La virtualisation PAGE 8

LA RÉFÉRENCE TECHNIQUE DES PROFESSIONNELS DE L'INFORMATIQUE

n°72

Bim

estr

iel -

mar

s/av

ril2

008

- 16

e

Cartographie des SI :Observez le présent et vivez l’avenirPAGE 35

SOA et la déverticalisationde l’industrie du logiciel PAGE 29

La virtualisation PAGE 8

Vers une professionnalisation des tests au service

de la rentabilité de l’entreprisePAGE 16

Sécuriser les environnements applicatifs sous CitrixPAGE 42

EN SAVOIR PLUS

Demandez le Livre Blanc rédigé par leGartner Group et CAST sur ce thème :« Information Series on ApplicationManagement » :www.castsoftware.com/outsourcing

Découvrez l’expérience de plusieurssociétés utilisatrices de solutionsd’Application Intelligence :www.castsoftware.com/customers

ZOOM OUTSOURCING

L’AVIS DES DIRECTIONS INFORMATIQUES

Ministère des FinancesDirection Générale des ImpôtsNadine ChauvièreSous-Directrice des SI de la DGI

« Les solutions d’Application IntelligenceCAST nous aident à obtenir une meilleure visi-bilité de notre parc applicatif au travers detableaux de bord composés d’indicateurstechniques objectifs afin de faciliter le dialogueavec les équipes et avec nos maîtrises d’ou-vrage. »

Groupe SFR CegetelEric EteveDirecteur InformatiqueCentre Ingénierie Mobilité

« La solution CAST de gestion de la sous-traitance est un élément clé dans le systèmede pilotage mis en place par SFR-Cegetelsur ses TMA. Nous avons constaté uneattention plus particulière apportée par lesSSII à la qualité des livrables et à la fiabilitédes chiffrages depuis qu’ils savent que nouspouvons facilement les auditer »

Framatome - Groupe AREVAMichel FondevioleDSI de Framatome-ANP

« CAST fournit des critères objectifs d’appré-ciation dans le dialogue parfois difficile avecle sous-traitant ainsi que des indicateursnécessaires au suivi de l’évolution des appli-cations et constitue au sein de Framatomeun outil de progrès partagé. »

Les entreprises, devenues plus mûres

vis-à-vis de l’outsourcing, sont désor-

mais capables d’opérer des externali-

sations plus stratégiques. On l’a récemment

observé dans l’automobile avec Renault ou dans

la grande distribution avec Carrefour.

Dans l’externalisation des applications métier,

c’est surtout la volonté d’accroître l’efficacité

opérationnelle de l’informatique qui est motrice :

pouvoir fournir plus rapidement un service à

valeur ajoutée aux utilisateurs et aux clients dans

un contexte en perpétuelle évolution.

Comme dans n’importe quelle opération d’out-

sourcing, le contrat liant le fournisseur est capi-

tal, en particulier les SLAs. Néanmoins, les

applications métier étant par nature soumises à

de fréquents changements en cours de contrat,

les seuls SLAs se révèlent vite insuffisants pour

garantir la qualité de service et éviter les dérives

de coûts.

C’est là que le bât blesse : l’externalisation des

applications métier occasionne un risque de

perte rapide de savoir-faire technologique et

par conséquent critique. Vigilance et suivi sont

de mise pour garder le contrôle de la qualité

de service et éviter les dépendances par nature

dangereuses.

L’externalisation réussie d’applications métier

est donc le fruit d’une vision anticipatrice parta-

gée avec le prestataire. Sont ainsi apparues

des solutions dites d’Application Intelligence,

basées sur une technologie avancée d’analyse

de code source.

En fournissant des indicateurs techniques aux

donneurs d’ordre, ces solutions permettent de

piloter un parc applicatif sous-traité en temps

réel, tant en terme de qualité, que de maintena-

bilité et de coût. Résultat : le donneur d’ordre

conserve la maîtrise intellectuelle de ses appli-

cations métier et le contrôle de la relation avec

son sous-traitant.

La valeur ajoutée de ce type de solutions d’Ap-

plication Intelligence est visible à chaque étape

d’une opération d’outsourcing, comme décrit

ci-après.

Audit de l’existant et préparation des appels

d’offres

• Déterminer les caractéristiques techniques

du portefeuille applicatif existant avant de le

sous-traiter

• Disposer d’informations de référence pour

évaluer les propositions des sous-traitants

• Obtenir une image à l’instant t des applica-

tions pour permettre un suivi dans le temps

Transfert vers le prestataire

• Réduire la phase d’acquisition de la

connaissance pour entreprendre plus vite

des tâches productives

• Diminuer le coût lié à la production d’une

documentation exploitable et maintenable

par le prestataire

Contrôle de la qualité et des coûts en cours de

projet

• Suivre l’évolution de la maintenabilité et de

la qualité pour éviter toute dérive

• Etre capable de valider la quantité et la qualité

du travail facturé

• Etre en mesure de challenger le sous-trai-

tant lors des négociations d’avenants

• Industrialiser les recettes techniques

Renouvellement de contrat, transfert ou ré-inter-

nalisation

• Déterminer et qualifier les écarts entre la

prestation prévue et les livrables recettés

• Disposer des informations techniques

caractéristiques du portefeuille applicatif en

fin de prestation

Le leader mondial de ce type de solutions est

d’ailleurs un éditeur français, CAST. Reconnu

par les analystes informatiques comme pré-

curseur du marché, CAST compte plus 500

comptes utilisateurs de sa plate-forme d’Appli-

cation Intelligence dans le monde.

La maîtrise des applicationset des prestataires dansune opération d’outsourcing

Cycle de vied'une opération d'Outsourcing

Suivi de proje

t Contrôle des coûts

Transfert de connaissances

Fin de

contrat Appels d'offres

Rece

tte te

chni

que

www.castsoftware.com

Publi-Reportage

De la valeur ajoutée de l’ApplicationIntelligence pour piloter efficacementun parc applicatif sous-traité

Edito

Vers un monde informatique virtuel ?

Dans ce numéro, nous avons décidé d’aborderla virtualisation. Certes, il semblerait - une foisencore ? - que la presse fasse plus de bruit quele tiroir-caisse des éditeurs concernés.Toutefois, des entreprises commencent déjà à

témoigner de projets de virtualisation générant un retour en investisse-ment si rapide qu’il fait blêmir certains vendeurs matériels…

Et pourtant, elle tourne !Réduction des coûts et des surfaces, sous-utilisation des ressourcesmatérielles du parc informatique, explosion des volumes de données…Bref, un terrain très fécond pour les technologies de virtualisationaujourd’hui rôdées, efficaces pour les datacenters, et à portée debourse pour les PME/PMI. Certains objecteront que les serveurs-bladeapportent une partie de la réponse. Néanmoins, la limite est viteatteinte, et les constructeurs coopèrent fortement avec les éditeursd’outils de virtualisation, quand ils ne les rachètent pas ! Des démar-ches qui confirment cette orientation inévitable.Et si le frein majeur des décideurs informatiques était surtout psychologi-que ? De même que les responsables financiers à une époque, ou desressources humaines à une autre, tenaient fortement à préserver leursécritures sur du papier, certains DSI seraient-ils effrayés par la virtualisa-tion ? Seraient-ils finalement satisfaits de la règle « une application = unserveur » ? Pourtant, la virtualisation n’empêche nullement -bien aucontraire- le stockage physique. Mieux encore, ces technologies permet-tent de déployer des infrastructures à très haute disponibilité (et mêmeréplication en temps réel) à des coûts jusqu’alors inégalés.

Éditeurs : peut mieux faire…Deux arguments devraient pourtant atteindre les éditeurs. En premierlieu, l’incompatibilité entre les diverses solutions ne simplifie pas leséchanges et la coopération étroite entre serveurs virtuels, et mêmephysiques. Aujourd’hui, les éditeurs publient de plus en plus leurs for-mats, et la collaboration devrait s’accentuer puisque des acteurscomme Citrix, Microsoft et même Sun sont devenus « amis »…Seconde pierre dans leur jardin, l’administration et la supervision entemps réel des serveurs physiques et virtuels ne sont encore totale-ment possibles. Mais les choses seraient en cours de négociation entreéditeurs. À suivre. Pour les DSI et responsables d’architecture, la virtualisation offre de sinombreuses possibilités, qu’il serait totalement irresponsable de ne pass’essayer à ce type de technologies, que les plus importants héber-geurs d’applications critiques déploient déjà en masse. N’oublions pasqu’elles incarnent depuis des décennies l’un des arguments majeursdes mainframes qui assurent encore la plus grande part des transac-tions financières du globe.

José DizRédacteur en Chef

édito

EditeurPress & Communication FranceUne filiale du groupe CAST3, rue Marcel Allégot92190 Meudon - FRANCETél. : 01 46 90 21 21Fax. : 01 46 90 21 20http ://www.it-expertise.comEmail : [email protected]

Rédacteur en chefJosé DizEmail : [email protected]

Directeur de publicationAurélie MagniezEmail : [email protected]

Abonnements/PublicitéEmail : [email protected]

Conception GraphiqueC. GrandeEmail : [email protected]

ParutionIT-expert - (ISSN 1270-4881) est un jour-nal édité 6 fois par an, par P & C France,sarl de presse au capital de 60 976,61 e.

AvertissementTous droits réservés. Toute reproductionintégrale ou partielle des pages publiéesdans la présente publication sans l’autori-sation écrite de l’éditeur est interdite, saufdans les cas prévus par les articles 40et 41 de la loi du 11 mars 1957. © 1996P&C France. Toutes les marques citéessont des marques déposées.Les vues et opinions présentées danscette publication sont exprimées par lesauteurs à titre personnel et sont sous leurentière et unique responsabilité. Touteopinion, conseil, autre renseignement oucontenu exprimés n’engagent pas la res-ponsabilité de Press & Communication.

Abonnement01 46 90 21 21 Prix pour 6 numéros téléchargeables surle site www.it-expertise.com : 70 € TTC(TVA : 19,6%)

Un bulletin d’abonnement se trouveen pages 33/34 de ce numéro.

Vous pouvez vous abonner surhttp://www.it-expertise.com/Abonnements/Default.aspxou nous écrire à[email protected]

5IT-expert n°72 - mars/avril 2008

IT-expert n°72 - mars/avril 2008


SommaireDossierLa virtualisationClients légers, fermes de serveurs, stockage, serveurs et systèmes d’exploitation, la virtualisation

explose dans de multiples secteurs informatiques. Ce dossier montre les avantages et les bénéfices

de ces technologies, issues des grands systèmes. L’auteur souligne également le problème toujours

posé de l’administration des ressources virtuelles.

TechniqueVers une professionnalisation des tests au service de la rentabilité de l’entrepriseComment et pourquoi les tests deviennent-ils incontournables dans l’alignement stratégique et la

réduction des coûts ? Outre les éléments de réponse à ces questions, l’article explique l’industrialisa-

tion du processus, détaille les principales familles de tests, et les normes les plus usitées.

Actualités InternationalesLes informations marquantes d’éditeurs, de marchés, d’organisme de standardisa-tion, de débats en cours et de tendances.

Quoi de Neuf Docteur ?SOA et la déverticalisation de l’industrie du logicielUn regard intéressant sur une orientation du marché informatique : l’émergence « d’éditeurs-construc-

teurs » et de « développeurs-équipementiers ». En reprenant l’exemple de l’automobile, l’auteur expli-

que pourquoi ce mouvement irréversible est essentiel pour les choix des DSI.

Comment ça marche ?Cartographie des SI : Observez le présent et vivez l’avenirLa complexification de l’informatique d’entreprise amène les DSI ou urbanistes à utiliser des solutions

de cartographie des systèmes d’information. L’auteur explique comment est organisé ce marché dyna-

mique, et quelles seront les nouveautés des outils de seconde et troisième génération.

LivresVirtualization for Dummies par Bernard Golden, Visibilité sur le web par Shari Thurow

Fenêtre sur courInterview de Philippe Ottin, responsable système et réseaux de la société Weishardt« Bien que ne disposant d’aucun informaticien sur nos sites distants, nous avons besoin d’une dispo-

nibilité maximale des applications du SI et d’une grande réactivité en cas de problème. »

Philippe Ottin rapporte comment la virtualisation a permis à Weishardt d’obtenir une architecture IT fia-

ble et disponible, avec un excellent taux de disponibilité du SI. La satisfaction des utilisateurs est au

rendez-vous, et peut se mesurer par des indicateurs précis entrant dans la politique d’Assurance Qua-

lité du groupe.

Rubrique à bracSécuriser les environnements applicatifs sous Citrix La virtualisation accélère le déploiement de la solution phare de Citrix. L’auteur explique pourquoi de

nouvelles failles sont à considérer, et explique comment les cloisonnements physique et logique peu-

vent apporter des réponses efficaces.

8

16

24

29

35

39

40

42

LA VIRTUALISATION

Dossier & Interviews

8 IT-expert n°72 - mars/avril 2008

La virtualisation existe depuis longtemps sur les grands systèmes IBM et consorts. À l’époque, il est vrai,les systèmes propriétaires et le matériel propriétaire régnaient en maître sur des budgets considérables, liésaux coûts des Mainframes. Cet aspect « propriétaire » facilitait néanmoins l’interaction entre le matériel etles systèmes d’exploitation, et facilitait la démarche de virtualisation, également appelée partitionnement.

Ce concept de virtualisation a été remis au goût du jour il y a quelques années par VMWare notamment, dansle monde des architectures matérielles de type X86 (Intel, AMD…). Alors, la règle était « un serveur par appli-cation », ce qui entrainait une inflation galopante du nombre de serveurs dans la salle informatique, avectous ces corollaires : occupation de la salle machine, consommation électrique, charge de climatisation,charge d’exploitation, volume de sauvegarde. Au début des années 2000, les machines n’atteignaient pasle niveau de puissance actuel, et les coûts de la mémoire restaient prohibitifs. En outre, les capacités desmachines étaient plus limitées en terme de taille mémoire, d’espace disque et de performances des proces-seurs. VMWare était alors une startup, et ses produits surtout utilisés par les formateurs pour optimiser letemps de création des postes dans les salles de formation. Le succès n’arrivera que plus tard, avec la ful-gurance que l’on sait…

La virtualisation s’est aujourd’hui aventurée au-delà des frontières du seul système d’exploitation pours’immiscer dans de multiples parties du système d’information.

Il existe plusieurs types de virtualisation :• virtualisation des machines, qui virtualise le système d’exploitation ;• virtualisation d’application, aussi connue sous le nom de « streaming » ou encapsulation ;• virtualisation par déport d’affichage proposé par les solutions de client léger ;• virtualisation réseau ;• virtualisation stockage• ...


ment une gestion physique simplifiée des postes utilisateursdéportés, le déploiement des applications uniquement sur les fer-mes de serveurs, l’accès rapide à une nouvelle application, ouencore la continuité d’activité en cas de panne ou d’incident d’unserveur.

Les prérequis restent aussi contraignants qu’avec des postessous forme de PC, mais s’amenuisent au fil du temps. Et il fautêtre en mode connecté pour accéder aux services et disposerd’une application qui supporte le mode multi-utilisateur.

Un inconvénient majeur demeure, malgré ce transfert des appli-cations du poste client vers la ferme de serveur. En effet, l’applica-tion est bel et bien installée physiquement sur le serveur ; et lesincompatibilités en tout genre s’y manifestent joyeusement,depuis l’incompatibilité des librairies de fonctions (DLL) jusqu’àl’incapacité d’une même application à être publiée en plusieurslangues sur le même serveur. Jusqu’à présent, il n’existait qu’uneseule parade réellement efficace à ces problèmes : multiplier lenombre de serveurs de publication avec le risque de revenir à lasituation de départ « une application = un serveur ».

Les applications dans leur bulle

Également appelée streaming ou encapsulation, la virtualisationdes applications permet à un logiciel de s’exécuter dans une« bulle » sans impact sur le poste sur lequel elle s’exécute. Ce

Le client léger et ses fermes de serveur

La virtualisation proposée par les solutions de type client légerpermet d’utiliser une application sans en disposer sur son postede travail, ou sans disposer d’un réel poste de travail, mais seule-ment d’un terminal.

