Par Jean-Marie Barathe DG de SysperTec

Les phénomènes de mobilité et Byod, devenus incontournables, obligent les DSI à adapter les moyens d’accès à leurs applications, y compris aux applications 3270. Malgré les contraintes inhérentes à la sécurité et à l’ergonomie d’utilisation, il existe des solutions adaptées à ces nouveaux besoins.

La mobilité, une nouvelle donne pour les DSI

Les modes d’accès au système d’information de l’entreprise sont en pleine évolution face à la banalisation de l’usage des terminaux personnels pour accéder aux informations et applications professionnelles, dont les applications mainframes 3270. En effet, les collaborateurs, clients, partenaires et autres acteurs de l’entreprise se connectent aujourd’hui depuis tout type de terminal, y compris depuis des smartphones ou tablettes, pour accéder à leurs applications de leur domicile, dans les transports, ou depuis n’importe quel autre lieu.

Ces phénomènes de mobilité et Byod contraignent les directions informatiques à s’adapter et à apporter une solution d’accès simple et sécurisée pour ouvrir l’accès à ces applications, tout en gardant la maîtrise de leur système d’information. Les traditionnelles émulations 3270 sont-elles toujours appropriées ? Pas nécessairement.

Pourquoi pas une solution d’accès indépendante du terminal utilisé ?

Certes l’émulateur a fait ses preuves, mais demande du temps en administration que la DSI peut éviter en se tournant vers des solutions d’accès aux applications mainframe System z, indépendantes du terminal utilisé.  Ces solutions s’appuient sur les concepts de « pur web » et « client agnostique » en ouvrant le dialogue avec le mainframe directement en mode HTTP ou HTTP/s, via une simple URL sans protocole TN3270 ni serveur intermédiaire. Pour fonctionner, il suffit d’équiper n’importe quel poste client, d’un navigateur internet, quel qu’il soit.

En termes de sécurité aucune crainte, puisque l’URL accédée contient des paramètres de contrôle et d’identification qui autorisent ou non l’accès à l’environnement sécurisé du site central et aux applications en fonction des droits des utilisateurs. De plus, les connexions entre le mainframe et le poste client s’effectuent sans le maintien de la session IP, en mode asynchrone, ce qui limite les failles sécuritaires. Les utilisateurs de leur côté bénéficient de la même expérience, quel que soit le moyen de connexion utilisé ou le lieu.

Lire la suite…

Par Christian- François Viala, président et fondateur de Yes Profile

Les données personnelles qui forment le profil d’une personne sont la propriété exclusive et universelle de cette personne… en théorie. La réalité est un peu différente : conscientes du fait que chaque profil vaut de l’argent, de nombreuses sociétés accaparent ces informations pour les vendre en dépossédant l’individu de son titre de propriété. Cet acte est intrusif comme si des sociétés louaient des maisons sans réellement demander l’autorisation des propriétaires, ni leur reverser des frais de location… Les individus accepteront-ils encore longtemps de se sentir exclus de ces échanges et démunis de toute possibilité de contrôle ? Christian-François Viala, président de Yes Profile, propose un décryptage pour mieux comprendre les enjeux de cette problématique.  

Les données personnelles, l’or noir du XXIe siècle

Le profil d’une personne se définit par l’accumulation de données personnelles récoltées par les différentes entreprises. Elles s’appuient sur différentes techniques, comme par exemple les traces numériques sur le web et les mobiles, mais aussi les traces laissées en magasins (ticket de caisse, carte de paiement, contrat d’assurance…). Beaucoup d’individus ont déjà renseigné, directement ou indirectement, des informations basiques (nom, prénom, âge…), mais aussi des informations plus « sensibles » (carte grise, revenus, centres d’intérêt…).

La question est de savoir à quoi servent ces données qui composent le profil d’une personne ?

Elles permettent aux marques de créer un lien avec les consommateurs, d’apprendre à les connaître. Par ce biais, elles leur proposent des produits ou des services adaptés à leurs attentes, et les contactent par voie postale, email, téléphone, SMS ou via des espaces publicitaires.

En effet, avec l’accélération du développement des nouvelles technologies, les individus sont désormais fichés. Leur profil est vendu, revendu ou loué plusieurs fois par jour. Avec l’utilisation quotidienne de nouveaux moyens de tracking, les faits et gestes des consommateurs sont surveillés en permanence. Ces informations sont exploitées et analysées afin de mieux comprendre le client, ses envies actuelles ou futures, et ainsi anticiper ses prochains achats.

Cependant des questions surgissent : le profil qui est diffusé est-il le bon ? Est-il celui qui représente vraiment le consommateur ? L’a-t-il validé ? Décide-t-il des personnes qui louent et achètent son profil ?

L’utilisation abusive des données personnelles : des profils loués, vendus des centaines de fois…

Aujourd’hui, des milliers d’entreprises vendent et/ou louent les profils aux annonceurs locaux ou internationaux. La diffusion des données personnelles via une multitude de bases de données se traduit par la réception de 15 à 150 spams en moyenne par jour.

