In fact, if there’s one thing you need to protect, it’s your administrators!

Whether it concerns authentication methods, third-party application permissions via APIs (allowing a third-party application to synchronize data with an external storage service, for example) or changing retention policies, an administrative action can significantly affect the data and security of the tenant on a larger scale. If it is necessary to make this point even more explicit, a Global Administrator has the ability to access all data or manage all the settings of Office 365, Windows 10, Azure AD… but also Azure!

What are the native functionalities in the Microsoft platform?

Which rights models within Microsoft 365?

To date, Microsoft 365 has two main levels of rights. These two levels schematically allow the delegation of administrative rights by adapting to different organisational models (small / medium / large, centralised / decentralised):

• Azure AD roles: Administration of Azure AD and Microsoft 365 services;
• RBAC roles: Administration of objects within services.

Level One: Using Azure AD roles to manage services

The person behind the opening of the tenant automatically takes over the role of General Administrator. He can then appoint other administrators to accompany him in his tasks. As far as possible, Global Admin’s rights should not be used in order to limit overexposure of the administration accounts. It is good practice to limit this general role to a maximum of 3-4 accounts. In addition, for almost all actions there is an equivalent service administration role (e.g. SharePoint Administrator, User Administrator, etc.).

These service administration roles are also known as Azure AD roles. Each service can be viewed as an Azure AD application. An administrator would thus be equivalent to the owner of the service in question. At the time of writing this article, Microsoft offers 59 different roles, which provides a good level of segregation of rights in most cases.

However, the default roles provide access to the entire Admin Service for the entire tenant and may in some cases provide access to the underlying data (e.g. for SharePoint Administrator, Exchange Administrator and User Administrator).

Figure 1 – Example of sensitive rights

In the case of advanced maturity, it is possible to go further in the segregation of rights by creating personalised Azure AD roles. In concrete terms, this means deciding what permissions this role has (e.g. “microsoft.directory/applications/create” allows you to create applications in Azure Active Directory).

The downside will be that it will be more complicated to audit the administration and that it will be necessary to monitor the evolution of services to ensure that permissions remain consistent with the needs of administrators.

Second level: Using the RBAC model to manage objects

Certain services such as Exchange Online, Intune, Security and Compliance Centres or Cloud App Security offer specific RBAC rights models.

As its name suggests, Role Based Access Control (RBAC), allows for the implementation of more refined permissions management; with the ability to define roles for defined perimeters (e.g. for certain user groups). For example, it will be possible to create “Helpdesk A” and “Helpdesk B” in Exchange Online to give support rights to two separate teams on a perimeter A and a perimeter B.

How to provision the accounts of administrators?

The first question is how to create an administrator’s identity. Two strategies are possible:

• The creation of an account in the organisation’s identity repository, which will then be synchronised with Azure AD (ex: wavestone.com);
• The creation of the account directly in Azure AD. This account will then be called “cloud-only” (example: wavestone.onmicrosoft.com).

Regardless of the administration role, it is recommended for a SaaS service such as Microsoft 365 that the account be located as close as possible to the administered resource. Here, this amounts to using cloud-only accounts. The objective is twofold: to protect against a possible unavailability or of a compromise of the organisation’s identity repository.

How to assign permissions?

The second question is how to assign the right privileges to the administrative roles created.

In the case of service administration

In order to assign an AAD role, it is possible to use 3 methods (via the portal or the corresponding PowerShell command):

• The Azure portal (portal.azure.com): this is the method that should be favoured, as it allows the association of rights as close as possible to the resources and the use of PIMs, which we will discuss in the rest of the article;
• The Microsoft 365 portal (admin.microsoft.com): it is possible to carry out the assignment of roles directly through the main administration portal. However, this method is not compatible with PIM;
• The use of third party IAM tools: these solutions now have connectors with Office 365 to perform identity and privilege provisioning. These solutions offer less granularity, are not compatible with PIM and are a source of common errors. For example, synchronisation is typically one-way, resulting in the administration account reappearing if it is only deleted in Azure AD.

Note that it is also now possible to assign an Azure AD role to a security group (Cloud only) via a preview feature. This may simplify certain administrative models, such as where the Unified Communications team needs the SharePoint Administrator role and Teams Administrator. However, be careful with the management of this group.

In the case of the administration of objects

For RBAC roles, the definition of roles is done directly in the administration platform of the service concerned. It is then possible to assign the role in question manually or to a security group, in the portal or via an IAM solution.

Figure 2 – Natives functionalities of the solution

How to build and implement your administration model?

What strategy to define your rights model?

The construction of a delegation model must be based on the principle of least privilege. The core of the work is to make an inventory of the cases of Office 365 administration usage and to match your teams with the available rights.

This can be an opportunity to rethink the organisation of teams dealing with the working environment. Two observations are quite significant:

• Mobile terminals and workstations are intended to be managed by unified solutions (UEM) such as Intune, Workspace One or MobileIron, and therefore by the same team.
• Security and compliance tools are increasingly integrated natively in Office 365. It is therefore necessary to break down the wall that existed between the workplace world and the security world, in order to create a team with the same ambition: to create and maintain a controlled and secure platform.

Office 365 has the particularity of bringing together a multitude of different services, such as file or information storage (SharePoint, OneDrive), communication tools (Exchange, Teams) but also security (Defender, Information Protection, etc.). It is therefore essential to group the services into categories and define a correspondence matrix between team and administration roles.

Concretely, we advise you first to use the default Azure AD roles for service administration, and then to define more granular roles with RBAC and custom roles.

It is also interesting to identify the most sensitive roles, such as those allowing access to data or security settings (for example: Global Admin, Exchange Admin, Security Administrator and Application Administration) in order to be able to adapt the security of these roles.

How to delegate administration rights on objects in a multi-entity context ?

Before talking about security in the strict sense of the word, there is another question. Although the configuration of services and security parameters can only be done centrally, local teams need to carry out support actions: creation or modification of an internal or guest account, resetting of authenticators, creation of a Microsoft 365 group or a distribution list, etc.

The service administration roles, the Azure AD roles, do not offer privilege segregation by perimeter; an Exchange Online administrator will therefore be able to handle all mailboxes. It will not be conceivable to give them in complex organisations or in regulated contexts. Several strategies are available, depending on the maturity and complexity of the organisation.

In the case of small structures, it is easiest to use the native functionalities:

• RBAC roles: RBAC Exchange and Intune roles generally provide the right level of granularity to manage objects in native portals;
• Administrative Units: Administrative Units, finally in GA since the end of September, are the equivalent of RBAC for Azure Active Directory. They take the form of containers in which an administrator can create or modify objects, which makes sense for support activities.

In the case of larger structures, good practice is not to manage objects (users, mailboxes, groups, SharePoint sites, etc.) directly in native portals. What is needed is an interface that allows all these objects to be managed, while taking into account the business logic and the target administration model. Below are three examples of interfaces:

• In-house development of a “Custom Automation Engine”: this interface will be decorrelated from the IAM and very often a large powershell / Graph API machine;
• Integration of a connector to the current IAM solution in order to present a complete management of the objects by disregarding their direct hosting;
• Investment in a SaaS Management Platform (SMP): software publishers have specialised in the creation of management tools for Office 365, combining object administration, licence management and security and operational supervision functions. Among these solutions, which are still relatively unknown, are ManageEngine, CoreView and Quadrotech.

Please note: this interface, dedicated to support teams, will be distinct from an interface open to all users allowing them to centrally create guest users, SharePoint sites, Teams, etc. In concrete terms, this second interface could be integrated with ITSM tools, SMP or even be developed based on Power Apps and Graph API.

How to protect access to these accounts ?

10 measures to secure administration accounts

Depending on the security licenses, mainly the EMS bundle, Microsoft provides a number of controls to secure administration accounts.

Most of these could also be obtained via third-party tools.

Basic measures to secure the administration account

1. A dedicated administrator account

An administrator must have an account dedicated to administration, different from the office automation account. It should be cloud-only where possible (e.g. wavestone.onmicrosoft.com).

2. Multi-Factor Authentication

Multi-factor authentication is no longer an option today, and even less so for administrators.

This measure is available for everyone, for all licences:

• Via MFA for Office 365 (also called MFA with per-person inheritance) which forces a challenge at every connection;
• Via Security Defaults which forces an additional factor to be registered for all users and imposes the MFA for administrators at each login;

It is also important to ensure that legacy authentication protocols that do not support MFA are disabled. These would allow single sign-on to be bypassed.

It will also make sense to limit the types of additional factors available; what is the point of securing administration accounts if the second factor is the administrator’s Gmail address.

Highly recommended security measures

3. Unlicensed Office 365 account

Without a licence, it will not be possible for an administrator to access the different services and data of the platform, or to have a mailbox.

Please note that some services, such as Power Apps or Power BI, require a licence to access the administration portal. In practice, it can be interesting to create a security group that allocates the necessary licences for administrators.

4. Conditional Access (with Azure AD P1)

Conditional access allows you to evaluate the context when accessing an Office 365 service and to authorise access accordingly. For example, access can be blocked depending on the type of workstation used (whether managed by the company or not), the network on which the user is connected, the application in question or the user’s administrative role.

In a Zero Trust logic, there should be no differentiation between the internal and external network, especially for administrators, but rather focus on the status of the workstation and the risk of connection.

5. Password Protection (with Azure AD P1)

Azure AD Password Protection provides controls over passwords. It will thus be possible to prohibit the use of a current password or a derivative (with a list predefined by Microsoft or maintained by the organisation).

A good practice is to apply this protection to all Cloud-only administration accounts as a minimum.

6. Azure AD Identity Protection (with Azure AD P2)

Azure AD Identity Protection adds a notion of risk in the evaluation of user access and behaviour. Concretely, it will be advisable to define the following policies;

• Risky users: Force password change for an administrator likely to be compromised (with a Medium or High risk);
• Risky sign-in: Forcing an MFA challenge during risky access (e.g. anonymous or unusual IP).

7. Azure AD Privileged Identity Management (with Azure AD P2):

Azure AD Privileged Identity Management is a service to control the assignment and use of administrative roles:

• Allocate just-in-time rights by giving an eligible role instead of a permanent one;
• Submit role activation to third party validation;
• Set up an end date for an administrative role;
• Force recertifications of administrators.

It will be relevant to distinguish the so-called sensitive roles from the others during implementation.

The monitoring of eligible administrators allows, as a bonus, to become aware of the real use of administration rights and therefore to clean up the list of administrators more easily.

It should be noted that the PIM functionalities have recently been extended to the different groups, which makes it possible to set up “Just-in-time” for more exotic cases such as RMS / AIP Super-Users.

To go even further

8. Supervision of administrator actions to detect abnormal behaviour

Once all these security measures are in place, all that remains is for you to implement supervision to detect non-compliance with the previous rules and abnormal behaviour.

And for this, nothing better than to refer to our article on the subject to understand the available logs.

9. Setting up a Privileged Access Workstation

Administration is by definition a critical action. It must be carried out within a perimeter of trust. The provision of PAW, or administration post, will enable us to achieve this objective.

