Vous êtes sur la page 1sur 23

Livre Blanc

Les infrastructures critiques :

bien maîtriser le socle du patrimoine informatique de l’entreprise

Blanc Les infrastructures critiques : bien maîtriser le socle du patrimoine informatique de l’entreprise Avril 2006

Avril 2006

Blanc Les infrastructures critiques : bien maîtriser le socle du patrimoine informatique de l’entreprise Avril 2006
Blanc Les infrastructures critiques : bien maîtriser le socle du patrimoine informatique de l’entreprise Avril 2006

SOMMAIRE

Pourquoi les infrastructures informatiques deviennent-elles de plus en plus critiques pour les entreprises ?

3

a)

Un mariage toujours plus étroit entre le système d'information de l'entreprise et

ses activités

3

"L’Adaptative Entreprise" selon HP

5

b)

Des systèmes d'information de plus en plus complexes et hétérogènes

7

Un exemple de transformation d’infrastructures complexes pour mieux répondre aux besoins client : Cofidis

7

Quelles réponses apporter pour assurer un bon accompagnement du cycle de

vie d'infrastructures en constante évolution ?

9

a)

La gouvernance du système d'information

9

Un des points majeurs de la gouvernance du SI : la sécurité, mais comment l'aborder?

11

b)

L’industrialisation du système d’information

12

l’urbanisation du système d’information qui va aider à maîtriser la gestion d’infrastructures complexes et leurs évolutions

12

la virtualisation du système d’information qui va optimiser les infrastructures

12

les architectures orientées services qui vont apporter une grande flexibilité au SI.

12

la mise en place de méthodologies et de normes qui va servir à créer un langage de compréhension commun des tâches à réaliser

12

c)

L'appel à une sous-traitance spécialisée

15

Un exemple d’appel à la sous-traitance : le PRA (Plan de Reprise d’Activité)

17

La sous-traitance : un marché très dynamique, spécialement autour des infrastructures

19

Les infrastructures des entreprises vont elles devenir encore plus critiques dans l'avenir ?

20

Qui est MIBS ?

22

Pourquoi les infrastructures informatiques deviennent-elles de plus en plus critiques pour les entreprises ?

a) Un mariage toujours plus étroit entre le système d'information de l'entreprise et ses activités

L'informatique a pénétré de plus en plus tous les rouages de l'entreprise la rendant ainsi indispensable à toute activité :

Les salariés sont de plus en plus nombreux à l’utiliser pour accomplir leurs tâches, le périmètre des applications s'élargissant à la plupart des fonctions de l’entreprise ;

Le temps réel devient une exigence des utilisateurs. Les besoins de leur métier nécessitent d’avoir

accès en continu à des bases d’information remises à jour en permanence ; la pression des marchés, la nécessaire réactivité aux besoins clients, l’accélération de la vitesse des affaires poussent de plus en plus à

avoir des systèmes d’information fonctionnant en temps réel. La rapidité d’accès à l’information et son traitement rapide devient une obligation !

Le système d'information s'ouvre de plus en plus à des utilisateurs externes (clients, fournisseurs, partenaires). Au-delà de connexions devant toujours être assurées, leur sécurisation est une problématique essentielle pour garantir un système d’information sans risques majeurs d’attaque.

Cette diffusion de l'informatique la rend terriblement critique: c'est grâce à son bon fonctionnement - spécialement dans l’ensemble des infrastructures informatiques - que l'activité d'une entreprise peut s’effectuer sans ruptures.

L'arrêt du système d'information, c'est la mise en péril de l'entreprise avec des impacts financiers, d'image, de productivité qui peuvent être lourds de conséquences .

Cette criticité engendre des contraintes nombreuses pour le directeur des systèmes d'information. Il doit apporter une qualité de service irréprochable face à des utilisateurs obligés de s’appuyer sur des outils performants pour bien assurer leur travail. Il doit aussi mettre en place des solutions qui puissent s'adapter rapidement aux changements incessants liés à la vie de l'entreprise en assurant l'évolution des architectures et des applications dans des délais rapides. On parle aujourd'hui du besoin d’avoir des systèmes d'information agiles caractérisés à la fois par des qualités d'adaptation et de rapidité d’évolution face aux changements.

Faire en sorte que le système d'information fonctionne au quotidien, et, parallèlement, le faire évoluer en fonction des nouveaux besoins, représentent un coût élevé que le DSI est tenu de maîtriser de mieux en mieux.

Le système d'information est donc soumis à des contraintes fortes (disponibilité au quotidien, agilité, flexibilité, coût maîtrisé), et les infrastructures en forment le socle critique.

Les enjeux d’une informatique modernisée

Simplification
Simplification
Standardisation
Standardisation
Flexibilité
Flexibilité
Modularité
Modularité
Intégration
Intégration
Appliqué
Appliqué
Processus métiers Applications
Processus
métiers
Applications
Pour
Pour
Accroître l'agilité Améliorer le fonctionnement
Accroître l'agilité
Améliorer le
fonctionnement

Comment définir la criticité du système d’information ?

Elle peut être envisagée sous plusieurs angles :

Comment mon système d’information répond-il aux besoins métiers de mon entreprise? Mes

applications sont-elles adaptées aux différentes tâches à accomplir ? Mes infrastructures sont-elles bien

organisées pour les supporter de manière efficiente ?

