G franais ?
Le 12 janvier, Franois Fillon, Premier ministre, accompagn dric Besson, alors encore secrtaire dtat au dveloppement de lconomie numrique, ont prsent les modalits de dploiement des rseaux 3G et fibre optique, sans pour autant fixer dchances prvues par le plan France numrique 2012. Dcision importante : il y aura bien attribution dune 4me licence doprateur mobile 3G, dont les frquences seront attribues avant lt 2009. Lappel candidature concerne trois lots de frquences 5 MHz dont un rserv un nouvel entrant fin damliorer les offres des oprateurs, annonce Franois Fillon, et dassurer une meilleure couverture du territoire. Une nouvelle qui ravit Iliade-Free, candidat dclar une licence mobile. Nanmoins, loprateur refuse de surpayer ce type de licence ou souhaite au moins un talement de paiement. La dernire licence avait t value 619 millions deuros, mais avec des frquences de 15 MHz et non de 5 MHz Mme si Free emporte lattribution, loffre ne devrait pas tre disponible avant 2010, voire plus (rseau et antennes dployer). Les ministres ont galement annonc une consultation publique par lArcep fin fvrier sur les modalits dun appel candidatures conjoint dans les bandes 790 862 MHz et 2,6 GHz pour le trs haut dbit mobile et la tlvision mobile personnelle (TMP) pour attribution fin 2009. Enfin, les dcrets dapplications de la LME (Loi de modernisation de lconomie) pour favoriser le dploiement de la fibre optique devraient tre publis sous peu, y compris les conditions dans lesquelles les btiments construits et rnovs devront tre fibrs, a expliqu le Premier ministre. Et la caisse des dpts et consignations (CDC) crera un outil de financement spcifique vis--vis des collectivits territoriales qui sengagent dans des investissements importants en matire de ralisation de rseaux en fibre optique. n

Actualits

La 4me licence mobile ravive les passions


Comme expliqu prcdemment, le gouvernement franais a tranch en faveur dune quatrime licence doprateur mobile. Certes, Iliad-Free sest flicit de cette bonne nouvelle, et lassociation de consommateurs UFC Que Choisir a confirm que cette annonce constituait une bonne surprise (sous rserve dexaminer les modalits pour les enchres). Mais certains affichent de fortes rserves. Tout dabord, les syndicats du secteur tlcom, via les fdrations CFE-CGC et Unsa qui dnoncent une dcision qui ne pourra qualourdir lampleur des restructurations venir, et qui exonre le nouvel entrant de tout respect du service universel et des contraintes damnagement du territoire. Selon eux, Free pourrait se concentrer sur les zones urbaines plus rentables et laisser les obligations de couverture aux autres oprateurs. Autre raction: Martin Bouygues, patron de BouyguesTel, affirmait aux Echos que dployer un rseau 3G pour 1 milliard deuros, comme laffirme Free, me parat impossible, sauf faire le coucou sur le rseau des oprateurs en place Mettre en place, en ville, de nouvelles antennes pour un nouveau rseau est infaisable compte tenu des pressions environnementales. (Et) si le gouvernement autorise un nouvel entrant venir faire de lultra- low cost dans le mobile, il prend une lourde responsabilit. A terme, une guerre des prix peut provoquer de 10000 30000 pertes demplois chez les oprateurs. Ce sont des choix lourds de consquences, surtout sil sagit de favoriser quelquun qui ninvestit pas! A bon entendeur Et Bollor ne serait-il pas de cette course ? n

18

IT-expert n77 - janvier/fvrier 2009

Actualits internationales

Nathalie Kosciusko-Morizet succde Eric Besson


Suite au petit remaniement ministriel, Nathalie Kosciusko-Morizet remplace ric Besson au secrtariat dtat charg de la Prospective, de lvaluation des politiques publiques et du Dveloppement de lconomie numrique. Quant ric Besson, il est nomm ministre de lImmigration, de lidentit nationale et du dveloppement solidaire, succdant Brice Hortefeux, dsormais en charge du ministre du Travail. Petite valse en trois temps. Nathalie Kosciusko-Morizet a du pain sur la planche : le plan France Numrique 2012 (fibre optique, quatrime licence mobile 3G, tlvision mobile personnelle). Ne en 1973, Nathalie Kosciusko-Morizet amorce sa carrire comme agent la direction de la prvision au ministre de lconomie, des Finances et de lIndustrie de 1997 1999, puis comme responsable de la cellule environnement la direction des relations conomiques extrieures (Dree) jusquen 2001. Elle devient ensuite charge de mission auprs du directeur de la stratgie dAlstom. En mai 2002, elle entre au cabinet de Jean-Pierre Raffarin comme conseiller technique pour lcologie et le dveloppement durable. Conseillre rgionale (UMP) pour la rgion le-de-France depuis mars 2004, elle est nomme secrtaire dtat de lcologie auprs de Jean-Louis Borloo en juin 2007. En mars 2008, elle remporte en outre llection municipale de la ville de Longjumeau dans lEssonne. n

Des revendeurs physiques pour lemblme du virtuel


Pas facile pour Google de faire rimer succs grand public avec solution dentreprise. Pour dynamiser les ventes de Google Apps Premier Edition auprs des entreprises, le leader du Web lance donc un programme de distribution afin de simplifier linscription des socits ces services : formation commerciale et technique, supports marketing clients, API dintgration REST (Representational State Transfer) pour synchroniser les rpertoires, la migration, la cration de rapport et le SSO (Single Sign-On). Et bien entendu, un portail pour les documentations avec des groupes de discussion en ligne et des outils daide linstallation et lintgration des solutions Google Apps. Outre le support, les revendeurs peuvent proposer des services en lien avec Gmail, Google Documents et Google Calendar. n

Les majors franaises suppriment la ligne Maginot DRM


Le 6 janvier 2009, Apple, leader mondial de vente de musique en ligne avec son service iTunes, annonce quelle va supprimer en mars les verrous numriques (protection DRM) des fichiers musicaux proposs, suite des accords avec les maisons de disques. Alors, ils pourront tre lus sur dautres quipements MP3 que les seuls iPod dApple. Des majors avaient dj tir une premire salve, comme EMI qui renonait aux DRM sur iTunes ds avril 2007, ou Warner qui annonait le 7 janvier 2009 leur suppression pour test pour un an sur Fnacmusic et Virginmega, ou encore les labels indpendants franais qui y avaient dj renonc. Et les majors Universal France et Sony Music France ont annonc le 15 janvier quelles y renonaient pour leur musique vendue en ligne afin de stimuler le march. Cette ligne Maginot a vite montr ses limites face au piratage P2P, et convaincu ces leaders des vertus de lexplication et de la responsabilisation. Ils attendent aussi un soutien via le projet de loi Cration et internet dj adopt par le Snat, et la ministre de la Culture et le prsident de la Rpublique les ont conforts en ce sens. En 2008, le march de la musique en France a chut de 15%, soit 600 millions deuros. Et les ventes numriques ne totalisaient alors que 70 millions deuros. n

SAP paie Sun pour que ses clients dansent encore en Java 1.4.2
multiplier les versions de plates-formes, on accentue les risques pour les clients ayant dvelopp des programmes sur ces frameworks, et cr une dpendance. Exercice complexe de contorsionniste. Ainsi, pour permettre aux clients de sa plate-forme NetWeaver de continuer utiliser la version 1.4.2 de Java SE sous Windows et Linux (Intel 32, 64 bits, et Itanium pour les deux), SAP vient de signer un accord pluriannuel avec Sun Microsystems. Ce dernier assurera la mise jour et lenvoi de correctifs sur sa suite applicative Java SE for Business Premium Plus. Et les clients de SAP peuvent continuer utiliser les applications SAP NetWeaver 2004 et SAP NetWeaver 7.0 sur les deux systmes dexploitation sans obligation de signer un contrat de licence distinct avec Sun Microsystems. De la problmatique des patchworks Le support a t ngoci pour une priode de quinze ans, alors que Sun avait annonc au printemps 2008 que le support serait dornavant payant raison de 10 12,5 dollars par employ et par mois. n

IT-expert n77 - janvier/fvrier 2009

19

Microsoft-Yahoo! : Never-ending story


Rebondissements rpts propos du rachat en coursavort-relanc-abandonn-rediscut-PDG dmissionn de Yahoo! par Microsoft. Une acquisition de la division de recherche en ligne de Yahoo! serait de nouveau dactualit. Le dirigeant de Microsoft Steve Ballmer a dclar au Financial Times que le moment tait venu de mettre la main sur cette division. Une dclaration qui diverge fortement de positions pourtant rcentes affiches par le mme Steve Ballmer. En effet, fin 2008, le dirigeant de la firme de Redmond profitait du Committee for Economic Development pour prciser quil excluait dfinitivement le rachat de Yahoo! ou dune de ses divisions. Seuls les imbciles ne changent pas davis. Suite la dmission de Jerry Yang du poste de CEO de Yahoo!, plusieurs noms circulent, comme ceux de Carol Barz, ex-CEO de lditeur Autodesk, ou Susan de Decker, actuelle prsidente de Yahoo!. Evidemment, Microsoft ne fait aucun commentaire sur ces affaires. n