The configuration of the administration station should be simple (no local administration rights, restricted Internet browsing, blocked USB ports, pre-installed PowerShell modules, etc.). But restricting the connection of an Office 365 administrator from this workstation may cause more problems. There are several possibilities for this:

• In a modern context, a simple answer is to rely on Microsoft tools: define an administration workstation profile in Intune and assign it to the administrators. With a conditional access rule, it is possible to require a compliant workstation when connecting.
• In a more traditional model, it is possible to set up an authentication silo with administrators and associated workstations. In this way, we would have a model similar to the third-party model well known to AD teams.
• Other approaches are also possible, even if more complex: association of a certificate and a reverse proxy or even a bastion.

10. Keep up to date with good practices and news

It cannot be repeated often enough that Office 365 is a Cloud platform and is constantly evolving. Keeping up to date will continue to increase its level of security over time.

Figure 3 – The security of accounts, measures that can be counted on the fingers of one hand

Focus on glass breaking accounts

A good practice in the administration of the Microsoft platform is the setting up of administrator accounts that allow control over the platform to be regained in the event of an incident.  These are called glass-breaking accounts. These accounts should allow full control over the Office 365 tenant and are therefore assigned the role of Global Administrator.

These accounts must be secure; however, we must not forget their specificity which consists in using them in the event of an incident. Thus, the security imposed on these accounts must remain compatible with the urgent nature of their use.  These accounts must therefore comply with the following recommendations:

• To be cloud-only accounts
• No MFA configured (or at least a third party MFA)
• Storage of the password in a safe which only identified members of the security team or Office 365 can access
• Setting up alerts to check that these accounts are not used outside of an incident procedure requiring the use of glass breakage.

It is also recommended not to use a specific naming convention for these accounts, they should not catch the eye of a possible attacker!

Conclusion

Security on Office 365 is based on technical measures to protect administrator accounts, as well as the implementation of a target administration model, which includes clear governance and processes, tools to implement this delegation of rights, and mechanisms to maintain it over time.

But whatever protection measures are implemented, security rests first and foremost with the administrators of the solution. Awareness raising and controls for administrators will be essential.

Administrators must bear in mind that their accounts give access to extremely sensitive information and actions: they are therefore the preferred target of hackers!

As O365 is constantly evolving, each new feature introduced by Microsoft may also bring with it its share of security problems that need to be studied and taken into account. Take the opportunity to update your documentation: O365 risk analysis, service configuration, delegation model…always without forgetting to allow your administrators to train!

Cet article How to manage administration in Microsoft 365? est apparu en premier sur RiskInsight.

A l’heure du modern workplace, il est indispensable pour les équipes sécurité et conformité de connaître les capacités natives des plateformes de collaboration et de communication. Cette maîtrise permettra de définir une stratégie cohérente prenant en compte aussi bien les besoins de protection des données que les réglementations, l’urbanisation du système d’information et l’incontournable sujet de l’expérience utilisateur.

Pour les entreprises bénéficiant du plan de licences le plus élevé, Microsoft 365 E5, il n’y a pas de problème : toutes les fonctionnalités sont disponibles. Pour les autres, le sujet est autrement plus complexe.

Cet article est orienté pour les entreprises ayant plus de 300 collaborateurs. Pour les autres organisations (éducation, associations, petites et moyennes entreprises) les plans de licences sont légèrement différents, mais les informations ci-dessous restent applicables pour la plupart.

La partie 1 de cet article est disponible ici.

2/ S’approprier la logique de licensing

Pour les personnes profanes au licensing Microsoft, trois principes régissent l’attribution de licences en fonction de la population concernée :

• Un utilisateur interne d’un service ou bénéficiant indirectement dudit produit (ex : groupe dynamique, classification d’un site SharePoint, partage de tableaux de bords Power BI) doit avoir la licence requise ;
• La plupart des rôles d’administrations nécessitent la licence du service administré pour accéder au portail d’administration ou aux commandes PowerShell associées ;
• Les utilisateurs externes ou les utilisateurs invités (guest en anglais) n’ont pas besoin de licence spécifique pour collaborer sur du contenu Office 365. Cela est permis grâce aux capacités gratuites d’Azure AD. Néanmoins, si utilisateur invité est soumis à des fonctionnalités d’Azure AD Premium (P1 ou P2), un nombre suffisant de licences doit être disponible (à raison de 1 licence achetée pour 5 utilisateurs invités).

Les licences sont nominatives et s’entendent par utilisateur et par mois.

A noter qu’un même produit peut être disponible avec des fonctionnalités plus ou moins avancées en fonction du niveau des licences choisi. Un exemple récurrent concerne les journaux d’audits unifiés : ces logs sont conservés 90 jours avec des licences Office E1 ou E3 tandis qu’avec des licences Office E5 la durée est de 365 jours.

3/ Percer le mystère des plans de licences

Pour rappel, le modèle des licences Microsoft est constitué des éléments suivants :

• Plan de licences : Un plan définit les services souscrits à l’éditeur qui sont disponibles dans le tenant. La plupart du temps, un plan de licences sera un bundle collaboratif (Office 365), un bundle de sécurité (EMS) ou un package (Microsoft 365) ;
• Licence : Pour être considéré comme actif, et donc pouvoir se connecter au tenant, un utilisateur doit au moins posséder une licence ;
• Service : Un service est un produit, une fonctionnalité ou une capacité de Microsoft 365 nécessitant une licence. Cette licence peut provenir de plusieurs plans de licences différents : par exemple Office 365 E1 octroie SharePoint Online Plan 1 tandis qu’Ofice 365 E3 et E5 apportent SharePoint Online Plan 2 ;
• SKU : En langage Microsoft, ce terme tiré de la gestion des stocks désigne l’implémentation d’une licence pouvant être assignée à un utilisateur.

Les bundles collaboratifs Office 365 : des fonctionnalités de protection de la donnée et conformité incluses nativement

Les plans de licences collaboratifs, également appelés bundles Office 365, sont à la base du licensing Microsoft 365. Ces plans intègrent nativement des fonctionnalités croissantes de conformité. Les options de sécurité sont quant à elles assez limitées et doivent être souscrites indépendamment.

Le premier plan est Office 365 E1. Ce plan intègre l’ensemble des services bureautiques en mode web uniquement. Les produits de conformité et de sécurité correspondent au minimum vital de ce que l’on peut attendre d’un service SaaS d’entreprise aujourd’hui : Security Defaults (MFA basique), Journaux d’audits, Recherche de contenus et Etiquettes de rétention.

Office 365 E3 ajoute à E1 les clients lourds de la suite bureautique (désormais appelée Microsoft 365 Apps), ainsi que des fonctionnalités de protection de la donnée (Information Protection for Office 365 et Office DLP), Core eDiscovery et des politiques de rétention par défaut. Ce plan de licences est celui préféré par les entreprises aujourd’hui pour des utilisateurs standards.

Enfin, Office 365 E5 s’adresse plutôt à des populations particulières sur le plan bureautique avec la téléphonie, Power BI Pro et des statistiques sur l’utilisation de la suite Office 365. Ce plan intègre également la classification automatique (hors machine learning), des options de conformité pour les populations soumises à des réglementations (Records Management, Customer Key, Customer Lockbox, Information Barriers, Communications Compliance) et des options d’investigations avancées (Advanced eDiscovery et Data Investigations), ainsi qu’Office ATP et Office CAS.

Deux points importants à noter :

• Office DLP et AIP P1 peuvent être souscrits comme licences additionnelles pour des utilisateurs Office E1, afin d’avoir des fonctionnalités de protection de la donnée similaires à Office E3 ;
• L’option de Multi-Géo est une licence additionnelle, quel que soit le plan de licences choisi.

Les bundles de sécurité : des fonctionnalités de sécurité complémentaires

Introduit dès 2014, le bundle de sécurité EMS (Enterprise Mobility Suite, puis Enterprise Mobility + Security) intègre divers produits de sécurité. Ces produits ont pour vocation à maîtriser les identités, les terminaux en situation de mobilité et les applications accédant aux données Office 365.

• EMS E3 : Intune, Azure AD P1, AIP 1, Advanced Threat Analytics ;
• EMS E5 : Azure AD P2, AIP P2, Azure ATP et Microsoft Cloud App Security.

Aujourd’hui, EMS E3 se révèle indispensable pour des organisations faisant le choix de partir sur une stratégie « Full Microsoft ». En effet, Intune et Azure AD P1 offrent une stratégie cohérente pour gérer les accès à la plateforme Office 365. En revanche, peu d’organisations ont fait le choix de généraliser EMS E5, un bundle plutôt orienté pour des populations sensibles ou administrateurs, en raison d’un manque de cohérence entre les différents produits de sécurité inclus.

Les packages Microsoft 365 : une offre complète mais onéreuse

Annoncé en 2017, Microsoft 365 est désormais le produit phare de l’éditeur de Redmond. Ce plan de licences combine les fonctionnalités d’Office 365, de la suite EMS et de Windows 10 :

• Microsoft 365 E3 = Office 365 E3 + EMS E3 + Windows 10 E3 ;
• Microsoft 365 E5 = Office 365 E5 + EMS E5 + Windows 10 E5.

Contrairement à une idée répandue, et malgré les divers changements de noms introduits en 2020 (Office 365 Groups en Microsoft 365 Groups, Office Pro Plus en Microsoft 365 Apps), la marque Office 365 n’a pas disparu.

Il peut être opportun de noter, que Microsoft 365 E5 est le seul abonnement bureautique incluant les Trainable Classifiers (classification via Machine Learning), Insider Risk Management ou Safe Documents (extension de Windows Defender ATP pour scanner les documents ouverts en mode protégé).

Microsoft 365 E5 Compliance et Sécurité : un tournant dans la gestion des licences sécurité et conformité

Microsoft 365 E5 Compliance et Microsoft 365 Sécurité ont été introduits début 2020, afin de simplifier le licensing sécurité et conformité en regroupant les produits sous des plans de licences cohérents. Une bonne nouvelle, car la situation était devenue complexe entre les produits EMS et les produits de conformité historiques (ex : Advanced Data Governance et Advanced Data Compliance).

Microsoft 365 E5 Compliance combine l’ensemble des fonctionnalités de protection de l’information, de gouvernance et d’investigation. En fonction des besoins, trois sous-bundles peuvent être envisagés :

• Microsoft 365 E5 Information Protection & Governance : AIP P2, Microsoft Cloud App Security, Advanced Retention Policies, Records Management, Advanced Office DLP et Advanced OME, Customer Key et Trainable Classifiers ;
• Microsoft 365 E5 Insider Risk Management : Insider Risk Management, Communications Compliance, Information Barriers, Customer Lockbox et PAM ;
• Microsoft 365 E5 eDiscovery & Audit : Advanced eDiscovery, Advanced Auditing et Data Investigations.

Présentées officiellement comme des extensions de Microsoft 365 E3, la documentation laisse entendre que les prérequis en termes de licences seraient moindres. L’extension Information Protection & Governance ne nécessiterait « que » AIP P1 et les Plans 2 d’Exchange Online et SharePoint Online (soit Office 365 E3).

Microsoft 365 E5 Sécurité combine Azure AD P2, la suite Advanced Threat Protection (Azure ATP, Office ATP, Windows Defender ATP) et Cloud App Security. Ce bundle sera intéressant pour les organisations peu dimensionnées pour gérer de nombreux outils de sécurité (MFA, EDR, AD Monitoring, Passerelle mail, CASB).