Puis-je avoir la certitude que mes infrastructures seront tout le temps disponibles ou au moins remises en fonctionnement dans des délais négociés?

La criticité s'entend aussi en définissant un degré de criticité variable selon les serveurs et les applications qu'ils supportent, notamment par le délai acceptable de remise en marche selon les fonctions supportées.

Les serveurs sont ainsi tous critiques, mais avec des degrés qui dépendent de facteurs divers comme la proximité de l'application avec l'extérieur, la nécessité du temps réel de l'application, le lien avec d'autres applications (comme les serveurs de communication).

Le degré de criticité est proportionnel aux risques encourus par l’entreprise en cas de rupture du SI. Il est important d’en faire le calcul pour déterminer les moyens à mettre en œuvre pour limiter ces risques.

"L’Adaptative Entreprise" selon HP

“Ce ne sont pas les espèces les plus intelligentes ni les plus fortes qui survivent, mais celles qui s’adaptent le mieux au changement”

Cette citation de Charles Darwin, extraite de sa Théorie de l’évolution des espèces, illustre très justement la nécessité pour l’entreprise de contrôler le changement nécessaire à sa prospérité, voire à sa survie.

Mais s’il est permanent, inattendu, perturbateur, le changement est aussi porteur d’opportunités qu’il faut savoir saisir. Et c’est là que le système d’information peut prendre sa vraie dimension business, en fournissant à l’entreprise les moyens de s’adapter rapidement et en souplesse et en devenant source de revenus et non plus de charges.

Pour répondre à cette nécessaire adaptation, ainsi qu’aux pressions sur les résultats opérationnels et financiers, HP a élaboré une stratégie qui permet d’aller au-delà des étapes classiques de la consolidation :

l’Adaptive Enterprise.

Les objectifs de cette stratégie sont :

• Optimiser le ROI du système d’information, dégager de nouvelles opportunités de revenu, avec une maîtrise du coût total de possession.

• Améliorer la réactivité et la flexibilité pour réduire les délais de conception et de mise sur le marché de nouveaux produits ou services.

• Accompagner le changement et rendre le système d’information toujours plus efficace.

• Développer de nouvelles fonctionnalités pour fidéliser davantage les clients.

• Répondre plus rapidement et plus efficacement aux mouvements brusques du marché.

L’Adaptive Enterprise : une approche graduelle

Le maître mot de l’Adaptive Enterprise est la synchronisation entre l’informatique et le business. Pour établir cette relation dynamique entre besoins business et capacités du système d’information, une approche graduelle est nécessaire. Elle porte sur les analyses suivantes :

• définition des objectifs de flexibilité à l’échelle de l’entreprise et mesurer de façon permanente les améliorations engagées,

• assurance que l’infrastructure est suffisamment flexible pour accueillir de nouvelles applications, de nouveaux systèmes, de nouvelles branches d’activités,

• identification et résorption des composants matériel et logiciels sous-utilisés,

• consolidation des actifs informatiques au sein d’une structure dans laquelle les services et les ressources sont administrés et délivrés à la demande.

Comment mesurer le degré d’agilité ?

Afin d’accroître l’agilité de l’entreprise, il est impératif de définir des critères mesurables. Il faut identifier les fonctions business qui sont réactives et celles qui sont figées. Dans cette optique, HP a développé, conjointement avec l’INSEAD, une mesure d’agilité selon trois dimensions :

Rapidité : vitesse à laquelle on peut mettre en place les changements d’infrastructure, comme par

exemple le temps nécessaire pour que l’entreprise soit capable de déployer une nouvelle application, de lancer la fabrication d’un nouveau produit, de bâtir une campagne promotionnelle, d’informer son réseau de distribution, etc.

Amplitude : profondeur du changement que l’on souhaite accomplir, de la modification mineure que l’entreprise peut absorber sans risque, à son bouleversement radical aussi bien sur son système d’information que sur ses méthodes.

Facilité : niveau d’effort humain, de coût et de risque nécessaire à l’accomplissement du changement.

4 principes fondateurs pour évoluer vers plus de souplesse

Simplification : réduire le nombre d’éléments, éliminer le spécifique, automatiser le changement. La

consolidation des serveurs est un bon exemple de simplification, car elle est porteuse d’élimination des

ressources sous-utilisées sur des plates-formes dispersées, de réduction des coûts d’administration

Standardisation : utiliser des technologies et des interfaces standard, implémenter des processus

standard. Cette standardisation permet d’éviter la formation de silos technologiques, desquels il est difficile de s’extraire sans une remise en cause complète des investissements.

Modularité : supprimer les systèmes monolithiques, créer des composants ré-utilisables, concevoir des architectures logiques. La modularité doit s’appliquer à tous les niveaux du SI pour que la

ne remette pas en cause les autres

modification opérant sur un module (routeur, serveur, application

composants. Elle est la clé de l’évolution vers l’informatique à la demande et l’Utility Datacenter.

)

Intégration : lier l’informatique au business, supprimer les silos, connecter les processus et les

applications au sein et à l’extérieur de l’entreprise. Cette démarche conduit à la mise en commun des ressources informatiques précédemment autonomes, conduisant ainsi à un meilleur taux d’utilisation de celles-ci. L’intégration est non seulement porteuse de réduction des coûts, mais améliore également la capacité et la rapidité de réaction à un changement, grâce à la simplification induite des processus.