Depuis 5 ans ce mouvement s’est accentué avec l’utilisation croissante des PC et des Smartphones ainsi qu’avec la démultiplication des sites internet (E-commerce) et des réseaux sociaux…

La plupart des Français (notamment les jeunes et les membres de réseaux sociaux) ont conscience que les données personnelles laissées sur la toile sont utilisées sans leur consentement.  En effet, 65% des mobinautes estiment que leurs données ne sont pas  “bien protégées”¹ . Cette tendance s’est accélérée, puisqu’en 2011 92 % des Français exigeaient plus de protection de leur vie privée².  
    
L’internaute s’exaspère et se sent de plus en plus traqué. Les bannières publicitaires adaptées au profil du consommateur sont rendues possibles par la vente de son profil et la location de son suivi en temps réel sur les différents sites visités. Le développement des outils de tracking, de suivi du comportement (cookies, retargeting…) et les plates-formes d’échanges d’informations ont privé les individus du contrôle de leurs données personnelles puisque tout le monde peut les utiliser et  commercialiser.

Les informations sont aujourd’hui mutualisées sur des « méga » plates-formes (nouveaux « propriétaires » des profils), chacune des sociétés pouvant venir y piocher la data souhaitée et ainsi partager les revenus de ces locations de fichiers. Les acteurs du marché sont passés du CRM (Customer Relationship Management), aspiration et analyse des données personnelles, au VRM (Vendor Relationship Management), mutualisation et location de ces datas dans des méga bases.

La nécessité de miser sur la transparence et de placer l’individu au centre de l’écosystème

Au final, l’individu occupe une place centrale, mais il est complètement exclu de l’écosystème ! Le web 2.0 repose, au départ, sur le partage des informations, mais comment faire aujourd’hui pour les contrôler alors qu’elles sont récoltées et vendues par des sociétés sans aucun consentement ?

L’industrie de l’e-mailing voit son marché s’effondrer car certains, minoritaires, ont abusé des fichiers en inondant les boites mail…Le modèle s’essouffle et d’autres alternatives se créent afin de redonner du sens à la relation entre les individus et leurs marques favorites. Il y a 4 ans l’adresse mail valait environ 45 centimes d’euros, aujourd’hui elle peut se brader à 12 centimes. De plus sur la quantité de messages et d’offres diffusés vers les boites mails seuls 75% sont délivrés et 25% sont bloqués ou n’arrivent pas. Pour survivre, le marché du Marketing Direct a l’obligation de se rénover, d’innover afin de satisfaire les utilisateurs et les annonceurs.

Pendant longtemps, les marques n’ont pas eu d’autre choix que de se tourner vers des prestataires, les éditeurs, seuls capables de récolter de l’information. Avec l’effondrement des solutions actuelles et l’apparition de nouvelles solutions, elles ont désormais la possibilité de trouver l’information en direct et de manière transparente. En effet, ces nouveaux outils sont sollicités par les consommateurs pour établir une relation de confiance et surtout légale. C’est le cas du Permission Marketing qui permet à l’individu, l’internaute, le mobinaute…de devenir décisionnaire en sélectionnant ses marques favorites avec qui il a envie de créer une relation de consommation durable ou pas, claire et transparente. Laissez donc entrer l’individu dans le jeu. Vive le « Permission Marketing » !

Christian- François Viala
Président – Fondateur de Yes Profile

Après avoir rappelé, dans une première partie publiée le 7 septembre (http://blog3.lemondeinformatique.fr/), les grands principes qui structurent COBIT-5 et leur application, Georges Jacovlev, expert en systémique, s’intéresse à un perfectionnement possible du référentiel de gouvernance des SI.

Une des forces de COBIT-5 réside dans l’approche systémique de l’entreprise, qui n’est devenue une référence pour les systèmes de management qu’avec l’arrivée de la nouvelle version de la norme ISO 9001 en 2000. Celle-ci se traduit en particulier par une exigence d’identification des processus sans laquelle l’entreprise n’est vue qu’à travers sa structure organisationnelle.

Mais les nouvelles idées ne font leur chemin que très lentement, ce qui fait qu’on voit généralement coexister dans les entreprises deux univers de pensée qui ne se rencontrent pas : d’une part les responsables de la mise en oeuvre de systèmes de management, les directeurs qualité notamment, et d’autre part les directions informatiques. Les premiers raisonnent processus, mais d’une manière très sommaire. Quant aux secondes, elles continuent à travailler à partir d’expressions des besoins rédigées sans référence aux processus. De plus, la méthode de développement du logiciel la plus répandue dans le monde aujourd’hui est la méthode UML, qui ignore complètement les processus. On en reste donc à la séparation traditionnelle entre modèles de données et modèles de traitement, totalement en contradiction avec l’approche processus.

Cet état des lieux recouvre deux types de problèmes :

1) comment développer des applications informatiques en établissant un pont entre l’approche processus et les méthodes de développement orientées objet ?