Focus sur les Firstline Workers

Les plans de licences Office 365 F3 et Microsoft 365 F1 et F3 sont destinés aux Firstline Workers :

• Microsoft 365 F1 est un plan de licences qui regroupe EMS E3, Teams et SharePoint (uniquement en partage et consommation de contenu) ;
• Microsoft 365 F3 combine EMS E3, Windows 10 E3 et Office 365 F3 ;
• Office 365 F3 est une version allégée de Office 365 E1, avec des fonctionnalités similaires (Exchange, SharePoint, OneDrive, Teams et Power Platform principalement) mais du stockage nettement plus limité pour OneDrive et Exchange.

Microsoft définit cette population par « utilisateur sans terminal dédié, avec un usage occasionnel. » Concrètement, un terminal dédié est un matériel informatique ayant un écran de plus de 10,1 pouces, utilisé par un collaborateur à hauteur de plus de 60% de son temps de travail. Des exemples peuvent être des populations médicales, des vendeurs dans un magasin ou des ouvriers dans une usine.

Les licences Fx ne peuvent donc pas être utilisées pour optimiser les coûts de licensing pour des populations n’ayant pas de besoins avancés.

4/ Se doter des bons outils pour trouver les informations pertinentes

Il n’existe pas de cartographie officielle permettant de se retrouver facilement entre les produits et les niveaux de licences (E1, E3, E5, F1, F3, etc.), à croire que tout semble fait pour orienter les entreprises vers les licences les plus onéreuses. Il n’est pas donc étonnant de voir que des entreprises se soient spécialisées sur le segment très spécifique du licensing Microsoft (conseil en optimisation ou éditeurs de solution de gestion).

Comment se renseigner sur ce qui existe (sources officielles)

Concernant les licences liées aux produits conformité et sécurité, la référence la plus complète est la documentation “Conseils de licence Microsoft 365 pour la conformité & la sécurité“. Malheureusement, cette documentation officielle n’est pas exhaustive, il y manque par exemple :

• Les produits concernés par les préversions privées ou publiques. Par exemple, le nouvel Endpoint DLP nécessite par exemple une licence Microsoft 365 E5 Compliance ou Microsoft 365 E5 Information Protection & Governance ;
• Des détails concernant certains produits conformité. Par exemple, Office DLP est disponible avec une licence additionnelle ;
• Les informations liées aux fonctionnalités Azure Active Directory Premium P1 ou P2 et celles liées à Intune.

A noter, un tableau assez complet, disponible en .pdf et en .xlsx, propose un recoupage de cas d’usages et des licences conformité. Attention, ce tableau peut faire peur !

Concernant les licences sécurité, il n’existe pas encore de synthèse officielle équivalente. La documentation des produits (ex : Intune) et les pages d’informations sur le licensing (ex : Azure Active Directory restent les meilleures sources d’information.

Point important : la plupart des sources officielles précisent qu’elles ne constituent pas un engagement contractuel suffisant. Seul un échange avec le TAM Microsoft permettra de confirmer la disponibilité d’une licence spécifique et le prix associé.

Comment se renseigner sur ce qui existe (sources non-officielles)

En dehors de la documentation officielle, j’utilise deux sources assez intéressantes lorsque l’on évoque le sujet du licensing Microsoft 365 :

• Cartographie non-officielle des produits Microsoft 365, faite par Aaron Dinnage (Microsoft) : il s’agit du document disponible le plus complet sur le sujet ;
• Détails et prix publics (en dollars) des différents plans de licences Microsoft 365, faite par Dan Chemistruck (Infused Innovation).

Comment se renseigner sur ce qui est disponible dans le tenant

Il existe trois possibilités pour maîtriser les licences (unitaires, bundles ou packages) et les produits acquis dans un tenant Office 365.

La première et la plus simple consiste tout simplement à utiliser les informations disponibles dans les portails d’administration Office 365 ou Azure. Cependant, ces portails ne proposent que des fonctionnalités assez basiques : pas d’actions pour un grand nombre d’utilisateurs, un tableau de bord (licences acquises, utilisées et non conformes) global sans granularité par pays ou par entité, etc.

La deuxième option est d’acquérir un outil de gestion ou d’optimisation des licences (ex : ManageEngine, QuadroTech, CoreView). Ce type de solutions s’adresse plus au PME qu’aux grands groupes qui préfèrent la troisième option en raison d’économies d’échelle.

Cette dernière option consiste à développer un outil (à base de scripts PowerShell et d’API Microsoft Graph) d’attribution des licences et un tableau de bord (généralement sur Power BI). Ce choix permettra de palier les limites des outils natifs, mais également de déléguer la maîtrise des licences aux différents Local IT dans un contexte décentralisé.

Focus sur le développement : comment se retrouver parmi les noms

Le développement en lui-même ne présente pas de complexité particulière. En revanche, un problème courant apparaît très rapidement. Les noms des services obtenus par PowerShell et Graph API sont tout simplement incompréhensibles. Ces noms sont souvent issus de rachats ou de noms de projets internes Microsoft (ex : ADALLOM pour MCAS, RIGHTSMANAGEMENT pour AIP P1 ou encore SPE_E3 pour Microsoft 365 E3).

Par expérience, il est alors indispensable de garder à jour une liste de correspondances entre les noms des SKUs obtenus par scripting et les noms officiels :

–         La liste officielle Microsoft est malheureusement loin d’être exhaustive et n’est pas mise à jour régulièrement ;

–         Plusieurs listes non officielles sont maintenues tant bien que mal et disponibles sur Internet.

5/ Sept conseils pour définir sa stratégie de licensing sécurité et conformité

1. Identifier ses besoins en termes de sécurité (identité, menaces, terminaux, etc.) et conformité (protection de la donnée, conformité réglementaire, etc.) pour Office 365 ;
2. Formaliser l’inventaire de l’ensemble des outils de sécurité et de conformité liés au Digital Workplace disponibles dans l’entreprise (incluant passerelle mail, EDR, classification, DLP, etc.) ;
3. Formaliser une feuille de route pour l’outillage sécurité et conformité, dans une logique cohérente avec le modern workplace (rationalisation, sécurité native sans agents, zéro trust) ;
4. Définir un modèle de licences avec différents profils utilisateurs, conjointement avec les équipes architecte et workplace. Il peut être intéressant de privilégier des bundles en prenant en considération les besoins moyens et long terme. L’acquisition de licences unitaires (ou add-on) hors négociation globale se fera au prix fort ;
5. Anticiper les capacités de ciblage des produits. Certains produits (comme les fonctionnalités d’Azure Active Directory ou MCAS) s’adaptent difficilement à un modèle de licences compliqué dans un contexte multi-entités international ;
6. Activer ce qui est disponible sur opportunité dans les bundles acquis, en évitant les doublons avec les outils existants afin de ne pas brouiller les signaux ;
7. Faire de la veille. Les fonctionnalités associées à une licence peuvent évoluer à la suite d’un développement ou d’un rachat de solution tierce. Plus rare, Microsoft peut embarquer des fonctionnalités premium dans des plans basiques. Le centre de messages du portail d’administration et les blogs Sécurité et Conformité sont ici indispensables.

Pour aller plus loin, retrouvez dans cet article les différents sujets à traiter lors de la préparation de l’aventure Microsoft 365.

Cet article « Petit » guide pour se retrouver dans la jungle des licences sécurité et conformité Microsoft 365 – Partie 2 est apparu en premier sur RiskInsight.

In today’s modern workplace, it is essential for security and compliance teams to know the native capabilities of collaboration and communication platforms. This knowledge will enable them to define a coherent strategy that takes into account data protection needs as well as regulations, the urbanization of the information system and the unavoidable subject of user experience.

For companies  using the highest licensing plan, Microsoft 365 E5, there is no problem: all functionalities are available. For others, the subject is much more complex.

This article is oriented for companies with more than 300 employees. For other organizations (education, associations, small and medium enterprises) the license plans are slightly different, but the information below is still applicable for most of them.

Part 1 of this article is available here.

2/ Appropriating the licensing logic

For those unfamiliar with Microsoft licensing, there are three principles governing the allocation of licenses according to the population concerned:

• An internal user of a service or benefiting indirectly from the product (e.g. dynamic group, classification of a SharePoint site, sharing of Power BI dashboards) must have the required license;
• Most administration roles require the license of the managed service to access the administration portal or associated PowerShell commands;
• External users or guest users do not need a specific license to collaborate on Office 365 content. This is made possible by the free capabilities of Azure AD. However, if a guest user is subject to Azure AD Premium features (P1 or P2), a sufficient number of licenses must be available (1 license purchased for 5 guest users).

Licenses are nominative and are per user and per month.

Please note that the same product may be available with more or less advanced functionalities depending on the level of licenses chosen. A recurrent example concerns the unified audit logs: these logs are kept for 90 days with Office E1 or E3 licenses, whereas with Office E5 licenses the duration is 365 days.

3/ Unlocking the mystery of licensing plans

As a reminder, the Microsoft licensing model consists of the following elements:

• Licensing plan: A plan that defines the services available to the publisher in the tenant. Most of the time, a license plan will be a collaborative bundle (Office 365), a security bundle (EMS) or a package (Microsoft 365);
• License: To be considered as active, and thus be able to connect to the holder, a user must at least have a;
• Service: A service is a Microsoft 365 product, feature or capability that requires a license. This license can come from several different license plans: for example Office 365 E1 provides SharePoint Online Plan 1 while Ofice 365 E3 and E5 provide SharePoint Online Plan 2;
• SKU: In Microsoft language, this term from inventory management refers to the implementation of a license that can be assigned to a user.

Office 365 collaborative bundles: natively included data protection and compliance capabilities

Collaborative licensing plans, also known as Office 365 bundles, are the basis of Microsoft 365 licensing. These plans natively incorporate increasing compliance features. Security options, however, are quite limited and must be purchased independently.

The first plan is Office 365 E1. This plan integrates all office automation services in web mode only. The compliance and security products are the bare minimum of what can be expected from an enterprise SaaS service today: Security Defaults (basic MFA), Audit Logs, Content Search and Retention Tags.

Office 365 E3 adds the thick clients of the Office Suite (now called Microsoft 365 Apps), as well as data protection features (Information Protection for Office 365 and Office DLP), Core eDiscovery and default retention policies. This licensing plan is the preferred licensing plan for standard users in today’s enterprises.

Finally, Office 365 E5 is designed for special office populations with telephony, Power BI Pro and statistics on the use of the Office 365 suite. It also integrates automatic classification (outside machine learning), compliance options for populations subject to regulations (Records Management, Customer Key, Customer Lockbox, Information Barriers, Communications Compliance) and advanced investigation options (Advanced eDiscovery and Data Investigations), as well as Office ATP and Office CAS.

Two important points to note:

• Office DLP and AIP P1 can be purchased as additional licenses for Office E1 users, in order to have data protection features similar to Office E3;
• The Multi-Geo option is an additional license, regardless of the license plan chosen.

Security bundles: additional security features

Introduced in 2014, the EMS security bundle (Enterprise Mobility Suite, then Enterprise Mobility + Security) integrates various security products. These products are designed to control identities, mobile devices and applications accessing Office 365 data.