Le chemin vers l’Adaptive Enterprise

Pour mener le système d’information, et par extension l’entreprise dans son ensemble, sur le chemin de l’Adaptive Enterprise, il convient de procéder par étape. Le métier, les contraintes et l’existant propres à chaque entreprise moduleront ce chemin, à la fois dans son envergure et dans sa durée. Cependant, les étapes fondamentales restent sensiblement identiques :

• Stabilité du business

• Efficacité du business

• Agilité du business

restent sensiblement identiques : • Stabilité du business • Efficacité du business • Agilité du business

b) Des systèmes d'information de plus en plus complexes et hétérogènes

Cette diffusion grandissante de l'informatique dans tous les rouages de l'entreprise entraîne une complexité accrue de la gestion d'infrastructures multiples, hétérogènes et évolutives. On arrive ainsi à un dilemme : alors que les infrastructures ne font pas partie du cœur stratégique et de compétences de l’entreprise, leur bonne gestion est cruciale pour des entreprises qui sont confrontées à des infrastructures de plus en plus complexes dont elles doivent avoir une maîtrise totale.

LAN

WAN

Wifi

Sécurité réseaux + systèmes

Serveurs

Serveurs

Serveurs

Serveurs

Systèmes hétérogènes

PRA

Les entreprises ont intégré au fur et à mesure de leurs besoins des serveurs supportant des applications dédiées qui ont chacun leur vie, leurs contraintes, leurs évolutions. Leur intercommunicabilité implique aussi de gérer non seulement chacun des serveurs informatiques, mais d’assurer des services transverses comme notamment la communication ou la sécurité.

Un exemple de transformation d’infrastructures complexes pour mieux répondre aux besoins client : Cofidis

A propos de Cofidis

En 1982, Cofidis lance le concept du crédit par téléphone en s'appuyant sur les compétences de ses 2 actionnaires :

Le groupe 3 Suisses International pour la vente à distance

CETELEM pour le crédit à la consommation

Aujourd'hui, Cofidis propose une gamme de crédits à la consommation : crédit permanent, prêt amortissable, cartes de crédit Cofidis.

Cofidis se positionne aujourd'hui comme le leader du crédit à la consommation.

Cofidis s’est dotée des moyens nécessaires pour vendre et gérer exclusivement à distance des crédits à la consommation et de trésorerie. Ces moyens incluent notamment le système d’information, qui se doit d’être fiable, sécurisé et réactif.

En 2003, Cofidis s’est trouvé confrontée à une impasse technologique : l’infrastructure en place n’ayant connu aucune évolution depuis 1998/1999, elle ne permettait plus aux conseillers de répondre efficacement aux demandes exprimées par les clients.

Pour répondre à de nouveaux besoins, notamment en termes d’industrialisation, de diminution des coûts et de simplification du système d’information, Cofidis a décidé de s’appuyer sur MIBS qui l’a conseillée à tous les niveaux du cycle de vie des infrastructures.

« La proximité, l’expertise, le savoir-faire transverse ont été des éléments clés dans notre choix. MIBS a su apporter le conseil, l’expérience et les bonnes pratiques nécessaires à la mise en œuvre de projets

complexes, structurants pour Cofidis. » souligne Michaël Caraux, Responsable de l’Architecture technique chez Cofidis. Maître d’œuvre et partenaire conseil, les équipes de MIBS se sont associées à celles de Cofidis afin l’accompagner sur quatre projets de migration lourds:

Evolution et pérennisation : migration Tru64 vers HP-UX

Cofidis souhaitait basculer son environnement de base de données, auparavant sur des plates-formes Tru64 avec Informix, vers une architecture HP (Itanium) HP-UX, avec Oracle.

MIBS a réalisé une assistance à maîtrise d’œuvre technique afin d’aider Cofidis à définir l’architecture, ainsi que les moyens d’exploitation les mieux adaptés aux besoins (Plate-forme Unix, stockage, sauvegarde).

Déploiement : la première intégration MC/SG Itanium en France

L’objectif de Cofidis dans ce projet était double : d’une part, migrer d’une solution COMPAQ TRU64 vers une technologie HP Itanium cluster MC/SG 4 nœuds et, d’autre part, migrer Informix vers Oracle.

MIBS a mis en œuvre la plate-forme technique et accompagné Cofidis dans sa migration en retenant les solutions suivantes : 6 HP, rx2600, 3rx5670, 1 rx620, 3 baies EVA5000, clusterisation MC/Service Guard.

« Cette migration nous permet aujourd’hui d’avoir une plate-forme ouverte au standard du marché et cette nouvelle architecture, plus évolutive nous permet d’envisager la création de nouveaux produits pour notre clientèle, chose impossible avec l’ancienne solution. » explique Michaël Caraux « Quelques mois après la mise en place de cette nouvelle plate-forme, nous constatons déjà une diminution par 2,5 des temps de traitement des batch. La qualité de service offerte aux conseillers est désormais optimale.»

Exploitation : des outils pour superviser

Cofidis utilisait les outils de la gamme HP pour superviser l’infrastructure technique. Il s’agissait donc de faire vivre cet outil, former les équipes et les aider à industrialiser la solution. MIBS a réalisé l’audit de la plate-forme NNM OVO et présenté ses préconisations dans le cadre d’un rapport détaillé.

Blade : une approche consolidation

Cofidis souhaitait diminuer son coût de possession de serveurs.