2) Quel partage des tâches entre la maîtrise d’ouvrage et la maîtrise d’oeuvre ?

Pour établir ce pont entre management et informatique, la principale question à résoudre est de déterminer jusqu’à quel niveau de détail doit être décrit un processus. Pour y répondre, il est intéressant de faire un détour par la thermodynamique. Le deuxième principe de Carnot introduit le concept d’entropie d’un système, c’est-à-dire son niveau de désordre. Or un processus qui, par définition, crée de la valeur ajoutée, est donc créateur d’ordre. Un processus est donc « néguentropique ». Si nous regardons maintenant le processus sous l’angle informatique, nous savons que tout processus crée de l’information, généralement sous forme de données. Or il existe une norme (FD ISO/CEI 2382-16) qui parle de la théorie de l’information et dans laquelle est défini mathématiquement le concept de quantité d’information. Curieusement, la formule mathématique correspondante est, au signe près, la même que celle qui définit l’entropie d’un système.

Cela signifie – ce que nous confirme le simple bon sens – qu’il existe une relation biunivoque entre le produit issu d’un processus, qui peut être vu comme un système ordonné, et l’information générée par ce processus. Cette incursion dans le monde de la physique a un intérêt : celui de démontrer, pour qui en douterait, que les données générées par un processus font entièrement partie de celui-ci puisqu’il y a équivalence entre le produit et l’information. Dire qu’un processus génère un produit ou qu’un processus génère de l’information sont deux manières différentes de parler de la même chose. Ce qui est vrai au niveau d’un processus est vrai pour toute l’entreprise : toute donnée du système d’information est forcément créée par un processus et un seul.

La démarche de description d’un processus pourrait donc être la suivante.
Dans un premier temps, il s’agit de lister toutes les tâches pertinentes par rapport à la finalité du processus. Ce n’est là qu’une application de ce qu’enseigne la systémique : le concept de finalité et le concept de pertinence. Une fois celles-ci regroupées par ensembles fonctionnels, nous obtenons les étapes du processus. Evidemment, ceci est plus facile à dire qu’à faire et il faut une méthode appropriée pour effectuer ces regroupements en résolvant au passage toutes les incohérences d’organisation avec lesquelles vivent souvent les entreprises, faute de les avoir détectées. Une telle méthode existe, elle s’appelle MPI (« Modélisation des Processus par l’Information ») et l’auteur des présentes lignes la pratique depuis plus de dix ans, ce qui fait qu’elle est amplement rodée et a démontré son efficacité. On obtient un premier modèle, appelé « modèle d’activités ».

Dans un deuxième temps, il faut sélectionner toutes les données générées par le processus. On les trouve en faisant une analyse sémantique des documents de travail de l’entreprise, ce qui a le mérite d’être une méthode objective, préférable aux interviews souvent emprunts de subjectivité. Il reste alors à ventiler ces données selon les étapes du processus considéré. Chaque donnée, en vertu de ce qui a été vu plus haut, est créée ou modifiée dans une étape et une seule du processus considéré. Or chaque étape de processus possède aussi ses propres règles de gestion. Des données et des règles de gestion spécifiques à une même étape : ceci représente donc un objet fonctionnel. Le modèle précédent enrichi des données s’appelle « modèle des produits ». Nous obtenons ainsi la modélisation optimisée du processus, puisque toutes les incohérences d’organisation ont été résolues.

Revenons à notre problématique. Nous proposons d’enrichir la description des niveaux de maturité des processus établie par COBIT-5 en modifiant légèrement la définition des niveaux 2 et 3 de la manière suivante.

Niveau 2, processus managé. « Le processus précédemment décrit est maintenant implémenté de manière à être managé (planifié, piloté et ajusté) et ses produits sont établis de façon appropriée, contrôlée et maintenue. Les étapes du processus sont identifiées ».

Niveau 3, processus établi. « Le processus précédemment décrit est maintenant implémenté en utilisant une procédure définie afin d’assurer qu’il fournisse effectivement les produits prévus. Les étapes du processus incluent des données qui leur sont propres ».

Autrement dit, le niveau 2 implique que le processus soit décrit de manière à fournir un « modèle d’activités » et le niveau 3 implique que le processus soit décrit de manière à fournir un « modèle des produits ».

C’est cohérent avec la définition préalable du niveau 2, puisque l’identification des étapes permet de définir complètement les indicateurs nécessaires pour piloter le processus. Quant au niveau 3, une modélisation du processus du type « modèle des produits » est cohérente avec l’objectif « d’assurer qu’il fournisse effectivement les produits prévus ».

Le pont entre l’approche processus et les méthodes de développement orientées objet est maintenant assuré : il suffit de construire des objets techniques correspondant aux étapes de processus. Il en résultera que l’architecture technique du système d’information sera le reflet exact de l’architecture fonctionnelle. C’est ce qu’on appelle « l’alignement stratégique du système d’information » et c’est la seule manière de la réaliser effectivement, sans passer par l’ajout d’une couche logicielle, comme le fait la SOA, qui ne fait qu’augmenter la complexité du système d’information au lieu de le simplifier. On obtient ainsi un système d’information modulaire, dont la granularité est dix fois supérieure à celle des ERP du marché. Il est clair que l’entreprise gagne ainsi sur deux tableaux : une réduction des coûts informatiques et une plus grande flexibilité.