41 correctifs pour assainir plusieurs produits Oracle


Mi-janvier, Oracle a dvoil un lot de corrections avec mise jour vivement recommande pour pallier des vulnrabilits critiques. Pas moins de 41 correctifs appliquer sur de multiples produits Oracle. Podium des vainqueurs : 11 correctifs pour la base de donnes, 9 pour la solution de sauvegarde, 6 pour les produits PeopleSoft/JD Edwards, 5 pour les solutions BEA/WebLogic, 4 pour le serveur dapplications, 4 pour la suite e-business et 1 pour les outils collaboratifs et pour Oracle Enterprise Manager. Si la plupart de ces failles sont difficilement exploitables distance, il en va autrement de celles repres sur Oracle Secure Backup et BEA WebLogic qui prsente des risques dattaques distance et sans authentification pralable. Attention, le serveur dapplications Oracle serait lui aussi dans ce cas. Il est donc vivement conseill de mettre jour ses produits en passant par le site Web de lditeur. Pour les prochains correctifs, rendez-vous le 14 avril. n

Quand Sun irradie le Cloud


Apparemment, Sun Microsystems ne connait pas la crise, ou sait en profiter. Le constructeur/diteur poursuit ses acquisitions en soffrant Q-Layer, un spcialiste belge du Cloud Computing. croire que les socits technologiques europennes passent en masse sous pavillon amricain : Instranet chez salesforce.com, Ilog chez IBM, et maintenant le Belge QLayer ! Les solutions Q-Layer sont regroupes en deux familles de produits. Delegation Manager est une solution de Cloud Computing prte lemploi, qui permet aux responsables de datacenters de migrer en douceur leur infrastructure vers un Cloud. Il sexcute sur NephOS, la plate-forme de modlisation et dabstraction de datacenter. En outre, NephOS fournit un langage de scripting cross-platform afin dtendre le Cloud grce des workflows personnaliss. Conue pour sadapter aux infrastructures existantes physiques comme virtuelles, NephOS sait utiliser les technologies dhyperviseur de VMware, Xen, Sun, Microsoft, entre autres. n

IBM boucle le rachat dIlog


Et voil ! IBM conclut le rachat du spcialiste franais du BPM (Business Process Management ou Gestion des processus mtier) pour la coquette somme de 340 millions de dollars (environ 215 millions deuros). Un crneau porteur et surtout gnrateur de services forte valeur ajoute, donc trs rmunrateurs. Une aubaine pour ses partenaires, mais aussi pour sa filiale IGS, leader mondial du service. En effet, non seulement le BPM gnre lui seul des services, mais il entrane gnralement une rorganisation et une mise niveau globale du systme dinformation. Et lorsquon dispose dun large portefeuille de solutions intgres Les autorits europennes et amricaines avaient donn leur aval pour lacquisition de la totalit des actions dIlog et de ses 850 employs. Ces derniers rejoindront les quipes dIBM WebSphere. Pour son 1er trimestre fiscal 2009 achev au 30 octobre 2008, Ilog enregistrait un chiffre daffaires en croissance de 16 % pour 34,3 millions deuros, avec un bnfice de 0,19 euro par action (contre une perte de 0,09 euro sur la mme priode de lexercice prcdent. n

Quand CA entre dans le Saas


Lors de son vnement annuel CA World 08 Las Vegas fin 2008, lditeur a annonc la cration de sa division On Demand, charge de porter ses solutions existantes en mode Cloud, et de dvelopper de nouveaux services. Et CA annonce proposer un rel Cloud, avec une instance unique et multitenant ! Trois offres sont dores et dj disponibles. Clarity PPM On Demand propose un service de Project and Portfolio Management partir de 18 dollars par mois et par utilisateur. CA GRC Manager On Demand (Governance, Risk and Compliance) est propos environ 500 dollars par utilisateur et par mois (peu dutilisateurs, mais besoin important), tandis que CA Instant Recovery On Demand (continuit de service et de reprise aprs incident) sera revendu par les partenaires habilits aux PME/ PMI (de 100 1000 employs) un prix mensuel partir denviron 400 dollars par serveur, et pour un an dengagement (prix entendu par indiscrtion, mais vrifier). n

20

IT-expert n77 - janvier/fvrier 2009

Actualits internationales

Apple peut-elle faire le Job sans Steve ?


Afin de me retirer du devant de la scne et me concentrer sur ma sant, et permettre tous chez Apple de se concentrer sur la fabrication de produits extraordinaires, jai dcid de prendre un cong maladie jusqu la fin juin expliquait Steve Jobs dans un e-mail adress aux salaris dApple mi-janvier. Dans une lettre ouverte, il dclarait en effet avoir commenc un traitement pour soigner un dsquilibre hormonal, responsable de sa perte de poids. Il nen fallait pas plus nombre danalystes et dobservateurs pour annoncer un cataclysme invitable pour Apple. Et bien entendu, le titre dcrochait en bourse avec une perte de prs de 10 %, et des rumeurs de poursuites lgales contre Jobs et Apple commenaient courir. Sympathique entre en matire pour Timm Cook qui assure lintrim ! Pourtant, ce manager a dj jou ce rle en 2004, sans pour autant faire couler la socit. De plus, non seulement Apple affiche dexcellents rsultats, mais elle est aussi en bonne position sur ses marchs. Enfin, Apple a su se passer de Jobs pendant des annes avant de le rappeler Nul nest indispensable dans ce monde cruel. n

Windows 7 fait tout exploser


Victime de son succs ! La version bta du futur systme dexploitation de Microsoft est vraiment trop sollicite. En effet, lditeur de Windows a d suspendre pendant plusieurs heures les tlchargements de son futur OS. Cette paralysie traduit la forte attente, mais aussi la bonne surprise pour Microsoft qui avait sous-estim le succs mondial pour cette prversion de Windows 7. Nous rajoutons des serveurs aussi vite que nous le pouvons avait dclar un porte-parole de Microsoft lors du forum international Consumer Electronics Show (CES) qui se tenait au mme moment Las Vegas.

Il faut croire que les frustrations lies Vista (malgr lautosatisfaction trop manifestement et unanimement affiche par les quipes de Microsoft) ont gnr une forte attente pour un systme dexploitation plus souple et moins gourmand en ressources. Il convient de prciser aussi que lditeur avait limit 2,5 millions le nombre de cls dactivation de Windows 7 bta ! n

IT-expert n77 - janvier/fvrier 2009

21

PaaS : Une plateforme votre service !


PaaS-Platform as a Service... Que cache vraiment ce nouvel acronyme barbare dans un univers qui en compte dj par centaines ? Lide de base consiste proposer une plateforme informatique dexcution, sous la forme de services oprationnels, prts lemploi, sans installation et sans maintenance. Aprs le SaaS, il sagit clairement du second pilier du Cloud Computing.

Les dveloppements (en .Net ou J2EE par exemple) tant souvent perus comme gratuits, parce que lon se focalise sur le prix des licences en oubliant les cots cachs de linfrastructure, fort peu dentreprises sont explicitement la recherche de nouvelles solutions. Pourtant, le succs du PaaS est indniable, grce aux multiples bnfices quil procure : rduction et matrise des cots, facilit et rapidit de dveloppement et de mise en uvre, dport des problmatiques dexploitation, recentrage sur le mtier, souplesse et facilit dintgration Autant datouts qui plaident en faveur de cette approche.

Alors, quen est-il vraiment ? Quels sont les concepts et composants essentiels ? Quels sont les bnfices attendus, mais aussi les risques ? Quelles leons peuton dj tirer ?

22

IT-expert n77 - janvier/fvrier 2009

Quoi de neuf Docteur ?

Plus simple quil ny parait


Le schma ci-dessous, apparemment ardu, expose les deux composants essentiels dune architecture Paas. Les choses sont nanmoins plus simples quil ny parait et se rsument en deux points majeurs :  Une composante infrastructure regroupant lensemble des composants matriels ncessaires lexcution des services de la plateforme;  une composante services pour le dveloppement ou le portage dapplications sur la plateforme.

SAS 70 (Statement on Auditing Standards no.70) est une norme dorigine Amricaine reconnue au niveau international, notamment comme lment de conformit SarbanesOxley.

Services
Applications / Services Workflow / BPM Python Java APIs Audit Authentification Runtime (env. d'excution) Stockage PHP

Un rseau robuste et prenne Composant essentiel de toute offre SaaS, le rseau est lessence mme du modle SaaS /PaaS, lment cl assurant accessibilit et performance. Une question revient souvent : Je suis Paris et les serveurs sur un autre continent, cela aura-t-il un impact sur les performances?. La rponse est non ! Et cela grce lun des secrets les mieux gards que sont les accords de peering ou raccordement des rseaux avec les oprateurs tlcom. Ce maillage est extrmement important pour garantir les performances dune plateforme PaaS. Dans lapproche PaaS, lessentiel ne consiste pas connatre les dtails techniques qui peuvent tre amens voluer, mais plutt se poser les questions de la prennit, du respect des normes et du maillage rseau du fournisseur.