MIBS a opté pour la mise en place d’une solution Blade et des outils d’administration liés, afin de diminuer le coût d’achat par serveur, industrialiser le déploiement et consolider la supervision.

Quelles réponses apporter pour assurer un bon accompagnement du cycle de vie d'infrastructures en constante évolution ?

La forte demande informatique de ces dix dernières années a entraîné notamment une explosion des équipements distribués. Leur gestion a nécessité la mise en place de stratégies pour mieux maîtriser le coût et la qualité de l’informatique ; on en mentionnera trois grands axes :

La mise en place d'une véritable gouvernance du système d'information,

L’industrialisation du système d’information

L’appel à une sous-traitance maîtrisée capable d'intervenir par des offres sélectives ou de bout en bout pour aider à faire évoluer le système d’information, en s’appuyant sur une expertise pointue venant renforcer les compétences internes.

a) La gouvernance du système d'information

La gouvernance du système d'information n'est plus un vain mot ! elle s'inscrit dans la gouvernance plus générale de l'entreprise dont la mise en œuvre s'est accélérée sous les pressions réglementaires telles que la loi Sarbanes-Oxley ou l’IFRS. Le management se doit d’appliquer le principe de gouvernance globale à son organisation afin d’éviter toute dérive comportementale ou décisionnelle (ex. : grandes affaires type Enron, Worldcom…) Par ailleurs, l’environnement dans lequel les sociétés évoluent s’est considérablement complexifié. On constate ainsi le renforcement des attentes clients d’une part et l’accroissement des exigences des actionnaires d’autre part.

Actionnaires Clients Organisations Pression sur la valeur délivrée publiques ou privées Pression sur les
Actionnaires
Clients
Organisations
Pression sur la
valeur délivrée
publiques ou
privées
Pression sur les
performances

La gouvernance du SI consiste à piloter l’activité et les ressources IT de l’organisation selon les orientations stratégiques définies par le management, lequel peut ensuite transmettre une information fiable et cohérente aux actionnaires.

Pyramide des acteurs de la gouvernance IT La gouvernance du Système d’information a pour tâche,

Pyramide des acteurs de la gouvernance IT

La gouvernance du Système d’information a pour tâche, entre autres, de repérer les risques majeurs issus de l'informatique : pannes, menaces sur la sécurité, sinistres, défaillances de sous-traitants, risques projets et elle doit mettre en œuvre les moyens qui vont minimiser ces risques.

La gouvernance IT, à l’image d’un outil de pilotage, s’appuie sur une évaluation permanente des performances de l’organisation par rapport aux objectifs fixés par le management et comparées à celles de la concurrence. On établit généralement une matrice d’évaluation qui porte sur 8 axes clés d’analyses :

Le contrôle de l’alignement du SI sur la stratégie d’entreprise et ses processus organisationnels et fonctionnels,

La mise au point du plan d’architecture et de développement du SI (planification des projets et allocation des ressources),

L’évaluation des risques technologiques et structurels liés à la maturité des processus et des infrastructures,

L’évaluation de la valeur ajoutée dégagée par le portefeuille projets de la DSI,

L’appréciation

infrastructures…),

du

coût

des

ressources

informatiques

utilisées

(ressources

humaines,

La gestion des ressources humaines (disponibilité et compétences) en accord avec le plan de développement du SI,

La mesure des performances des services délivrés par les divers outils et systèmes informatiques,

L’évaluation de la transparence vis-à-vis des budgets informatiques et des moyens de contrôle appliqués.

Un des points majeurs de la gouvernance du SI : la sécurité, mais comment l’aborder ?

La gestion de systèmes complexes et ouverts passent obligatoirement par une réflexion sur la sécurité et les mesures à prendre pour en garantir un maximum de sécurité.

La norme BS7799 forme un guide de recommandations structurées qui définit un processus pour mettre en place une politique de sécurité dans l’entreprise.

Cette norme définit un code de bonnes pratiques pour la sécurité de l’information en entreprises, autour de plusieurs axes majeurs, tels que notamment :

La politique de sécurité

L’organisation de la sécurité

Les biens sensibles et la classification des informations

La sécurité appliquée aux personnes, aux locaux

La communication et l’exploitation

Le développement et la maintenance

La continuité

Chacun des axes donnent lieu à une procédure d’analyse visant à évaluer la sécurité, en définir les objectifs, à déployer les solutions de sécurité retenues, les évaluer et les contrôler et les faire évoluer dans le cadre d’un processus d’amélioration continue.

La bonne intégration des normes BS7799 peut être certifiée.

Parallèlement à cette norme, quelles sont les étapes à suivre pour être sûr d’avoir abordé toutes les problématiques de sécurité ?

La question a été posée à Jérôme DEROUVROY Consultant Réseaux et Sécurité chez MIBS CISSP, Lead auditor BS7799

« La sécurité, dans une entreprise, est souvent réduite, dans un premier temps, au périmètre de l’informatique. Evaluer sa sécurité, c’est trop souvent demander au responsable réseau si l’accès Internet est filtré correctement, ou au responsable système si tous les postes de travail sont pourvus d’un anti-virus. Cette vision est certes réductrice, mais encore trop souvent rencontrée.

« La politique, en matière sécurité, ne doit pas dépendre de la technique. Au contraire, c’est la technique qui dépendra de la politique élaborée. »

C’est à partir de ce constat, de prime abord surprenant, que doit se bâtir une stratégie de protection du patrimoine de l’entreprise, à l’initiative de personnes ayant la mission de faire fructifier ce patrimoine :

la direction.