Le deuxième problème que nous avons à traiter est le partage des tâches entre la maîtrise d’ouvrage (MOA) et la maîtrise d’oeuvre (MOE). Contrairement à ce qui se pratique habituellement, la maîtrise d’ouvrage ne doit pas limiter son action à la fourniture d’une expression de besoins à la maîtrise d’oeuvre. La définition complète du processus est naturellement de son ressort. Il lui revient non seulement d’élaborer le modèle des produits mais encore d’y ajouter les règles de gestion et la description des interfaces homme-machine, c’est-à-dire les dessins d’écrans et d’états. L’ensemble de ces informations constitue le dossier de spécifications fonctionnelles du logiciel qui, ainsi conçu, présente deux avantages : il est écrit en bon français, sans termes techniques, et donc facilement compréhensible par le client, et sa structure reflète intégralement l’architecture fonctionnelle des activités de l’entreprise, ce qui fait que le client se trouve dans les meilleures conditions pour effectuer la validation de ce document. Ceci réduit au minimum les erreurs de conception qui, lorsqu’elles ne sont découvertes qu’au cours de la réalisation, peuvent coûter fort cher.

Il apparaît donc que l’interface entre maîtrise d’ouvrage et maîtrise d’oeuvre est le dossier de spécifications fonctionnelles de la future application. Cela ne dit pas où, dans la structure de l’entreprise, doit se trouver la maîtrise d’ouvrage. Remarquons tout d’abord que la distinction entre MOA et MOE découle de la différence entre les tâches qui leur sont attribuées. Ils ont donc tort, ceux qui défendent l’idée d’une fusion entre MOA et MOE. Par contre leur souci d’une proximité entre ces deux acteurs est légitime.

Sur cette séparation entre MOA et MOE, COBIT-5 ne dit pas autre chose puisqu’il préconise une distinction entre gouvernance et management. Deux solutions sont possibles : ou bien la MOA est intégrée à la gouvernance de l’entreprise. C’est le cas dans les entreprises qui disposent d’une direction de l’organisation. Ou bien la MOA est intégrée à la DSI (direction de l’informatique) et dans ce cas elle constitue un service à part au sein de cette structure. Les deux cas sont possibles mais le second présente l’avantage d’assurer une proximité physique entre MOA et MOE, ce qui peut permettre de gagner en efficacité.

Conclusion

Deux compléments sont proposés pour COBIT-5 :

1)     inclure le découpage du processus en étapes dans la définition du niveau 2 de maturité des processus et inclure une modélisation complète du processus incluant les données dans la définition du niveau 3 de maturité des processus ;

2)     clarifier la répartition des tâches entre MOA et MOE en décidant que l’interface entre les deux est la fourniture par la MOA non pas simplement une expression de besoins mais le dossier de spécifications fonctionnelles du logiciel incluant la modélisation complète du processus telle que définie pour le niveau 3.

Georges JACOVLEV, Expert en systémique (www.georges-jacovlev.net)

Ingénieur et économiste de formation, Georges JACOVLEV exerce actuellement en tant que consultant et conjugue deux compétences : l’accompagnement des entreprises dans la mise en oeuvre de systèmes de management intégrés (qualité, environnement, santé et sécurité) et l’assistance à maîtrise d’ouvrage des systèmes d’information. Grâce à la combinaison de ces deux expertises, il assure aux entreprises « l’alignement stratégique » de leur système d’information, ce qui permet d’accroître la flexibilité de celui-ci et de réduire d’une manière importante les coûts informatiques.

En avril dernier, le groupe ISACA a publié la nouvelle version de son guide de management à l’attention des directions informatiques : le COBIT-5. Son titre précise son objectif : « Un cadre professionnel pour la gouvernance et le management de l’informatique des entreprises ». Sa caractéristique majeure est, comme nous allons le voir, de ne pas limiter le champ de son observation au monde de l’informatique mais d’avoir une approche globale sur toute l’entreprise.

Le présent article se compose de deux parties : la première est consacrée à la présentation de COBIT-5, et la deuxième à des propositions de perfectionnement qui nous paraissent utiles pour les directions informatiques qui souhaitent tirer tous les avantages de la démarche proposée par COBIT-5.

Les grands principes qui structurent COBIT-5 et leur application

Cinq grands principes structurent COBIT-5 : identifier les besoins des parties intéressées, couvrir l’entreprise dans toutes ses dimensions, mettre en oeuvre une approche intégrée, appliquer une vision holistique de l’entreprise, distinguer la gouvernance et le management.

Voyons dans le texte lui-même la description de ces cinq principes.