• EMS E3: Intune, Azure AD P1, AIP 1, Advanced Threat Analytics;
• EMS E5: Azure AD P2, AIP P2, Azure ATP and Microsoft Cloud App Security.

Today, EMS E3 is a must-have for organizations that choose to go with a “Full Microsoft” strategy. Intune and Azure AD P1 provide a consistent strategy for managing access to the Office 365 platform. On the other hand, few organizations have chosen to generalize EMS E5, a bundle rather oriented for sensitive populations or administrators, due to a lack of consistency between the different security products included.

Microsoft 365 packages: a complete but expensive offer

Announced in 2017, Microsoft 365 is now the flagship product of the Redmond-based publisher. This licensing plan combines the functionalities of Office 365, the EMS suite and Windows 10:

• Microsoft 365 E3 = Office 365 E3 + EMS E3 + Windows 10 E3;
• Microsoft 365 E5 = Office 365 E5 + EMS E5 + Windows 10 E5.

Contrary to popular belief, and despite the various name changes introduced in 2020 (Office 365 Groups to Microsoft 365 Groups, Office Pro Plus to Microsoft 365 Apps), the Office 365 brand has not disappeared.

We should note that Microsoft 365 E5 is the only office automation subscription that includes Trainable Classifiers (classification via Machine Learning), Insider Risk Management or Safe Documents (extension of Windows Defender ATP to scan open documents in protected mode).

Microsoft 365 E5 Compliance and Security: A Turning Point in Security and Compliance License Management

Microsoft 365 E5 Compliance and Microsoft 365 Security were introduced in early 2020 to simplify security and compliance licensing by grouping products under consistent licensing plans. This was good news, as the situation between EMS products and legacy compliance products (e.g. Advanced Data Governance and Advanced Data Compliance) had become increasingly complex

Microsoft 365 E5 Compliance combines the full range of information protection, governance and investigation capabilities. Depending on requirements, three sub-bundles can be considered:

• Microsoft 365 E5 Information Protection & Governance: AIP P2, Microsoft Cloud App Security, Advanced Retention Policies, Records Management, Advanced Office DLP and Advanced OME, Customer Key and Trainable Classifiers;
• Microsoft 365 E5 Insider Risk Management: Insider Risk Management, Communications Compliance, Information Barriers, Customer Lockbox and PAM;
• Microsoft 365 E5 eDiscovery & Audit: Advanced eDiscovery, Advanced Auditing and Data Investigations.

Officially presented as extensions to Microsoft 365 E3, the documentation suggests that the licensing requirements would be lower. The Information Protection & Governance extension would “only” require AIP P1 and Plans 2 for Exchange Online and SharePoint Online (i.e. Office 365 E3).

Microsoft 365 E5 Security combines Azure AD P2, the Advanced Threat Protection suite (Azure ATP, Office ATP, Windows Defender ATP) and Cloud App Security. This bundle will be interesting for organizations that are not large enough to manage many security tools (MFA, EDR, AD Monitoring, Mail Gateway, CASB).

Firstline Workers focus

The Office 365 F3 and Microsoft 365 F1 and F3 licensing plans are intended for Firstline Workers:

• Microsoft 365 F1 is a licensing plan that includes EMS E3, Teams and SharePoint (content sharing and consumption only);
• Microsoft 365 F3 combines EMS E3, Windows 10 E3 and Office 365 F3;
• Office 365 F3 is a lighter version of Office 365 E1, with similar functionality (mainly Exchange, SharePoint, OneDrive, Teams and Power Platform) but much more limited storage for OneDrive and Exchange.

Microsoft defines this population as “users without a dedicated terminal, with occasional use.” Concretely, a dedicated terminal is a computer equipment with a screen of more than 10.1 inches, used by an employee for more than 60% of his working time. Examples can be medical populations, salespeople in a store, or workers in a factory.

Therefore, Fx licenses cannot be used to optimize licensing costs for populations with no advanced needs.

4/ Getting the right tools to find relevant information

There is no official roadmap that makes it easy to find one’s way between products and license levels (E1, E3, E5, F1, F3, etc.), and it seems that everything is done to steer companies towards the most expensive licenses. Therefore, it is not surprising to see companies specializing in the very specific Microsoft licensing segment (optimization consulting or management solution publishers).

How to find out what exists (official sources)

For licenses related to compliance and security products, the most comprehensive reference is the documentation “Microsoft 365 Compliance & Security Licensing Guidance“. Unfortunately, this official documentation is not exhaustive. For example, it is missing:

• Products concerned by private or public pre-versions. For example, the new Endpoint DLP requires a Microsoft 365 E5 Compliance or Microsoft 365 E5 Information Protection & Governance license;
• Details about some compliance products. For example, Office DLP is available with an additional license;
• Information related to Azure Active Directory Premium P1 or P2 features and information related to Intune.

Note that a fairly complete table, available in .pdf and .xlsx, provides a cross-reference of use cases and compliance licenses. Beware, this table can be scary!

There is not yet an equivalent official summary for security licenses. Product documentation (e.g. Intune) and licensing information pages (e.g. Azure Active Directory) remain the best sources of information.

Important point: most official sources specify that they do not constitute a sufficient contractual commitment. Only an exchange with the Microsoft TAM will confirm the availability of a specific license and the associated price.

How to find out what exists (unofficial sources)

Apart from the official documentation, I use two rather interesting sources when talking about Microsoft 365 licensing:

• Unofficial mapping of Microsoft 365 products, by Aaron Dinnage (Microsoft): this is the most complete document available on the subject;
• Details and public pricing (in dollars) of the various Microsoft 365 licensing plans, by Dan Chemistruck (Infused Innovation).

How to find out what’s available in the holder

There are three possibilities to master the licenses (unit licenses, bundles, or packages) and products acquired in an Office 365 holder.

The first and simplest is simply to use the information available in the Office 365 or Azure administration portals. However, these portals only offer basic functionalities: no actions for a large number of users, a global dashboard (licenses acquired, used and non-compliant) without granularity by country or entity, etc.

The second option is to acquire a license management or optimization tool (e.g., ManageEngine, QuadroTech, CoreView). This type of solution is more suited to SMBs than large corporations, which prefer the third option because of economies of scale.

The last option is to develop a licensing tool (based on PowerShell scripts and Microsoft Graph APIs) and a dashboard (usually on Power BI). This choice will make it possible not only to overcome the limitations of native tools, but also to delegate the control of licenses to the various IT localities in a decentralized context.

Focus on development: how to find your way among the names

The development itself is not particularly complex. On the other hand, a common problem appears very quickly – the names of the services obtained by PowerShell and Graph API are simply incomprehensible. These names often come from buyouts or internal Microsoft project names (e.g. ADALLOM for MCAS, RIGHTSMANAGEMENT for AIP P1 or SPE_E3 for Microsoft 365 E3).

By experience, it is then essential to keep an up-to-date list of correspondences between the SKU names obtained by scripting and the official names:

–        The official Microsoft list is unfortunately far from being exhaustive and is not regularly updated;

–        Several unofficial lists are maintained and available on the Internet.

5/ Seven tips to define your security and compliance licensing strategy

1. Identify your needs in terms of security (identity, threats, terminals, etc.) and compliance (data protection, regulatory compliance, etc.) for Office 365;
2. Formalize an inventory of all the security and compliance tools related to the Digital Workplace available in the enterprise (including mail gateway, EDR, classification, DLP, etc.);
3. Formalize a roadmap for security and compliance tools, consistent with the modern workplace (rationalization, native security without agents, zero trust);
4. Define a licensing model with different user profiles, in conjunction with the architectural and workplace teams. It can be interesting to favor bundles by considering medium- and long-term needs. The acquisition of unit licenses (or add-on) without global negotiation would be expensive;
5. Anticipate product targeting capabilities. Some products (such as the functionalities of Azure Active Directory or MCAS) are difficult to adapt to a complicated licensing model in an international multi-entity context;
6. Activate what is available on opportunity in the acquired bundles, avoiding duplication with existing tools in order to not interfere with the signals;
7. Keep watch. The functionalities associated with a license may evolve as a result of a development or purchase of a third-party solution. In some instances, although very rare,Microsoft will embed premium features in basic plans. The message center of the administration portal and the Security and Compliance blogs are indispensable here.

To go further, find in this article the different subjects to be dealt with during the preparation of the Microsoft 365 adventure.

Cet article A “SHORT” GUIDE TO THE JUNGLE OF MICROSOFT 365 SECURITY AND COMPLIANCE LICENSING – PART 2 est apparu en premier sur RiskInsight.

Who hasn’t already felt lost looking for information on Office 365 licensing? In this article, I will help you decipher the existing plans, as well as provide a few tips and reminders on recent announcements from the publisher.

In today’s modern workplace, it is essential for security and compliance teams to know the native capabilities of collaboration and communication platforms. This knowledge will enable them to define a coherent strategy that takes into account data protection needs as well as regulations, the urbanization of the information system and the unavoidable subject of user experience.

For companies  using the highest licensing plan, Microsoft 365 E5, there is no problem: all functionalities are available. For others, the subject is much more complex.

This article is oriented for companies with more than 300 employees. For other organizations (education, associations, small and medium enterprises) the license plans are slightly different, but the information below is still applicable for most of them.

1/ Understand the security and compliance services available

Historically focused on office automation services (with Microsoft Office) and collaboration services (with Exchange and SharePoint on-premise), Microsoft’s offering has evolved strongly by integrating not only codeless application development services (with the Power Platform), but also security and compliance bricks.

These can be grouped into seven categories:

• Security: Identity and Access Management, Endpoint Management and Threat Management;
• Compliance: Information Protection, Governance, Service Control, and Cloud Control.

Identity and access management

Azure Active Directory is the fundamental building block of Microsoft Cloud Services (Office 365, but also Azure IaaS and PaaS). It is not just a simple domain controller of the on-premises identity source in the Cloud; it is also an IAM service in its own right. Several licensing plans are available for Microsoft 365 use, whose main features are listed below:

• Azure Active Directory Basic for Office 365: Single Sign On, Manual Management of Users, Groups and Applications, Endpoint Registration, Security Defaults (basic security policies for users and administrators);
• Azure Active Directory Premium Plan 1 (or AAD P1): Azure MFA, Conditional Access, Proxy Application (exposure of on-premise applications on the Internet), Group Lifecycle (expiration, dynamic groups, classification), Advanced Password Protection (Cloud and on-premise), Integration with a third-party MFA or Identity Governance Solution;
• Azure Active Directory Premium Plan 2 (or AAD P2): Azure AD Identity Protection (assessment of connections and accounts at risk), Risk-based Conditional Access, Azure PIM (Privileged Account Management with Just-in-Time Access), Access Review, Entitlement Management (assignment of predefined rights on collaboration spaces to internal or external users).

Experience has shown that the Azure AD Premium P1 license is now a must for a number of companies. At a minimum, these companies must have the following two features: conditional access and group classification. Azure AD Premium P2 is intended for administrative populations in the first instance.

As a reminder, the functionalities available for adding or modifying objects (groups, users or terminals) vary according to the implementation mode chosen: Identity Federation, Password Hash Sync (PHS) and Pass Through Authentication (PTA).