Une politique de sécurité est un ensemble formalisé d’éléments stratégiques, de directives, de procédures et de règles organisationnelles et techniques, ayant pour objectif la protection des systèmes d’information d’une entreprise.

Rédiger une politique de sécurité, c’est donc réaliser un document qui puisse s’appliquer à l’ensemble des salariés de l’entreprise, suffisamment général pour que, d’une part chaque personnel de l’entreprise puisse s’y référer et le décliner à ses propres besoins, et suffisamment concis, pour que, d’autre part, chacun puisse y trouver, clairement exprimés, les principes de bases de la Sécurité. Ceci se déroule généralement en plusieurs étapes : 4 ou 5 selon les cas.

La première étape est une étape de formalisation, consistant à définir le projet de rédaction de la

politique de sécurité : acteurs, organisation, périmètre et moyens. Du sérieux de la réalisation de cette

étape dépendra la crédibilité du document final. Il est important que le groupe de travail réunisse les principaux représentants de chacune des branches de l’entreprise.

La seconde étape consiste à constituer le référentiel documentaire nécessaire. Ce référentiel

rassemble l’ensemble des textes, des lois, des obligations contractuelles auxquels est soumise l’entreprise, mais aussi les documents internes, souvent oubliés, tels que schémas directeurs, et autres

rapports d’audit.

Une fois le référentiel constitué, l’étape suivante consiste à synthétiser l’ensemble des informations,

pour définir les éléments stratégiques, et les besoins en termes de sécurité : qu’est-ce qui doit être protégé, l’accent est-il à mettre en confidentialité, en intégrité, en disponibilité, en traçabilité, … ? Cette étape peut être déroulée implicitement ou, mieux, faire l’objet d’une étude approfondie à travers une analyse de risque.

A l’issue de cette synthèse, il faut sélectionner les principes généraux de sécurité et à élaborer les

règles que l’entreprise veut voir respecter en son sein. Une fois le travail de réflexion effectué, un travail

de formalisation rédactionnelle est à fournir pour livrer un document rédigé de façon simple, dans un langage « vulgarisé » compréhensible par l’intégralité du personnel, signé par la direction.

Cette politique de sécurité « mère » sera par la suite déclinée en politiques de sécurité « filles », appliquées à des domaines spécifiques (exemple : politique de sécurité des accès distants).

Une fois la politique de sécurité rédigée, il est important de la mettre en place, et c’est là que les outils interviennent. Le responsable réseau va appliquer la politique de sécurité pour filtrer les accès extérieurs (politique de sécurité appliquée par le firewall), le responsable de messagerie va appliquer la politique de sécurité pour les e-mails (type de pièce jointe autorisée, taille, …)…

En résumé, la politique de sécurité exprime la volonté de la direction de pérennisation de l’entreprise, étape indispensable mais malheureusement pas suffisante dans un contexte de concurrence économique difficile, voire hostile

b) L’industrialisation du système d’information

L’industrialisation du système d’information passe aujourd’hui par plusieurs leviers de transformation :

L’urbanisation du système

complexes et leurs évolutions

d’information qui va aider à

maîtriser la

gestion d’infrastructures

La virtualisation du système d’information qui va optimiser les infrastructures

Les architectures orientées services qui vont apporter une grande flexibilité au SI.

La mise en place de méthodologies et de normes qui va servir à créer un langage de compréhension commun des tâches à réaliser

Les leviers de l'industrialisation du SI L’urbanisation du système d’information Le système d’information,

Les leviers de l'industrialisation du SI

L’urbanisation du système d’information

Le système d’information, pour s’aligner sur la stratégie d’entreprise, doit être suffisamment agile et réactif et supporter sans déboire tout changement organisationnel ou structurel. Or, le SI d’une organisation est comparable à une cité urbaine dont l’histoire et le patrimoine sont en perpétuelle évolution : Héritage du passé et architectures modernes se superposent avec plus ou moins de cohérence. Ainsi, l’urbanisme originairement appliqué à la rationalisation des villes et de leurs infrastructures s’est étendu au monde de l’entreprise pour finalement devenir un nouveau concept lié à l’architecture informatique : l’urbanisation du SI.

Une démarche d’urbanisation peut de dérouler selon trois étapes:

• Tous les domaines fonctionnels de l’entreprise (production, administration…) sont détaillés en

processus puis modélisés. Cela permet d’identifier les éventuelles redondances et éliminer certaines tâches non créatrices de valeur.

• Ensuite, la DSI réalise une cartographie du système d’information qui lui servira de référentiel unique.

Cette étape consiste à recenser toutes les bases de données et applications de l’entreprise et à identifier les fonctionnalités qu’elles remplissent.

• L’ultime étape de l’urbanisation correspond à la mise en correspondance cohérente (grâce à des règles

d’échanges, de synchronisation…) des processus fonctionnels avec la cartographie du SI, pour créer un système cible rationalisé, plus modulaire et mieux maîtrisé.

La virtualisation du système d’information

La DSI est aujourd’hui confrontée à la nécessité de rendre de plus en plus flexible ses capacités de traitement et de stockage pour les adapter aux demandes des utilisateurs, tout en justifiant de l’efficacité et de l’efficience de chacun de ses projets et investissements. Les budgets informatiques de plus en plus serrés couplés à des besoins utilisateurs croissants, obligent les responsables informatiques à rationaliser et consolider leurs investissements.