Infrastructure
Matriel (serveurs, CPUs ) Green IT Energie Compliance Audit SAS 70 Scurit SLA Peering Rseau

Un environnement dtermin par les services


La couche logicielle est constitue dun environnement dexcution des applications et de fourniture dAPIs et dans certains cas de composants r-utilisables. En effet, dans une approche de type PaaS ce niveau apporte la tuyauterie ou services ncessaires au dveloppement et lexcution des applications du niveau suprieur. En mode PaaS, le systme dexploitation est transparent pour le dveloppeur, qui ne voit quune srie de services ou APIs lui permettant dexploiter la plate-forme. Plus les services sont nombreux plus le dveloppeur sera en mesure de dvelopper ou porter des applications riches rapidement. Ce critre est trs important dans la mesure o il sera extrmement structurant quant au choix de la plate-forme PaaS utiliser et aussi dans la cible vise par cette plate-forme. Virtualisation ou mutualisation ? Le runtime est le moteur dexcution de la plate-forme, transparente tant pour les dveloppeurs que pour les utilisateurs. Ce composant est nanmoins crucial car il permet une premire classification des approches PaaS. Dans le cas dune approche de type virtualisation, le runtime est une simple machine virtuelle sur laquelle viendront se greffer lensemble des composants (OS, Services, etc.). Dans cette approche, le client dispose dune entire libert sur les choix, mais doit prvoir les ressources en amont afin den ajouter ou den enlever en cas de besoin. Cette approche apporte donc une grande flexibilit en termes de services, mais de plus grandes contraintes de monte en charge et de prvision des besoins.

Comptences (ingnieurs, techniciens)

Une infrastructure pour mutualiser


La couche infrastructure propose lensemble des services ncessaires au fonctionnement de la plate-forme. Bnfice majeur, cette plate-forme mutualise permet doptimiser les cots et les impacts. Et un fournisseur doit assurer lexcellence et la prennit de son offre sur lensemble de ces aspects. Les dmarches et efforts entrepris seront valids par les certifications correspondantes, que fort peu dentreprises ont aujourdhui obtenues sur leurs propres infrastructures. Un geste de plus pour prserver lenvironnement Sur laspect nergtique, de nombreuses entreprises exigent aujourdhui une certification, le respect de normes en termes dimpact sur lenvironnement. Ces normes et certifications coteuses sont difficiles obtenir. Lanne 2009 verra de plus en plus dacteurs adopter une politique de prservation de lenvironnement ou Green IT. Les incontournables normes de scurit Ct scurit, le respect de normes telles SAS 70 type II, Systrust ou encore ISO (9000 ou 27001), qui sont reconnues au niveau international, garantit le respect de processus cls dans la gestion des donnes hberges.

IT-expert n77 - janvier/fvrier 2009

23

Dans le cas dune approche de type mutualisation, les ressources sont partages : OS, stockage, etc. Cette approche moins flexible pour les choix darchitecture et de services, reste aussi tributaire des APIs disponibles (voir ci-dessous). En revanche, lexploitation est simplifie car il nest plus ncessaire de prvoir un nombre de machines, de processeurs, de mmoires etc. La plate-forme tant conue ds lorigine pour assurer les montes en charge. Le choix entre les deux types dapproches dpend des besoins, mais elles savrent complmentaires. Services de gestion : tat de sant en temps rel Les services de gestion regroupent lensemble des outils permettant de visualiser ltat de la plate-forme, en termes de ressources utilises (CPU, stockage, mmoire, transactions), de disponibilit, de niveau dutilisation des applications, etc. Une plateforme sera dautant plus riche que ces services de gestion sont nombreux et accessible travers un tableau de bord simple lire. APIs et langages : des matriaux essentiels Points cls surtout pour les plateformes mutualises, ces APIs permettent aux dveloppeurs de concevoir les applications et des services. Cest un lment structurant pour le choix de la plate-forme. Au-del des APIs, la disponibilit de langages de programmation connus et reconnus permet une accessibilit un grand nombre de dveloppeurs. Il est galement intressant de voir apparatre des technologies tout spcialement conues pour ces environnements, tels que Apex, syntaxiquement trs proche de java mais adapt un environnement multi-tenant (partag), et qui permet par exemple de garantir que le code des uns nimpacte jamais les performances des autres. Composants applicatifs : aller beaucoup plus loin Dans cette catgorie on retrouvera par exemple : la gestion des identits, les services type workflow, un gnrateur dinterface utilisateur, des composants analytiques de type dashboard, les composants multi-langues, multi-devises, etc.

services peuvent venir sy greffer un moindre cot. Lmergence du PaaS a t favorise par lapproche SaaS, enrichie par la suite de services personnalisables. Le PaaS incarne donc un moyen trs accessible et moindre cot de fournir des services extensibles aux entreprises, comme au grand public.

Simplifier la vie des utilisateurs Paas


Les utilisateurs de Paas nont plus se soucier de lachat des ressources de base : serveurs, rseaux, console dadministration etc. Ils peuvent dsormais se focaliser sur les services fournir leurs utilisateurs finaux, grce un assemblage de composants rutilisables (ou mashup). Via cette approche ils bnficient : de technologies web standards : AJAX, HTTP, REST qui sont les piliers du PaaS; dune ouverture maximale : limage de laccord SalesForceGoogle les plateformes se doivent dtre interoprables; de la rutilisation : les Gadgets/Widgets doivent fonctionner sur diffrentes plateformes avec un minimum de changements; de la rversibilit : il est possible de passer du PaaS un hbergement sur mes serveurs, en exportant la logique et les donnes avec un minimum deffort. Mais le bnfice majeur pour lutilisateur de PaaS est sans doute la capacit, en utilisant des composants existants et prouvs (infrastructure, gestion multi-langues, multi-devises, composants analytiques, etc.), dvelopper plus rapidement, des applications homognes, aussi simples utiliser que nimporte quel site web, et sans avoir se proccuper de linfrastructure.

Risques
Fournisseurs : attention aux lois
Les risques pour les fournisseurs sont en fait trs faibles. En effet, linfrastructure est gnralement dj en place pour des services de type SaaS avec garantie de qualit de service. Le risque le plus important pourrait tre une trop grande utilisation de la plate-forme PaaS au dtriment des services SaaS. Les obligations lgales et rglementaires reprsentent aussi un risque, car elles peuvent augmenter les besoins de reporting, de traabilit, daudit, etc. Cela peut induire une complexification des architectures et donc des cots associs. Nanmoins ces rglements ou lois touchent aussi les plateformes SaaS.

Bnfices : concevoir mieux et plus simplement


Une nouvelle dynamique pour les fournisseurs
A lorigine, larchitecture PaaS apporte une rponse la disponibilit des ressources. A linstar des rseaux doprateurs tlcoms, une fois linfrastructure mise en place, de nombreux

24

IT-expert n77 - janvier/fvrier 2009

Quoi de neuf Docteur ?

Utilisateurs : accs, disponibilit et scurit


Pour les utilisateurs les risques sont de diffrentes natures : Accs linformation et services: - Rseau : Si ma connexion Internet tombe, que puis-je faire? En fait il est bien moins onreux et plus facile de redonder sa connexion vers linternet que ses lignes prives tlcoms dans son Intranet. Largument nest donc vraiment recevable que pour des entreprises dont les services sont produits et consomms uniquement en rseau LAN. - Accs aux comptes : Que faire si mon administrateur disparat ? Comment puis-je rcuprer mon accs aux comptes ? En fait le problme se pose galement en mode hberg sur site, il est important de dfinir des processus stricts dadministration. - Disponibilit : Le fournisseur doit sengager sur un niveau de service et fournir les moyens de le mesurer. Lgaux/vie prive : cest un point-cl qui doit tre trait de manire objective par les personnes comptentes de lentreprise au fait des diffrentes lois et rglements applicables. Scurit : les utilisateurs doivent sassurer de la conformit de la plate-forme PaaS aux normes reconnues, par exemple SAS 70.

et proposent des solutions de type PaaS. Cest bien entendu un raccourci, mais il devient clair que certains acteurs majeurs apportent un socle de stabilit, tandis que des startups participent linnovation. Finalement, le nombre dacteurs du PaaS tmoigne aujourdhui de lessor du phnomne.

Les poids lourds entrent en scne


Certains investissent de faon trs significative, faisant du PaaS un axe stratgique de dveloppement de lentreprise (Google, Yahoo !, Microsoft), tandis que certains autres, comme SAP par exemple, ne cachent pas leurs difficults combiner deux modles. Aujourdhui, tous les grands noms de linformatique mondiale entrent en scne, ou au moins essaient de le faire. Business model trop diffrent, et donc difficult dalignement commercial, time to market ou problme de R&D et/ou dexcution : les difficults rencontres par les gants sont nombreuses. Force est de constater que les grands vainqueurs qui se dgagent sont principalement les pure players.