Terminal management

Intune is the Mobile Device Management (MDM) and Mobile Access Management (MAM) solution offered by Microsoft.

The Intune MDM part is historically a mobile device management solution: deployment of applications or certificates on enrolled devices, hardening of parameters, fleet management, etc.

The Intune MAM part represents the functionalities that control the data within applications via apps protection policies. MAM can be used even in a BYOD context. It is important to note that third-party MDM solutions can be integrated with Intune MAM to control Microsoft 365 Apps (such as Office for iOS or Android), but the license will still be required to use the SDK’s functionalities.

In the context of modern management, the Intune MDM part of Intune is positioned as an Enpoint Unified Management (or UEM) solution to manage all devices (mobile or not) in a unified way. The ultimate goal is to replace the SCCM tool, also known as Configuration Manager, by positioning itself in direct competition with other MDM solutions already in place within companies.

Threat Management

The Microsoft Threat Protection suite brings together all the advanced threat prevention, detection, investigation and response capabilities of the Microsoft 365 environment: messaging, collaboration spaces, endpoints and identities.

Although the various components of the suite have historically been considered less efficient than other “pure players” in their respective segments, they have the undeniable advantage of offering unified management and correlation of indicators. However, this gap has been narrowing over the past two years, with Gartner even recognizing several components of the ATP Advanced Threat Protection (ATP) suite as leaders in their segments by the end of 2019.

There are three components:

• Office ATP: Solution to fight threats related to documents, emails and malicious links. While it is possible to add a third-party email gateway, Office ATP is the only advanced protection option for collaborative spaces (SharePoint, OneDrive and Teams);
• Windows Defender ATP: Redmond publisher’s BDU solution;
• Azure ATP: Detection and investigation solution against identity compromise, through the analysis of signals from the local Active Directory. Microsoft announced in February that it will end support for the legacy solution, Microsoft Advanced Threat Analytics (ATA), by January 2021.

Protection of information

Microsoft has recently grouped all data discovery, classification and protection functionalities under the Microsoft Data Protection Framework: Microsoft Information Protection.

At the base is the engine for identifying sensitive data. Microsoft’s engine is based on two elements:

• Sensitive Information Type (SIT): Predefined regular expressions (e.g. social security number or credit card) combined with keywords, document fingerprints (e.g. patent or form) or keyword dictionaries;
• Information Classifiers: Machine learning algorithms, with predefined or constructed models. Introduced this year and still in pre-version, the classifiers can only be used with Microsoft E5 licenses..

The current trend is to classify Office 365 data (emails, documents and now Power BI) using Azure Information Protection (or AIP). The choice of classification level can be done manually or automatically with the engine presented above. AIP has been gradually integrated into the Office 365 service package, under the name Information Protection for Office 365 (or unified classification). Although less necessary today, AIP uses the new solution as well as the non-Office 365 document coverage and classification bar in office applications.

It is also possible to classify a shared space (SharePoint site, Teams or Groups Office 365), but the classification of data and space is still decorrelated.

The actual protection of information consists of data encryption and restriction of rights (DRM). Microsoft’s proprietary protocol is Azure RMS, or Rights Management. Keys can be managed by Microsoft, in BYOK or Double Key Encryption (DKE) (HYOK equivalent for Unified Labeling presented in July 2020).

Azure RMS can be applied to data manually or by inheriting the classification level. The implementation may have a different name depending on the use case involved, but the mechanisms are identical:

• AIP or RMS for documents;
• Information Rights Management (or IRM) for SharePoint: Data downloaded from a list or library inherits protection consistent with the user’s rights;
• Office Message Encryption (or OME) for electronic messaging.

In addition to the above protection, it is also possible to apply shared space protection to harden access according to the chosen classification level, e.g. restricting endpoints or guest users.

In addition to the mechanisms attached to the data (the protection remains even when sharing or copying), it is possible to control the distribution of data through the following tools:

• Office DLP: control of the distribution of e-mails and documents;
• Communications DLP: instant messaging control;
• Cloud App Security: Extension of Office DLP capabilities to integrated SaaS applications;
• Windows Information Protection: equivalent of Intune MAM for Windows 10, aimed at separating business data from personal data;
• Windows Endpoint DLP: new DLP solution for Windows 10 presented in July 2020.

Finally, a discovery of the information can be made afterwards to locate and correct the level of protection if necessary. Again, a different solution must be used depending on the use case:

• AIP Scanner: search and classification of data on on-premises directories;
• Cloud App Security: search and classification of data on Cloud spaces;
• Windows Defender ATP: search and classification of data on Windows 10;
• eDiscovery: Cloud data search (by hijacking the original functionality).

The SDK Microsoft Information Protection can be used by third-party applications to apply classification or protection to data, or simply consume protected data.

As you can see, there are a number of tools with different names to protect organizations’ data. The important thing to remember is that users will only be directly confronted with classification and protection.

Governance

The year 2020 may be selected as the year of compliance for Office 365. Microsoft has reorganized existing products and introduced new ones to address various HR and regulatory risks. All these products are grouped together in the new Compliance Center, which replaces the equivalent part in the Security & Compliance Center.

The first group of these products is related to information retention. Retention policies (retention, legal registration, deletion, etc.) are defined via retention labels applied to a piece of data or a shared space. Labeling can be done manually, by default on containers (e.g. user mailboxes or SharePoint sites), or automatically, in the same way as privacy labels.

The products related to traceability and audit of the holder are then found. By design, the Unified audit logs can trace the actions of users or administrators. These logs, although very complete, are not exhaustive and are regularly completed. In order to increase the 90-day retention period of the unified logs, last year Microsoft introduced Advanced auditing, which offers a retention period of up to one year and more complete logs (such as all accesses to a mailbox).

In addition to logging, four products offer investigation possibilities:

• Core eDiscovery allows to extract content according to a query (e.g.: messages sent by a user containing this or that information);
• Advanced eDiscovery is an advanced feature to filter the most relevant content and provide visualization possibilities on the results;
• Microsoft Data Investigations,still in pre-version, is a clone of Advanced eDiscovery allowing to trace the context that may have led to a data leak;
• Data Subject Requestwas introduced when the GDPR came into force, in order to identify and export data related to a natural person. Again, this is a clone of Core eDiscovery, which can be searched in this context.

Note that the eDiscovery functionalities of Exchange Online (Hold, search, etc.) will gradually be phased out in favor of those of the Compliance Center.

Finally, Microsoft recently presented a whole range of products to combat internal risks (insider trading, data leakage by users on departure, discrimination, illegitimate access to data, etc.). In concrete terms, these products are designed to implement and automate existing principles in organizations’ existing HR, legal and business policies:

• Insider Risk Management is a feature to raise alerts in case of suspicious actions performed by an internal user (e.g. massive downloads performed by a user on departure, breach of security policy). The product is centered around the following axes: alert, investigation, automatic or manual remediation;
• Information Barriers allows to regulate exchanges (OneDrive, SharePoint and Teams) between internal persons, in order to technically force bans on content exchanges between entities due to regulatory requirements;
• Communications Compliance extends Office DLP’s functionality by enabling alerts when inadequate communication is detected (Teams, Mail or Yammer), such as regulatory non-compliance, non-compliance with an internal policy (e.g. harassment) or exchanges around a specific project;
• Privileged Access Management (PAM) is Azure PIM’s counterpart for operational administrative tasks. In order to perform a task, a person will have to request a privilege elevation for a defined perimeter and time;
• Customer Lockbox : is the name of the internal Microsoft process that allows a support person to access data within an organization. Customer Lockbox adds a validation step by the customer in question. In practice, this product ensures that a Microsoft employee does not inadvertently modify data, but does not protect against government requests. On the latter subject, Microsoft regularly publishes statistics.

Most of these products are still in pre-version. There is still very little feedback from the field on these solutions, which are expected to become more mature.

Control of services

In addition to the products described in the previous chapter, Microsoft provides organizations with two additional tools to comply with local regulations.

First, Customer Key allows an organization to add an overlay of encryption at the application level (Exchange Online, OneDrive, SharePoint Online and Teams), that manages the lifecycle of the keys used. This overlay is in addition to the encryption applied by construction to data at rest on Microsoft servers. However, be careful not to lose the keys, which would lead to a total loss of data.

Secondly, Multi-geo‘s functionalities ensure that data is kept at rest in a given geographical area. The challenge with this functionality is to be able to differentiate between personal and shared spaces according to the target location.

Mastering the Cloud

With Cloud App Security, Microsoft has its Cloud Access Security Broker (CASB): fighting against Shadow IT (using the APIs of supervised solutions or SaaS applications not managed via proxy log analysis), Data Protection, Detection of abnormal behavior and Analysis of SaaS application compliance.

Again, three levels of functionality are available:

• Cloud App Discovery: Accessible with Azure AD P1, this level allows you to take advantage of Shadow IT;
• Office 365 Cloud App Security: Accessible with an Office E5 license, this is an intermediate level allowing you to benefit from degraded functionalities limited to Office 365;
• Microsoft Cloud App Security: Highest level of CASB functionality.

It is important to remember here that Azure AD P1 will be required if one wishes to implement conditional access policies for connected applications (including Office 365).

With the Governance features presented above, Cloud App Security is the least exploited brick today, mainly due to the excessively high level of licensing.

Find the rest of this writing in the article “A short guide to find your way through the jungle of Microsoft 365 security and compliance licenses – Part 2”.

Cet article A “SHORT” GUIDE TO THE JUNGLE OF MICROSOFT 365 SECURITY AND COMPLIANCE LICENSING – PART 1 est apparu en premier sur RiskInsight.

Cet article « Petit » guide pour se retrouver dans la jungle des licences sécurité et conformité Microsoft 365 – Partie 1 est apparu en premier sur RiskInsight.

For those who have not yet taken the plunge (mainly ETIs and the public sector), it is essential to start thinking about Cloud collaboration and communication platforms as soon as possible. This, in order to be able to ensure continuity of service in case of force majeure (cyber attack, natural disaster or even pandemic), or even to envisage a more consequent migration.

For this Digital Workplace platform, a close collaboration between the security team and the workplace will be a prerequisite!

In this article, I will share with you some feedbacks on the deployment of Office 365, Microsoft’s solution that is becoming increasingly popular with the companies we support.

There is a lot of interesting documentation on the subject on the Internet (“Top 10 best practices” or “3 good reasons to connect the xxx application to ensure your security”). Microsoft summarizes some of these good practices in these two articles:

• Security roadmap – Top priorities for the first 30 days, 90 days, and beyond
• Top 10 ways to secure Microsoft 365 for business plans

Today, I am not going to repeat here a non-exhaustive list of these good practices, but rather to remind you of six points of attention when opening such a service.

1st point: Building the safety standard, a pillar of the future relationship between the safety and workplace teams.

As with any project of this type, the first step is to assess the potential of the service and see how it can meet the initial need, through the development of a business case. The possibilities offered by Office 365 are numerous: office automation, instant messaging or email, data visualization, development of applications without code, etc.

As far as cybersecurity teams are concerned, there are two choices: to oppose this migration because of the risks linked to the American Cloud or to support the reflection to create new secure uses.

In the vast majority of cases, the second choice is preferred. A tripartite relationship then begins, between the workplace teams, security and architects, with the aim of building a service for the users. A result of this step could be the development of a security standard, resulting from a risk analysis, defining the services used and with the associated configuration.