En ceci le fonctionnement est virtuel du côté poste de travail qui secomporte comme si l’application et les actions de l’utilisateurétaient traitées en local sur le terminal. De plus, il est possibled’exécuter deux applications strictement incompatibles entre ellessur ce même poste. Cela présente plusieurs avantages, notam-


poste pouvant être un simple PC ou une ferme de serveurs depublication type Citrix ou Terminal Server (TSE).

La démarche d’utilisation est la suivante : chaque application doitêtre encapsulée (packagée) au préalable par un administrateur,puis déposée sur un serveur de référence sur lequel le client d’en-capsulation viendra la chercher à la demande. Cette plateformegère généralement aussi les licences disponibles et assure lesuivi du nombre d’instances applicatives exécutées simultané-ment sur le réseau. Bien utile au moment d’établir ses besoins ennouvelles licences ou en période de renouvellement !

Cette solution présente de nombreux atouts :• Cohabitation d’applications incompatibles entre elles.

• Déploiement facilité, car les « bulles » applicatives sonthébergées sur des serveurs, et le client d’encapsulationinstallé sur chaque poste vérifie à chaque démarrage del’application le niveau de version dont il dispose. En cas deretard de version, la nouvelle est immédiatement téléchar-gée et exécutée sur le poste client.

• Gestion de la charge réseau. Et, ici le mot « strea-ming » prend tout son sens, car de la même façon qu’unfilm téléchargé à partir d’Internet peut être visionné dèsqu’un faible pourcentage du fichier est arrivé sur leposte, l’application peut se lancer dès qu’une partie ducode est téléchargée, le reste du code arrivant ensuiteau fil de l’eau.

• Gestion d’un cache disque local sur le poste : l’ad-ministrateur peut dédier une partie du disque dur duPC au stockage des lots applicatifs encapsulés pouraccélérer les prochains démarrages et permettre -cerise sur le gâteau- le fonctionnement de l’applica-tion en mode déconnecté. La gestion du cache estsuffisamment fine pour que l’administrateur puissedéfinir si une application « stratégique » peut ou nonêtre éjectée du cache en fonction des besoins selon larègle « first in, first out ».

Les nombreux avantages de cette solution n’empêchent pas uninconvénient majeur : si les « bulles » isolent les applications, lescommunications entre les applications s’en trouvent affectées(cas d’une application métier qui envoie un mail par exemple…).Les avantages sont nombreux et les grands éditeurs ne s’y trom-pent pas, car les rachats se multiplient. Microsoft a racheté Softri-city, VMWare a repris Thinstall, Citrix a acquis Ardence etdéveloppé son propre outil d’encapsulation pour PresentationServer 4.5. Si les différences techniques vont s’estomper peu àpeu, le mode de licences va évoluer et, dans un premier temps,différencier les acteurs.

Chez Microsoft, cette solution n’est disponible qu’au travers dusoftware assurance du système d’exploitation Vista, ce qui mal-heureusement risque d’en atténuer le déploiement. En effet,peu de sociétés acceptent ce surcoût lié au mode de licenceavec mise à jour intégrée de Microsoft. Il faut de plus acquérir leMicrosoft Desktop Optimization Package (MDOP) pour chaqueutilisateur.

Chez Citrix cet outil est lié à Presentation Server 4.5 Entreprise auminimum, ce qui nécessite un fonctionnement en mode publica-tion d’application. Là aussi, l’investissement financier et techniquerisque d’en effrayer plus d’un.

Reste à savoir ce que fera VMWare du rachat de Thinstall. Il estencore trop tôt pour le dire. Toutefois, Thinstall commercialisaitjusque-là son offre sous la forme d’un packager pour encapsulerles applications puis d’une licence par client utilisateur.

Virtualisation du système

Les acteurs majeurs de l’informatique consacrent actuellementbeaucoup d’énergie à la virtualisation du système d’exploitation.Cette démarche intègre dans la machine virtuelle l’ensemble deséléments constituant un ordinateur (entrées-sorties –bios-, pilotesmatériels, système d’exploitation, applications).

L’architecture supportant ces machines virtuelles se décompose entrois typologies de solutions : l’émulation, la traduction binaire directeet la paravirtualisation. Quelle que soit l’architecture, l‘objectif com-mun consiste à transférer les appels systèmes de la machine vir-


tuelle vers la machine hôte pour que ces appels soient exécutés etque le résultat soit remonté à la machine virtuelle.

La couche d’interprétation ajoutée impactera forcément les perfor-mances perçues. Le rôle des concepteurs de ces architecturesest donc de minimiser cet impact et d’apporter de nombreux avan-tages dans tous les autres domaines.L’émulationest le système permettant le plus de souplesse puisqueles machines virtuelles sont complètement émulées sur les machineshôtes. C’est-à-dire que chaque appel système de la machine virtuelleest capturé, puis interprété par la machine hôte. C’est l’architecturechoisie par VMWare pour construire sa solution.

L’inconvénient sur les performances est qu’il ne devrait pas êtrenécessaire de capturé-interprété chaque instruction. En effet, uncertain nombre d’instructions devrait pouvoir être exécuté directe-ment sans passer par la phase interprétation. L’idée est promet-teuse pour les performances, mais nécessite quelquesaménagements sur l’architecture des processeurs.

La traduction binaire directe consiste à trier les instructions pro-venant du système virtuel pour n’interpréter que celles qui pour-raient rendre instable le système virtuel.

La para-virtualisation privilégie la modification du système d’ex-ploitation virtuel pour que celui-ci utilise au minimum des instruc-tions devant être traduites par le système hôte. Cette approchelimite considérablement la souplesse de la solution puisqu’il estnécessaire d’avoir des versions spécifiques des systèmes d’ex-ploitation à virtualiser.

Les fondeurs de puces adaptent leurs technologies

Le problème principal de la virtualisation provient du fait que le jeud’instruction des architectures de nos ordinateurs (x86) n’est pasconçu pour supporter cette virtualisation à la base. En effet, les ins-tructions doivent être toutes capturées et interprétées. Outre la pro-blématique du jeu d’instruction, les appels mémoire sur l’ensembledu spectre d’un ordinateur virtuel doivent aussi être interprétés pourpointer sur la bonne adresse physique de l’ordinateur hôte. Enfin,les périphériques physiques générant des appels mémoire et desinterruptions doivent aussi être pilotés par l’hyperviseur. L’ensemblede ces interprétations impacte non seulement la complexité desoutils de virtualisation et donc leur fiabilité, mais aussi la perfor-mance globale de ces systèmes (même si l’augmentation de perfor-mance des machines hôtes peut cacher ce point).

L’approche des constructeurs de processeurs (INTEL et AMDprincipalement) consiste à proposer un complément dans le jeud’instruction initial des architectures x86 pour tenir compte desnouveaux enjeux de la virtualisation.Avec Intel-VT et AMD-V (ex-Pacifica), les deux constructeurs pro-posent d’ajouter une structure de contrôle et de nouvelles instruc-tions. Cet ensemble permet de basculer la machine virtuelle dumode virtuel au mode hôte pour exécuter les instructions sensi-bles.Intel et AMD prétendent ainsi augmenter considérablement lavitesse de fonctionnement des hyperviseurs, ce que VMWare

conteste en arguant que la différence n’est pas si sensible.La jeunesse de ces architectures et les performances déjà obte-nues permettent de leur prédire un avenir profitable pour aborderde manière plus mature l’approche de la virtualisation.

Mémoire et pilotes : peut mieux faire

La virtualisation de la mémoire et des entrées/sorties est bienavancée, mais n’est pas encore en production chez ces construc-teurs. Pour la mémoire, le but est d’intégrer au niveau de lamachine hôte pour chaque machine virtuelle une table de cor-respondance de la mémoire (entre l’adressage du système d’ex-ploitation virtuelle et l’adressage du système d’exploitation hôte).Cette opération permettrait d’adresser directement la mémoiresans faire intervenir l’hyperviseur.

Pour les périphériques, plutôt que d’utiliser le pilote de péri-phérique générique pour toutes les machines virtuelles quelquesoit le matériel réellement présent, il semble intéressant depouvoir monter directement le pilote du véritable périphériquedans la machine virtuelle et ainsi améliorer les performances etla simplicité du système.

Les évolutions des deux principaux constructeurs semblent fon-damentales pour faire évoluer la virtualisation. Il se posera alorsun problème : lequel choisir ? En fonction du choix, il faudra véri-fier l’adhérence au constructeur de processeur pour pouvoir choi-sir ses évolutions.

Des avantages et atouts déjà reconnus

L’approche à long terme semble très prometteuse, alors que lesavantages sur les architectures actuelles sont déjà connus etreconnus :

• Meilleure utilisation des serveurs. Sans virtualisation, lacharge CPU moyenne est de 10 % environ, alors autantl’employer à faire plus ;

• Reconstruction rapide d’une nouvelle machine, par copied’une machine existante ;

• Capacité à faire tourner des systèmes d’exploitation obso-lètes sur du matériel récent. Microsoft supporte ainsiencore Windows NT4 dans des machines virtuelles ;

• Cohabitation de plusieurs serveurs sur une seule machinephysique ;


• Augmentation simple et dynamique des ressources(mémoire, ressources processeurs) d’une machine en casde besoin ;

• En cas d’application d’un correctif, il est très simple defaire une copie (snapshot) de la machine virtuelle, d’appli-quer le correctif, puis si le correctif pose problème, derevenir à la version originale ;

• Idem avec une évolution applicative.

À ces bénéfices, il convient d’ajouter la facilité de transfert d’unemachine virtuelle d’un système physique à un autre, sanscontrainte matérielle identique puisque chaque machine virtuelleembarque son propre « hardware ». Ainsi, les contraintes demaintenance et de reprise sur incident (PRA et PRI) sont forte-ment simplifiées.On le voit les avantages sont nombreux.

Le revers de la médaille

Un certain nombre de voix s’élèvent pour mettre en garde les res-ponsables de Systèmes d’information sur les travers de la virtua-lisation dans certains domaines.

� La sécuritéQue se passe-t-il si la machine hôte est corrompue, ou si unhacker peut en prendre le contrôle ? Il peut alors verrouiller l’accèsaux machines virtuelles ou en détourner les données !La gestion des sauvegardes se complexifie elle aussi, car lesschémas traditionnels sont difficiles à appliquer : l’utilisationd’un agent par machine virtuelle peut se révéler onéreuse etpénalisante pour les performances. Les snapshots de machi-nes complètes (VCB de VMWare par exemple) sont certesrapides, mais peu souples et peu granulaires dans le cadre dela restauration.Deux pistes se développent actuellement : le snapshot interne àla machine virtuelle, qui permet une granularité de restaurationintéressante, et la sauvegarde continue avec une éventuelledéduplication des données sauvegardées. L’avenir semble être àmi-chemin de ces solutions selon la disponibilité demandée parles critères métiers.

� La disponibilitéSi ma machine hôte a une faiblesse, c’est l’ensemble des machi-nes virtuelles qui souffrent ou s’écroulent.Pour pouvoir profiter du déplacement à chaud des machines vir-tuelles (Vmotion chez VMWare par exemple) il est indispensablede mettre en place un espace SAN. Et si le SAN trébuche, cesont toutes les machines virtuelles qui tombent.

� L’administrationLa simplicité de création de nouvelles machines virtuelles inciteparfois les administrateurs à multiplier l’exercice ! Et on assisteencore au retour du concept « une application = un serveur » !Attention au coût des licences, car si une machine virtuelle n’a pasd’existence physique, elle existe logiquement et réclame doncune licence et pour le système d’exploitation et pour les applica-tions pour services déployés.D’autre part, les outils de déplacement à chaud de machines vir-tuelles brouillent parfois les cartes : où se trouve mon serveur deproduction ? Hier soir il était sur le serveur A, ce matin je leretrouve sur le serveur C, par la grâce du déplacement à chaud…On le voit la plupart de ces limitations sont contournables grâce àdu bon sens et un peu d’organisation.La disponibilité, qualité tant vantée de la virtualisation, peut seretourner contre elle. Pourtant si l’on prend soin d’estimer sérieu-sement son besoin de disponibilité selon des critères métiers(Quelles applications sont indispensables à l’entreprise ? Quelsdélais de reprise sont tolérables ? Quelle perte de données estacceptable sans entraîner de ressaisie fastidieuse ?) plusieurssolutions s’offrent à l’administrateur :

• Sauvegarde à intervalles réguliers des machines virtuellesou de leur contenu (si le délai de reprise se compte enheures…),

• Sauvegarde continue des données,• Duplication permanente des machines virtuelles sur deux

serveurs hôtes différents bénéficiant chacun de leurstockage,

• Mise en place de deux SAN redondants avec duplicationen temps réel des volumes.

Concernant le stockage, l’idée maîtresse impliquait jusqu’à pré-sent la mise en place d’un SAN, gage de « sérieux » et… de grosbudgets pour les intégrateurs. Si le SAN est indiscutablementune bonne solution pour des volumes importants (plusieursTéraoctets) nécessitant des entrées-sorties élevées, elle n’estpas toujours la panacée. Et le bon vieux DAS (Disk attached Sto-rage) reprend du poil de la bête. Il permet en effet de bâtir dessolutions efficaces à moindre coût tout en permettant la réplicationsur une deuxième machine hôte des machines virtuelles, mêmesi la distance est importante. Dans le cas de machines hôtes sousWindows, un produit comme Double Take peut rendre de grandsservices, en permettant la recopie des fichiers de machines vir-tuelles sur un serveur de secours.

Un enjeu majeur :L’administration des architectures virtuelles

La question de l’administration des architectures virtuelles est pluscomplexe et encore jeune. Si les principes de la virtualisation sontconnus depuis longtemps, ils ne concernaient jusqu’alors que quel-ques machines hôtes par client. Or aujourd’hui, et plus encoredemain, le nombre de machines hôtes va exploser. Il suffit de suivreles projets de PC virtuels qui fleurissent ici ou là pour imaginer unparc de PC embarquant chacun plusieurs machines virtuelles oudes fermes de serveurs faisant tourner de très nombreux PC virtuels.Et là le rêve virtuel pourrait bien tourner au cauchemar !


N’oublions pas que l’une des contraintes majeures de la virtuali-sation sera d’implémenter et maîtriser des environnements puis-sants, redondés et haut de gamme. La virtualisation supporteramal l’économie. Il faut donc investir dans des serveurs puissantset des SAN que l’on doublera et que l’on supervisera.

� Les outils d’administrationL’avenir de la virtualisation passera donc par son administration.Les outils d’administration nécessaires au bon fonctionnementde ces multiples machines virtuelles restent à inventer. Ils devrontrépondre à plusieurs critères.

Sécuriser le fonctionnement de « l’édifice virtuel »

Il est nécessaire de :

• Faciliter l’application des correctifs sur les hôtes et lesclients,

• Contrôler les accès à l’hyperviseur pour éviter l’utilisationdes failles de sécurité,

• Alerter sur les accroissements importants de ressources(disques, réseau, mémoire) sans lien avec les règlesmétiers définies,

• Suivre au plus près les déplacements « à chaud » desmachines virtuelles et tracer tous les mouvements,

• Former les équipes techniques, car gérer une architecture vir-tuelle est plus complexe qu’une architecture traditionnelle,

• Améliorer l’organisation surtout sur le centre de service et lagestion des changements lors de la mise en production. Ladémarche ITILest plutôt un bon atout dans cette approche.

Optimiser le fonctionnement de « l’édifice virtuel » en :

• Affectant les bonnes ressources aux bonnes machinesselon les règles métiers et l’échelle temporelle (la paye abesoin de tel niveau de ressources en fin de mois et d’unevaleur plus faible le reste du temps par exemple),

• Gérant les ressources nécessaires au bon fonctionne-ment du système sous contrôle des règles métiers,

• Fournissant un relevé simple et clair du nombre de ses-sions virtuelles, de leur utilisation.

Virtualisation du réseau

La virtualisation du réseau, aussi connue sous l’acronyme VLAN,consiste à créer sur un réseau physique plusieurs réseaux logiquesdont on contrôlera les liens et interactions par des routeurs. Cettesolution élégante permet de séparer différentes populations sur unmême LAN. Appliquée aux machines virtuelles elle permet de sépa-rer logiquement différents serveurs virtuels sur un même hôte.