La maturité technologique de la virtualisation vient à point nommé dans pareil contexte. Elle permet une maîtrise et une flexibilité plus aisées et nettement moins coûteuses du stockage des données de l’entreprise.

La mise en commun d’éléments de stockage physiques (serveurs, connecteurs…), jusque là indépendants, décuple les possibilités de stockage de l’entreprise. Plusieurs environnements cohabitent de manière parfaitement indépendante et indifféremment du serveur qui les supporte. La virtualisation permet donc de libérer 100% des ressources d’un serveur physique, généralement utilisé à moins de 20% de ses capacités en raison des incompatibilités inter-applications.

D’un

identifiables :

point

de

vue

budgétaire

et

managérial,

les

gains

de

la

virtualisation

sont

rapidement

Optimisation des ressources (regroupement des applications sur un espace global de stockage restreint, grâce à une partition plus élevée des serveurs),

Interchangeabilité des supports physiques (réduit l’impact pour les utilisateurs lors d’une panne, et permet de libérer facilement des espaces libres dévolus aux tests par exemple),

Amélioration de la performance (espace de stockage plus rapidement disponible),

Réduction des coûts d’infrastructure (baisse du nombre serveurs et de connecteurs nécessaires),

Diminution des coûts d’administration en relation avec la diminution du nombre de serveurs,

Réduction des coûts indirects (espace au sol, énergie, climatisation).

Les architectures orientées services

C’est la méthode par laquelle on conçoit, on définit et on construit des applications en utilisant des blocs applicatifs réutilisables appelés Services.

Les Services sont des fonctions clairement définies, indépendantes de la plate-forme technique et de l’état des autres services. À la différence de l’orienté objet, les données ne sont pas forcément liées aux traitements.

Cette collection de services hétérogènes, interopérables et faiblement couplés permet de créer et d’exécuter des applications composites et/ou des processus métiers.

Urbanisation des SI Implémentation nouvelles Architectures Orientées Optimisation des Réduction des coûts
Urbanisation des SI
Implémentation
nouvelles
Architectures
Orientées
Optimisation des
Réduction des coûts
processus

La mise en place de méthodologies et de normes

La mise en place d'outils servant à définir des process communs ou des normes standardisées apporte un langage de travail homogène entre tous les partenaires travaillant sur les infrastructures : la norme BS7799 sur la sécurité permet de mesurer le niveau de sécurité du système d'information, tandis qu'ITIL, une standardisation des process autour des infrastructures, apporte de la cohérence dans les interventions des différents prestataires.

c) L'appel à une sous-traitance spécialisée

La complexité des infrastructures implique de faire appel à des partenaires à forte compétence qui vont pouvoir intervenir :

• soit par des offres de "bout en bout" pour accompagner le cycle d'évolution des infrastructures et les besoins de l'entreprise dans le temps,

• soit par des offres plus ponctuelles sur des expertises pointues dont l'entreprise a besoin tout au long de la vie de ses infrastructures.

L'accompagnement de "bout en bout" peut inclure du conseil, bon nombre d'entreprises considérant que le conseilleur est bien placé pour mettre en œuvre ses recommandations. Il va inclure aussi du déploiement d'infrastructures jusqu’à son éventuelle exploitation.

Le conseil, en définissant les évolutions à apporter (optimisation des architectures par rapport à leur

coût, leur alignement métier, leur plates-formes techniques) ou en accompagnant le maître d’ouvrage dans

ses projets

Le déploiement, en prenant en charge le déploiement des nouvelles infrastructures

L’exploitation, en gérant sur site ou hors site, les infrastructures dans un cadre de responsabilité globale pluri-annuelle avec des engagements de services bien définis.

avec des engagements de services bien définis. Quel est l'intérêt de faire appel à l'extérieur

Quel est l'intérêt de faire appel à l'extérieur pour gérer et faire évoluer ses infrastructures ?

L'entreprise va y trouver plusieurs avantages, selon le profil du prestataire :

Une compétence pointue, voire dédiée sur les infrastructures avec des lignes de force par plate-forme

technologique, par type d'applications (stockage, messagerie,…), ou bien encore par prestations. Dans tous les cas, ces compétences forment le cœur de métier du prestataire à la différence de l'entreprise utilisatrice pour laquelle elles ne sont qu'un levier de gestion de ses activités,

Un apport d'expérience et de solutions déjà rencontrées dont va profiter le client.

Un devoir de conseil de la part du prestataire face aux décisions techniques que la société prend.

Un appui en méthodologie et en outils.

Un exemple d’appel à la sous-traitance : le PRA (Plan de Reprise d’Activité)

Les entreprises sont conscientes aujourd’hui que la continuité d’activité est une nécessité vitale de leur survie : mais comment la garantir face à des risques multiples liés aux pannes et aux sinistres ? comment l’anticiper et la gérer en période de crise ?

Il est important d’adopter une démarche méthodologique précise afin d’établir un plan de reprise d’activité efficace : une aide par une société extérieure capable d’accompagner la société dans sa démarche, de la conseiller et de mettre en œuvre les moyens décidés s’avèrent souvent utiles pour réussir son PRA dans l’ensemble de ses composantes. Le PRA, schématiquement, va s’articuler autour de trois pôles d’action :

Une phase de diagnostic

Analyse des besoins de l’entreprise en continuité de services par activités, en définissant plusieurs axes : les ressources humaines, les données, les moyens informatiques et télécommunications.