Among the issues to be addressed are generally the following three themes:

• What uses should be offered to people in a situation of mobility? With what authentication?
• What new services to offer with the possibilities of integration with APIs?
• How to share documents with external users?

The current trend is to provide answers with a “Zero Trust” approach. Any deviation from the defined safety standard will have to be detected, thanks to the implementation of dashboards and supervision. The adage “Trust does not exclude control” has never made more sense.

This reflection may even be an opportunity to ask fundamental questions in order to lay a coherent foundation for the working environment. For example, why leave email, a 30-year-old system, open to everything and externally block my Teams and SharePoint shares? Improving the user experience can only be achieved by standardizing security practices.

2nd point: Data protection, a subject with the wind in its sails

Parallel to the construction of the service, comes the subject of the data that will be used in the tenant. For this, two simple questions must find answers (often complex).

How do I protect my data?

Today, unstructured data protection strategies are based on a common basis: the linking of data to a level of sensitivity. This correspondence leads to protection measures to be put in place:

• – Encryption with keys controlled by the CSP or the organisation;
• – Restriction of rights (or DRM);
• – Conditional access with multi-factor authentication;
• – Data Leakage Protection (or DLP).

In order not to over-protect data and thus avoid undermining the user experience, encryption and rights restriction can be reserved for the most critical data. Other data will still remain under control using more traditional measures, such as end-to-end encryption and exposure control.

A key factor for such a project will be to turn it into a real business project, with a comprehensive awareness programme dedicated to classification.

How to remain compliant with the regulations?

An organisation may be subject to local, implementation-related and sector-specific regulations, depending on its activities.

These regulations and directives in some cases impose real obstacles that need to be removed at the outset of the project: data retention, legal archiving, geolocation, judicial investigation, requests related to personal data.

Let’s take a concrete example: Russia. With the law on personal data of 2015, the national regulatory authority imposes the obligation to keep the source (called primary database) of its citizens’ data on Russian soil. In practice, this means that the Active Directory (primary base of corporate identities) of the Russian entity must remain Russian. From there, the information can be synchronized with the GAL (Global Access List) and Azure Active Directory.

The thorny issue of stock management

What to do with the data already existing? This is a complex issue, especially if the opening of a Cloud collaboration solution is linked to the decommissioning of existing file servers.

First of all, there is a technical question. Will the company’s network be able to support massive migrations of .pst and documents? In particular, it will not necessarily be useful to migrate data that does not comply with the retention policy.

Secondly, historical data may have heterogeneous levels of sensitivity and be subject to various regulations. A trade-off will be necessary to arbitrate between local data retention, risk acceptance and a broad classification project before or after migration.

3rd point: The Target Operating Model, guaranteeing the preservation of security over time

The operational model of a service such as Office 365 defines the responsibilities of the players (administrators, support staff, etc.) and the principles of object management. It is complementary to the security standard mentioned above, providing an operational vision.

The TOM must be drawn up prior to the opening of the service and updated regularly. It must include at least the following subjects.

A model of administration

Microsoft offers by default about 50 administration roles, not counting the RBAC roles of services (e.g. Exchange and Intune). A relevant use of these roles and custom roles will help to avoid having too many General Administrators and to follow the principle of least privilege. The implementation of Just-in-Time access will moreover make it possible to monitor the actual use of roles, while reinforcing security.

A semi-architectural / semi-security community

Like any SaaS platform, Microsoft regularly upgrades the functionalities of its collaborative suite. The mission of this community will be to monitor trends, in order to master new uses and keep control of the tenant considering the evolutions.

The life cycle of shared identities and spaces

If shared spaces (Teams, SharePoint) are not managed freely, this can lead to an explosion in the number of spaces that do not comply with the security standard. The reports of the editors of Data Discovery solutions are quite striking. To avoid this, it is necessary to establish a life cycle for shared spaces. These rules can include a naming convention, retention policies, a lifespan, principles for rights management.

The establishment of a single portal for the creation of these spaces will make it possible to implement these good practices, while promoting the user experience.

Similarly, a life cycle for Azure AD objects (including guest users, security groups, Office 365 groups and applications) must be defined and equipped. Here are two examples that deserve to be addressed: the delegation of APIs is left open and leaves the door open to massive data leaks; users invited to collaborate are never deleted. For this, two strategies are possible:

If shared spaces (Teams, SharePoint) are not managed freely, this can lead to an explosion in the number of spaces that do not comply with the security standard. The reports of the editors of Data Discovery solutions are quite striking. To avoid this, it is necessary to establish a life cycle for shared spaces. These rules can include a naming convention, retention policies, a lifespan, principles for rights management.

The establishment of a single portal for the creation of these spaces will make it possible to implement these good practices, while promoting the user experience.

Similarly, a life cycle for Azure AD objects (including guest users, security groups, Office 365 groups and applications) must be defined and equipped. Here are two examples that deserve to be addressed: the delegation of APIs is left open and leaves the door open to massive data leaks; users invited to collaborate are never deleted. For this, two strategies are possible:

• #1 – Creation of a Custom Automation Engine decorrelated from the IAM, via an in-house application developed in PowerShell ;
• #2 – Integration of a Powershell / Graph API connector to the IAM solution in place in order to present a complete management of the objects, disregarding their direct hosting.

4th point: take a fresh look at the subject of user identity

Indeed, the subject of identity is a pillar of SaaS!  So, take the time to consider all the possibilities and risks of SaaS Identity Providers (or IdPs). In particular, it is unthinkable in 2020 to consider Azure Active Directory as a simple Domain Controller in the Cloud.

Three approaches are possible for the source of identities accessing Office 365.

The dissociation of identities, a quick-win but complicated from a user’s point of view

It is possible to dissociate the local and Cloud identities if the local DA is no longer available or to decorate the Cloud workspace from the historical IS. This scenario is obviously not in favour of an optimal experience, but may be a valuable asset in the event of a crisis.

The use of local identity in the Cloud, a classic strategy

In order to reconcile security and user experience, it is necessary to use the same identity between the legacy applications and this new service. For this, three technical scenarios are available:

• Identity Federation : This historic solution is widely used by large French companies that are reluctant to host passwords in the Cloud and wish to have SSO;
• Password Hash Sync (PHS): This solution, recommended by Microsoft and the British equivalent of ANSSI, is implemented by the vast majority of Microsoft customers. This solution can also be used as a back-up when the federation service is no longer available;
• Direct Authentication (Password Through Authentication or PTA): This solution provides the best user experience but has the disadvantage of passing the password through Azure AD.

Migrating one’s identity repository to the Cloud, a longer-term vision

Before or after migration, it may be appropriate to consider fully migrating the source of identities into the Cloud (whether Azure AD or a third party solution), in order to take advantage of the new possibilities. There are still several prerequisites that need to be lifted, such as printer, GPO and terminal management.

5th point: Gradually open up services to encourage controlled adoption

It is always easier to open a new service than to go back for safety reasons. Massively opening the different services of the collaborative suite has the advantage of offering a maximum number of uses cases but can cause several side effects.

First of all, services that are not officially supported and left in the hands of users for testing purposes represent a definite risk. They need to be configured and hardened. In some cases, it may even be preferable to disable the corresponding licenses.

Secondly, a controlled launch of the tools will help control costs during the first months or years of the transition. As Microsoft licences represent a certain load, it is possible to optimize unused licences.

Change management is also a key aspect to consider; to promote the user experience, of course, but also to promote data security. It is essential to have a clearly defined roadmap and user journey. Accompanied adoption will lay the foundations for proper governance of shared spaces and data (both in terms of exposure and protection).

It will be useful to consider creating a community of evangelists and users in order to maintain momentum in the adoption of the new functionalities brought by Microsoft. A uservoice system could be an asset; the ideal would be to listen to the needs of users and prioritise future openings.

6th and last point: Licences, the lifeblood of Office 365 and its security

SaaS solutions are generally subject to a monthly invoiced licensing model. The choice of Microsoft 365 licences must be the result of a global reflection. It cannot remain the prerogative of workplace teams and be determined solely by the need for collaboration and communication.

Indeed, the choice of licensing level will condition the security strategy of the tenant. This choice will have a wider impact on the strategy for securing the work environment. Indeed, Microsoft is increasingly positioning itself as a challenger to security solution providers, being the only one to offer such a complete suite.

The licensing of security options must be dealt with at the start of the project and at each renewal. It will be cheaper to include a licensing package from the outset than to order AAD P1 licences on an emergency basis to cover an unforeseen need for conditional access.

In this strategy to be defined, it may be appropriate to target individuals to adapt the security requirements to their profile (VIP, admin, medical population, etc.).

This approach, presented here for Office 365, can be generalised to any SaaS (Solution as a Service) service, or even IaaS (Infrastructure as a Service) or PaaS (Platform as a Service) service.

Cet article Migrate your work environment to Office 365 with confidence est apparu en premier sur RiskInsight.

Several topics must be addressed when securing Office 365  including the need to be able to track actions to detect illicit behaviour or trace the cause of an incident.

In France, however, many companies have difficulty consolidating logs and defining supervision use cases. Mastering logging must be at the heart of this approach.

Supervision of administrative actions is a necessity

For this logging decryption, let’s take the case of the platform administrators.

As with other SaaS solutions (Google Cloud Platform, Salesforce, etc.), the breach of data integrity or confidentiality following an error or malicious action by a company administrator is one of the major risks identified by our customers.

By definition, Office 365 administrators have high privileges:

• Configuration of the various services – or workloads – and APIs;
• Managing permissions on OneDrive and user mailboxes;
• Management of the life cycle of collaboration spaces.

It is easy to imagine the disastrous consequences that could result from the malicious or uncontrolled use of these privileges. Indeed, settings such as SharePoint Online external sharing, API permissions or email configuration could become significant data leakage vectors.

On-premise IT best-practices (lifecycle, least privilege principle, rights segmentation, strong authentication, just-in-time access, etc.) must also be applied in the Cloud. The Cloud must be mastered and controlled.

However, the implementation of good practices, although necessary, is not enough. Indeed, they do not guarantee that  administrators won’t carry out actions that compromise the level of security. One can therefore naturally wonder how it would be possible to audit the actions carried out and raise alerts if necessary.

What are the means provided by Microsoft? How can we prevent a malicious person from covering his tracks (which would make an attack more difficult to detect and reconstruct)?

To illustrate the different possibilities, we will follow the four examples below:

Figure 1 – Examples of configuration changes that may affect safety

What logs are available?

For historical and technical reasons, Office 365 inherently has several log sources: Unified Audit Logs, Exchange Logs and Azure Logs. These sources are complementary and must be analysed together in order to have an exhaustive view of the administrative actions performed.

Unified Audit Logs: unified logging of the different services

The most commonly cited and used source of logs is the “Unified Audit Logs”. These logs centralise the traces of users and administrators for all the platform’s services: SharePoint Online, Azure AD, Exchange Online, Teams, Power Platforms. Microsoft is progressively integrating the different sources and continues to add new logs.