Virtualisation du stockage

La virtualisation du stockage gomme la relation entre le matérielphysique de stockage (les disques) et les volumes accessibles parles serveurs (physiques ou virtuels). Cette démarche est très intéres-

sante, car elle coupe le lien entre le volume de stockage visible parl’utilisateur et le stockage des données proprement dit. Elle libèredonc l’affectation des ressources et en simplifie grandement l’ex-ploitation au quotidien. Un exemple parlant est la solution DFS (Dis-tributed File System) de Microsoft, qui permet à l’administrateur dedéplacer les partages de fichiers d’un serveur à un autre sans modi-fier la connexion des utilisateurs. Mais cette démarche s’intègreaussi au sein des SAN grâce aux solutions d’IBM, d’EMC, etc.

Et demain, une organisation plus efficace ?

La virtualisation est partout ! Elle permet fondamentalement de mieuxutiliser le matériel en le partageant sur plusieurs usages en fonction dutemps, des performances attendues, des pointes d’utilisation… Noussommes au début de la maturité de ce genre d’approche. Les évolu-tions des constructeurs de processeur promettent bien des avantagesfuturs. Ces avantages ne doivent pas nous faire oublier nos fondamen-taux sur la sécurité des systèmes et sur l’exploitabilité des solutions.L’arrivée des systèmes virtuels dans notre système d’informationest aussi un accélérateur pour la mise en place d’organisationsbasées sur ITIL. En effet les contraintes de ces systèmes, lesenjeux mis en oeuvre ne souffriront ni d’une solution techniquebasée sur l’économie, ni d’une organisation du SI chaotique. �

Serge Le VaillantResponsable Avant Vente Privé-Public chez TIBCO

Olivier Thomasdirecteur de l'ingénierie chez TIBCO

À propos de TIBCO

Créateur de services,Tibco s’engage sur l’évolution et la disponibilité des systèmes

d’information.

Banques, assurances, retail, organismes publics, sociétés privées: pour chacun,

Tibco dispose des compétences pour apporter les services adaptés aux métiers,aux

usages et aux utilisateurs.

Basée sur un large spectre technologique, son offre de services est globale et posi-

tionne Tibco comme un acteur notable de l’infogérance modulaire.

Ses 1200 collaborateurs,son centre d’appel et d’assistance et ses 68 points techniques

en France garantissent la réactivité nécessaire pour assurer les SLA, 24H/24, 7J/7.

www.tibco.fr

Pour compléter votre bibliothèquede référence technique,commandez vite les anciens numéros*d’IT-expert à tarif préférentiel !

IT-expert n°65Janvier/Février 2007

DOSSIER : Web 2.0 entreprise, quelles réalités ?• ITIL et ISO20000• Logiciel libre• Les wikis : définitions fonctionnelles et techniques• Une approche structurée de la certification du

réseau : l’audit automatique du réseau et la validationdes changements des configurations

IT-expert n°60Mars/Avril 2006

DOSSIER : La qualité des applicationsdéveloppées en technologies objet• L’industrialisation des développements au

secours des échecs projets• Environnements de Développement Intégrés• Urbanisme des Systèmes d’Information versus

Architecture d’Entreprise• Contrôle d’accès au réseau

IT-expert n°63Septembre/Octobre 2006

DOSSIER : La géolocalisation• Géolocalisation, les techniques alternatives

au GPS• Le positionnement par GPS• Géolocalisation, tout n’est pas permis…• Recyclage des e-déchets

IT-expert n°62Juillet/Août 2006

DOSSIER : Panorama sur les techniquesAgiles• PHP5, une alternative à .NET et J2EE ?• Eclipse : le Big Bang Callisto• Test Driven Development• Qui arrêtera Google ?

IT-expert n°64Novembre/Décembre 2006

DOSSIER : Capital Immateriel• Windows Vista : le nouveau système

d’exploitation de Microsoft• Les curseurs sous SQL Server• Wimax

IT-expert n°68Juillet/Août 2007

DOSSIER : Le décisionnel• Du décisionnel à la gestion de la performance• La visualisation de l’information à des fins

d’aide à la décision• Les grandes étapes d’une chaîne d’ETL• ITIL : entre meilleures pratiques et référentiel

holistique

IT-expert n°67Mai/juin 2007

DOSSIER : SOA, l’état de l’art• SOA :Architectures & outils• Imprimez moins, maîtrisez vos coûts !• Qualité interne de ses logiciels :

mythes et réalités• L’univers étrange des unités d’œuvre

IT-expert n°69Septembre/Octobre 2007

DOSSIER : Que peut-on offshorer dansune DSI ?• La qualité intrinsèque des applications dans

les contrats de service• Le « backsourcing » : lorsque l’externalisation

n’est pas utilisée avec précaution…• Assurer le succès des projets avec la Tierce

Recette Applicative• Etat de l’art de la convergence : lien entre

informatique et téléphonie

IT-expert n°70Novembre/Décembre 2007

DOSSIER : Management de la sécurité• Comment lutter efficacement contre les intrusions

informatiques• Microsoft Office SharePoint Serveur 2007 :

les raisons-clés d’un succès• Les multiples facettes du contrôle d’accès au

réseau d’entreprise• Interview d’Alain Bouillé, RSSI au sein du Groupe

Caisse des Dépôts• Sécurité de la téléphonie sur IP*

Dan

s la

lim

ite d

es s

tock

s di

spon

ible

s


http://www.it-expertise.com/Abonnements/Unite.aspx

Je souhaite acheter les numéros suivants

Adresse d’expédition & de facturation

IT-expert n°61Mai/Juin 2006

DOSSIER : Optimiser innovations ettransformations en gérant le portefeuillede projets et d’applications• Subversion : le grand départ ?• L’accessibilité numérique• Wi-Fi

IT-expert n°66Mars/Avril 2007

DOSSIER : Sécurité : Les applications,le talon d’Achille des entreprises• RIA (Rich Internet Application) :

définitions et panorama des solutions• Gestion des droits numériques en entreprise

avec RMS• Un observatoire pour mesurer l’urba• Les DRM : une introduction

IT-expert n°71Janvier/Février 2008

DOSSIER : La gestion prévisionnelle des res-sources humaines informatiques• Logiciel libre : état de l’art• Les mashups débarquent en entreprise• Comment le text-mining donne du sens• Liberté surveillée pour l’utilisation à des fins pri-

vées de l’informatique de l’entreprise

Année 2006� N° 60� N° 61� N° 62� N° 63� N° 64

Année 2007� N°65� N°66� N°67� N°68� N°69� N°70

Pour commander les anciens numéros d’IT-expert, il vous suffitde nous renvoyer ce document à l’adresse suivante :

IT-Expert3, rue Marcel Allégot - 92190 Meudon - France

Tel : +33 (0)1 46 90 21 21 - Fax : +33 (0)1 46 90 21 20

� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Tarifs TTC (TVA : 5,5 %)� 1 exemplaire : 8e � 10 exemplaires : 60e

� 5 exemplaires : 35e � Autre quantité :

Année 2008� N°71

Offre Spéciale

Technique


L’adéquation des Systèmes d’Information aux métiers des entreprises suppose

l’alignement des processus IT (Information Technology) pour assurer le respect

des délais de mise sur le marché (Time To Market) permettant le développement

du chiffre d’affaires, le maintien de l’avantage concurrentiel, et la satisfaction des

Maîtrise d’Ouvrage. Cela signifie également le bon fonctionnement en produc-

tion des applications mises à disposition des utilisateurs, ainsi que la réduction

des coûts de support et d’évolution de ces applications.

Vers une professionnalisation des tests au service de la rentabilité de l’entreprise


Les tests ne sont plus la dernière rouedu carrosse !

L’enjeu majeur des DSI est la mise à disposition des applicationsen production en respectant des délais de plus en plus courts,dans la limite des budgets définis préalablement et avec la qua-lité escomptée : c'est-à-dire le respect des exigences en termede conformité et de disponibilité fonctionnelle, d’absence de bug,de stabilité en fonctionnement et de performance.

La vérification de l’atteinte de ces objectifs est du ressort desactivités de Qualification, de Recette et de préparation des Misesen Production (Q, R et MeP).

Malheureusement, ces activités sont souvent positionnées dansune « zone d’ombre » qui ne permet pas une vérification tout aulong du cycle de vie des applications. En effet, un nombre impor-tant d’entreprises appréhendent encore les activités de testscomme une étape ponctuelle compressée entre la fin de la phasede développement et le début de la phase de mise en production.Dans un tel contexte, la garantie des objectifs fixés devient illu-soire. En témoigne l’analyse du Gartner qui montre que 40 %des incidents survenant sur les patrimoines applicatifs sont dusà des défauts sur les applications elles-mêmes, les 60 % autressources de pannes provenant des opérateurs ou du matériel.

Pour améliorer la qualité des applications mises en production, ilest indispensable de repenser les responsabilités tout au long ducycle de vie. La mise en place d’un processus transversal detests1 allant de la gestion des exigences à la mise en productionapporte cette clarté dans les rôles et les responsabilités.

Par ailleurs, les DSI sont face à des enjeux d’optimisation deleurs coûts. L’industrialisation de la fonction informatique ad’abord touché les phases amont et aval du cycle de mise enœuvre d’une application (Développement et Production), les acti-vités de qualification, recette et mise en production doivent évo-luer à leur tour rapidement.

En France, l’industrialisation et l’externalisation de ces activitéssont restées longtemps en retrait. On note d’ailleurs un certainretard accumulé en comparaison avec d’autres pays européens,qui ont d’ores et déjà professionnalisé le métier du test. Malgréune certaine effervescence récente sur le marché français, lasituation est très diversifiée au sein des entreprises.

Les entreprises les plus matures en la matière ont pris consciencede l’importance de l’industrialisation des processus de tests et demise en production. Elles l’ont même positionnée en priorité dansles investissements informatiques, avec un engagement straté-gique à tous les niveaux de l’entreprise (DG, MOA, DSI, etc.). Onconstate par exemple les retours d’investissement lors de la miseen place des solutions industrielles sous forme de Tierce RecetteApplicative ou de Centre d’Intégration et de Qualification à l’oc-casion d’un programme de transformation ou d’une CelluleTransverse, généralement au niveau de l’entité « Qualité, Nor-mes & Méthodes ».L’industrialisation permet non seulement la réduction des coûts,mais participe également à l’acquisition d’avantages compétitifsen contribuant à la création de la valeur.

Pourquoi l’industrialisation des testsdevient-elle prioritaire ?

Les délais de mise à disposition des applications devenant deplus en plus critiques, les entreprises doivent mettre en placeune stratégie d’industrialisation des activités de qualification, derecette et de préparation à la mise en production. Deux types d’enjeux s’imposent aux entreprises. D’une part, les enjeux au niveau DSI, à savoir le respect / réduc-tion des délais, la maîtrise budgétaire, la réduction des coûts, laré-affectation des ressources internes sur des projets à plusforte valeur ajoutée et la prise en compte rapide des demandesd’évolutions du SI (Agilité). Les activités représentent entre 30 à40 % du Coût Total des Projets, et constituent un gisement deréduction des coûts.D’autre part, les enjeux pourle Système d’Information,c'est-à-dire assurer la qualitédes livrables par la mise enœuvre de développementsorientés tests ou Develop-ment Test Driven : tester dèsles phases amont (exigen-ces), définir pour chaqueapplication une stratégie detests permettant la mise enœuvre de tests pertinents etcomplémentaires adaptés

40%

20%

environmental factors,hardware, operating system, power,disasters

40%

operatorerrors

application failure

40%Application

Failure

» Gartner : Application failures including bugs, performance issues or changes to applications that cause problems cause 40% of unplanned application downtime

1 Par abus de langage, le processus de tests englobe aussi le processus de mise enproduction, ainsi que les processus de support (gestion de configuration, gestion deslivraisons, gestion des anomalies, pilotage, etc.)

+ Vite

+ Qualité

- Cher


aux différentes phases et la vérification aval. La garantie de la dis-ponibilité et du bon fonctionnement des applications en produc-tion sur des plages horaires étendues, ainsi que l’automatisationet la capitalisation (amont et aval) complètent les enjeux pour le SI.L’industrialisation consiste à mettre en œuvre une organisationau confluent de la MOA, de la MOE Développement et de la Pro-duction, c'est-à-dire la mise en œuvre des relations de typeClient / Fournisseur avec toutes parties concernées et un Gui-chet Unique pour le traitement des demandes. Les activités sontmodélisées à travers la définition d’un catalogue de service. CeCatalogue est associé à une convention de services (SLA per-mettant la mesure de la qualité), ainsi qu’à un catalogue d’unitésd’œuvres (les UO valorisées initialement permettant la mesure dela Productivité dans le temps).

Parallèlement, sont mis en œuvre l’outillage des processus, ainsique les méthodologies et les meilleures pratiques (R2BT2 -Requirement and Risk Based Testing, conformité par rapport àun standard). Enfin, un modèle opérationnel de type FrontOffice - Back Office est implémenté permettant d’adapter pro-gressivement la localisation des services (sans rupture dans lafourniture de ces services). Dans le Front Office sont localisés lesservices nécessitant la proximité du client, les autres servicessont en Back Office.

Industrialiser le seul processus detests ne suffit pas !

Pour que l’industrialisation des processus de tests et de mise enproduction ait lieu, il faut qu’elle s’accompagne aussi de l’indus-trialisation des processus de support (gestion de configuration,des livraisons, des infrastructures de tests et des outils de tests).

L’outillage des processus de tests (gestion de campagnes detests fonctionnels, automatisation des tests, tests de montée encharge et de performances) n’est pas encore généralisé. L’utilisa-tion massive d’outils est freinée par les coûts, et par le position-nement transverse au sein des entreprises qui ne favorise pas lepartage des enjeux et la compréhension des problématiques auniveau décisionnel. Pour mener à bien un projet d’industrialisa-tion, il est préférable qu’il soit partagé par tous les acteursconcernés et sponsorisé au plus haut dans l’organisation.

La garantie des mises en production ne peut être assurée que sil’environnement de tests est représentatif de l’environnement deproduction (représentativité démontrée). La représentativité del’infrastructure de tests impose une gestion rigoureuse de cesinfrastructures (Architecture, Capacity Planning, Rationalisation,Mutualisation),

Cette garantie implique également la traçabilité de la signaturedes packages livrés en production. Cette problématique de lagestion des livraisons impose la mise en place d’une gestion deconfiguration transverse permettant une cohérence entre lepackaging testé et le packaging livré en production.

L’essor de l’industrialisation et l’adoption de l’outillage des pro-cessus s’effectuent en même rythme que l’externalisation desactivités et des patrimoines applicatifs.

Quel cadre normatif choisir ?

Pour accroître l’efficacité opérationnelle des activités de tests, ilest conseillé de regrouper et de formaliser les meilleures prati-ques du marché comme CMMi, ITIL et ISTQB/CFTL. En allant du plus général au plus orienté vers les métiers du test :

• Information Technology Infrastructure Library (ITIL) : cadrede référence regroupant les meilleures pratiques en matière degestion des services informatiques, dont on retiendra plus particu-lièrement les processus de gestion des changements, gestiondes problèmes. Ainsi que le processus de gestion des niveaux deservices qui va aider à fixer les critères d’arrêt des campagnes.

• Capability Maturity Model Integration (CMMi) : modèle géné-ral de bonnes pratiques dont on retiendra plus particulièrementles processus « VER » et « VAL » inclus dans le niveau 3.

• Information Software Testing Qualifications Board (ISTQB)a mis en place un processus de certification de testeurs composéde trois niveaux (fondation, avancé et expert). Le Comité Français

• Organisation, Processus et Outillage• Gestion de la demande • Optimisation des Ressources

• Localisation en Centres de Tests(NearShore et Offshore)• Processus Certifiés CMMi5• Capitalisation

• Localisation en Centres de Tests (France),• Processus Certifiés CMMi 3• Efficacité de la Gestion de la demande,• Capitalisation R

édu

ction

des C

oû

ts

Leviers 1 Leviers 2 Leviers 3 Leviers 4

• Boucle d’Amélioration Continue

Industrialisationdu Processus de

TestsGestion des Packagings

Gestion des Livraisons

Ges

tio

n d

es

Ou

tils

de

Test

s

Ges

tio

n d

es

Infr

astr

uct

ure

sd

e Te

sts

2 © Atos Origin

19

Les processus sont outillés par la mise en place de solutions detests (définition du nombre de licences, analyse et choix desoutils de tests, implémentation, etc.). Les principaux acteurs dumarché des outils de tests sont HP/Mercury, IBM, Compuware,Borland. Dans certains cas, des outils Open Source peuvent êtreutilisés (Junit, Open STA, Selenium, etc.).