Inventaire

l’entreprise.

des

moyens

existants

pour

assurer

cette

continuité

dans

Une phase de préconisation et de mise en oeuvre

Définition des priorités d’activités.

les

différentes

strates

de

Établissement des moyens à mettre en œuvre pour un plan de reprise en cas de crise.

Une phase de test

Établissement de tests pour valider la solution retenue.

Renouvellement régulier des tests.

PRA : la méthodologie MIBS

La démarche de mise en place d’un PRA, que MIBS déploie dans le cadre plus large du plan de continuité d’activité, se décompose de la façon suivante :

Analyse fonctionnelle des enjeux métiers : Il s’agit de définir avec le plus de précisions possibles le coût d’arrêt du SI (pour l’entreprise) et les attentes de la mise en œuvre du PRA. Pour cela, nous recensons les applications à sécuriser, au sens métier utilisateurs.

Audit technique du système d’information : Il va servir à évaluer la capacité du SI à •répondre aux

besoins ou enjeux de l’étape précédente. Pour cela, il faut connaître les ressources du SI et de les cartographier. MIBS définit les flux d’informations entre chaque système pour connaître les interdépendances des différents systèmes. Les procédures et les process de fonctionnement de la DSI sont

également à prendre en compte.

Une fois que ces deux premières briques sont réalisées : analyse des enjeux business et analyse du système d’informations, MIBS compare ce dont le client dispose en terme d’infrastructure, et les objectifs fixés initialement.

Analyse des écarts et des risques : La réalisation de cette analyse permet de chiffrer précisément les

capacités du SI à rendre le service attendu. On mesure le coût du risque en incluant son occurrence et son

type.

Conception de solutions : La solution est conçue en fonction des études préalables. Elle peut être

technique (nouvelle architecture), fonctionnelle (mise en place de procédures) ou organisationnelle (réorganisation du SI). A la fin de cette étape, le client possède tous les tenants et aboutissants, et est en mesure de décidé d’un GO/ NOGO.

Mise en œuvre de la solution : Une fois que l’on a défini l’architecture, qui s’appuie sur des technologies et sur un projet, nous réalisons celui-ci.

Suivi régulier : Après avoir testé le PRA mis en place, le maintien en condition opérationnel devient

incontournable. L’arrivée de nouvelles applications, de nouveaux services, l’obsolescence des infrastructures conduisent à une remise en questions perpétuelle de l’architecture, des procédures Le cadrage initial, l’analyse de l’existant et la capacité d’adaptation du SI sont les facteurs clefs de succès de la mise en place d’une solution de PRA.

Réussir la sous-traitance en services autour de ses serveurs critiques : quelques règles

Définir un périmètre d'intervention pouvant aller d'une demande ponctuelle à un accompagnement plus global.

Sélectionner un prestataire dont les compétences en services d'infrastructures soient le cœur de métier.

Repérer ses compétences en outils et process.

Déterminer ses modalités d'intervention selon des niveaux de services en adéquation avec les besoins utilisateurs.

La sous-traitance : un marché très dynamique, spécialement autour des infrastructures

Un poids considérable des infrastructures dans la dépense informatique

La dépense informatique en France a atteint 70 milliards d'euros en 2005.

Elle recouvre l'ensemble des dépenses internes et externes des entreprises en informatique (personnel, matériel, sous-traitance, réseaux).

48% de cette dépense sont liés aux infrastructures : dépenses en matériels, personnel interne dédié à l'exploitation, sous-traitance autour des serveurs, des PC et des réseaux.

On voit que l'optimisation des infrastructures et leur bonne gestion ont un impact direct sur le montant et l’évolution de la dépense informatique !

Dépense informatique 2005 :

70 milliards d'euros

Dépenses autour

des

infrastructures

48%

2005 : 70 milliards d'euros Dépenses autour des infrastructures 48% Dépenses autour des applications 52%

Dépenses autour

des applications

52%

Une forte demande de sous-traitance autour des infrastructures

La dépense de sous-traitance en services autour des infrastructures représente 9,7 milliards d'euros en 2005. Elle évolue au fil des années vers des contrats récurrents, mais garde néanmoins une forte dynamique en conseil et en réalisation (soit en régie, soit au forfait). Elle se décline selon différentes prestations allant du conseil à l'infogérance en passant par les projets.

Les infrastructures : les différentes formes de sous-traitance

à l'infogérance en passant par les projets. Les infrastructures : les différentes formes de sous-traitance Page

Des prestataires apportant des offres multiples adaptées aux besoins diversifiés des entreprises

Des prestataires apportant des offres multiples adaptées aux besoins diversifiés des entreprises Page 20

Les infrastructures des entreprises vont elles devenir encore plus critiques dans l'avenir ?

À coup sûr la réponse est positive. Ne serait ce que par les besoins croissants des entreprises de construire puis de gérer leur base de connaissances, mais aussi d'y accéder rapidement : une des richesses de l'entreprise va résider de plus en plus dans sa capacité à accéder à l'information et d'y réagir : c'est le cœur de la business intelligence qui présuppose une infrastructure capable de saisir cette connaissance, de la gérer, de la stocker puis de la restituer.