Les 5 leons des 12 derniers mois


Il commence tre communment admis que le Cloud Computing incarne la grande volution du modle informatique de ces dernires annes. Sous cette appellation, on retrouve, proposes sous forme de services, les offres orientes solutions (Software a a Service) et les offres orientes environnements de dveloppements (Platform as a Service) qui proposent un nouveau paradigme pour construire de nouvelles applications spcifiques. Celles-ci sont aujourdhui adoptes par les petites entreprises, les PMEs ou les plus grands groupes. Au cours des 12 derniers mois, de nombreuses tendances se sont confirmes.

Des leaders mergent dans chaque catgorie


Au sein du jeune univers PaaS, des catgories se dessinent de faon de plus en plus vidente. Tandis que certains proposent avant tout de la puissance machine la demande (Amazon EC2), dautres offrent, via internet, un environnement pour lequel des choix technologiques sont clairs (tel Google Platform, ou encore .Net pour Microsoft Azure), et les approches peuvent galement tre compltes par des composants mtiers assembler permettant de construire trs rapidement des applications dentreprise. Dautres encore, se spcialisent sur un type dapplications bien spcifique (tel que les applications lies au rseau social construites dans un environnement Facebook). Le point commun de ces solutions est de proposer une vision cohrente ds lorigine. Les propositions de valeur sont diffrentes, mais clairement positionnes.

Le Cloud Computing va durer


Les leaders, crs maintenant il y a plus de 10 ans, continuent de crotre tout point de vue : des offres plus riches et plus matures, une adoption en croissance rgulire, une augmentation significative du chiffre daffaire et des valeurs boursires qui sinscrivent dans la dure, bref, rien de comparable aux phmres start-up des annes 90. Et surtout, la prennisation de loffre permet denvisager de rels dploiements en entreprise.

La technologie avance
Le modle multi-tenant, adopt par Google, Salesforce, Omniture et bien dautres, permet une vitesse dinnovation largement suprieure au modle traditionnel. De plus, le respect des standards permet dagrger des solutions dorigines diffrentes, pour, l encore, proposer plus de valeur lutilisateur final. Les mashup dentreprises en sont un bon exemple : lintgration (enfin !) simple mettre en uvre et transparente pour lutilisateur. Et la surprise, par dfinition, est apparue l o on lattendait le moins : ce que les dmarches de type SOA promettaient dans lunivers traditionnel on premise, devient, dans le monde du PaaS, une ralit bien plus rapide. Et le nouveau mot dordre devient : Connecting the Clouds

Toujours plus dacteurs impliqus


Non seulement de nouveaux acteurs spcialiss ont vu le jour, mais des acteurs majeurs de linformatique ont adopt le concept

IT-expert n77 - janvier/fvrier 2009

25

PaaS : 3 questions Frdric Charles, Responsable Stratgie & Gouvernance du SI la Lyonnaise des Eaux (Suez Environnement)
n  De nombreuses entreprises envisagent les solutions et architectures la demande, mais hsitent franchir le pas de ce nouveau modle. Quen est-il dans votre entreprise ? Le modle nest pas nouveau dans son concept pour les DSI car depuis plus de 20 ans les entreprises ont par exemple externalis des applications entires comme la paie. La nouveaut rside dans la capacit dtendre le systme dinformation de lentreprise avec une infrastructure partage, quelle soit technique comme les PaaS (Platform as a Service), applicative comme le SaaS (Software as a service) ou collaborative. Cette anne nous avons par exemple mis en ligne un service denvoi de mails avec des pices jointes jusqu 2 Go, et ce afin de rpondre aux besoins des utilisateurs manipulant des documents de plus en plus volumineux. Pour cela nous sommes alls chercher une infrastructure externe (MyCoursier.com). Aprs quelques jours dintgration, la plateforme nous tait ddie et accessible de faon transparente depuis notre intranet. Le plus long, et cest un aspect ne pas ngliger avec ce modle, a t la partie contractuelle. En effet, nous avons d tablir les engagements et responsabilits respectives avec notre partenaire pour cette extension de notre SI. Dans la mme logique, Webex le systme de web-confrence de toutes les socits du groupe GDF Suez est galement en mode la demande. Nous achetons aussi des donnes gographiques lunit via des web services offerts par Google Maps, pour complter nos applications mtier de localisation quand nous en avons besoin. Cette capacit complter son infrastructure technique de faon ractive est donc une promesse trs intressante pour les entreprises. Mais elle permet aussi au niveau applicatif une extension du SI pour rpondre des besoins mtiers, gnralement standards. Tous les domaines fonctionnels sont concerns plus ou moins long terme. Le commercial, les ressources humaines ou la logistique achats ds maintenant. n  Quels sont pour vous les gains, dune part, et les risques ventuels dautre part, lis ces architectures ? Les gains se situent au dpart dans la rduction des dlais de mise en uvre et lattention du projet sur les processus, le paramtrage ou le reporting et non sur les aspects techniques puisque la plateforme est dj oprationnelle. Ensuite les mises jour sont plus frquentes et plus faciles dployer. Et sur ce point, salesforce.com avec ses versions par saison a clairement cr un standard. Cest aussi, comme avec les progiciels, une incitation pour les entreprises rsister au chant du dveloppement spcifique, car les utilisateurs voient de suite leur application. Dailleurs pour ce type de projets les mthodes agiles sont alors plus adaptes que le traditionnel cycle en V. Le dveloppement des comptences des informaticiens sur ces mthodes est alors ncessaire, aussi bien en interne que chez les intgrateurs qui parfois peuvent tre dstabiliss par un projet SaaS ou PaaS, bouleversant leurs repres. Il reste bien sr la question de lintgration des applications en mode SaaS ou PaaS avec le reste du SI. Cette question remet au got du jour les approches tires par les processus et lurbanisation. Par exemple dans le domaine des achats, le traitement de la demande dachat est plus simple avec un processus complet en mode SaaS, de la cration de la demande la rception des marchandises et de sa facture, pour viter une intgration complexe avec lERP comptable qui rduirait la promesse de gains de mise en uvre. n  Pensez-vous que le modle la demande, et en particulier le PaaS, soit aujourdhui assez mature et quil apporte une valeur ajoute particulire ? Tout fait et un aspect lillustre bien : nous sommes attentif au dveloppement de ce modle pour le domaine du collaboratif. Il sagit de la gestion des interactions non structures de lentreprise, centres sur le document et linformation, avec des acteurs internes ou externes. Tirs par les offres grand public, la bureautique en ligne et les services de stockage et de traitement de documents se dveloppent grande vitesse. Lintgration entre Google Docs et Saleforce.com est intressante sur le plan fonctionnel car elle permet de mettre de faon intelligente du collaboratif dans un processus trs structur. Mais je vois surtout dans ce rapprochement le signal dun nouveau niveau de maturit, celui de linteroprabilit. Aprs le partage des standards du web, cette interoprabilit permet maintenant de partager le document, que lon soit dans une application ou dans son environnement bureautique ou collaboratif. Les assistantes commerciales peuvent complter les comptes rendus des commerciaux et ces documents ne sont plus en silos dans lapplication commerciale, peuvent tre indexs et retrouvs depuis lintranet si on en a les droits. Cela ouvre des perspectives dorganisation du travail et de collaboration centres sur le dveloppement commercial. Le SaaS et le PaaS reprsentent donc une tendance forte dans lindustrie, tendance que nous suivons depuis plusieurs annes et en 2008 la DSI de Lyonnaise des Eaux est membre fondateur du Saas User Group France, au ct dacteurs aussi divers que Valeo, Essilor, ou Rhodia.

26

IT-expert n77 - janvier/fvrier 2009

Quoi de neuf Docteur ?

Finalement

Microsoft, avec Azure, proposera ses technologies habituelles, mais cette fois en ligne. Pour le dveloppeur, les habitudes et le savoir faire ne changent pas, ce qui permet de capitaliser sur les savoir-faire actuels, mais finalement ne changent pas vraiment les choses : il faut construire et reconstruire, et non assembler. Une application prend autant de temps quavant construire, et finalement la complexit nest pas rduite. Cest un premier pas vers le Cloud Computing, mais on est encore loin du compte. Dautres, comme IBM ou Amazon, proposent principalement de la puissance machine en ligne. L encore, on dplace linfrastructure, ce qui est le sens de lhistoire, mais une fois encore la complexit est toujours au rendez-vous. Certaines offres, par contre, sont beaucoup plus dans la philosophie du cloud computing : ainsi Facebook propose un rel changement de paradigme pour raliser rapidement, en ligne, des applications sur le crneau du rseau social. Google et Salesforce, avec des approches diffrentes (assez technique pour lun, plus oriente composants prts lemploi pour lautre), mais plus gnriques et plus ouvertes, ouvrent la voie : Connecting the Clouds, cest--dire assembler des solutions la demande, est sans doute la vraie nouveaut et le profond changement des annes venir. n

Les principaux acteurs du PaaS sont dj clairement identifis. Leurs offres sont dailleurs plus complmentaires quelles nentrent en concurrence Cependant, les niveaux de maturit sont encore trs disparates.