Le déroulement des projets de tests est basé sur une approchepar phases permettant les validations séquentielles de ce qui estproduit. On distingue deux principales phases.

La phase de préparation a pour objectifs d’élaborer pour chaqueprojet de tests la stratégie et le plan de tests associé, de détermi-ner la couverture de tests et le périmètre des tests à automatiser,de calibrer l’effort de tests et de définir les besoins en infrastruc-tures de tests. Cette phase consiste également à concevoir et àréaliser les cas de tests prévus en fonction des exigences.

La phase de réalisation a pour objectifs de réaliser les activitésde tests prévus (exécution, analyse, anomalies), de gérer lesInfrastructures et les outils de tests (Capacity Planning, Installa-tion, Exploitation, etc.)

La mise en œuvre de la méthodologie R2BT a pour objectif l’op-timisation et le calibrage des projets de tests. Cette méthodolo-gie est basée sur une approche par les exigences et les risques(Requirement and Risk Based Testing).

La mise en œuvre d’un référentiel de tests pour les applicationsfacilite la capitalisation. En fonction d’éléments structurants telsque la criticité de l’application ou le nombre et la fréquence deschangements, il est alors préférable de mettre en œuvre une« automatisation amont des tests fonctionnels » permettant la


des Tests Logiciels (CFTL) est le représentant de l’ISTQB enFrance. Il certifie les formations ISTQB/CFTL.

L’ISTQB/CFTL est le seul élément normatif spécifique au métierdu test. Il met en relief les limites de la démarche de tests. Il s’ap-puie sur des principes décrits dans le tableau ci-dessous.

D’autres modèles peuvent être utilisés pour l’amélioration desprocessus de tests : TMM (Test Maturity Model), TPI (Test Pro-cess Improvment) et TMap (Test Management Approach).

Mise en œuvre de l’industrialisationdes processus de tests

L’industrialisation des tests suppose la mise en place d’un proces-sus de tests tout au long du cycle de vie d’une application. Ce pro-cessus doit s’inscrire dans le cadre de la méthodologie généralede développement des applications. Cette approche permetl’optimisation du retour sur investissement (ROI) des développe-ments applicatifs. Elle permet aussi la gestion transverse des dif-férents types de tests (tests unitaires, tests d’intégration, testssystème, recette utilisateurs, etc.) et des responsabilités asso-ciées. Elle permet également la combinaison des tests en fonctiondes phases des projets pour réaliser un effet de tamis et éviter,ainsi, de réaliser les mêmes tests.

La réalisation des campagnes detests nécessite la mise en œuvre desprocessus de gestion des services(gestion du contrat dans le cas d’uneexternalisation) et des processus degestion opérationnelle (gestion desexigences, gestion des anomalies,gestion de configuration, etc.).

Initialisation du Projet Tests

Gestion des Exigences et des Risques (Impacts)

Définition Stratégie Applicable

Calibrage du Projet

Plan Projet Tests

Référentiels (Stratégie de référence, Capitalisation)

Référentiel Métier (Processus Métier &

Fonctionnel)

Référentiel Cas de Tests

Structuration & Formalisation des Exigences Métiers

Modélisation UML

Les tests montrent la présence de défauts, mais nedémontrent pas l’absence de défaut,

Les tests exhaustifs sont impossibles,

Il faut tester le plutôt possible,

Les tests dépendent du contexte,

L’illusion de l’absence d’erreurs : trouver et corriger desdéfauts n’aide pas si le système conçu est inutilisable etne satisfait pas les besoins et les attentes des utilisateurs,

Le Paradoxe du pesticide : si les mêmes tests sont répé-tés de nombreuses fois, il arrivera que le même ensem-ble de cas de tests ne trouve plus de nouveaux défauts.Pour prévenir ce « paradoxe du pesticide », les cas detests doivent être régulièrement revus et révisés, et denouveaux tests, différents, doivent être écrits pour cou-vrir d’autres chemins dans le logiciel ou le système defaçon à permettre la découverte de nouveaux défauts.


création rapide des cas de tests correspondants et la réalisationde l’analyse d’impact au niveau des exigences, des processusmétiers. Leirios est un des acteurs de ce segment de marché.

La mise en œuvre de l’automatisation des tests aval porte géné-ralement sur des applications appelées à connaître de multipleschangements. Cette automatisation concerne essentiellementles Tests de non-Régression (TNR). La mise en œuvre de l’auto-matisation peut se justifier, dans certains cas pour étendre lacouverture de tests d’une application multiplateformes.

La réalisation des campagnes de tests nécessite la mise àdisposition de jeux de données en cohérence. Ces donnéespeuvent être soit définies lors de la création du script detests, soit générées à l’aide de l’outil ad hoc, soit extraites àpartir de base de données de production. Les principauxacteurs de ce segment de marché sont IBM/Princeton,Compuware, Genielog.

Les principales familles de tests

Famille de Tests Type de Test Description

Fonctionnel

Tests fonctionnels Tester les fonctionnalités au niveau ducomposant

Tests des flux & des interfaces (2 à 2)Tester les flux et les liens (2 à 2) avecd'autres systèmes

« Tests fonctionnels » « Bout en Bout »Tester les fonctionnalités de bout enbout avec les systèmes connexes

Non régressionEnsemble de tests permettant de véri-fier la non dégradation fonctionnelle

Technique

Tests de sécurité des accèsTester les procédures et architecture desécurité (accès logiques)

Tests d'installation/désinstallationVérification Procédures d'installation /désinstallation

Tests de robustesseTests de robustesse aux pannes et auxlimites

Performance

Tests de montée en chargeTests de la montée en charge en nom-bre, en quantité et dans la durée

Tests de performance (env. de produc-tion)

Tirs de performance et montée encharge en environnement de production

Exploitabilité

Tests de conformité aux normes d'ex-ploitation

Vérification de la conformité des procé-dures d'exploitation

Validation des procédures d'administra-tion/supervision

Test et validation des procédures degestion d'habilitation (droits, profils…)et vérification des remontée d'indica-teurs et de logs

Revue / validation de production Tester les procédures de production

Sauvegarde / restauration / purgeTester les procédures de sauvegarde etdes reprises

Recette

Recette utilisateurVérification de la capacité à exercer lemétier (assistance aux utilisateurs)

Recette techniqueTests techniques, d’exploitabilité et deperformance


Localisation des services de tests enNear / Off - Shore

Un des leviers importants pour la réduction des coûts est la loca-lisation des services de tests en Centre de Tests spécialisés (Clo-seShore, Near / Offshore).

Pour cela, un modèle opérationnel distribué et utilisé par des uti-lisateurs répartis géographiquement est nécessaire: la mise enplace d’une solution technique centralisée pour les outils de testspermet une utilisation partagée et mutualisée des moyens. Cemodèle repose sur une répartition claire des activités à réaliser àdistance et des activités à réaliser au plus près des acteursconcernés (MOA, MOE, etc.).

Profitant de l’expérience acquise pour la délocalisation des acti-vités de développement, l’utilisation du Near / Off - Shore pour lesactivités de tests se généralisera plus rapidement.

Comment le marché doit-il répondre ?

La réponse habituelle du marché pour les processus de qualifica-tion, recette et mise en production reste partielle et se résume àdes offres Tierce Recette Applicative.

Il est évident que la réponse à la problématique des DSI se doitd’être globale. Elle doit couvrir l’ensemble du spectre entre ledéveloppement et la production pour apporter de réels bénéfi-ces. Ces bénéfices resposent sur un engagement global,depuis le recueil des exigences jusqu’à la mise en production,tout en maîtrisant précisément l’exposition au risque à chaqueétape du processus. Cette réponse doit industrialiser et sécu-riser le passage des développements à la production et répon-dre aux principaux enjeux des entreprises tels quel’optimisation des coûts et des délais, la maîtrise des change-ments, la garantie de la conformité et de la mise à dispositiondes applications en production.

La solution doit être fondée sur une approche par les processuset positionnée dans un rôle pivot entre la MOA, la MOE Dévelop-pement et la Production. Elle permet de structurer les relations etde prendre en compte l’ensemble des acteurs intervenants dansle cycle de vie. Elle gére de façon industrielle l’ensemble des qua-lifications (fonctionnelle, technique, utilisateur et exploitabilité),ainsi que les activités d’intégration pour la production et la mise


en exploitation. Elle fournit les éléments essentiels (bilan destests, analyse des risques avant mise en production, etc.) néces-saires à la prise de décision pour le passage en production.

Pour réaliser l’industrialisation des tests, à un coût compétitif, lasolution doit reposer sur des outils centralisés avec un fonction-nement 24/24 et 7J/7 et profilter des bénéfices Near/Offshore. L’importance de la représentativité des infrastructures de testsimpose des investissements en infrastructures, ainsi qu’uneexploitation et une gestion par des professionnels (typiquementdans un Data Center). L’externalisation des services de tests vers un acteur disposantdéjà de toute l’infrastructure nécessaire (Service Centers Indus-trialisés et mutualisés, Testing Centers Closes-shore etNear/Offshore, Data Center pour l’hébergement, voire pour lamise à disposition des infrastructures de tests) s’impose d’em-blée comme une opportunité à prendre en considération.�

Mohamed BedouaniTAM & AM Business SolutionsManager

Thierry LallemandArchitecte Shared Service Center

Pascal CogoluègnesDirecteur de l’Industrialisation SIFrance

A propos d’Atos Origin

Atos Origin est l’un des principaux acteurs internationaux du secteur des services

informatiques. Sa mission est de traduire la vision stratégique de ses clients en

résultats par une meilleure utilisation de solutions de Conseil, Intégration de Systè-

mes et Infogérance. Atos Origin réalise un chiffre d’affaires annuel de 5,8 milliards

d’euros et emploie 50 000 personnes dans le monde. Atos Origin est le partenaire

informatique mondial des Jeux Olympiques et le Groupe compte parmi ses clients de

grands comptes internationaux dans tous les secteurs d’activité.

Actualités internationales

24

Microsoft -Yahoo : bientôt en fusion ?

Après près d’un mois de silence, nouveau rebondissement dans l’affaire du rachat de Yahoo! par Microsoft : une rencontreaurait eu lieu le 10 mars dernier, selon le Wall Street Journal. Microsoft aurait sollicité cette rencontre pour démontrer àYahoo! l’intérêt de cette mégafusion. On notera que les dirigeants de Yahoo! ont accepté la rencontre…Le 10 février dernier, Yahoo rejetait officiellement l’offre publique d’achat de Microsoft de 44,6 milliards de dollars (30 milliardsd’euros), jugée insuffisante. Une saga qui aura duré 10 jours, pour l’OPAla plus chère jamais réalisée dans le secteur. En effet,le prix de 31 dollars par action représentait un bonus de 62% du cours au premier février !

Une proie affaiblie pour se renforcerTout avait commencé lors de discussion fin 2006, et une première démarche avait avorté en février 2007. Puis, Yahoo! a enre-gistré une mauvaise année 2007, en faisant une proie idéale pour Microsoft qui attendait dans la pénombre. Au quatrième trimestre 2007, le moteur de recherche a perdu 23,5% de son bénéfice (205,7 millions de dollars), malgré uneprogression de son chiffre d’affaires de 7,6% (1,83 milliard). Sur l’année le bénéfice a fondu de 12.1% à 660 millions d’euros,malgré une hausse de 8,4% du chiffre d’affaires annuel à 7 milliards de dollars. Pour rester dans une course accélérée avecGoogle, Yahoo a supprimé 7% la masse salariale, soit un millier d'emplois sur quatorze mille. En réunissant ses sites avecYahoo!, Microsoft prendrait plus de poids face à Google et sur la recherche, et sur la publicité en ligne.

Des sauveteurs peu convaincantsUne analyse et un risque évidents que Google a entérinés le 4 février 2008 « par la petite porte », via le blog de David Drum-mond, l’un de ses dirigeants. Et en le faisant savoir… Le propos consistait à poser des questions sur l’éventualité d’un mono-pole sur le Web et sur la messagerie instantanée (Yahoo Mail et LiveMail).Selon la presse américaine, les dirigeants se seraientmême contactés dans le but de contrer l’OPA. Finalement, aucune action concrète.Le 14 février (après le refus), le groupe du magnat australo-américain Rupert Murdoch (News Corp.) aurait proposé d’appor-ter du cash avec échange d’action, et une valorisation à près de 50 milliards de dollars de Yahoo! En parallèle, début mars,Time Warner entrait dans la danse proposant une entrée minoritaire dans le capital contre un rachat d’AOL par Yahoo! Rap-pelons que Google est actionnaire d’AOL à 5%... Bien entendu, Yahoo! devait poursuivre ses négociations avec News Corp.qui céderait MySpace. Finalement, Rupert Murdoch a abandonné ce projet affirmant : « Nous n'allons pas entamer unebagarre avec Microsoft, qui dispose de beaucoup plus d'argent que nous ! »

Et ça repart ?Après ces multiples discussions et retournements de situation, Microsoft et Yahoo! auraient donc repris les discussions.Mais la firme de Bill Gates, et le marché attendent les résultats trimestriels de Yahoo! en avril pour confirmer leurs positions.Si la baisse des résultats se confirme, les dirigeants de Yahoo! auront bien du mal à convaincre les investisseurs de leurs esti-mations très optimistes sur 2008.


Actualitésinternationales



Le téléphone portable toujours et partout

La compagnie aérienne américaine (vols intérieurs) VirginAmerica, filiale de Virgin, s’est associée au spécialiste d’ac-cès internet par réseau cellulaire Aircell pour proposer unaccès Internet pendant toute la durée du vol. Un atout concur-rentiel évident pour la clientèle d’affaires annoncé en sep-tembre dernier, rendu possible via une liaison maintenue encontinu entre l’avion et le sol. Un avion équipé d'une borneWi-Fi permettant aux passagers d'utiliser librement leur por-table ou leur PDA.Deuxième initiative, la compagnie Emirates a proposé l’utili-sation des téléphones portables en plein vol entre Dubaï etCasablanca, fin mars. Aujourd’hui, certains appareils Airbusaux installations protégées intègrent un relais de téléphoniemobile testé et certifié, relié par une liaison satellitaire. Maisles concurrents sont également très avancés sur le sujet,comme le prouvent ces deux expériences.Espérons que la politesse prévaudra, et que les vols neseront pas sans cesse perturbés par des sonneries dés-agréables. D’autant qu’avec les décalages horaires…

Acer devient le troisième fabricant mondial de PC

La concentration du marché des PC portables se poursuit. Après le rachat de l’américain Gateway en août 2007 pour710 millions de dollars, le taïwanais Acer se paie Packard-Bell. Suite à une liquidation d’actifs et de diverses partici-pations, le constructeur avait réuni un trésor de guerre de plus de 650 millions de dollars américains. Avec Gateway, Acer redevenait troisième constructeur mondial de PC après HP et Dell, et devant Lenovo, et doublaitses parts de marché sur le continent américain. Le nouveau groupe constitué afficherait un chiffre d'affaires de plusde 15 milliards de dollars (10 milliards d'euros), et produirait environ 20 millions d'ordinateurs chaque année.

Coup double et podium !Fin février 2008, le rachat de Packard Bell pour 48.5 millions de dollars était validé par la Commission européenne.L’institution a estime que l’absence de menace pour la concurrence était respectée face aux autres constructeurs « éta-blis tels que Hewlett-Packard, Dell, Fujitsu-Siemens, Toshiba, Sony et Lenovo. »Résultats de ces acquisitions : Acer est crédité de 5,25 millions de portables vendus au quatrième trimestre 2007, etpasse devant Dell (4,64 millions d’unités vendues) selon le cabinet d’études DisplaySearch. Ce dernier estime d’ail-leurs que les consommateurs devraient acheter plus de portables que d’ordinateurs de bureau dès 2009. De son côté,Acer vise les 13,7 milliards d’euros de chiffre d’affaires pour son exercice 2008.