Principe 1 : identifier les besoins des parties intéressées. « Les entreprises existent pour créer de la valeur pour les parties intéressées en recherchant un équilibre entre trois objectifs : la réalisation de bénéfices, l’optimisation du risque et l’optimisation de l’utilisation des ressources. COBIT-5 permet à tous les processus concernés et autres intervenants d’assurer la création de valeur avec l’aide de l’outil informatique. Du fait que l’entreprise a différents objectifs, elle peut customiser COBIT-5 de manière à l’adapter à son contexte propre grâce à la « cascade d’objectifs », par la transformation des objectifs de haut niveau de l’entreprise en objectifs spécifiques, maîtrisables par le management et en lien avec le système informatique, tout en reliant ceux-ci aux processus et aux pratiques spécifiques ».

Principe 2 : couvrir l’entreprise dans toutes ses dimensions. « COBIT-5 intègre la gouvernance de l’informatique de l’entreprise dans la gouvernance de l’entreprise :

-       il couvre toutes les fonctions et tous les processus de l’entreprise ; COBIT-5 ne se limite pas à la fonction informatique mais traite l’information et les technologies associées comme des atouts qui doivent être considérés par tout un chacun dans l’entreprise exactement comme tout autre atout.

-       il considère tous les outils informatiques de la gouvernance et du management comme couvrant toute l’entreprise dans tous ses aspects, c’est-à-dire en y incluant toute personne et tout moyen – interne et externe – pertinent par rapport à la gouvernance et au management de l’information de l’entreprise et associé à l’informatique ».

Principe 3 : mettre en oeuvre une approche intégrée. « Il y a beaucoup de normes et de bonnes pratiques relatives à l’informatique, chacune se présentant comme un guide pour un sous-ensemble des activités informatiques. COBIT-5 se positionne à un haut niveau, au même titre que d’autres normes et guides pertinents, et par conséquent peut être utilisé comme un excellent cadre professionnel pour la gouvernance et le management de l’informatique des entreprises ».

Principe 4 : appliquer une vision holistique de l’entreprise. « Une gouvernance et un management efficaces et efficients de l’informatique de l’entreprise requièrent une approche holistique prenant en compte plusieurs éléments en interaction. COBIT-5 définit un ensemble d’outils d’aide à l’implémentation d’une gouvernance et d’un management complets de l’informatique des entreprises. Les outils sont définis en gros comme quelque chose qui peut aider à l’obtention des objectifs de l’entreprise. Le cadre professionnel de COBIT-5 définit sept catégories d’outils : 1) les principes, politiques et cadres ; 2) les processus ; 3) la structure organisationnelle ; 4) la culture, l’éthique et le comportement ; 5) l’information ; 6) les services, l’infrastructure et les applications ; 7) les ressources humaines, les talents et les compétences ».

Principe 5 : distinguer la gouvernance et le management. « Le cadre professionnel de COBIT-5 distingue clairement la gouvernance et le management. Ces deux disciplines regroupent différents types d’activités, requièrent différentes structures organisationnelles et servent des objectifs différents. La vision de COBIT-5 sur cette distinction-clé entre gouvernance et management est la suivante :

-       la gouvernance assure que les besoins, les conditions et les options des parties intéressées sont évalués en vue de déterminer les objectifs appropriés et convenus pouvant être atteints par l’entreprise ; de définir une orientation dans le cadre des priorités et des décisions adoptées ; et de maîtriser la performance et la conformité dans le cadre d’une orientation et des objectifs convenus.

Dans la plupart des entreprises, la haute gouvernance est de la responsabilité du comité de direction sous la conduite du président. Les responsabilités de gouvernance spécifiques peuvent être déléguées à des structures organisationnelles spéciales à un niveau approprié, en particulier dans les entreprises grandes et complexes.

-       le management couvre les activités de planification, de conception, de production et de pilotage en phase avec la direction mise en place par l’équipe de gouvernance en vue d’atteindre les objectifs de l’entreprise.

Dans la plupart des entreprises, le management est de la responsabilité du management d’exécution sous la conduite du directeur général.

Ensemble, ces cinq principes permettent à l’entreprise de mettre en place un cadre efficace pour la gouvernance et le management qui optimise l’investissement en système d’information et en technologie et de l’utiliser au bénéfice des parties intéressées ».

Un aspect intéressant est la « cascade d’objectifs », qui synthétise la démarche. A partir des besoins des parties intéressées en termes de réalisation de bénéfices, d’optimisation du risque et d’optimisation des ressources,  est défini un premier niveau d’objectifs pour l’entreprise. Ceux-ci sont déclinés en objectifs relatifs à l’informatique, lesquels sont eux-mêmes déclinés en objectifs relatifs aux outils.

Deux autres aspects particulièrement intéressants sont fournis par les principes 1 et 5.

Le premier principe de COBIT-5 présente une grille de 17 objectifs génériques – pour l’entreprise et pour le système d’information, répartis en quatre groupes conformément au découpage de l’approche « Balanced Scorecard » : objectifs financiers, objectifs relatifs aux clients, objectifs liés à la production et objectifs liés à la formation et au développement.