Jean-Louis Baffier, South EMEA Sales Engineering Director Salesforce.com

Laurent Guiraud, Directeur Technique Google France

Aprs plusieurs annes au sein de grandes administrations, Jean-Louis Baffier a travaill plus de 14 ans chez Oracle, dans diverses fonctions techniques et de management, en France et en Californie. Depuis dbut 2008, il a rejoint Salesforce. com en tant que Directeur Avant-Vente pour lEurope du Sud. Il est galement lun des administrateurs de lASP Forum. SALESFORCE.COM est le leader mondial des solutions Cloud Computing dentreprises, et fournit aujourdhui via internet un large panel dapplications, dont sa suite CRM et son offre de PaaS appele Force.com, plus de 1 100 000 utilisateurs, assurant le succs de plus de 58 300 clients de par le monde. Salesforce.com est galement prcurseur en proposant un nouveau modle global de donations (en fonds, en temps de ses employs et en licences gratuites) dont bnficient plus de 3500 organismes non lucratifs dans 52 pays.

Aprs un doctorat en Physique, Laurent Guiraud a travaill chez Oracle et Trilogy, dans diverses fonctions techniques et de conseil en Europe. Depuis 2005, il a rejoint Google en tant que Directeur Technique dans la division Enterprise. GOOGLE Enterprise a t fonde en vue dadapter une technologie plbiscite par le grand public lenvironnement des entreprises. Auparavant, les technologies professionnelles taient davantage axes sur la finalit que sur lindividu. Les applications matrielles et logicielles conues par et pour des experts ont souvent pch par un manque de considration pour lutilisateur final. Le Web va toutefois lencontre de cette tendance en permettant de choisir des applications et des services accessibles, efficaces et en adquation avec ses besoins.

Enterprise
IT-expert n77 - janvier/fvrier 2009 27

PARTICIPEZ AUX PROCHAINES CONFERENCES IDC, EVENEMENTS INCONTOURNABLES QUEL QUE SOIT VOTRE SECTEUR DACTIVITE !

Risk Management

COMMENT LA SECURITE PEUT-ELLE VOUS AIDER A SORTIR DE LA CRISE PAR LE HAUT ?


5 fvrier 2009 Cercle National des Armes, Paris 8me
Le march franais et europen des solutions de scurit (2009-2012). Les rflexes pour grer la crise par Eric DOMAGE , Directeur Etudes et Conseil, Scurit, IDC Europe Lentreprise daujourdhui peut-elle tre efficiente sur tous les fronts de la scurit de linformation ? Comment se protger contre la fraude interne et remplir les exigences en matire de conformit et de traabilit ? Prvenir la fuite des donnes . Comment protger efficacement votre capital informationnel vital ? Quelles dmarches pour satisfaire les exigences de la norme PCI DSS ? - Aligner la gestion du risque avec les paramtres business. Comment scuriser permet de rester comptitif ? - Vecteurs mixtes, attaques iFrame,Web 2.0 comment la rputation Web peut-elle efficacement combattre ces nouveaux flaux ? Scurit de lubiquit, gestion des mobiles , gestion de parc, conformit tendue Prsentation des fondements techniques, physiques et innovations apportes par la cryptographie quantique

avec les grands tmoignages de Barclays Bank, Dexia-Sofaxis, Renault, le CNRS

CRM

MIEUX INVESTIR DANS VOTRE CAPITAL CLIENT


12 mars 2009 Centre daffaires Paris Trocadro, Paris 16me
CRM et la monte inexorable du SaaS CRM et BI : un couple gagnant. Le CRM analytique pour une meilleure connaissance et service au client Un CRM pour chaque secteur dactivit? Quelles offres vont simposer ? A laube du web 3.0 et de lvolution des tlcoms : CRM collaboratif au service du client nouvelle gnration La mobilit, acclrateur de performance : un accs aux donnes clients, en tout lieu, tout moment e-commerce : comment gagner en maturit grce au CRM ? La minute juridique

VERITABLES FORUMS DINFORMATION ET DECHANGE ENTRE ANALYSTES, DIRECTEURS ET RESPONSABLES INFORMATIQUES, EXPERTS DU MARCHE

INSCRIVEZ-VOUS GRATUITEMENT
Sur notre site : http://www.idc.com/france/events/conferences.jsp en prcisant le code invitation ITX Ou en contactant Edith Tricheux : etricheux@idc.com - tel. : 01.56.26.26.91
IDC, cabinet leader de conseil, et dtudes dans les technologies de linformation.

Fentre sur cour

Interview de Jean-Philippe Rigaud Directeur Technique de la socit Toluna


Toluna est le principal fournisseur de panels et de technologies dtudes de march en ligne en Europe. Cette socit propose aux professionnels des tudes daccder un panel europen en ligne, avec une segmentation extrmement dtaille et actualise avec la plus grande rigueur. Grce son panel en ligne constitu de 2,5 millions de membres actifs rpartis dans 30 pays europens et partir de ses panels internationaux en Australie et au Mexique, Toluna travaille aujourdhui avec plus de 500 instituts dtudes, agence mdias et annonceurs dans le monde entier. Monsieur RIGAUD, directeur technique de la socit Toluna a mis en place un projet Paas quil a accept de nous prsenter.

IT-expert n77 - janvier/fvrier 2009

29

n  Pourriez-vous nous prsenter le mtier de votre socit et ses clients ? Jean-Philippe Rigaud : Toluna est le premier fournisseur indpendant en Europe de panels pour les tudes en ligne et de solutions hberges denqutes en ligne. Toluna a acquis une forte rputation pour son expertise de cration et de gestion de panel ddi B2B et B2C allant de quelques centaines plusieurs dizaines de milliers de membres. Deux solutions intgres ASP PanelPortal et AutomateSurvey ont t dveloppes par notre socit. PanelPortal est une solution de gestion de panels on demand qui permet aux professionnels du marketing et des tudes de march de bnficier dun consumer insight plus rapide, plus approfondi et plus efficace. Avec les communauts VIP de marque, les utilisateurs peuvent aussi mettre en place des forums de discussion, en posant des questions aux membres VIP et enrichir linformation par les commentaires et ractions des autres membres. Avec AutomateSurvey, nos clients peuvent produire on demand des questionnaires en ligne laide dune vaste gamme de types de questions, et selon une multitude de logiques de filtres et de renvois et bnficier dune souplesse de cration optimale tant pour les questionnaires que pour les e-mails, afin de maintenir une cohrence totale avec lhabillage visuel et graphique de leur marque.

n  Pourquoi avoir mis en place un projet sappuyant sur une infrastructure la demande plutt quune solution dite classique ? Jean-Philippe Rigaud : En tant que fournisseur de service, nous exploitons et dveloppons aujourdhui notre plateforme SaaS de plus dune centaine de serveurs, de fait nous tions peut tre plus facilement lcoute de solution on demand. Nanmoins, la DSI groupe a droul les diffrentes phases dapprobation au produit Salesforce. Ce qui a fait la diffrence pour nous, cest la souplesse et la facilit de dploiement que nous offraient Salesforce par rapport une solution traditionnelle. Avec la possibilit dintgrer facilement des flux dinformation vers et depuis Salesforce les dernires barrires se sont rompues. Puis le produit lui-mme nous a conquis.

n  Quelles difficults avez-vous eues rsoudre ou contourner ? Jean-Philippe Rigaud : Les plus grosses difficults rencontres lors du dploiement ont t les problmes de mise en forme des fiches contacts ou bien encore la finalisation de la fiche de suivi projet. Les difficults taient plus lies notre activit ou la gestion interne de linformation commerciale quau produit lui-mme. Je pense que nous aurions t confronts aux mmes questions avec une solution classique, mais avec peut-tre davantage dassistance par des consultants produits ou de formation.

n  Dans quel contexte travaillez-vous ? Jean-Philippe Rigaud : Toluna est un oprateur de marketing online dont les structures oprationnelles sont aux tats-Unis (Dallas, New York, Seattle), en Grande-Bretagne (Londres), en France (Paris), en Allemagne (Frankfurt), Pays-Bas (Amsterdam), Sydney (Australie). Avec des clients internationaux, il fallait donc trouver une solution technique permettant doffrir un dploiement multiagence, multilangue, international avec par ailleurs des connexions itinrantes. Nous recherchions une solution souple permettant de consolider toutes les informations sur les contacts commerciaux, les propositions faites, avec une gestion de lhistorique commerciale complte, sur 7 pays, pour plus de 50 utilisateurs, avec une gestion de la monnaie locale et une monnaie de rfrence corporate. Afin que loutil de force de vente soit pertinent, il tait indispensable que le reporting et les tableaux de bord permettent une granularit de consolidation des actions et rsultats de chaque individu, des quipes, du pays, du groupe. Le marketing aussi devait pouvoir bnficier de loutil.