Les antimalwares enfin testésobjectivement

L’antimalware testing standards organization (ouAMSTO) est née à l’initiative des 40 principauxéditeurs de solutions de sécurité réunis à Bilbaoen Espagne. Objectif : normaliser les compara-tifs entre des logiciels de sécurité afin d’éviter lesrésultats hasardeux de ces solutions de plus enplus complexes. En effet, de nombreux « testssont incapables d’évaluer correctement l’effica-cité de ces solutions, ce qui se traduit par desévaluations incomplètes, inexactes et trompeu-ses ». Des conséquences négatives pour tous lesvendeurs de ce marché qui prennent donc l’initia-tive pour proposer des procédures et des normesobjectives.Pour commencer, un forum de discussions seradisponible pour discuter des antimalwares etoutils relatifs à ces sujets et faire avancer les cho-ses en partageant avec les intéressés. Et au plusvite, des normes et un guide des meilleures pra-tiques verront, avec une documentation riche etfournie. Enfin, des outils seront même mis à dis-position, ainsi que diverses ressources et destests et essais. L’organisation s’engage égale-ment à assurer la promotion et les problèmes surles tests réalisés.Espérons que cette initiative (www.amtso.org) àsaluer sur un domaine devenu primordial avec l’ou-verture d’Internet et de la messagerie instantanéerésistera aux enjeux commerciaux, qui poussentparfois les éditeurs à défendre leurs propres tech-nologies au détriment d’une avancée commune.



Un bus à 8 térabits par seconde griffé IBM

Marketing, quand tu nous tiens ! « Green Optical Link » : tel est le nom choisipar IBM pour son bus de données de 8 téraoctets par seconde. Évidemment, cebus peut véhiculer près de 5000 flux vidéo Haute Définition sur le même tuyauen consommant moins de 100 Watts (soit dix fois moins que la fibre optiqueclassique sur 100 mètres). Mais finalement, tous les nouveaux équipementssont verts… Les gros centres de données et fournisseurs de contenus très multimédia appré-cieront certainement cette avancée, encore au stade de prototype, mais trèsprometteuse. Pourtant, la limite ne tient pas forcément au bus lui-même, maisreste bridée par les capacités des autres composants électroniques entrant enjeu qui pourraient chauffer rapidement, ou avoir du mal à absorber autant dedonnées aussi vite. IBM propose déjà des solutions de ce type avec une solution intégrant 24 émet-teurs/récepteurs, affichant chacun une vitesse de 12,5 gigabits par seconde.Soit un total théorique de 300 gigabits par seconde ! Et le tout tient dans unespace dix fois moins important que les solutions actuelles pour une consomma-tion comparable malgré des performances dix fois supérieures !

Microsoft rachète Kidaro

Comme nous l’évoquions dans le dernier numéro d’IT-expert la firme de Windows marque son territoire sur la virtualisation,avec le rachat de la société californienne Calista technologies, puis en signant des accords avec Citrix. L’éditeur confirmecette orientation en s'offrant la start-up israélienne Kidaro, spécialiste des solutions de virtualisation pour postes clients, pourun montant estimé à 100 millions de dollars par la presse israélienne.Créée en 2005, Kidaro emploie 25 salariés. Ses solutions seront intégrées à l'offre Microsoft Desktop Optimization Pack(MDOP) dédiée à l'administration des postes de travail. Selon Ran Oelgiesser, cofondateur de Kidaro, l’un des objectifsconsistera à faciliter la migration vers Windows Vista, priorité stratégique pour Microsoft, en autorisant la cohabitationXP/Vista sur le poste client. Pas sûr, et certainement téméraire. Une vision de technicien incompatible avec une logique d’en-treprise, et trop complexe pour la majorité des utilisateurs grand public.Une certitude : VMWare est toujours en ligne de mire.

IBM lance un nouveau mainframe

Le système z10 : dernier-né des mainframes IBM. Les grands systèmes centraux dont les entreprises refusent lescoûts élevés d’exploitation sont souvent des anciens modèles. À l’heure de la recentralisation et de la réduction decoût, une telle plate-forme modernisée peut effectivement présenter de l’intérêt. En tout cas, IBM y croit fermement. Premier argument avancé par le constructeur : « l’amélioration du rapport prix/performance ». Les nouveaux proces-seurs plus puissants profiteraient en outre d’infrastructures machine plus performantes et évoluées. Le modèle z10à 64 processeurs le plus puissant (27 000 mips) serait plus performant de 50 % que son équivalent de la gamme z9.Des mastodontes qui ciblent donc les grands comptes, qui devront malgré tout y ajouter des machines de sauvegardeexterne. Et si une réplication distante s’impose, la note risque de s’avérer salée avec ces machines proposées à par-tir d’environ un million de dollars. Le système d'exploitation zOS 1.10 sera disponible dès septembre 2008.

Au-delà de la puissance brute, les applicationsAutre levier, les applications actuelles et sollicitées doivent être au rendez-vous. Si l’offre Cognos 8 BI for Linux on Sys-tem z et WebSphere ou Infosphere Master Data Management sont déjà disponibles sous Linux dans ces machines,Big Blue annonce aussi des solutions autour de SAP ou de Rational, par exemple. Avec les multiples mécanismes devirtualisation, on peut imaginer des infrastructures variées et puissantes. Enfin, optimisé en consommation électrique, le « z10 peut remplacer 1500 serveurs x-86 et consommer 85 % de cou-rant en moins ». Une façon habile de marteler le message en vogue du « green computing ».Ces arguments suffiront-ils à convaincre les clients traditionnels, ou à en conquérir de nouveau ?



Un smartphone Palm très attractif

Mi-mars, Palm a lancé son nouveau smartphone baptisé Centro, doté du systèmed'exploitation Palm OS 5.4.9, réduisant les besoins en ressource selon le fabri-cant. Compact et élégant, le Centro propose un clavier azerty, un écran couleur320x320, et un appareil photo de 1,3 mégapixel. Côté téléphonie, il allie quadri-bande (GSM, GPRS et EDGE) et batterie lithium pour une autonomie annoncéede quatre heures en conversation et de trois cents heures en veille. Son proces-seur Intel PXA270 cadencé à 312 MHz est appuyé par 64 Mo de mémoire et unéquipement bluetooth. Bien entendu, une carte micro SD jusqu’à 4 Go pourracompléter l’ensemble. Le connecteur USB relie le Centro à un ordinateur.

Le plein de fonctionsOutre les classiques (horloge, calendrier, calculatrice, notes écrites et vocales,liste des tâches, gestion des contacts…) le Centro propose un navigateur Inter-net Blazer 4.5 et de la messagerie VersaMail 4.0, ou encore Mobile GoogleMaps, ou une messagerie instantanée. De plus, Documents to Go ProfessionalÉdition 10 permettra à l’utilisateur de consulter (mais aussi d’éditer ou de conce-voir) les documents Word, Excel, PowerPoint et PDF. Enfin, Pocket Tunes etdes logiciels d’affichage de photos et de vidéos complètent ce dispositif riche etvarié. Et surtout, Palm annonce que 900 applications sont annoncées compa-tibles par le constructeur.Le coup le plus étonnant de Palm ? Le prix : le Centro est proposé chez Orange pour 49 euros (2 ans d’engagement) et 299euros sans abonnement. Ce nouveau smartphone apparemment séduisant et efficace pourrait bien contribuer à ramener Palm au cœur de la coursemenée par RIM, HTC, Nokia, ou l’iPhone sur le marché des PDA communicants.

Le gros appétit d’EMC

Pour 2007, EMC a annoncé 1,6 milliard de bénéfices surl’année, pour un chiffre d'affaires de 13,2 milliards. Desrésultats qui ont dynamisé ses envies d’expansion.Le 10 mars, le leader du stockage mettait la main, surInfra Corp Pty Ltd, un éditeur spécialisé sur l’automatisa-tion des processus de gestion des services informatiques(intégrant les pratiques de type ITIL ou KCS -Knowledgecentered support). En automatisant les datacenters, enaméliorant la gestion informatique, et avec un servicedesk capable de gérer l’ensemble du cycle de vie desservices IT, EMC muscle son offre en fournissant unegestion des services du SI de bout en bout. Deuxième axe de renforcement, les PME/PMI. Le 12 mars2008, EMC a donc lancé une première OPA hostile sur leCalifornien Iomega, spécialiste de la sauvegarde des don-nées et les périphériques de stockage amovible. Deuxjours après, Iomega avait rejeté l'offre de 3,25 dollars paraction, soit un montant global de millions de dollars, jugétrop faible face aux ventes de 300 millions de dollars.

Le 20 mars, EMC a finalement renouvelé son offre, maisà 3,75 dollars par action, pour près de 205 millions dedollars. Sans se prononcer définitivement, Iomega jugenéanmoins l’opération plus intéressante que les deuxrachats qu’elle avait envisagés (Excelstor Great Wall etShenzhen Excelstor Technology).

IBM : SMash et jeu !

« Smash » pour « Secure Mashup », dernière née destechnologies IBM en matière de mashups, vise à sécuri-ser ces applications combinant les composants, et sur-tout à rendre cette sécurité compatible avec les politiquesde sécurité globales des entreprises. Selon IBM, la tech-nologie SMash « permet aux informations émanant dedifférentes sources de partager avec d’autres, tout enles tenant séparées, ce qui empêche les malwares de seglisser dans les systèmes des entreprises. » Bref : unecommunication protégée et sécurisée permettrait decombiner données et fonctions en toute sécurité, grâce àdes mécanismes d’isolation.

L’éditeur/constructeur a offert cette technologie à l'Ope-nAjax Alliance, une communauté de développementopen source souhaitant faire progresser l'utilisation d'Ajaxdans les applications Web et d’entreprise. Un moyenaussi d’offrir à SMash toutes les chances de devenir unstandard de fait, puis de droit (ou l’inverse).

Et comme l’a affirmé Rod Smith, vice-président chezIBM : « Vous ne décidez pas d’acheter une voiture etd’installer plus tard les ceintures de sécurité ou les air-bags. Comme pour n’importe quel secteur, nous avonsdonc appris à intégrer la sécurité dans les opérations dèsle départ, et non après coup.»


Quoi de neuf Docteur ?

SOA et la déverticalisationde l’industrie du logiciel

Par « vertical », cet article n’entend pas l’adaptation d’un logiciel ou progiciel à un secteur d’activité, mais bien une manière deproduire un logiciel ou plutôt une solution logicielle complète. Une société verticalisée produit toute la solution ou presque, sansintégrer des « briques » de solution fournies par des tiers.Par exemple : Nixdorf au début des années 1980 était une société intégrée verticalement, elle produisait toutes les compo-santes de ses produits, commençant par les boitiers de ses ordinateurs à partir de la tôle plate, passant par les unités cen-trales, les systèmes d’exploitation et de communication (même le microcode), jusqu’à son logiciel phare, COMET, un PGI pourPME avant l’heure. La société n’a pas survécu à la désarticulation de cette intégration verticale, qui n’était pas la cause uni-que de son déclin.Le projet de baser la nouvelle génération de ses ordinateurs sur des puces MIPS, d’utiliser un système d’exploitation standard(UNIX), de réécrire COMET en utilisant des outils et des couches de logiciels indépendantes et standardisées n’a jamais vrai-ment abouti : trop de chantiers, trop peu de temps. En même temps, Nixdorf ne pouvait pas rester verticalement intégré. Il étaitimpossible d’affronter la concurrence à tous les niveaux, concevoir des microprocesseurs compétitifs et un système d’exploi-tation à la hauteur de l’innovation tandis que le standard émergent était moins cher, maintenir les fonctions de son progiciel degestion au pus haut niveau et offrir la meilleure interface utilisateur à ses clients non-informaticiens.

Depuis, l’industrie du logiciel s’est partiellement déverticalisée en créant des « strates » : les systèmes d’exploitation et de com-munication (eux-mêmes encore stratifiés), les bases de données, les serveurs d’applications, etc. Mais le monde des logicielsapplicatifs est resté fortement verticalisé, l’intégration – surtout horizontale, mais aussi verticale – étant devenue une clé de saréussite.

Cependant, les recettes et les vertus qui ont fait le succès des entreprises hier deviennent parfois le poison qui les fait péricli-ter demain.Une autre industrie, plus mature que l’industrie du logiciel a montré la voie : l’automobile.Il y a des « constructeurs » de voitures et des « équipementiers ». Dans certains cas, le constructeur contribue pour moins de50 % sur des parties qui constituent la voiture. Les équipementiers sont aujourd’hui responsables de « sous-systèmes » plu-tôt que de « pièces », de la conception jusqu’au montage à la chaîne d’assemblage. La coopération dans cette industrie est trèscomplexe et demande un écosystème très élaboré, couvrant le codesign, la cofabrication et la cogestion de la maintenance.D’ailleurs, les pressions concurrentielles poussent ce système à évoluer en permanence.

Certains parallèles avec l’industrie du logiciel sont évidents, quelques différences également.

30

SOA, accélérateur de la déverticalisationde l’industrie du logiciel

Les entreprises subissent une forte pression pour se transformerde structures en silos-matrices en structures « cellulaires » mal-léables et capables de s’adapter rapidement aux changements deleur marché. Elles doivent devenir plus « agiles », et nécessitentdes systèmes d’informations qui soutiennent cette agilité.Les architectures orientées services (SOA), par leur granularité etleur facilité de (re-) composer des ensembles, permettent auxentreprises de se doter de systèmes d’information suffisammentflexibles pour les accompagner dans le changement permanent.

En même temps, cette facilité de (re-) composition de solutionsdes SOA « catalysera » la maturation de l’industrie du logicielvers une plus forte déverticalisation. Elle amènera ainsi cetteindustrie, depuis (trop ?) longtemps en « état de surfusion » parrapport à son modèle historique, à s’approcher du modèle adoptédepuis longtemps par les industries plus matures, comme l’auto-mobile.Une des différences essentielles entre constructeurs d’automobi-les et équipementiers tient dans la possession ou non d’un canalde distribution vers le client final1 et donc d’un accès direct auxclients communs. Les constructeurs possèdent le canal (et doi-vent le financer), alors que les équipementiers n’ont pas un accèsdirect aux clients communs (et n’en supportent pas directementles frais). Seconde différence : la possession de la « plate-formede production ».Un corollaire de la possession du canal est la responsabilité pourle produit assemblé face au client final, également une lourdetâche, périlleuse en cas de défaillance d’un équipementier. L’éco-système d’un constructeur doit donc être bâti avec le plus grandsoin.La déverticalisation de l’industrie du logiciel créera donc des « édi-teurs constructeurs » et des « développeurs équipementiers ».Même si le logiciel est « soft », et les exigences de conceptionsont moins drastiques que pour l’automobile ou d’autres indus-tries lourdes, la distribution des rôles dans la nouvelle industrie dulogiciel deviendra plus nette dans un proche avenir.Les éditeurs de logiciel d’aujourd’hui, mais aussi leurs partenaires(revendeurs à valeur ajoutée, consultants et SSII), et les investis-seurs doivent se poser ces questions :

• Qui seront les grands « éditeurs constructeurs » dedemain ?

• Qui seront les « développeurs équipementiers » du pre-mier, deuxième, troisième rang ?

• Quelles sont les conditions de réussite dans un rôle etdans l’autre ?

• Peut-on échapper à ce choix existentiel ?• Quelles conséquences pour les écosystèmes existants ?

Et bien sûr, chacun doit se poser la question « quel rôle dois-jeendosser » ?


Cet article ne se penchera pas sur le rôle des revendeurs, consul-tants et intégrateurs dans l’industrie du logiciel déverticalisée.Les DSI doivent observer, et en partie anticiper, l’évolution desacteurs et des écosystèmes pour faire les bons choix de fournis-seurs et d’architecture de leur système d’information.

Pourquoi devenir « éditeur constructeur »ou « développeur équipementier » ?

De prime abord, le rôle de l’éditeur-constructeur semble le plus« noble », celui qui offre la plus grande indépendance et la meil-leure maîtrise de son destin. De plus, les sociétés de logiciel ysont déjà habituées.