To come back to our concrete examples, the interesting logs are:

• SharePoint Online External Sharing Policy Change: SharingPolicyChanged
• Assigning rights to a One Drive: SiteCollectionAdminAdded
• Assigning rights to a mailbox: AddMailboxPermission
• Changing an Administration Role: AddMembertoRole

These logs are accessible and exportable via the Compliance and Security Centers, the Office 365 Management and PowerShell APIs (via the Search-UnifiedAuditLog cmdlet). Note that logging must be enabled via the Compliance Center or PowerShell to be able to log and search.

It is possible to directly configure alerts related to the occurrence of certain logs in the Security and Compliance Centers.

Exchange Logs: logging of the messaging infrastructure

The second interesting source of logs is the “Exchange Logs“. These logs provide information about usage and administrative actions performed on the Exchange Online service as well as on personal or shared mailboxes. Two types of logs can be distinguished:

• Administrator Audit Logs: Service or mailbox administration logs (e.g. changing a user’s permissions, changing the retention time of a mailbox log etc.).
• Mailbox Audit Logs: Logs of use of a mailbox by the main user, a delegated user or a service administrator (e.g.: accessing the mailbox, sending an email in place of the main user, moving an item into a folder, permanent deletion, etc.).

To come back to our concrete examples, the logs that will interest us here are:

• Assigning rights to a mailbox: AddMailboxPermission
• Access to a folder or a mailbox: FolderBind (not enabled by default):
• Access to a mail: MailItemAccessed (only for users with an E5 license)

To go further with Administrator Audit Logs

Administrator Audit Logs are generated for any Exchange administration action that can be linked to a PowerShell cmdlet other than Get, Search or Test. These logs are linked to the Unified Logs and can be used in the Exchange Administration Center, Security and Compliance Centers, Office 365 Management and PowerShell APIs.

To go further with Mailbox Audit Logs

Mailbox Audit Logs are the only category of logs to be configurable (perimeter and granularity). These logs allow tracing of the actions performed by an owner, a delegate (user with permissions) and an admin (access via eDiscovery tools).

Since January 2019, the logging of Mailbox Audit Logs is enabled by default for all Office 365 tenants. To date, if logging is enabled by default, all mailboxes are audited (even if the “-AuditDisabled” parameter is set to “True”). The only way not to log the actions of a mailbox is to implement a by-pass rule with “Set-MailboxAuditBypassAssociation”.

However, it should be noted that some actions are not audited by default, such as the access of a delegate or an admin to a user’s mailbox. It is therefore essential to analyse the logs to be activated, during the initial configuration of the service.

Depending on the license level and configuration, these logs can be linked to the Unified Logs and be used in the Exchange Administration Center, the Office 365 Management and PowerShell APIs or the Security and Compliance Centers.

Azure Logs and Reports: Azure Active Directory Logging

The last, but not least important source of logs are the “Azure AD logs”. These logs provide complete traces of the Office 365 identity brick and the associated administration actions. Several categories of logs and reports are available:

• Azure Audit Logs: Logs for the administration of the identification brick or modification of items (e.g. assigning the “SharePoint Administrator” role, creating a security user or group, authorising an API, configuring guest users, etc.).
• Azure Sign-in Logs: Logs for connecting to an Office 365 service (or to applications / APIs based on Azure AD) with information regarding the connection chain (e.g. protocol, IP address, terminal, etc.).
• Risky Sign-in: Connection reports with indicators related to suspicious connections.

These logs and reports are accessible and exportable via the Azure portal, the Graph or Azure Management and PowerShell APIs. Some of the logs directly related to Office 365 are also found in the Unified Audit Logs.

To come back to our concrete examples, the interesting logs are:

• Modification of an administration role: AddMembertoRole

Figure 2 – Summary of Office 365 Logs Features

In summary, the Unified Audit Logs provide a consolidated view of the different services of Office 365, but some information may be missing. It will be necessary to ensure that the required logs are present, and then to investigate further into the logs and reports of Exchange or Azure.

What is the retention period for the various Office 365 logs?

Once the proper logs have been identified, the challenge of retention arises. How can you be sure that the logs are well preserved without being altered, for as long as is required by the company’s security policy and various regulations, such as the anti-terrorist law or the GDPR?

By construction, and contrary to Exchange and SharePoint on-premise solutions, all the logs mentioned above are unalterable – that is to say, they cannot be modified or deleted by the company administrators. Furthermore, the default retention periods defined by default cannot be modified (i.e. 90 days for Office 365 and 7 logs or 30 days for Azure logs with standard licenses). With one exception, an Exchange administrator has the ability to delete the logs from mailboxes by changing the associated retention time.

If we go back to our examples, we could imagine a malicious administrator giving himself rights to access a mailbox, then look at the mails and erase the access logs by setting a zero-retention time. In this case, only the privilege elevation made in the Administrator Audit Logs would be retained.

In order to comply with security or regulatory requirements, it may also be necessary to ensure that the logs of the various departments are kept for more than 7, 30 or 90 days.

3 steps to implement relevant logging within Office 365

1. Definition and activation of the necessary logs: Unified Audit Logs may not be sufficient (monitoring of the Office 365 and Azure AD APIs, logging of administrator access to mailboxes, etc.);
2. Configuration of an automatic export of the identified logs to an external storage or an independent SIEM (via PowerShell or the API Management);
3. Monitoring the status of the tenant: implementing a dashboard of the tenant’s settings configuring alerts related to a change in log configuration (via the Security or Compliance Center, the Office 365 Management or PowerShell APIs), such as disabling Unified logs or a change in the retention of mailbox logs.

Figure 3 – Good Practices for Office 365 Logging

After carrying out these three actions, the company will have the necessary information to audit the tenant’s use and administration actions. However, this does not yet address the larger need for supervision of administrators. It may be useful to set up alerts (via the Security or Compliance Center or specialised third-party tools).

1. (To go further) Implementation of basic supervision: definition of general security detection scenarios, identification of the logs concerned, activation of the associated alert in the Security or Compliance Centers;
2. (To go even further) Setting up advanced supervision: identification of scenarios related to a business context, implementation, definition of the associated governance, continuous improvement.

What tools should be used to analyze the logs? Which detection scenarios should be prioritised? What governance should be put in place to define, implement and monitor alerts? These are all questions that need to be addressed in the implementation of the collaboration platform supervision.

It will also be necessary to take into account the regular changes made by Microsoft on these services, as well as on the structure of logs and APIs, especially since the preview and general availability functionalities coexist.

Cet article Logging of Office 365: a Case Study with Administrators est apparu en premier sur RiskInsight.

This reflection should cover the main risks of data leakage and access to data by administrators, Microsoft and third parties or applications.

A new governance model imposed by Microsoft

Office 365 is a SaaS communication and collaboration solution. As such, the platform is constantly evolving, unlike the historical “on-premise” solutions: new features or settings appear and are modified, while others disappear (e.g. retirement of Skype for Business planned for 2021, July 31^st and the end of legacy authentication support for Exchange Online planned for 2020). This continuous delivery pace is imposed by Microsoft, without control. Hence, a completely new governance model is required.

Changes integration can no longer be done in project mode. It must follow an established process. In this model, the workplace and security teams must work hand in hand and must be represented in all project and architecture committees, starting from the very beginning of the platform use cases design. These teams will also have a common responsibility to ensure the platform efficiency and regulatory compliance.

The security team sees its perimeter evolving: it no longer has control over security tools and can, or even must, play a business enabler role to support the migration to the cloud by proposing new uses (e.g. opening a controlled external file exchange service). An appropriate organization must be put in place. We could even consider having a Security Officer dedicated to the platform very close to the business, with the role of advising projects, ensuring the platform configuration and monitoring security alerts.

Another topic to be addressed is the delegated administration.  Even though it is not a rare situation, it is not possible to have nearly 20 General Administrators for an O365 tenant. Indeed, a Global Admin has control over Office 365 services, but also Intune, Azure, AAD, etc. A delegated administration solution must be considered for user accounts and objects, through the implementation of an interface or a connector based on PowerShell or Graph API. This process should allow the company to manage all objects while considering business logic. To define this new governance model, the following security pillars must be articulated:

• Identity management ;
• Mastery of services and uses ;
• Control of compliance to company policies.

Identity management at the core of the model

In a solution designed to enable internal or external collaboration, with an ATAWAD use (Any Time, Any Where, Any Device), identity management (and therefore authentication) is the core of platform management.  As with any project, the definition phase of who can access what, when and where is fundamental.

On Office 365, there are three types of users, each with different privilege levels: administrators, internal users and guests (external users invited to collaborate on a file or within an O365 Group or SharePoint site).

For each of these account types, implementing the defined security measures will be challenging. In addition to the unavoidable multi-factor authentication (highlighted by the data leak that affected Deloitte in 2017), there are also other essential issues, such as administrator access control (personalized or predefined roles, permanent or occasional access, etc.) and guest users lifecycle management (nothing being clearly defined by default). The cost of Azure AD Premium licenses or a third-party tool will be a major element of the discussion.

Also note that Office 365 allows external applications to communicate with its APIs. The external application can then act on behalf of a user with its own rights or of an administrator with higher privileges. These applications can come from different application stores (such as AppSource or AAD) or be developed locally. The management of permissions granted to these applications must be highly considered by companies. Indeed, through APIs, it is very easy to imagine a massive data leak in case of a user dupe (e.g. an application requiring unnecessary permissions, such as email access).

An essential but neglected control of services and uses

Once access to Office 365 is under control, the next topic is to manage its use. It is not uncommon to observe that some services, not prioritized during migration to the Cloud (Power BI, Teams, Flow, API access, etc.) are left accessible with their default configuration. The two reasons are generally a focus on adoption and a lack of time devoted to these non-priority services. In addition to setting up the service, it is also essential to define precise rules around uses to clarify who can do what and when (e.g. managing SharePoint authorizations, creating Groups). The best solution consists in implementing technical measures (general settings or configuration via PowerShell) congruent with the defined policy.

However, the lack of security of these services leaves the door open to potential data leaks: automatic transfer to the outside, exposure on the Internet or loss of the data control. As written above, governance must take security into account when designing future uses. Services must be analyzed and tested on small populations. Indeed, it will always be easier to open a feature than to restrict an already widespread use. In that case, it will be necessary to carry out an impact analysis, to tinker with a workaround solution and to raise users’ awareness widely. However, these actions may require significant investment and could be avoided.

The management of the service should not end with user adoption. Security and Workplace teams will be responsible for following Office 365 evolution (Evergreen program, setting up a watch, monitoring Microsoft blogs, etc.) in order to assess new opportunities and threats.

The control of the compliance with company policies

The implementation of the company security policies is the last pillar and includes the implementation of security tools: information protection, anti-malware, supervision and alerting.

Concerning Office 365 security, we can differentiate 3 levels of maturity. The resources put in place will depend on the expertise available (resources being limited on the market) and the budget (depending in particular on the strategy of the Microsoft licensing management company):

• Level 1 – Control of identities, services and use of the Security and Compliance Center: the company implements native Security Center and Compliance Center security solutions (including Office DLP, Exchange Online Protection, eDiscovery) accessible with basic licenses;
• Level 2 – Development of “in-house tools”: the company creates a set of simple scripts or dashboards, using Graph API, Security Graph API and PowerShell, to implement controls and security measures adapted to its context (e.g. life cycle management of guest users);
• Level 3 – Use of advanced security tools: the company implements additional solutions to strengthen the level of security: tools to fight data leaks, analyze malware on emails, review rights, detect abnormal behavior or even harden the use of the platform according to the context.