Le cinquième principe de COBIT-5 répond à une grande question que se posent tous ceux qui se préoccupent d’identifier les processus d’une entreprise. D’après notre propre expérience, le système de management d’une entreprise de petite taille en contient une dizaine tandis que celui d’une très grande entreprise en contient de l’ordre de 30 à 35. Le cinquième principe confirme cette analyse puisqu’il identifie 36 processus génériques dans une entreprise.

Il y a encore deux autres chapitres de COBIT-5 qui sont consacrés à l’implémentation du cadre préconisé et à un nouveau « modèle de capabilité des processus ».

COBIT-5 distingue sept étapes dans le cycle de vie d’une implémentation : l’initialisation du projet, l’identification des difficultés et des opportunités, la définition des grands axes du plan d’action, la planification, l’exécution du plan, la réalisation des bénéfices et la mesure de l’efficacité.

Quant au nouveau « modèle de capabilité des processus », COBIT-5 enrichit le modèle de maturité de COBIT 4.1. Sans changer le nombre de niveaux, limité à six (de 0 à 5), il redéfinit en partie leur contenu. Voici la nouvelle définition des niveaux de maturité :

Niveau 0, processus incomplet. « Le processus n’est pas implémenté ou échoue à atteindre sa finalité. A ce niveau, il y a peu ou pas de preuve d’une atteinte systématique de la finalité du processus ».

Niveau 1, processus opérationnel. « Le processus implémenté atteint sa finalité ».

Niveau 2, processus managé. « Le processus précédemment décrit est maintenant implémenté de manière à être managé (planifié, piloté et ajusté) et ses produits sont établis de façon appropriée, contrôlée et maintenue ».

Niveau 3, processus établi. « Le processus précédemment décrit est maintenant implémenté en utilisant une procédure définie afin d’assurer qu’il fournisse effectivement les produits prévus ».

Niveau 4, processus prédictible. « Le processus précédemment décrit opère maintenant à l’intérieur de limites définies de manière à fournir les produits prévus ».

Niveau 5, processus optimisé. « Le processus précédemment décrit est continuellement amélioré de manière à atteindre les objectifs pertinents de l’entreprise, courants et futurs ».

La deuxième partie de la tribune de Georges Jacovlev, portant sur un perfectionnement possible de COBIT-5, sera publiée dans quelques jours.

Ingénieur et économiste de formation, Georges JACOVLEV exerce actuellement en tant que consultant et conjugue deux compétences : l’accompagnement des entreprises dans la mise en oeuvre de systèmes de management intégrés (qualité, environnement, santé et sécurité) et l’assistance à maîtrise d’ouvrage des systèmes d’information. Grâce à la combinaison de ces deux expertises, il assure aux entreprises « l’alignement stratégique » de leur système d’information, ce qui permet d’accroître la flexibilité de celui-ci et de réduire d’une manière importante les coûts informatiques.

Par Patrick Faure, directeur de projet chez Orange France

Les projets informatiques à destination des directions métiers s’accompagnent aujourd’hui d’un taux d’échec assez élevé. La source peut être un facteur purement humain, un manque de communication, un événement prévisible sous-estimé, un imprévu pour la maîtrise d’ouvrage mais pas pour les utilisateurs. Au cours d’une étude, réalisée dans le cadre d’HEC et de l’école des Mines de Paris, qui se fonde sur des terrains et pratiques mises en place au sein d’Orange France, il est apparu que le sujet de « mettre les utilisateurs et les métiers au cœur de leur système d’information » n’a jamais été traité sans mettre de barrière à priori, entre les trois parties prenantes.

Lorsque l’on veut analyser les relations actuelles entre les utilisateurs, les métiers et leur système d’information, il est bon d’en chercher la source dans l’histoire de l’informatique. A l’origine, les ordinateurs étaient utilisés par des personnes avec un bagage scientifique élevé. Les sociétés qui dominaient le marché jusqu’au début des années 80, fabriquaient des ordinateurs pour lesquels la partie logicielle restait secondaire. Un historique, qui n’a pas facilité l’intégration des utilisateurs depuis les années 90.

Parmi les parties prenantes d’un projet informatique, si on commence par celui qui doit faire l’objet de toutes les attentions, l’utilisateur du système d’information, les études et le terrain ont montré que qualifier « d’utilisateur » un professionnel de la vente ou de n’importe quel domaine d’activité était la première erreur à ne pas commettre. Il convient de considérer les relations entre ceux qu’on appelle les utilisateurs et la DSI, comme des échanges entre de véritables professionnels. De même, cet utilisateur doit être vu comme un acteur social qui possède une identité, un environnement, il fait partie de groupes ou réseaux et a des interactions avec des organisations externes à l’entreprise.

En ce qui concerne les métiers, ils doivent redéfinir leur position avec les utilisateurs et la DSI. Le métier doit se poser la question sur sa création de valeur vis-à-vis des utilisateurs. Ainsi, l’implémentation chez Orange d’une instance de validation Business avec un représentant métier a permis sur cette direction pilote un gain de 60% sur les pertes de production liées aux nouvelles versions applicatives.