n  Quels enseignements en tirez-vous aujourdhui ? Jean-Philippe Rigaud : Le on demand est clairement aujourdhui une solution offrant les mmes fonctions et possibilits que les solutions classiques. Elle peut grce aux diffrentes API offrir une complmentarit avec les outils de lentreprise comme toute autre solution dploye en interne.

n  Quels sont vos prochains grands chantiers ? Jean-Philippe Rigaud : Dvelopper le suivi afin davoir le ROI de nos campagnes marketing dans Salesforce. Nous envisageons dintgrer davantage notre gestion de projets pour obtenir une visibilit complte du workflow de lentreprise. Cela sera possible au travers de dveloppement men en interne et aussi de produits dj existant dans lappExchange. Cela devrait reprsenter 100 nouveaux utilisateurs Toluna sur Salesforce rapidement. Ces projets sont fondamentaux pour accompagner la croissance de la socit Toluna sur tous ses marchs. n

30

IT-expert n77 - janvier/fvrier 2009

Livres
MDM - Enjeux et mthodes de la gestion des donnes
Le Master Data Management a pour objectif dassurer la qualit des donnes tout en assurant leur cohrence au sein du systme informatique de lentreprise. Rdig par trois auteurs complmentaires et de terrain, ce livre y gagne en pratique et en approche concrte dans une discipline ou les discours thoriques et soporifiques sont lgions. Et pour cause, le pool dauteurs est compos de : Franck Rgnier-Pcastaing, responsable de loffre de services MDM chez Logica Management Consulting (socit de services informatiques) ; Michel Gabassi, ingnieur la Direction informatique et tlcom dEDF/GDF et responsable du catalogue des solutions pour le middleware et les progiciels ; et Jacques Finet, galement ingnieur la direction informatique et tlcom dEDF/GDF. Organis en trois parties, cet ouvrage commence par une initiation aux concepts, aux besoins et enjeux de la gestion des donnes. Une fois ces dfinitions et enjeux expliqus, le livre aborde les bonnes pratiques, les architectures et les solutions pour amliorer cette gestion. Le cur de louvrage navigue au sein de la problmatique MDM. La dernire partie sattaque aux mthodes et organisations sappuyant sur le concept cl de gouvernance des donnes. Il faut bien passer par l. Dailleurs, le peu de cas rserv ces aspects a priori rbarbatifs amne souvent des checs prvisibles. Cest pourquoi les auteurs ont vit linventaire la Prvert autant que la charte psychorigide.

MDM - Enjeux et mthodes de la gestion des donnes Franck Regnier-Pecastaing, Michel Gabassi, Jaques Finet ditions Dunod 336 pages - environ 35 E

XML par la pratique Bases indispensables, concepts et cas pratiques (2me dition)
Espranto des documents numriques et du Web, le standard XML (eXtensible Markup Language) sorganise selon une hirarchie de balises. Qualifi de simple, structur ou encore trs maniable par les dveloppeurs et les webmasters, il peut aisment se combiner avec les feuilles de styles pour organiser un site web tout en respectant une charte graphique. Ds la premire dition de ce livre en 2003, son auteur Sbastien Lecomte (responsable de projets Internet et webmaster) a cherch et russi rendre le XML accessible tous. Pour cette seconde dition, Thierry Boulanger (dveloppeur freelance) a actualis louvrage pour lenrichir des dernires volutions essentielles la matrise du langage. Bien entendu, la premire partie est consacre lexpos des concepts fondamentaux, indispensable la pratique de tout langage et de toute syntaxe. Mieux vaut comprendre les raisons structurelles pour viter les bourdes ! Et mme sur ces aspects, louvrage sappuie sur des cas pratiques que le lecteur pourra aisment concevoir et essayer. Outre la syntaxe et les rgles de validit de tout document XML, les auteurs abordent tous les aspects XML et la plupart des technologies ou le XML apporte une relle valeur ajoute : DTD, Schmas XML, RELAX NG ; liaisons Xlink et XPointer, requtes XQuery, le XSL (eXtensible StyleSheet Language), PDF et donnes XML, XML et SOAP, changes entre JavaScript, DOM et XML, RSS, SMIL, XHTML, XFORM

XML par la pratique Bases indispensables, concepts et cas pratiques (2me dition) Sbastien Lecomte, Thierry Boulanger ditions ENI 347 pages - environ 26 E

IT-expert n77 - janvier/fvrier 2009

31

ISO 27001
normalise la scurit de linformation
En 2005, lISO/IEC publie lISO 27001, la premire norme dune nouvelle famille ddie la scurit de linformation. Depuis 3 ans, les principes de cette norme ont entran des modifications profondes dans les dmarches scurit des organisations. Aujourdhui, ces principes, en particulier la prise en compte systmatique des risques et le cycle damlioration Plan-Do-CheckAct (PDCA), contribuent faire de cette norme une vritable rfrence pour les organisations.

32

IT-expert n77 - janvier/fvrier 2009

Rubrique brac

Une norme arrivant maturit


Issue de la norme britannique BS7799-2, lISO 27001 sintresse la gouvernance de scurit de linformation et prne la mise en place dun systme de management de la scurit de linformation (SMSI). Ce systme peut galement tre audit par les organisations souhaitant obtenir une certification. La norme a connu un succs rapide initialement dans les pays anglo-saxons et en Asie avec plusieurs milliers de certificats dlivrs. Sa publication en tant que standard international ISO a dcupl sa renomme, et les principes avancs sont considrs comme une rponse viable et prenne aux problmatiques des organisations de toute taille. Au-del de la norme phare ISO 27001 de dfinition du systme de management, lISO affiche galement la volont de dcliner dans un ensemble dautres normes support, les axes-cls de mise en uvre : analyse de risques (ISO 27005), indicateurs et tableau de bord (ISO 27004), etc. Des dclinaisons spcifiques certains mtiers sont aussi publies ou en cours de finalisation (tlcommunication, pharmacie).
Liste des principales normes publies et en travaux
NORME 27000 27001 27002 TITRE Dfinitions et vocabulaire Exigences dun SMSI Guide des bonnes pratiques de scurit de linformation Guide dimplmentation dun SMSI Indicateurs et tableaux de bord Gestion des risques Exigences pour les organismes daudit et de certification Guide pour laudit dun SMSI Standard spcifique au secteur du jeu (World Lottery Association) STATUT Draft Publie Publie NORME 27011 27012 TITRE Guide pour le secteur des tlcommunications STATUT Draft

La norme ISO 27001 fait donc son chemin en France, o elle commence acqurir une base importante dutilisateurs. Lanalyse ci-dessous, ralise auprs de 50 grands comptes, montre que plus de la moiti des organisations ont lanc des actions orientes vers lISO 27001. Ces initiatives sont aujourdhui trs varies et restent majoritairement centres sur une analyse dcarts avec les exigences de la norme. Mais cest un premier pas vers une adoption des principes de la norme, voire vers une certification de certaines activits comme pour quasiment 10 % des sonds.

Positionnement des grands comptes par rapport lISO 27001


Analyse ralise par Solucom en septembre 2008
Aucune initiative lance

Analyse des carts ralise

47%

33%

Projet de certification lanc

Dfinition d'un SMSI sans recherche de cerification

9%

12%

Guide pour le secteur financier Propose

Choisir son utilisation de la norme


LISO 27001 peut certainement tre utilise comme un recueil de bonnes ides dans lequel on peut piocher, mme si cette approche rductrice nest pas un bon conseil. En effet, la norme ne donnera sa pleine efficacit que si les principes fondateurs quelle propose sont effectivement mis en uvre. Deux grandes orientations se dgagent : Ladoption partielle ou complte des principes sans viser la certification, permet une mise en place progressive des concepts et autorise une mise en uvre sans sobliger suivre la lettre certains principes pouvant tre fastidieux dans leur ralisation oprationnelle (gestion documentaire, collecte des enregistrements). La certification externe apportera une vraie reconnaissance au travail ralis en interne pour saligner sur la norme 27001. Elle va exiger un effort supplmentaire de formalisation et la contractualisation avec un organisme certificateur qui viendra auditer rgulirement la bonne application des mesures de la norme. Cette dmarche est nanmoins facilite si une certification ISO 9001 a dj t obtenue. Aujourdhui, ladoption de lune ou lautre de ces orientations dpend fortement des structures concernes et avant tout de lintrt mtier obtenir une certification externe. Sur le panel de clients interrogs, la proportion de ceux ayant adopt lune ou lautre des orientations a fortement augment depuis un an. En France, plus dune dizaine de socits ont obtenu la certification. Ces socits ont certifi des processus particuliers

27013 Guide pour le secteur de lindustrie Propose 27015 27016 27031 27032 27033-x Guide pour laccrditation Audits et revues Continuit dactivit Cyberscurit (Internet) Scurit des rseaux Propose Propose Draft Draft Draft Draft Draft Publie

27003 27004 27005 27006 27007 WLA SCSW

Draft Draft Publie Publie Draft

27034-1 Guide pour la scurit applicative 27035 Gestion des incidents de scurit

Publie

27799

Dclinaison de lISO 27002 pour le secteur de la sant

Liste des principales normes de la famille ISO 27001

Une proccupation majeure pour les RSSI


Ces normes arrivent alors que la majorit des organisations ont dj engag des dmarches de scurisation de linformation. Ces chantiers sont plus ou moins avancs selon les organisations ou les secteurs dactivit, et ces organisations voluent toutes dans le mme sens, avec une transformation importante du rle de RSSI. Dexperts techniques il y a encore quelques annes, les RSSI sont en effet devenus de vritables chefs dorchestre, animant la relation entre les mtiers et la DSI. Leur rle principal consiste dsormais organiser, fiabiliser, contrler et communiquer. Les normes ISO 27000 apportent une aide incomparable aux RSSI dans cette volution de leur positionnement.