Mais ce rôle a une lourde contrepartie : l’obligation de financer lemarketing et la vente, et d’établir et maintenir un canal de distribu-tion directe ou indirecte. Et il faut presque toujours financer oupouvoir facturer l’intégration de son logiciel dans le système d’in-formation hétéroclite du client, souvent dans l’infrastructure impo-sée par son ERP.Une lourde charge pour les « petits éditeurs » d’aujourd’hui. Beau-coup investissent d’ailleurs fortement pour être intégrés dans lecatalogue d’un éditeur leader comme SAP, Oracle, Microsoft, parailleurs grands « consolidateurs » du marché. On pourrait endéduire que le nouvel ordre de l’industrie du logiciel est déjà entrain de s’établir. Mais figurer dans la liste de prix d’un « grand »n’implique pas des rentrées d’argent « automatiques ». D’ailleurs,ceux qui sont vite partis aux Bahamas après avoir réussi à figurerdans une de ces précieuses listes, pour y couler des journéesdouces, ont dû revenir à la rame…

Où est le problème ? En fait, les éditeurs d’aujourd’hui ne sont pasencore des « constructeurs », et leurs équipes ne savent pasencore vendre un produit composé/assemblé. Pour eux, les « pro-duits complémentaires » s’apparentent à un aveu d’échec, à unefaille qu’il faut combler avec un pansement acheté ailleurs.

Pourquoi les éditeurs de solutions inté-grées doivent-ils à terme assumer le rôlede constructeur ?

Tout simplement à cause de la pression du marché. Les architectu-res SOApermettront plus facilement que par le passé la substitutiondes granules fonctionnels (services Web) de leurs produits. Ainsi, unpetit éditeur pourra imposer son offre novatrice et compétitive en« échange standard » contre un service Web moins performant d’unprogiciel intégré. Il crée alors des précédents, une demande, unmarché… qui bousculent le grand éditeur, pour lequel l’investisse-ment dans ce service Web, trop souvent remplacé par ses clients,devient de moins en moins rentable.

Cette « intégration sauvage » de briques dans une offre intégréeest une vue négative des choses. Un regard positif amènera l’édi-teur d’une solution intégrée au constat qu’il sera moins cher d’in-tégrer une bonne brique d’un spécialiste dans son offre que decontinuer à développer la même fonction en interne. D’autant que

1 - La notion de « client final » suscite des réactions de protestation chez les clients qui seconsidèrent comme le point de départ ou le centre d’une action commerciale. Comme leclient « direct » d’un équipementier est le constructeur, cette expression est utilisée pourmieux distinguer les différents types de clients.


l’investissement pour le client final sera moindre, puisque l’éditeurexterne cesse de financer son canal de vente et peut baisser sen-siblement ses prix.

Pourquoi les éditeurs de « briques » desolution deviendront-ils équipementiers ?

Si l’intégration devient si facile, pourquoi les « petits éditeurs » selieraient-ils à des éditeurs-constructeurs, plutôt que de continueravec leur modèle économique actuel ?

Pour reprendre le parallèle avec l’automobile, le marché de la« deuxième monte » (où l’équipementier vend ses produits auxclients finaux pour remplacer un équipement standard de sa voi-ture, souvent après usure) pourrait être très important dans l’in-dustrie du logiciel grâce à la facilité d’intégration. Et après tout, lescanaux de distribution des petits éditeurs sont bien établis, et l’in-vestissement pour les maintenir reste plus modeste que celuinécessaire pour les créer. Les petits éditeurs peuvent ainsi nouerdes partenariats ad hoc avec les grands, sans rien changer enprofondeur.

Par conséquent, l’évolution vers le nouveau modèle de l’industriedu logiciel ne passera pas par une révolution brutale, mais s’éta-lera dans le temps. Tant que les petits éditeurs dégageront unemarge suffisante pour rester indépendants et pour financer leurR&D et leurs activités commerciales, ils resteront indépendants.Ce sera le cas pour les éditeurs aux produits fortement différen-ciés et à forte valeur ajoutée. Toutefois, la concurrence s’installera,et si ses concurrents peuvent adresser un grand marché rapide-ment en s’alliant avec un éditeur–constructeur (ou plusieurs), lesmarges de l’éditeur « ancien modèle » s’éroderont l’obligeant àévoluer vers le nouveau modèle.

Un enjeu majeur pour les éditeurs-constructeurs : la plateforme gagnante

Pour déverticaliser avec succès, les éditeurs-constructeursdevront attirer les meilleurs développeurs et les meilleures solu-tions sur leur plateforme. Pour cela, des approches traditionnellesont déjà fait leurs preuves, comme : créer des réseaux de déve-loppeurs, les courtiser avec des licences gratuites pour accéder àla plate-forme et à des outils de développement de plus en plussophistiqués, les choyer dans des « Developer Days » qui attirentles foules et offrent une tribune aux meilleurs pour montrer leur

excellence, etc. Néanmoins, des approches plus radicales voientaussi le jour : s’acheter une plate-forme populaire (comme Oraclel’a fait avec BEA), ou s’offrir des briques applicatives, soit pourempêcher leur présence sur d’autres plateformes soit pour empê-cher les concurrents de se les procurer en exclusivité.

Sur le moyen - long terme, la logique du rachat des équipemen-tiers par les constructeurs est cependant contraire au nouveaumodèle : elle ne permet pas de sortir du modèle vertical qui esttrop coûteux et trop rigide.

Ne pas confondre industrie déverticaliséeet marché ouvert de composants

Le nouvel ordre dans l’industrie du logiciel est-il le monde rêvé duDSI ? Est-ce que le DSI peut tout simplement opter pour un édi-teur-constructeur avec une bonne plate-forme SOA, pour ensuitechoisir les meilleures briques de solution pour chaque tâche surun marché ouvert ? Et s’il se trompe dans ses choix ou si sesbesoins changent, il échangera simplement quelques briques pard’autres ? Pas si sûr !

Un exemple lié à l’automobile illustre la difficulté : l’autoradio. Dansle passé, il était simple de changer la radio de votre voiture si unnouveau modèle vous donnait envie de transformer votre voitureen salle de concert. Aujourd’hui, mieux vaut se décider à l’achatde la voiture, comme la radio est décomposée en plusieurs sous-modules, placés à différents endroits de la voiture et intégrés avecd’autres équipements : amplificateur et haut-parleur servent éga-lement à votre téléphone, votre GPS et peut-être même auxannonces de sécurité (« mettre la ceinture de sécurité », « chan-ger les plaquettes de frein », etc.). Vous avez le choix à l’achat devotre voiture pour l’équipement de « première monte », mais leschoses se compliquent pour l’installation d’un équipement de« deuxième monte ».

On peut penser que le problème ne se pose pas dans le mondedu logiciel, car le processus de « fabrication » est moins lourd etl’intégration de « pièces de rechange » moins complexe. Un vraimarché de composant pourrait donc se développer, non bridépar les constructeurs et leurs choix de composants pour « la pre-mière monte ». Une vision du monde merveilleux de la cohabita-tion paisible entre le monde de l’Open Source et les logicielspropriétaire ?

Peut-être…

32

Hans-Josef Jeanrond est Analyste au BIT Group pour les stratégies Logiciels Applica-

tifs et l’environnement SAP,et intervient aussi comme expert pour le domaine de l’in-

novation et de l’adaptation de la culture aux objectifs de l’entreprise.

Ingénieur en informatique diplômé de Saarbrücken (Allemagne),ayant poursuivi des

recherches à Oxford et Edimbourg, Hans-Josef combine une importante expérience

du monde de la technique et de celui des utilisateurs de technologies dans différents

pays, cultures, langues et mentalités.

Il a plus de 15 ans d’expérience dans la recherche et le développement informatique

et autant dans le marketing et la communication. Il est expert dans la « médiation

Business & IT » pour la traduction de l’innovation en bénéfices utilisateurs et avanta-

ges métier.

Fondateur de Jeanrond CMC, société spécialisée dans le conseil en marketing et

communication pour l’industrie High Tech, Hans-Josef s’est associé à la création de

bizcat, cabinet suisse positionné comme catalyseur du business dans les « écosys-

tèmes » constitués autour de certains grands acteurs IT. De 1992 à 1998 il a été

Directeur Marketing et Communication de SAP France.

Le Business & Information Technology (BIT) Group a été fondé par Bernard Dubs sur

le paradigme de convergence Métiers / IT à l’origine de la création du Meta Group en

1989 (« Gartner + Ernst&Young »). Sur le plan international, il occupe de fait la place lais-

sée vacante par le Meta Group, auquel Bernard Dubs a collaboré de 1995 à 1998.

Sa mission est (1) d’accompagner les Comités Exécutifs dans leurs actions de trans-

formation continue faisant levier des TIC pour une croissance profitable et durable

basée sur la différenciation et l’innovation; (2) de faciliter les dialogues entre les

organisations et les offreurs IT&T.

Le BIT Group se différencie (1) par l’approche "Entreprise Cap 2020":une vision stra-

tégique pour l’entreprise, la fonction SI et le système d’information, qui garantit la

cohérence des analyses et recommandations du cabinet dans une logique de créa-

tion de valeur; (2) par l’expertise de ses analystes, tous dédiés B2B,nativement euro-

péens et ayant au moins 20 d’expérience polyvalente "Business & IT", (3) par la

proximité européenne.

Avec 14 analystes de 3 nationalités sur Paris et Londres, le BIT Group est le seul à

pouvoir servir ses clients entreprises et administrations sans faire appel à des amé-

ricains sur les 3 pôles du Métier Intelligence de la fonction DSI :

- Transformation et pilotage de la fonction SI,

- Le SI au service de l’innovation et du Comité Exécutif

- La performance durable et l’excellence opérationnelle du SI

Inventer l’entreprise du XXIème siècle

bi

t

Hans-Josef JeanrondAnalyste, Stratégies LogicielsApplicatifs, Environnement SAP,Culture et Objectifs d’entreprise

[email protected]


Supposons que l’installation d’une nouvelle radio (chaine HIFI)dans votre voiture soit parfaitement simple. Vous faites monterl’équipement de vos rêves – et vous êtes désagréablement sur-pris en constatant que cet équipement ne comprend pas lessignaux qui lui parviennent de votre téléphone ou de votre GPS.Traduit dans le monde du logiciel : vos composants doivent com-prendre le langage de votre système d’information et de sesautres composants. Comprendre le sens (la sémantique) et nonseulement la syntaxe et la grammaire. Or cette compréhensiondemande une standardisation largement au-delà de tout ce quenous voyons dans les architectures SOA d’aujourd’hui.

Si les DSI, et plus généralement les entreprises utilisatrices, sou-haitent un marché ouvert de composants logiciels (de Web Ser-vices), ils doivent s’engager à faire naître les standardsnécessaires. Dans le passé, cet engagement a toujours faitdéfaut. En partie par l’incompréhension des enjeux de la partdes entreprises (« l’informatique n’est pas notre métier ; a fortiori,le lobbying pour des standards informatiques ne l’est pas nonplus, et encore moins l’engagement dans le processus de stan-dardisation. »)

C’est pourquoi on peut donc s’attendre à l’émergence d’un mar-ché de composants par plate-forme (par éditeur-constructeur),où la sémantique des échanges entre composants supportant unprocessus de gestion sera imposée par l’éditeur-constructeur.

Le modèle SaaS change-t-il la donne ?

Les adeptes du modèle « Software as a Service » (SaaS) préten-dent parfois que tous les problèmes des entreprises s’arrêtent sielles stoppent l’achat des logiciels, et commencent à les« consommer » et à les payer à la demande. Demandez et vousrecevez. Cela semble divin – un peu trop peut-être.

Le succès du modèle SaaS s’est principalement fait autourd’applications simples (comme la bureautique) ou autour desolutions CRM peu intégrées avec le reste du système d’infor-mation des entreprises. Aujourd’hui, le marché connaît unephase de consolidation de ce modèle – avec les mêmes enjeuxque dans le monde « classique » du logiciel : l’intégration, maisaussi la lutte des plates-formes pour attirer les meilleures bri-ques de solution. Le SaaS perdra un peu de sa légèreté dansce processus.

Les nouvelles générations de progiciels, en SOA, seront toutes« pure Web » et pourront donc être livrées en mode SaaS ou ins-tallées dans les locaux des entreprises. Finis les mondes sépa-rés : « SaaS ou pas SaaS ? » ne sera plus la question. Unprogiciel reste un progiciel, et l’entreprise aura le choix du « modede livraison » : installé chez elle, livré « as a Service » ou achetéet hébergé chez un prestataire sélectionné par elle.

Il faudra donc toujours faire le bon choix d’un éditeur constructeur(sa plate-forme et son écosystème d’équipementiers). De plus, leDSI aura le choix de la « livraison » (dans le sens de « delivery »en anglais) et différentes options de financement. �

IT-expert, la référence techniquedes professionnels de l’informatique

Bimestriel de conseil et d’expertise technique,

IT-expert vous offre l’information essentielle pour

vous former et décider.

Venez télécharger IT-expert sur le site :

http://www.it-expertise.com

www.it-expertise.com

Pour tous renseignements : IT-expert - 3, rue Marcel Allégot - 92190 MEUDON - FRANCE

Tél. : +33 (0)1 46 90 21 21 - e-mail : [email protected]


IT-expert, le « e-magazine »pour les IT pros

Bon d’abonnement à faxer au+33 (0)1 46 90 21 20

ou renvoyer au Service Abonnements3, rue Marcel Allégot

92190 MeudonFrance


� Mme � Mlle � M.

Nom

Prénom

Société

Fonction

Adresse

CP

Ville

E-mail

Tél

Fax

�Je m’abonne 1 an à IT-expert pour 70 ¤ TTC par an (TVA 19,6%)c’est-à-dire pour l’accès aux 6 N° de l’année téléchargeables sur le site http://www.it-expertise.com ainsi que pour l’accès aux anciens numéros

Dès parution du nouveau numéro sur le site http://www.it-expertise.com, un e-mail vous sera envoyé. Si vous ne souhaitez pas recevoir cet e-mail, cocher la case �

� Chèque joint à l’ordre de Press & Communication France

� Règlement à réception de facture

Date :Signature obligatoire :

Abonnez-vous à IT-expert

Abonnez-vous sur www.it-expertise.com/Abonnement

35

Comment ça marche ?


Cartographiedes SI :Observez le présent etvivez l’avenir

Les projets de référentiels de cartographie enentreprise ont vu le jour au milieu des années90 et se sont multipliés au fur et à mesure desannées (avec comme catalyseurs l’an 2000,l’euro, les fusions, l’externalisation, l’interna-tionalisation…).Les progiciels spécialisés ont évolué proposantdavantage de types de cartes, de fonctionnali-tés liées à la navigation et aux restitutions…Ils ont permis d’outiller les démarches d’urba-nisation ainsi que les différentes approchesprocessus qui se sont progressivement instal-lées dans la gouvernance des DSI.Ainsi aujourd’hui, toutes les grandes structu-res privées ou publiques françaises ont déjàexpérimenté ou mis en œuvre, avec plus oumoins de succès, une démarche de cartogra-phie de leur système d’information.Malgré un bilan mitigé selon les dimensionsdécrites du SI (processus, systèmes, données,fonctions/services, infrastructure techni-que…), la cartographie s’est ancrée au cœurdes démarches de conception de SI. Pour s’enconvaincre, il suffit de parcourir les documentsde référence produits lors des études préala-bles et dans les phases de conception générale.Si on les compare aux mêmes documentsdatant du début des années 2000, on apprécieavantageusement tout le chemin parcouru.Même si, pour certains, disposer d’un référen-tiel de cartes à jour, fiable et exhaustif… n’estpas pour demain. Certes, la tâche est ingratecar manuelle, répétitive parfois, et surtout sou-mise à l’interprétation du modélisateur.


Un marché dynamique…

La cartographie en entreprise aborde aujourd’hui un nouveaucycle. En effet, la courbe de maturité des projets de cartographielaisse apparaitre la fin de la première vague des projets (cf.schéma ci-dessous).

De plus, l’offre évolue fortement ces deux dernières années et lesprojets se multiplient. D'ailleurs, de nouveaux outils, solutions, ettechniques voient le jour. Les éditeurs de ce marché de nichefont aujourd’hui l’actualité (rachat de Telelogic par IBM annoncéen juin 2007 et validé par la commission européenne en mars2008) et les acteurs historiques précurseurs voient arriver uneconcurrence plus large (issue d’acteurs plus généralistes ou destart-up de seconde génération). En outre, la refonte de l’offreMega en 2007 montre l’ampleur du repositionnement généraldes produits et des projets à venir.