Lire la suite…

Par Christophe Auberger responsable technique chez Fortinet

Il ne fait aucun doute que le lancement mondial imminent du protocole  IPv6 le 6 juin 2012 annonce la prochaine ère de l’infrastructure Internet dans le monde entier, à la fois en termes d’évolution et d’adoption généralisée. Il pose néanmoins quelques questions sur le plan de la sécurité.

Le monde a déjà eu un avant-goût du prochain protocole en juin dernier, lors de la Journée Mondiale IPv6. Mené par l’Internet Society, plus de 1 000 sites Internet, entreprises high-tech et FAI ont été encouragés à passer collectivement à l’IPv6 durant une période de 24 heures pour « tester » le protocole et essayer d’anticiper les problèmes techniques qui pourraient se produire lors du lancement officiel. Le 6 Juin 2012, les principales organisations high-tech et leaders du web tels que Google, Facebook et Yahoo!, entre autres, basculeront vers le prochain protocole Internet lors du lancement mondial officiel.

Et la transition devient de plus en plus nécessaire. Le protocole actuel IPv4, qui supporte environ 3,7 milliards d’adresses, a simplement épuisé le stock d’adresses disponibles, en partie du fait de l’explosion des appareils mobiles. Mais l’IPv6, de son côté, a une capacité illimitée d’adresses ce qui lui permet de s’adapter à une infrastructure mobile et Internet mondiale en pleine croissance.

Cependant, avec le lancement imminent du protocole mondial IPv6, les chercheurs et professionnels de l’IT anticipent certains défis, en particulier en matière de sécurité. L’aspect novateur et le manque de connaissances relatifs au protocole IPv6 feront qu’il y aura forcément des erreurs de configuration, des problèmes de compatibilité et autres maladresses d’implémentation. Il n’existe pas les connaissances institutionnelles sur l’IPv6 que l’on a sur l’IPv4, qui a été utilisé depuis des décennies et offre une vaste base de connaissances.

Une difficulté d’inspection des paquets

Mais peut être que le plus important défi en matière de sécurité est que de nombreux appareils de sécurité réseau sont capables de transférer le trafic IPv6, mais pas de l’inspecter. Et, comme l’IPv6 est activé par défaut sur de nombreuses plateformes réseaux actuelles – tel que Windows 7 – ces systèmes sont déjà installés sur le réseau.

Lire la suite…

Par Pascal Danet, responsable avant-ventes chez Brocade France

Les technologies, telles que le cloud, la virtualisation ou encore la convergence des réseaux, marquent cette dernière décennie et vont impacter à moyen terme les équipes IT. Dans le cadre de ces investissements technologiques, la convergence des réseaux entraînera un changement de la conception des data centers.

Les entreprises se posent inévitablement la question des capacités de stockage et de la performance des réseaux. Pour être efficace et afin d’éviter la gestion coûteuse de multiples niveaux d’agrégation et réseaux distincts, elles doivent pouvoir simplifier leurs architectures vers des réseaux de type « fabric ». Il devient alors possible de miser sur la convergence du SAN (stockage) et LAN (réseaux), et dans ce cadre les équipes informatiques des entreprises vont également devoir se rapprocher.

Rareté des formations dans les cursus classiques

Les formations au stockage et réseaux SAN sont généralement assurées par les constructeurs, éditeurs, ou groupes professionnels tels que le SNIA, mais restent rares dans les cursus universitaires ou écoles d’ingénieurs. Cette faible présence dans les  cursus dits « classiques » s’explique par la spécificité du marché stockage, avec des réseaux SAN de quelques milliers de ports gérés par de petites équipes très qualifiées. Les constructeurs forment leurs ingénieurs avant-ventes, services et support aux protocoles stockage, et aux méthodes de travail très rigoureuses dues aux exigences de production des systèmes critiques, ou la stabilité et non perte des données dans les réseaux de stockage sont vitaux pour l’entreprise  cliente.  Il existe une multitude de formations banalisées sur les réseaux IP/Ethernet. Elles sont largement reconnues mais présentent des inconvénients majeurs pour le monde de l’entreprise : contenu très technique orienté produits et architecture, manque de neutralité car très influencées par les technologies, protocoles et règles d’architectures du constructeur dominant. Elles prennent peu en compte les contraintes de production auxquelles font face les entreprises, et sont plus influencées par les tendances technologiques du moment que centrées sur la simplicité et la continuité d’exploitation de solutions simples.