IT-expert n77 - janvier/fvrier 2009

33

proches de leur cur de mtier. Cest le cas par exemple de Quanta Medical sur ses activits dessais thrapeutiques et/ ou pidmiologiques ou encore de la Franaise des Jeux sur les activits lies la loterie. A linternational, le niveau dadoption de la certification ISO 27001 est trs htrogne dun pays lautre. Certains sont trs en avance, en particulier le Japon. Dautres (tats-Unis, Inde, Allemagne) sont en train de rattraper leur retard suite la publication de lISO 27001 comme norme internationale. Dbut janvier 2009, 5190 certifications ISO 27001 ont t prononces dans le monde (source : www.iso27001certificates.com).

4 principes en cohrence avec les meilleures pratiques de management


LISO 27001 instaure quatre principes essentiels qui sont mis en uvre de plus en plus couramment. Ces principes reprsentent une volution importante de la manire dont la scurit de linformation est aujourdhui prise en compte et formalise. Ces principes visent ancrer la dmarche de gestion de la scurit dans la vie de lorganisation. Le pilotage par les risques : LISO 27001 impose lanalyse de risques comme pilier essentiel pour slectionner et dfinir les mesures de scurit appliquer. Cette analyse permet de traiter en priorit les risques jugs les plus importants par lentreprise. Elle justifie en effet la prise en compte ou non de mesures de scurit, et surtout la manire dont ces mesures seront implmentes. La mthodologie danalyse nest pas impose, mais doit tre dfinie au pralable et rpondre certaines contraintes: identification des processus et actifs critiques, identification des propritaires, analyse des impacts, identification des menaces et des vulnrabilits, description et pondration des risques puis validation des risques rsiduels.

Lamlioration continue : Comme les systmes de management de la qualit (ISO 9001) et de lenvironnement (ISO 14001), un SMSI ISO 27001 repose sur le cycle de progrs PDCA : Plan, Do, Check, Act, galement appel Roue de Deming. Ce cycle vise une amlioration continue reposant sur une logique simple : dire ce que lon fait, faire ce que lon a dit, puis contrler et corriger les carts. Il est donc ncessaire de crer un cycle de rvaluation annuel pour lintgralit du SMSI. Les revues de direction marqueront la finalisation dun tel cycle, avec la ralisation dun bilan visant valuer lefficacit du SMSI, mais galement valider les orientations venir. Limplication du management : Le management joue un rle cl dans le fonctionnement dun SMSI. Son implication ne se rsume pas un accord officiel pour lancer le projet. Il sagit dune interaction bien plus forte, car cest bien le management qui va orienter le SMSI et prendre les dcisions relatives aux risques quil est prt accepter. Son implication est essentielle pour russir les tapes de lanalyse de risques, mais aussi pour nommer les diffrents acteurs mettant en uvre le SMSI et fournir les moyens ncessaires. Le management doit aussi communiquer vers les acteurs du primtre pour marquer sa volont de mettre en uvre cette dmarche damlioration de la scurit de linformation. Le management intervient dans la dure, il est lacteur cl de la revue de direction qui se droule a minima annuellement. Lapproche processus : La norme ISO 27001 prconise que toutes les activits lies au SMSI soient conues et formalises sous la forme de processus. Cette approche processus est probablement un des lments les plus importants de la norme, mais aussi lun des moins explicits par celle-ci. Les porteurs et acteurs des diffrentes actions contribuant la scurit doivent donc tre identifis tout comme lenchanement des actions mener pour chaque processus de scurit. Attention il ne sagit pas ici de formaliser les processus mtier (comme pour lISO 9001) mais uniquement les processus lis la scurit de linformation.

Adopter lISO 27001, le remde anticrise pour la scurit ?


Dans ces priodes conomiques difficiles, lISO 27001 peut tre un sujet porteur pour les RSSI ! En effet, les principes de la norme permettent datteindre ce que les approches classiques de la scurit navaient pas pu faire, et notamment une vritable efficience et une adquation entre les cots et les gains. LISO apporte notamment : Une meilleure matrise des risques qui psent rellement sur les activits de lentreprise. La garantie de mieux dimensionner le budget scurit et surtout de laffecter aux mesures les plus pertinentes. Une rponse plus proche des attentes des clients qui vont maintenant utiliser cette norme comme rfrence pour les appels doffres ou les audits externes. Une association plus systmatique des acteurs mtiers et du management aux dcisions, et donc une meilleure acceptation des contraintes amenes par les mesures de scurit. La facilitation dautres dmarches lies la scurit de linformation, comme la mise en conformit Ble II, SarbanesOxley ou la loi informatique et liberts. De plus, lISO 27001 dispose datouts spcifiques qui lui permettent dtre implmente mme en phase de rduction de cots, et ceci, pour les raisons suivantes : La possibilit dune adoption progressive, en suivant un rythme propre chaque structure. Un projet majoritairement organisationnel ncessitant peu dinvestissement en matriel ou en licence grce la rutilisation et la rationalisation de lexistant. La capacit utiliser les principes sans viser la certification, et donc en limitant les cots externes.

34

IT-expert n77 - janvier/fvrier 2009

Rubrique brac

Premire tape de la mise en uvre : la dfinition du primtre


Le SMSI se dfinit par lensemble des ressources mises en place pour organiser et grer au quotidien la scurit de linformation sur un primtre dfini. Ce primtre peut tre de multiples formes : toute lentreprise, un mtier ou un processus particulier, une application, un centre de production Il sagit dun choix dterminant dans la mise en uvre de la dmarche et le primtre doit rpondre des enjeux mtiers clairs et partags.

Grer le traitement des risques : il consiste piloter lavancement du traitement des risques, en passant par la formalisation des mesures slectionnes (consignes dans la Dclaration dApplicabilit) et par le suivi des diffrents chantiers scurit afin datteindre la cible de diminution des risques valide par la direction. Les activits telles que la conception de la politique de scurit ou le droulement des projets dinfrastructure scurit sont rattaches ce processus.

Zoom sur la dclaration dapplicabilit La Dclaration dApplicabilit (appel en anglais Statement of Applicability ou encore SOA) est un document exig par la norme dans le cadre dune certification, mais il est opportun de le prvoir dans tous les cas, pour servir de guide dimplmentation et de plan daction. Le SOA reprend lensemble des 133 mesures de scurit de lISO 27002 et permet lorganisation de se positionner en indiquant si elle va mettre en uvre ou non chaque mesure, la justification de cette dcision et la manire dont la mesure est mise en uvre. Ce document sera autant un outil de suivi interne, quun support de communication externe ou interne.

7 processus essentiels mettre en uvre progressivement


La norme ISO 27001 recommande lutilisation dune approche par processus, mais sans expliciter la nature des processus essentiels. Notre retour dexprience nous a amens distinguer sept processus devant tre mis en uvre : Piloter le systme de management : le premier processus est transverse lensemble du SMSI. Il a pour but de dfinir la manire dont le SMSI lui-mme va tre gr. Ses objectifs principaux sont de grer les revues de direction, de permettre le pilotage du cycle damlioration continue PDCA, et de suivre lengagement des comptences et des ressources intervenant dans le fonctionnement du SMSI. Il sagit dun processus qui concerne majoritairement la direction de lorganisation. Analyser les risques : le processus danalyse de risques est le cur du SMSI. Il dcrit la manire dont lanalyse de risques sera mene, et surtout complte et mise jour. Les activits sont assez classiques : classification des actifs, identification des menaces et des vulnrabilits, dfinition des scnarios de risques associs aux impacts et aux probabilits doccurrence. Son objectif principal est dobtenir de la part de la direction un engagement sur les risques acceptables et ceux devant tre traits. Cet engagement sera bien entendu revu a minima annuellement.

Contrler lefficacit : ce processus permet de sassurer que le SMSI est consistant et cohrent et que les actions entreprises sont efficaces. Ce processus est souvent spar en deux volets. Le premier vise contrler le SMSI luimme travers un plan daudit interne et externe incluant par exemple des autocontrles, des audits de conformit, des audits techniques Le second volet du processus consiste raliser des tableaux de bord pertinents partir des indicateurs prvus dans chaque processus : rcupration des indicateurs, consolidation, publication Ces tableaux de bord devront tre orients vers une mesure de lefficacit et pas simplement vers une mesure de lactivit du SMSI, lobjectif tant de constater lamlioration dans le temps.