Plus que jamais, la cartographie reste d’actualité, car le problèmereste que ces 10 dernières années, le nombre des applications alittéralement explosé (nouvelles technologies, complexité accruedes systèmes et des échanges pour l’internationalisation desactivités et l’ouverture des SI…). Au-delà d’une certaine taille,lorsque le SI dépasse par exemple des centaines d’applications,il n’existe aujourd’hui pas d’autre alternative pour disposer d’unevision plus « accessible » et exhaustive pour l’ensemble des par-ties prenantes. Quand on se rend compte que le nombre de ser-veurs de Google est estimé à près de 500 000, cela nous donneune vision prospective de la réalité des SI dans les prochainesannées.

Échelle du nombre d’applications (complexité du SI) partype de structures (estimation 2007) :

… et prometteur

Dans les années à venir, la tendance va se poursuivre, et la pra-tique, les démarches et les outils vont continuer à progresser,

s’industrialiser et se répandre dans les modes de gestion du sys-tème d’information.

Et ceci, pour plusieurs raisons :

• les acteurs internes et externes chargés du contrôle et desaudits se sont particulièrement habitués à travailler sur la base deces référentiels. Ils auront davantage d’exigences en la matière.• une culture de la modélisation, de la 3D et de la cartographie enplein essor… la maturité des acteurs intervenant sur les SI pro-gresse et certains d’entre eux (en Maitrise d’ouvrage ou Maitrised’œuvre) accumulent des années de pratiques dans les projets. Ilsdiffusent eux-même, sans les consultants, ces bonnes pratiques.• la complexité des SI va continuer à croitre, certains projets lais-sent entrevoir une sur-complexité (en nombre d’acteurs, en ter-mes d’architecture…) et de gigantesques quantités d’information(des milliards de tickets de caisse, des dizaines de millions declients ou d’administrés, des milliers d’applications et/ou de ser-veurs…) qui imposeront toujours plus d’outillage, d’analyse, depédagogie et de représentation cartographique.• la traçabilité des liens entre les couches informatiques et métiers’impose pour une meilleure maîtrise des changements.• le capital « immatériel » que constituent les systèmes d’infor-mation va être de plus en plus pris en compte dans le bilan desentreprises. Cette valorisation en tant qu’actifs entraine un besointoujours plus important d’outiller le recensement et la maitrisede ce patrimoine.

Types de structures Nombre d’applications

Grandes structures privées/publiques nationales

Entre 100 et 1000 applications

Grandes structures privées/publiques internationales

Entre 1000 et 5000 applications

Très grandes structures privées/publiques internationales

Supérieur à 5000 (voire à 10 000)applications

© Oresys


Le GPS des SI ne sera plus en option dans la boite à outils duchef de projet. C’est déjà le cas chez les leaders, les entreprisesen croissance qui investissent, convaincues que la cartographiedonne du « sens » et peut constituer aussi une arme de conquêteen cas de fusion, de rapprochement, de partenariat, d’internatio-nalisation et/ou d’externalisation.

Le modèle de Google Maps

Le doux rêve de Google Maps ! Et si les entreprises disposaientd’un outil pour l’entreprise qui se caractériserait par l’ergono-mie, la puissance, la personnalisation, la navigation intuitive, laperformance de la génération automatique… Et si quelqu’un se chargeait de répertorier et de peupler la visionde notre patrimoine existant (comme l’IGN le fait en faisant survo-ler un avion à une fréquence pluriannuelle)… nous n’aurions qu’àextraire des itinéraires pour chefs de projets et managers desinformations 100 % utiles et opérationnelles pour des retours surinvestissements directs. Les « mashups » du web 2.0 laissententrevoir des possibilités variées : cartographie des atterrissa-ges de soucoupes volantes ou des pubs offrant la bière la moinschère du pays, cartographie mondiale des alertes majeures desécurité (cf. http://globalincidentmap.com/home.php ) ou des ris-ques-pays (cf.www.globalriskrating.net).

Et pourquoi pas la 3D ? Qui s’impose peu à peu dans l’industrie…

Une vingtaine d’éditeurs sur un marché qui seconcentre

Le marché au niveau mondial est dynamique selon Forrester et leGartner. Mais pas d’outil magique qui s’impose-rait dans le paysage à venir.Les grands acteurs en présence sont en pleinrepositionnement :• Mega, le leader en France, souhaite étendre lacouverture de sa suite logicielle au-delà d’uneplate-forme de modélisation pour être davantage« incontournable » dans le paysage,• Aris est de plus en plus « embarqué » (embed-ded en anglais) dans les projets de mise enœuvre d’ERP (SAP, Oracle…), et s’impose de fait,• IBM avec sa plate-forme de conception et d’in-génierie logicielle, vise l’équipement large etpérenne des DSI en tentant d’imposer sa suiteRational-Telelogic, • Troux et Corporate Modeler, editeurs anglo-saxons « pure players » (sans activités de servi-ces) adoptent un marketing plus agressif etmultiplient les promesses (cf. Troux sur la stratégieet la gouvernance),

Le GPS du chef de projet SI : maitriser les enjeux de l’entreprise et la complexité du SI

Affichage cartographie de données - GlobalIncidentMap.com

© Oresys


de plate-forme de conception collaborative 3D ou virtuelle (Das-sault, PTC…). Il n’y a aucune raison de ne pas voir ce mouvementarriver sur les prototypes et le cycle de développement des SI.D’ailleurs, le spiral development, RUP, les approches incrémen-tales ou itératives font la part belle aux plateformes de dévelop-pements et de modélisation.

Les principales fonctionnalités attendues dans l’offre ces pro-chaines années sont les suivantes :• La génération automatique de cartes (cf. philosophie SOLU-QIQ) : Ne pas avoir à modéliser toutes les cartes à la main !• Le reporting et l’aide à la décision : utiliser la puissance dumodèle, mais pas uniquement pour la navigation graphique, évo-luer vers une exploitation BI du référentiel (cf. matrice d’arbi-trage), l’affichage cartographique de résultats de recherche (cf.Google Labs, « Map View » permet un affichage cartographiquedes résultats d'une recherche : tous les résultats sur un mêmefond de carte).• La simulation, la gestion de scénarios, le versionning : appor-ter plus de valeur ajoutée sur l’analyse, les prévisions… • La représentation 3D (cf. offre OnMap).• Les liens « facilités » avec les autres outils de la DSI (CMDB,MDM…), avec des workflows…• Le portage technologique sur des ergonomies plus avancées(rich interface).• L’émergence de solutions pérennes low cost/open source…�

• Soluqiq vise à répondre aux faiblesses actuelles du marché par lagénération automatique des cartes dans son offre, • Microsoft étend l’utilisation de Visio (notamment avec sa ver-sion 2007) sur tous les sujets de représentation visuelle de don-nées dans l’entreprise, • De nouveaux outils arrivent également liés à la mouvance« open source » (initiatives prises dans le secteur public et dansle secteur privé)… • Une offre plus orientée « low cost » existe et certains outilss’avèrent intéressants selon les besoins (cf.WinDesign, C-Log).Au vu du nombre d’acteurs présents (une vingtaine sur le marchéfrançais), et le fait que ce marché constitue toujours encore uneniche en croissance (marché français licenses + services estiméentre 50 et 80 millions d’euros, cf. étude 2007 Oresys), des acqui-sitions sont à prévoir dans les deux prochaines années. L’heuredes superacquisitions est terminée et les grands acteurs dans ledomaine du logiciel vont chercher à consolider leur portfolio avecde petits éditeurs plutôt que des mégaacquisitions.

La tendance « open source » et l’adoption de logiciels libres se ren-contrent aujourd’hui davantage dans le secteur public que privé. Denombreuses initiatives sont actuellement en cours avec un modèlede revenus générés par l’intégration du produit. Les principales bar-rières au développement sont généralement le manque de sup-port, la complexité et le manque de maturité des produits.

Perspectives 2010 : seconde et troisième générations

Le reproche de la modélisation actuelle insiste sur le manqued’assistance ou d’automatisation : une carte n’est consultablequ’à partir du moment où elle a été dessinée. La conception dans l’industrie est aujourd’hui soumise à unetransformation très importante du fait de l’arrivée massive d’offre

De plus en plus d’exemples de cartographies dansla vie professionnelle et dans la vie quotidienne :

• Cartographie des liens entre individus (réseauxsociaux, dirigeants, parties prenantes d’une affaire…),• Carte stratégique,• Carte du bruit des agglomérations,• Représentations graphiques 3D (+imprimantes etscanneurs 3D) dans la conception assistée par ordina-teur dans le développement de nouveaux avions, denouvelles voitures, dans la recherche pharmaceutique…• Cartographie de la blogosphère,• Cartes géographiques interactives (la géolocalisation),par exemple sur internet : cadastre, Google Maps &Google Earth, nouveau site IGN…• Carte des risques opérationnels,• Carte des flux logistiques,• Postes de supervision et de commandement (« tourde contrôle »), • Cartes heuristiques…

Nicolas GRZECZKOWICZResponsable du pôle de compétences cartographieOresys - http://[email protected]

A propos d’Oresys

Société de conseil indépendante de 200 consultants, ORESYS aide ses clients à

• piloter leurs activités,

• améliorer leur performance,

• mettre en œuvre leurs projets de transformation.

Oresys intervient sur toutes les dimensions :métier,organisation,processus,système

d’information, accompagnement du changement, risques.

Pour mieux accompagner nos clients DSI confrontés à la mise en ouvre volontaire ou

imposée de l’offshore, ORESYS a complété et adapté les méthodologies de conduite

de projet.

Un ensemble d’outils pratiques ont été élaborés pour accélérer et sécuriser le

cadrage, la conduite du projet. http://www.oresys.eu© Oresys


La virtualisation pour les nuls

Certes, nous présentons ici un livre en anglais, mais très complet et très péda-gogique. Daté de décembre 2007, espérons qu’il sera traduit dans quelquessemaines. En attendant, seul un autre ouvrage français est annoncé sur le sujet,et sa publication prévue en mars 2008 a été repoussée.L’auteur présente les avantages de la virtualisation à travers quatre leviers favo-risant l’émergence de ces technologies : les matériels sous-exploités, le manquede place dans les datacenters, les coûts en consommation énergétique, et lescoûts d’administration.Puis, de façon très pédagogique, le livre explique les notions fondamentales :virtualisation de système d’exploitation, émulation matérielle, paravirtualisa-tion, applications virtualisées, consolidation de serveurs, haute disponibilité etload-balancing, clustering, reprise sur incident… Le lecteur appréciera lesvisuels (Attention, remarque, truc et astuces…) qui facilitent la lecture et lesschémas et tableaux bien pensés, bien qu’en noir et blanc.

Virtualization for DummiesBernard GoldenÉditions For Dummies362 pages – environ 22 euros

Visibilité sur le web

Spécialiste de terrain mondialement reconnue et conférencière, Shari Thurowpropose un livre simple et didactique. Elle fait profiter le lecteur de son expérienceWeb bâtie auprès d’illustres clients (AOL, Microsoft, HSBC, ABC News…). Outreune analyse très pertinente des mécanismes de référencement utilisés par lesgrands moteurs de recherche, l’auteur expose sa méthodologie éprouvée pouroptimiser son site et son référencement. Choix des outils existants sur Internet,capture d’écrans, listes généreuses de mots… Shari Thurow ne se prive pasd’exemple et de conseils sans langue de bois et sans approche idéaliste. Etbien entendu, aucun aspect n’est oublié dans cet ouvrage de 314 pages : règlesde webdesign, générateurs de mots-clés, placement des mots, texte/image,balises, langues étrangères, caractères spéciaux… Bref, un condensé incontour-nable qui s’impose comme un ouvrage de référence.

Visibilité sur le webShari ThurowÉditions Pearson314 pages – environ 28 euros

Livres

Fenêtre sur cour


� Pourriez-vous nous présenter le service informatique devotre société et nous expliquer vos problématiques ?

Philippe Ottin : Nous sommes un Groupe international, maisavant tout une PME. Nos problématiques sont les mêmes quecelles des grands groupes mais nous n'avons malheureusementpas les mêmes ressources ni les mêmes moyens.

� Dans quels buts avez-vous mis en place un projet de virtualisation ?

Philippe Ottin : La mise en place d’un ERP (JD Edwards,devenu depuis Oracle Enterprise One) au sein du groupe en2001 nous a naturellement amenés à repenser la manière dontnous gérions le SI. En effet, l’ERP touche tous les sites du groupeet représente une application vitale pour notre activité. Sa miseen œuvre a nécessité une refonte quasi-totale de notre architec-ture auparavant basée sur des machines IBM AS/400 répartisdans les filiales avec des postes utilisateurs sous PC « lourds ».De plus, nous souhaitions également normaliser les processusmétier, réaliser des économies, gagner en réactivité, partageren temps réel les mêmes données et les mêmes applicatifs... etenfin d’obtenir une disponibilité et une fiabilité maximales. Laseule possibilité nous permettant d’atteindre facilement et effica-cement ces objectifs reposaient sur une architecture totalementcentralisée basée sur la solution Citrix Metaframe en ce quiconcerne les accès clients.

� Quelles étaient vos contraintes en terme de fiabilité, sécurité,coûts, délais… ?

Philippe Ottin : Bien que ne disposant d’aucun informaticien surnos sites distants, nous avons besoin d’une disponibilité maxi-male des applications du SI et d’une grande réactivité en cas deproblème. D’autre part, les coûts exorbitants des liaisons réseauà l'international obligent à être vigilant sur les débits. En outre,nous envisagions de mettre en place un incontournable Plan deReprise d'Activité. Enfin, nous désirions conserver la possibilité defaire évoluer facilement nos outils logiciels ou matériels.

� Quels outils avez-vous utilisé ?

Philippe Ottin : Nous avons initié le déploiement de Citrix Meta-frame en même temps que notre ERP en 2001. Tous les utilisa-teurs du groupe travaillent donc sur un bureau Windows partagésous Citrix sur les serveurs situés en France. Nous avons mis enplace un accès à Citrix Metaframe via une passerelle Citrix SecureGateway pour nos employés nomades et télétravailleurs.

Par la suite, nous avons décidé de mettre en place la solutionXenSource associé au logiciel Datacore San Melody (solution devirtualisation de stockage iSCSI en haute disponibilité) pour lesapplications/services Linux afin de faciliter la gestion de ceux-ci enterme de gestion du parc de serveurs (hard, maintenance), de dis-ponibilité, de Plan de Reprise d’Activité (PRA) et enfin de gestiondes sauvegardes.

� Pourquoi Citrix et XenSource ?

Philippe Ottin : Citrix s’imposait, et cela semble toujours d’ac-tualité, comme LA solution de publication d'applications offranttout un panel de possibilités (load balancing, publication d'applica-tion/bureau, gestion du trafic réseau...) correspondant à notrebesoin et permettant de faire évoluer très simplement notre SI.Concernant XenSource, nous utilisons la partie libre de Xen. Cechoix s’est imposé. En effet, Xen est LAsolution du monde du libreen ce qui concerne la virtualisation, et le projet est supporté par degrands contributeurs. Il faut d’ailleurs noter que le rachat de Xenpar Citrix nous a conforté dans notre choix.Au départ, nous avons commencé à utiliser XenSource unique-ment pour des questions de consolidation de serveurs. Lorsquenous avons acquis le logiciel Datacore San/Melody, nous avonsnaturellement accéléré ce processus de migration sous Xen. Tousnos services Linux sont désormais sous Xen.

� Avez-vous envisagé des solutions alternatives ?

Philippe Ottin : Dès 2001, nous avons rapidement étudié lessolutions TSE/RDP de Microsoft que nous avons jugées trop peu

Interview de Philippe OTTIN, Responsable système et réseauxde la société Weishardt

Le groupe Weishardt, créé en 1839, spécialisé dans la fabrication de gélatines alimentaires, pharmaceutiques

et techniques est le 4ème producteur mondial dans ce domaine. Il compte 500 employés répartis sur 9 sites

en France et à l’étranger. Monsieur Ottin, responsable système et réseaux du groupe, a accepté de nous par-

ler de la mise en œuvre de la virtualisation de son infrastructure d’entreprise.


évoluées. Concernant XenSource, nous sommes partis sur ceproduit sans aucune hésitation.

� Quels sont les principaux bénéfices de ce projet ?