C’est pourquoi le concept d’ILM (Information Life Cycle Management) a pénétré dans les entreprises afin d’avoir une démarche globale de gestion de l’information circulant dans l’entreprise, à la fois du côté des données que du côté des documents non structurés, afin d’assurer une fluidité d’accès à cette connaissance. La gestion efficace du patrimoine d’informations d’une entreprise fera de plus en plus partie de son capital et de sa valeur ajoutés.

Parallèlement à ces besoins croissants de gestion de la connaissance, les pressions pour une gouvernance d’entreprise encore plus effective avec les contraintes réglementaires de transparence des activités, de meilleure maîtrise des risques, vont obliger les entreprises à valider encore plus la solidité de leurs infrastructures. Plus le système d’information tend vers une meilleure adéquation des services qu’il fournit à ses utilisateurs avec leur environnement métier, plus le socle des infrastructures devra être solide et transparent dans l‘évolution des besoins : c‘est un des challenges majeurs du DSI !

Qui est MIBS ?

MIBS Infrastructure et Services est né du regroupement en 2005 de Medasys Infrastructures et Services et IB Solutions.

Fort de 250 personnes, MIBS intervient comme architecte des infrastructures critiques du système d'information et offre des services d'intégration globale d'infrastructures sécurisées, complexes et hétérogènes.

MIBS décline son rôle d’intégrateur grâce à des compétences en administration et supervision du SI, en architecture réseaux, en stockage et en sauvegarde. Il intervient aussi pour définir et mettre en œuvre des plans de reprise d'activité et des plans de sécurité globale.

Grâce à ses agences couvrant l'ensemble de la France, MIBS peut assurer l’ensemble des services de proximité nécessaires au déploiement de nouvelles infrastructures.

MIBS forme ainsi, grâce à son positionnement sur les prestations autour des infrastructures critiques, la charnière indispensable entre constructeurs et intégrateurs fonctionnels.

Quelques grandes entreprises qui ont fait confiance à MIBS

TELECOMMUNICATIONS ET HEBERGEMENT :Alcatel, Bouygues Telecom, Evolium, France Telecom, Orange, Tiscali BANQUE ASSURANCES : AON, Axa, Banque de France, BNP, Caisse d’Epargne, CDC Ixis, CLC Bourse, Cofidis, Covefi, Crédit Agricole, Crédit du Nord, Crédit Lyonnais, GIE MMA SI, GPA Assurances, ING Direct, SMABTP INDUSTRIE : Aigle, Airbus, Alstom, Astrium, Aventis, Axalto, Carrier Transicold, Danone, Davigel groupe Nestlé, Ducros, EADS, EDF, Framatome, JC Decaux, kookaï, Lapeyre, Lindt Sprungli, Renault, Sagem, Schlumberger, Snecma, STMicroelectronics, Thalès SERVICES : Accenture, ANCV, Atos Origin, Cerberus, CSP, Delmas, DHL, Experian, Leroy Merlin, Monoprix, PriceWaterhouseCoopers, RATP, RFF, Seita groupe Altadis, SNCF ADMINISTRATION ET SANTE : Centre hospitalier René Dubos, CNRS, Hospices Civils de Lyon, Ministère de l’Économie et des Finances

Quelques exemples de projets clients

COFIDIS : accompagnement de Cofidis dans la migration de matériels, de systèmes d’exploitation et de bases de données. Mise en oeuvre et déploiement de la migration d'une solution Digital VMS vers HP Itanium et Informix vers Oracle LAPEYRE : mise en oeuvre des infrastructures ERP (Peoplesoft) et CRM (E-Piphany) VEOLIA : environnementMigration de plate-formes de développement et de production HP OpenView v6 vers v7 sur Sun Solaris GROUPE DAUPHINOISE / RHONALPSERVICES : mise en oeuvre d'une solution de sauvegarde centralisée. Mise en oeuvre d'une infrastructure de consolidation de serveurs. MANA (opérateur télécom) : gestion du parc réseau, mise en oeuvre de solutions de mesure de bande passante et qualité de service. ONERA : refonte du réseau : préparation du design, déploiement et intégration de la solution

Nom

MIBS Infrastructure & Services

Localisation

MIBS / IB-Group (siège social France) 24, rue Saarinen BP 60253 94568 RUNGIS Cedex

Dirigeants

Loïc Villers, Directeur Général d’IB-Group et PDG de MIBS Frédéric Vaillant, Directeur Général MIBS Jacques Meunier, Directeur Général MIBS

Chiffres clés du groupe

Chiffres d’affaires au 31/03/05 : 90M € Capitaux propres : 25 M € Coté Euronext, Segment Next Economy, compartiment C

(IB Group)

Activité

Architecte du Système d’Information. Né de la fusion entre Medasys Infrastructure & Services (France et Suisse) et IB Solution, MIBS se positionne sur toutes les composantes du système d’information en tant qu’intégrateur global d’infrastructures sécurisées.

Effectifs

Effectifs Groupe : 330 personnes Effectifs MIBS : 250 personnes

Expertises

Administration et supervision du SI, Architecture réseaux, Infrastructures systèmes/stockage/sauvegarde, Qualité de service et Performances, Plan de reprise d’activité, Sécurité globale du système d’information.

Implantations

Une présence régionale forte à travers un réseau de 8 agences Ile-de-France, Lyon, Lille, Rennes, Bordeaux, Rouen, Aix-en-Provence, Toulouse