IT-expert n77 - janvier/fvrier 2009

35

Grer les incidents et les vulnrabilits : La norme impose une gestion efficace des vnements de scurit, tant en correctif (incidents), quen prventif (vulnrabilits). Le processus traitera galement des aspects prventifs: veille scurit (rglementaire et technique), gestion des vulnrabilits, gestion des alertes, etc. Il est galement possible de rattacher ce processus la gestion des actions prventives et correctives si un objectif de certification est vis. Former et sensibiliser : ce processus exig explicitement dans la norme ISO 27001 a pour objectifs de former les acteurs ayant des responsabilits dans le cadre du SMSI (auditeurs internes, gestionnaire du SMSI, administrateurs, etc.) et de sensibiliser les utilisateurs du SMSI aux bonnes pratiques de scurit. La limite entre sensibilisation et formation dpend des responsabilits qui incombent aux acteurs. Plus ces derniers sont responsabiliss, plus il faut correctement les former. Grer la documentation et les preuves : ce processus est essentiel lorsquune certification est recherche. Il sassure que lensemble des documentations ncessaires au SMSI (typiquement la formalisation des processus) est correctement gr (gestion des versions, archivage, validation). Ce processus sassure galement que les preuves qui seront demandes lors de laudit de certification sont collectes et conserves dans le respect de leur confidentialit et intgrit. Dans le cadre dune mise en uvre partielle, il est possible de slectionner un ou plusieurs de ces processus et de les mettre en uvre progressivement. Cependant, lalignement la norme requiert a minima la mise en uvre du pilotage, de lanalyse de risque et du contrle, ceci afin de permettre le fonctionnement de la boucle PDCA.

Adopter les principes ds aujourdhui, et certifier sur opportunit !


La norme ISO 27001 constitue une avance majeure dans le mouvement de professionnalisation des dmarches de scurit. Elle formalise des principes essentiels (pilotage par les risques, formalisation des processus, contrle, amlioration continue) qui vont permettre un alignement progressif de la scurit de linformation avec les meilleures pratiques de management. La lgitimit de cette norme auprs des RSSI nest plus dmontrer : nombre dentre eux ont dj engag des actions sappuyant sur les principes quelle propose. Elle constitue pour les RSSI et les DSI un outil de communication efficace permettant dasseoir la crdibilit et la cohrence des dmarches damlioration de la scurit, et de valoriser ces dmarches vis--vis du top management, en particulier dans les priodes de crise ou la rationalisation et lefficacit sont recherches. Avec la certification, cette crdibilit deviendra mme dans certains secteurs dactivit une reconnaissance externe incontournable. Il ne faut pourtant pas tout attendre de lISO 27001 : en aucun cas la norme ne garantit que les processus qui seront dfinis seront les plus efficaces pour matriser les risques. Comme dans le domaine de la qualit, la norme fixe des objectifs, propose une mthodologie, mais seuls le bon sens et lexpertise assurent la pertinence des choix dimplmentation. Et la cible atteindre reste encore lointaine pour la plupart des grandes organisations. Le principe de lvaluation des risques en collaboration avec les mtiers est encore loin dtre gnralis, et les dispositifs de contrle sont encore trs pauvres. Le chemin parcourir pour saligner compltement avec la norme savrera

Cible dterminer
Cible minimum Certification

l'e Con ffi tr ca le cit r

co nn P se les exe roce ns in s ( ss ibi cid g us lis en re er ts r , )

les An ris alys qu er es

de Gre de trai r le s r tem pla isq e n ue nt s

Mesures et projets de scurit prioritaires


Mise en uvre progressive des processus

36

IT-expert n77 - janvier/fvrier 2009

et G la re do r le cu s m pre en u tat ve ion s

Pil

ote

rl

eS MS

Rubrique brac

Savoir valuer le certificat dune entreprise


Lobtention de la certification et sa valorisation lors dchanges commerciaux sont soumises des rgles assez strictes dfinies par lISO. Cependant, il est important de rappeler que la certification ne garantit pas forcment le niveau de scurit du partenaire et/ ou des infrastructures. En effet la norme impose uniquement la prsence et le bon fonctionnement du systme de management et son amlioration dans le temps. Il est donc important de vrifier les critres suivants pour bien valuer un certificat : tudier le primtre du certificat qui dtaille quels processus de lentreprise sont couverts par le SMSI. Demander et analyser la dclaration dapplicabilit (SOA), qui prcise quels contrles (issus ou non de la norme ISO 27002) ont t slectionns et mis en uvre. valuer la date de certification, qui indique la prennit de la dmarche chez le partenaire. Ce critre est relativiser au vu de la rcente publication de la norme, mais il est important que le SMSI ait au moins ralis une fois le cycle PDCA.

matriss, les cycles successifs de la boucle PDCA permettront dlargir progressivement le primtre des risques traits pour couvrir terme lensemble du systme dinformation. En rsum : appliquer ds aujourdhui les bons principes de lISO 27001, mais viser la certification uniquement lorsque le jeu en vaut la chandelle ! n

Grme Billois, Manager scurit, Solucom Group

Solucom group : le SI au service de la performance de nos clients Solucom group est un cabinet de conseil en systme dinformation et management. Solucom group conseille les grandes entreprises sur leur stratgie en systme dinformation, et les accompagne dans la dfinition et le pilotage de leurs chantiers SI. En amont, Solucom conseille galement les entreprises et oprateurs tlcoms en matire de marketing, performance commerciale et transformation mtier. Un positionnement qui se rsume en une mission : le systme dinformation au service de la performance de nos clients. Solucom group est le partenaire des plus grands comptes franais sur leurs projets nationaux et internationaux : Air France-KLM, Alstom, ANPE, Banque de France, BNP Paribas, Bouygues Telecom, Carrefour, Crdit Agricole, EDF, GDF Suez, La Poste, LOral, Ministres de lconomie, de lducation Nationale, de lIntrieur, Neuf Cegetel, Orange, RTE, SFR, SNCF, Socit Gnrale, Total. Solucom a obtenu la qualification entreprise innovante dcerne par OSEO innovation. Solucom a reu la certification ISO/IEC 27001: 2005 pour ses prestations daudits de scurit des systmes dinformation.

souvent long et ambitieux. La certification externe doit donc tre rserve pour le moment aux organisations qui peuvent y trouver un apport direct pour leur cur de mtier. Mais que cela nempche pas chaque entreprise dappliquer ds maintenant les bons principes de la norme, et dacclrer ainsi leur dmarche damlioration de la scurit ! Cest en focalisant dans un premier temps lattention sur le traitement des risques majeurs que lon pourra pleinement tirer partie des enseignements de la norme tout en se donnant un primtre de travail raisonnable. Une fois ces risques majeurs

IT-expert n77 - janvier/fvrier 2009

37

QUELLE MEILLEURE PERIODE, EN EFFET, QUE LES TEMPS DE CRISE, POUR SE POSER LES BONNES QUESTIONS

IDC et ses partenaires vous donnent rendez-vous lors de la confrence :

DSI Symposium

Une journe pour et par les DSI, anime par les experts IDC
Jeudi 19 mars, 2009 Htel The Westin, Paris Un programme articul autour de 3 axes :
Dans une perspective trs court terme : comment faire face alors quil faut assumer toujours plus de projets avec moins de budget ? Quelles sont les priorits stratgiques que le DSI doit simposer et comment en cadencer la mise en uvre dans lurgence ? Pour rflchir lavenir avec une vritable vision prospective : quelles sont les technologies qui vont vritablement compter dans lvolution des systmes dinformation dans dix ans ? Quelles sont les ressources quil va falloir mobiliser ? Quelle stratgie de global sourcing faudra-t-il progressivement mettre en place ? Pour des questions existentielles : quoi doit servir une DSI dans lentreprise ? Quelle gouvernance pour la DSI ? Comment fluidifier les dialogues entre DSI, DG, DAF, achats, directions mtiers ? Comment piloter une DSI et en mesurer la performance ? Comment sassurer de lalignement avec la stratgie ? Comment matriser les budgets ? Contrler les cots ?

Confrence organise par IDC

IDC, cabinet leader de conseil, et dtudes dans les technologies de linformation.

En partenariat avec

Avec le soutien de : Cigref La Tribune

Des retours dexprience :


Les experts dIDC, en partenariat avec le Cigref, exposeront leurs visions et animeront des tables rondes dans lesquelles de nombreux DSI de diffrents secteurs dactivit auront loccasion de tmoigner et de rpondre aux questions des participants.

INSCRIVEZ-VOUS GRATUITEMENT
Sur notre site : http://www.idc.com/france/events/dsi09 en prcisant le code invitation ITX Ou en contactant Edith Tricheux : etricheux@idc.com - tel. : 01.56.26.26.91