Philippe Ottin : Tous les besoins exposés plus hauts sont très lar-gement adressés par la virtualisation et ont été atteints : l’architec-ture IT est fiable et disponible, ce qui permet à nos collègues depouvoir gérer la partie métier qui leur incombe sans encombres.Il est à noter que le taux de disponibilité du SI et la satisfaction desutilisateurs sont des indicateurs que nous mesurons périodique-ment et qui font partie de l’Assurance Qualité du groupe.

� Pouvez-vous évaluer les gains financiers apportés par lessolutions retenues ? Réduction des coûts ? Maîtrise desdépenses ? Retour sur Investissement ?...

Philippe Ottin : Impossible à chiffrer tant les solutions que nousavons mises en oeuvre autour des solutions de virtualisation Citrixet Xen sont omniprésentes. Notre architecture se bâtit et évolueen permanence autour de ces 2 briques fondamentales.

Les grands axes de ROI sont :• Coût du réseau international : nous utilisons désormais unréseau international entièrement basé sur Internet et construitautour d’une solution de tolérance de panne. Une caractéristiquequi en fait un réseau excessivement fiable, performant, très évo-lutif mais aussi avec un coût plus que très nettement inférieur àune solution opérateur classique.• Coût de possession des clients légers : les clients légersreprésentent plus de 85 % de notre parc. Le coût de possessionde ce type de poste est très faible (pas de disque dur, faibleconsommation électrique, OS peu ou pas modifiable). La rotationdu parc de postes de travail est supérieure à 5 ans… De plus, peuou pas de maintenance ou d’intervention sur les postes.• Simplicité d’administration, déploiement : il est plus facilede déployer une application sur une dizaine de serveurs répartissur 2 salles que 250 postes répartis sur 8 pays… De plus, nousutilisons fréquemment des serveurs de test pour maquetter etprocéder à des tests de non-régression sur les solutions que noussouhaitons déployer ou mettre à jour.• Souplesse, flexibilité et évolutivité : l’architecture que nousavons mise en place permet de manière simple et rapide de nousadapter aux besoins du groupe. Par exemple, nous avons pu inté-grer notre nouvelle usine canadienne en une semaine seulement…• Disponibilité du SI : une architecture centralisée est bien plusfacile à gérer/surveiller qu’une architecture distribuée mais sonexploitation nécessite de la rigueur. Nous sommes bien plus réac-tifs pour anticiper les problèmes qu’auparavant. Le taux de dispo-nibilité du SI et la satisfaction de nos utilisateurs le démontrent.

� Quelles difficultés avez-vous eu à résoudre ou à contourner ?

Philippe Ottin : Comme dans tout projet de cette ampleur, les dif-ficultés rencontrées ont été nombreuses. La virtualisation a de

très nombreux avantages, mais elle nécessite une rigueur de tousles instants. Ainsi, il a fallu créer une organisation autour de cettearchitecture afin qu’elle reste homogène, pertinente mais surtoutd’une fiabilité à toute épreuve. La moindre erreur peut avoir desconséquences fâcheuses avec un impact non-négligeable.

Concernant la mise en place de Citrix Metaframe, nous avonstout d’abord eu à gérer la problématique des langues et desalphabets différents de nos utilisateurs. En effet tous les utilisa-teurs travaillent sur les mêmes serveurs. Il fallait donc qu’un japo-nais puisse taper ses mails dans son alphabet pendant qu’unutilisateur slovaque affichait un texte en russe et qu’un espagnoltravaillait dans sa langue sur l’ERP. Autre point capital, nous avonschoisi de gérer le paramétrage de toutes les applications de nosserveurs via des scripts afin de pouvoir intégrer facilement toutemodification.

Concernant la mise en place de Xen, l’association Xen et duiSCSI nous a posé le plus de problèmes. Cette architecture peurépandue, nous a obligé à procéder à de nombreux tests et àcréer des outils afin de garantir la fiabilité que nous exigeons, touten conservant une souplesse maximale.

� Comment envisagez-vous l'évolution du SI de votreentreprise ?

Philippe Ottin : Nous souhaitons pousser la virtualisation le pluspossible, notamment en virtualisant sous XenSource un serveurCitrix non redondant mais aussi des services Windows vitaux(service de fichiers, d’impression). Nous sommes en train demaquetter ces solutions.

Autre possibilité dans un second temps, mettre en cluster les ser-veurs Xen pour garantir une disponibilité encore meilleure. Pourl’instant, la reprise, en cas de sinistre majeur est manuelle, maisgrandement facilitée par la virtualisation…

Nous évaluons également actuellement la convergence voix/don-nées/visio sous Citrix qui est un point stratégique pour nous. Eneffet, nous souhaitons à moyen terme mettre en place une solu-tion de service de communication sur IP (ToIP, visio, conféren-ces…) pour le groupe. Nous sommes en train de réfléchir auxdifférentes options qui s’offrent à nous. Il est évident que la capa-cité de Citrix à supporter ou non cette convergence sera détermi-nante pour la suite.�

Philippe OTTIN

Rubrique à brac


À l’heure de la virtualisation, de

nouvelles failles de sécurité

émergent, et Citrix rencontre un

succès confirmé auprès des

entreprises. Toutefois, quelques

dispositions s’imposent pour évi-

ter la perméabilité entre applica-

t ions, et pour sécuriser les

fichiers que les attributs par

défaut rendent vulnérables.

Sécuriser les environnements applicatifs sous Citrix

43

confère aux applications une indépendance vis-à-vis du poste detravail. Ainsi, l’application qui était déployée sur les postes clientsest désormais installée directement sur un serveur de type CitrixPresentation Server ou Terminal Server de Microsoft. Ce serveurprend en charge le déport d’affichage des différentes applicationsvers de simples postes banalisés. L’utilisateur quant à lui gar-dera son environnement (montage des disques locaux etréseaux, imprimantes et profils applicatifs).La centralisation d’application sur des serveurs de présentationapporte : • rapidité de déploiement du fait du nombre réduit de serveurs, • performance au niveau des temps de traitement, • disponibilité depuis n’importe quel site, • réduction des coûts de gestion,• sécurité centralisée.

Fermer la porte aux nouvelles possibilités d’in-trusions

Cette forme de virtualisation d’application semble résoudre unegrande partie des problématiques actuelles. Néanmoins, l’exécu-tion d’une application depuis un serveur Citrix pose le problèmed’une politique de sécurité satisfaisante.Pour se rendre compte du nombre de failles qui représententautant de points d ’entrée vers un système d’information via leprotocole ICA, il suffit de taper sur Google « ext:ica ». Le nombrede réponses obtenues est édifiant et met en exergue l’enverguredu problème. Le cloisonnement physique et logique deviennent indispensa-bles pour limiter au maximum toute tentative d’intrusion.

Une première étanchéité avec le cloisonnement physique

De façon traditionnelle, le cloisonnement physique est mis enœuvre dans les entreprises qui permettent un accès depuis l’ex-térieur à certaines de leurs ressources, le plus souvent un serveurWeb ou FTP. Le cloisonnement est assuré par les firewalls filtrentle trafic réseau et ne laissent passer que les paquets utilisant desprotocoles réseau autorisés. Le niveau de cloisonnement dépendalors du type d’accès aux ressources. Celui-ci doit assurer uneétanchéité complète des ressources internes de l’entreprise vis-à-vis de celles mises à la disposition de l’extérieur.

Comme l’illustre le schéma, l’accès du serveur Citrix à des res-sources de l’entreprise (serveurs d’application, de base de don-


La virtualisation apporte une réponse pertinente et adaptée auxentreprises confrontées à des problématiques de performances,de sécurité, de maitrise des coûts, de déploiement, ou de mutua-lisation des ressources. Cet étalage non exhaustif d’avantagesproposés par la virtualisation décrit en fait des concepts très dif-férents, bien que représentés sous la même appellation. Ainsi, lesserveurs lames (blade) ou les réseaux de stockage (San) sontdes systèmes de virtualisation de ressources matérielles. Toute-fois, les principales manifestations de la virtualisation sont :• La virtualisation de serveurs dont les deux principaux acteurs

sont VMWare et Microsoft propose la mutualisation sur unemachine physique de plusieurs machines virtuelles indépen-dantes les unes des autres et « vues » comme des machinesphysiques distinctes. Elle couvre une problématique de mutua-lisation de ressources généralement sous-exploitées, asso-ciée à la nécessité d’isoler des machines assumant desfonctions différentes au sein de l’entreprise. Enfin, elles repré-sentent une réponse peu onéreuse pour assurer l’obligationde continuité de l’activité. La somme de ces avantages expli-que que la virtualisation rencontre un succès croissant auprèsde nombreuses directions informatiques.

• La virtualisation d’applications, évoquée dans cet article,répond à de tout autres contraintes au premier rang desquel-les on trouvera le déploiement des applications métiers utili-sées au sein de l’entreprise. Nouvelles versions desapplications, runtimes, et couches middleware représententautant de briques indispensables au bon fonctionnementd’une application et très sensibles au changement. L’émer-gence des utilisateurs nomades de ces applications accroit ladifficulté en y apportant une contrainte supplémentaire de per-formances et de sécurité des applications.

Souplesse et disponibilité de la virtualisationd’applications

Actuellement, on distingue sur le marché deux types de virtuali-sation d’applications. La plus courante au sein des entreprisesmet en œuvre le déport d’affichage via les technologies ICA deCitrix et RDP de Microsoft (Independent Computing Architec-ture et Remote Desktop Protocol). On trouve également le strea-ming d’applications de Citrix, correspondant à l’offre SoftGridchez Microsoft. Cette technologie encore peu implémentée per-met de charger des applications sous forme de services applica-tifs à la demande. Cet article s’attache à la première technologie,la plus aboutie et la plus déployée.

Quelle est la problématique liée aux applications installées sur leposte de travail d’un utilisateur ? Ces applications dites « lourdes »sont pour la plupart consommatrices de charge processeur etréseau, et d’accès disque. Les temps de traitement d’une applica-tion utilisée localement sur le poste de travail sont directement liésà la connectique de la machine, qui se trouve généralement sur unsite différent de celui du Datacenter, mais aussi à la puissance dela machine cliente en elle-même. L’administration de l’ensemble duparc applicatif (installation, patch, versionning) devient probléma-tique du fait de la multiplication des points de distribution.Pour remédier à ce problème, la virtualisation d’application


Les mécanismes qui permettent la mise en œuvre du cloisonne-ment logique des applications ne sont pas spécifiques à Citrix ouMicrosoft Virtual Server. Ils sont intégrés aux systèmes d’exploi-tation Microsoft mis en œuvre sur ces serveurs.

Citrix étant une sur couche de Terminal Services, il faut opterpour l’option « Full Security » lors de l’installation de TerminalServices, afin d’empêcher les utilisateurs de modifier les fichierset registres systèmes du serveur.

Les stratégies de groupes sont très utiles pour une gestion cen-tralisée des serveurs Citrix. Et l’une des stratégies les plus utili-sées est baptisée « User Group Policy loopback processingmode ». Sa spécificité : elle ne prend effet que lorsque le profil del’utilisateur est chargé sur le serveur Citrix. Donc, les stratégiesactivées côté utilisateur seront prises en compte lorsque l’utilisa-teur lancera sa session ICA ou RDP. Ce mode de fonctionne-ment est un atout pour une bonne gestion de la sécurité desserveurs Citrix.

nées…) nécessite l’isolement par un firewall du serveur de pré-sentation (Web Interface Secure Gateway) accessible depuisl’extérieur.

Des applications isolées grâce au cloisonnement logique

Moins connu, car fortement lié au concept de virtualisation d’ap-plications, le cloisonnement logique vise à isoler entre elles lesdiverses applications hébergées par le serveur d’applications.Ces dernières pouvant être de natures différentes (CRM, comp-tabilité, développement…) ne doivent pas être accessibles à tousles membres de l’entreprise. Le filtrage sera effectué au niveau de la couche utilisateur engérant son appartenance à un groupe ou un domaine. Ainsi, l’uti-lisateur habilité à ces applications ne doit en aucun cas sortir desa zone applicative.


Ci-dessous un exemple classique de stratégie de groupe :• masquer les disques du serveur,• interdire le listing du contenu des disques du serveur,• interdire la connexion des lecteurs disques du poste client,• interdire les scripts batch,• désactiver les aides des applications,• interdire l’accès aux composants du panneau de configuration,• interdire l’accès aux périphériques du serveur,• …

Les macros

Les logiciels bureautiques sont devenus indispensables dansl’environnement des utilisateurs. La suite Office en est un exem-ple, et les macros sous Excel ou Word offrent une panoplie d’ou-tils permettant de lancer facilement des commandes systèmes,des requêtes vers des bases de données via des scripts VBA.Des modèles d’administrations sont fournis par Microsoft pour lagestion de la sécurité des Macros sous Office.

Il est important d’appréhender la portée des actions pouvant êtreeffectuées via ces macros afin d’appliquer des règles de sécuritéadaptées. Ainsi l’exécution d’une commande via une macro sefait par le biais de la librairie système « scrrun.dll ». L’attributionde restrictions des droits NTFS sur cette librairie permet d’enlimiter voire empêcher l’usage.

Applications fourbes

Certains applications pour le moins anodines peuvent devenir descollecteurs d’informations voir des backdoors dans votre systèmed’information. Citrix étant basé sur Windows, sa sécurité est liée àcelle du système d’exploitation et donc aux différentes stratégiesde groupe ou de droits NTFS qui y sont appliquées. On trouve desapplications métiers qui fournissent leurs propres outils de diag-nostic assez vastes (Explorateur, Telnet, ping, voir scanner).

Depuis l’arrivée de Windows Server 2003, le module « Appsec »présent dans Windows Server 2000 a été implémenté directe-ment dans les stratégies de groupes dans Windows Server 2003sous le nom de « SRP : Software Restriction Policy ».

Cet outil permet d’autoriser ou non l’exécution d’une applica-tion. La configuration par défaut étant pour un utilisateurconnecté sur le serveur Citrix : lecture/exécution. Alors, un utilisa-teur peut exécuter un programme autre que celui auquel il a étéhabilité. C’est justement cette possibilité de bascule depuis uneapplication autorisée vers une autre application non autoriséequ’il faut restreindre au maximum.

Dans cet exemple, le programme « Open Office » est autorisé. Enrevanche, l’exécution de programme dite « système » est prohi-bée, comme les commandes : FTP, command.com, etc.

Pour un meilleur filtrage des utilisateurs, le recours aux droitsNTFS est fortement recommandé, voire incontournable. Parexemple, si l’on examine les droits par défaut d’un dossier sousWindows Server 2003, le groupe « Users » de la machine localeest autorisé à lire et à exécuter n’importe quel programme dansquasiment tous les lecteurs présents de la machine.Dans ce cas, il faut absolument ré-attribuer les droits en spéci-fiant pour chaque dossier de l’application le groupe de l’applica-tion concernée. L’utilisation d’un script de type KIX, VBS etl’utilisation d’une commande à distance comme « psexec » per-mettent d’automatiser la tâche. Centralisation, standardisationsont les maitres mots pour une gestion d’une sécurité homo-gène au sein du parc informatique.

La virtualisation d’applications représente pour nombre d’entre-prises un atout non négligeable que peu d’entre elles sont prêtesà remettre en question. La grande souplesse qu’elle apporte nedoit pas masquer les nombreux problèmes de sécurité quiaccompagnent la mise en œuvre de tels systèmes. Et si la sécu-rité vis-à-vis de l’extérieur (intrusion) reste un aspect appréhendéà sa juste mesure par les RSI, les risques nouveaux, comme lemanque de cloisonnement des applications, sont directementliés au concept de virtualisation et plus rarement anticipés.�

Guillaume LEANGIngénieur système chez ITS GROUP

À propos d’ITS Group

ITS Group propose une offre de services à forte valeur ajoutée dont l'objectif est de

garantir aux utilisateurs de plates-formes distribuées et mobiles un haut niveau de dis-

ponibilité,de sécurité et d'accessibilité aux informations.

En appui sur une expertise reconnue en industrialisation des infrastructures qui repré-

sente plus de 70 % de son activité, ITS Group a étendu son savoir-faire pour accompa-

gner les entreprises à maîtriser et à moderniser leur système d’information dans un

cadre d’environnements complexes. L'intégration de sociétés a permis à ITS Group de

renforcer son expertise autour des infrastructures tout en apportant de nouveaux pôles

de compétences complémentaires.