Lire la suite…

Par Bertrand Diard, co-fondateur et PDG de Talend

Il est intéressant de comparer la croissance et l’impact sur les 100 dernières années de l’objet le plus symbolique du 20ème siècle – l’automobile – avec l’évolution actuelle de l’industrie du logiciel. Produit de 1908 à 1927 par Ford Motor Company, l’entreprise créée par Henry Ford, le Modèle T est considéré comme la première automobile abordable. Cette voiture était extrêmement populaire, malgré le fait que les consommateurs n’avaient finalement que peu de choix en matière d’options. Elle était livrée avec un seul type de moteur et un nombre limité de styles de carrosserie. Et la fameuse règle de Ford : « N’importe quelle couleur pourvu qu’elle soit noire » a été mise en place en 1914 pour limiter les choix de couleur à un seul. A l’époque, on payait la voiture comptant et on obtenait ce pour quoi on avait payé. Point.

Le développement de la technologie automobile a ensuite été rapide, du fait notamment de l’apparition de centaines de petits fabricants qui luttaient pour attirer l’attention des consommateurs mondiaux. C’était le début d’une révolution industrielle et internationale, ainsi que d’une bataille entre fabricants automobiles pour la domination du marché qui dure encore aujourd’hui. Conséquence de cette concurrence accrue et de l’appétence de plus en plus forte des consommateurs en faveur de l’innovation, les acheteurs de voiture ont désormais le choix parmi un nombre quasi-infini de marques, de modèles et de tarifs, pour trouver la voiture correspondant à leur besoin spécifique.

La trajectoire ascendante de l’automobile n’est pas très différente de ce que nous avons vécu et vivons encore dans l’industrie du logiciel. Jusqu’aux années 1960, les ordinateurs – des mainframes énormes et très coûteux – étaient généralement loués (en leasing) plutôt qu’achetés. Le code source des logiciels était habituellement fourni et les clients qui achetaient du matériel hardware aussi coûteux ne payaient pas en plus pour les logiciels. Mais, à l’instar de l’industrie automobile, l’industrie du logiciel s’est développée grâce à des visionnaires comme Henry Ford, qui travaillaient sur des prototypes dans leur garage. Lire la suite…

Par Christian JOUY, responsable produits MES, groupe VISEO

Le marché demande aux industriels davantage de réactivité, de traçabilité et de transparence. Le MES (Manufacturing Execution System), système de gestion de la production et des ressources, n’est pas un simple outil de suivi de la production : avec lui, les entreprises disposent d’une solution homogène, apte à maximiser leur compétitivité sur leur(s) marché(s).

Les industriels n’ont pas attendu le MES (Manufacturing Execution System) pour tenter d’informatiser leurs ateliers de production. Via la mise en place d’ERP et d’applications spécifiques, ils ont essayé d’assurer la gestion de différentes problématiques, pour des résultats plutôt variables. Ce qui l’est moins, c’est le coût élevé de la maintenance de ces applicatifs souffrant d’une standardisation grandissante et rendant difficile l’adaptation de la production aux fluctuations du marché.

Comment, dès lors, faire la différence vis-à-vis de la concurrence ? Chaque jour plus volatiles, les marchés réclament une capacité d’innovation grandissante de la part des entreprises de production. Ces dernières doivent adapter leurs processus d’industrialisation aux cycles de vie des produits de plus en plus réduits. Pour être performantes en interne comme vis-à-vis de leur environnement, elles doivent être en mesure de suivre et de piloter leur production, d’ajuster leur activité en fonction de leur rentabilité, mais aussi de fournir une qualité de service optimale.

Avec le MES, place à l’agilité et la réactivité

Aujourd’hui maillon essentiel pour le cycle de production des entreprises, le MES couvre de nombreux domaines : ordonnancement, exécution des fabrications, traçabilité, gestion de la qualité, suivi de production, GED ou encore analyse de la performance.

Lire la suite…

La communauté MOH (Mouvement Offensive Hacker) présente un tutoriel écrit par un de ses membres, Roy’S-Tr@que, expliquant étapes par étapes une attaque de type Man in The Middle. Il s’agit d’un exemple pour alerter les sociétés et les utilisateurs sur certains risques informatiques.

Nous allons vous détailler une attaque dite MITM (Man In The Middle). Cette technique consiste à infiltrer un réseau et intercepter les informations qui y transitent sans être vu.
Nous allons détailler deux types d’attaques utilisant la méthode de « l’homme du milieu ».

En premier lieu, nous allons établir une attaque basique. Elle va analyser le réseau pour récupérer différentes données codées en ASCII. Dans un deuxième temps, nous lancerons une attaque utilisant le certificat SSL sur le port 1500. Cela consiste à envoyer une url de redirection à la victime, qui pense se trouver sur un site sécurisé en https.

Sur l’attaque basique

Elle repose sur ce que l’on appelle le cache ARP. Il s’agit d’une table de couples d’adresses IPv4-MAC contenue dans la mémoire d’un ordinateur qui utilise le protocole ARP, ce qui est le cas des ordinateurs qui sont connectés à un réseau IP sur un segment Ethernet. Dans notre cas, nous allons analyser le réseau en lançant un terminal Linux et en tapant cette commande :ettercap-T -M arp:remote /192.168.1.99/ /192.168.1.1/ -i wlan0

Des explications s’imposent sur cette commande :

Lire la suite…