Mastering Office 365 services, their uses and native security features is essential, and must precede any consideration of adding an additional security tool, which would not cover existing vulnerabilities and would only add complexity.

Sample of controls included in the Wavestone Office 365 Audit Methodology

Conclusion

Office 365 is an interesting case of opening business applications on the Internet through the Cloud. This evolution requires adapting the company historical security model, towards the airport model following the Cloud adoption.

However, Office 365 security must not omit the security of the on-premise bricks necessary for the platform operation, as it is generally the case for the authentication that is carried out by ADFS.

Cet article A secure Office 365, a rare gem? est apparu en premier sur RiskInsight.

Meanwhile, the ecosystem within which data develops is becoming continually more complex. Indeed, information systems, which are in the full throes of transformation, are opening up to the outside world, becoming interconnected with numerous public cloud services, and creating escape routes for the company’s data.

A diversity of events can result in a data leak: employee negligence, internal fraud, third-party hacking etc. and the routes out are just as varied: email, Shadow IT, USB sticks, printers, etc. When an incident occurs, the consequences can be significant. The media take pleasure in persistently highlighting cases of hacking that have resulted in data leakage from major companies, something that permanently damages corporate reputations. The associated financial losses can also be significant, compounded by regulatory penalties and lost confidence on the part of customers and partners.

 Today’s IS: a complex ecosystem that can open many doors to data leaks

DLP, an under-used – but eminently feasible – approach

The major challenge that data leaks represent is not, however, insurmountable. Some companies, including banks, have taken the lead in this area, compared with other sectors, in deploying tools to avoid data leaks that come under the heading of Data Leak Prevention (or Data Loss Protection—DLP). These tools enable them to track sensitive data and apply rules that control data flows, in line with defined policies. These rules can be applied at terminal level (workstations, servers, etc.), application level (Office 365, etc.) or network level (proxies, etc.).

Implementing such solutions, however, requires a rigorously-designed project involving both the Information Security Department and the company’s business functions. Three main factors can be used to reduce the complexity involved in this approach:

The issues that need to be addressed, and the corresponding technical solutions, in such a project, will depend on corporate objectives aimed at mitigating the risk of data leakage, as well as the level of current practices and classification methods.

It’s also imperative, when implementing DLP solutions, to preserve the user experience: users should not expect to see their activities impacted by new protection mechanisms. Therefore, security objectives must take into account the needs of the business, which may require sensitive information to be exchanged with the outside world.

The recipe for a successful DLP project

Firstly, selection of the DLP tool should be based on the objectives defined at the start of the project, in terms of the structure of the data to be protected and the channels of exchange to be analyzed.

Some market solutions are highly mature when it comes to detecting whether data is sensitive, regardless of the data structure or transmission channel. The detection of structured data is simpler because it’s easier to characterize (for example: a social security record, or credit card number, have a defined number of digits). For unstructured data (which comprises 80% of all data, according to Gartner), detection can be based on the analysis of the metadata introduced during classification.

Next, the project should be framed to define and formalize the four essential areas of a DLP project, which are the keys to success in deploying the solution:

Mapping sensitive data and defining the associated protection rules

Where a company has already mapped data and processing activities that are considered sensitive—as well as what it deems legitimate flows—this can serve as a basis for the development of the DLP policies and detailed protection rules during the project.

If such mapping has not been carried out, a DLP project cannot succeed without strong involvement from the business functions. The project team will need to connect with the relevant departments and activities, to identify the sensitive data and the associated processing activities. This initial analysis will enable the demarcation of legitimate processing, storage, and transmission channels, both internal and external, to be separated out. And doing it successfully will mean working closely with key contacts from the various departments who will need to be interviewed to gather the information needed.

Following this, the project team can create the DLP policies to cover scenarios that represent data leaks.

Feedback from major corporates, however, shows that a key success factor in such projects is knowing how to pick your fights; it’s unrealistic—at least at first—to try to implement all potential DLP policies. Implementing good coverage of the company’s most critical data will already demonstrate a satisfactory level of maturity compared with current norms.

The identification of the legal and regulatory requirements associated with the processes being analyzed

The regulations that apply to sensitive data, such as personal data (for example national information processing laws, the EU’s GDPR, etc.) impose specific limits on the extent that such data can be legitimately processed. Moreover, companies operating in an international context have to comply with local regulatory frameworks, of which each has its own particularities. This results in a diversity of rules to be followed concerning data processing.

When it comes to legal compliance, it’s important to take the advice of the company’s own legal and compliance departments, as well as the various international entities who can approve the analyses and protection rules to be applied to the data.

The main points to be addressed during this regulatory due diligence are the processing of personal data, the notification of users about the processing being carried out, the place that the processed data is stored, and the transfer channels used.

Defining the process for managing data leak incidents

The operational implementation of previously considered DLP scenarios then requires the project team to define the resources and processes that will be set in motion when a data leak is detected. These will, of course, need to be tailored to the company’s incident management processes:

• Who will receive the alerts related to potential data leaks (the SOC (if there is one), a dedicated team linked to a business function, etc.)?
• What resources are to be put in place during the investigation of an impacted area (for example, in the event of a highly sensitive area being affected, will an inquiry need to maintain a certain level confidentiality)?
• Depending on the level of criticality, which hierarchical and operational levels should be made aware?

Unlike technical security incidents, it may be important to integrate relevant business teams, or the security manager of the part of the business in question, into the process in order to define the criticality of a data leak and its scope. In cases involving structured data, criticality can be evaluated simply, using correspondence tables, but the thinking required is of a completely different nature when unstructured data is involved (for example, an email from a company manager or a document related to a confidential project).

Strong sponsorship will also be required to ensure that the objectives and methods implemented under DLP are approved by the various business functions, the HR department, and employee representatives.

Implementing a tool tailored to the scenarios defined

Along with the definition of the incident management process, the supervision model and choice of tools must also be fleshed out. In addition to being able to address the detection scenarios defined, the tool selected will need to comply with certain prerequisites specific to the company’s ecosystem, as well as with the results of the regulatory due diligence performed. The criteria for the choice of technical solution should include the ability to:

• Integrate it with SOC tools (SIEM, etc.), and ideally with other enterprise security solutions (proxy, encryption tools/DRM, etc.);
• Tailor it to the business environment (collaborative platforms, file servers, etc.);
• Take into account the diversity of IT assets and the information system in case of deployment of add-on or application.

In addition, the effective implementation of a DLP strategy must, as an imperative, cover all channels of exchange and business use cases, in order not to leave any backdoors open (for example, installing a DLP tool at server, mail, and file levels, while leaving USB ports unprotected).

The four pillars of DLP

Implementing the solution doesn’t mark the end of the interest in data leak prevention: the DLP process must be part of a process of continuous improvement. The study of false positives and alerts should lead to regular reviews (at least every six months) to improve the detection scenarios in use. To do this, it’s good practice to anticipate, right from the beginning of the project, the associated resource requirement from Run teams, and to start with the basic scenarios.

It also makes sense to incorporate the DLP project’s objectives within a larger program to address data protection, including the review of file server rights and permissions, authentication with conditional access, and the integration of supervision with SOC and the encryption of files and applications.

Cet article DLP: how to avoid leaks without having to plug any holes est apparu en premier sur RiskInsight.

The question is no longer whether data can leak (intentionally or not) and be misappropriated, but rather, how to secure it, and limit the impact when it does leak.

Against a backdrop like this, security models need to evolve. The castle model is now largely outdated, and is being replaced by that of the airport. Data-centric protection then becomes an imperative. And such protection also has to meet the daily needs of those same users who worry about being affected.

2 the different types of data … And the different approaches they require

The large data-protection projects launched by major players all face the same problem: how to decide how sensitive a given piece of information actually is. The answer to this question is key: it’s this that determines the relevant level of protection needed to avoid data leakage.

Today, there are two broad types of data:

• Structured data, which refers to all information that follows a particular format, and is easily identifiable as such: a CRM field, social security number, official certificates, and email addresses, as well as a host of other data that can be expressed in a clearly defined format (1). Typically, this information is found in the databases of applications.
• Unstructured data, which can exist in any format (such as MS Office documents, PDFs, images, videos, music, business application files, etc.). It should be noted that data which, at first glance, might be considered structured (for example, the telephone field of a CRM), may not be so if the format in which the data is entered is not followed strictly.

Structured data can be easily identified, and its sensitivity assessed according to predefined norms; but unstructured data presents a problem of a whole different magnitude—and it’s mostly this type of data that employees generate day to day. In concrete terms, this translates into an inability of the relevant security tools (such as: Data Loss Prevention/DLP) to identify a leak or the misappropriation of vital information.

The classification of unstructured data, then, represents the cornerstone of any data protection strategy—and it’s something that has to be done manually by end users.

But what is classification?

“Data classification” means the entirety of the technical and organizational processes used to categorize information produced by the employees of an organization. Following the categories defined – according to levels of sensitivity (for example, internal, confidential, secret, etc.) or by relevant organizational functions (such as HR, R&D, Purchasing, etc.) – classification allows data to be placed within the appropriate regulatory, legislative, or security framework.

Historically very basic (for example, a checkbox in a header or on the first page of a document, or the manual addition of metadata), classification consolidates data, and makes users responsible, by placing them at the center of the process, while, at the same time, offering them an improved experience (a simple interface and clear advice).

In practice, classification tools offer a diverse range of functionality:

• For new files, either manual or automatically determined classification according to predefined rules (for example, the presence of a certain number of social security numbers);
• For existing files, the manual scanning of files stored in local directories or on premises, according to predefined rules;
• The addition of metadata (or tagging) to the file: this metadata, which can be interpreted by third-party tools, unlocks visibility for supervisory tools such as Data Loss Prevention;

The addition of visual marking elements (such as headers, footers, and watermarks) to raise awareness among end users.

The results of classification projects have been inconclusive so far

RSSI procedures tend to take into account issues of data classification, and the issue is core to most major corporations’ policies. This imperative is reinforced by recent regulations such as the GDPR or the French Military Programming Act (LPM) which require the mapping of data and uses. However, few organizations, other than banks, have successfully implemented effective classification strategies.

There are several reasons for this gap:

• End users are generally not aware of the nature of the sensitive data or its impact: while the highest classification levels (“C4”, “Secret”, “Confidential”, etc.) are used for documents likely to put companies, or even entire Groups, at risk; these usually represent about 1% of all such information – although this proportion is close to 10% in some companies. Conversely, it is not uncommon for a user to share files containing sensitive personal data, or passwords, without any classification or protection.
  Thus, any data-classification project requires strong change-management support for end users. This should use clear messages and concrete examples, that allow users to classify information easily. Periodic recaps will also be needed to remind users what constitutes good practice. In fact, a user who handles sensitive data—day in, day out, may no longer be aware of the impact of this data being compromised.
• If they fail to provide users with sufficiently ergonomic approaches, companies cannot expect solid results. Experience shows that checkboxes for classification levels on cover pages, headers, or footers are only rarely selected.
• The classification of the entirety of a company’s data is a transformation project in its own right and requires strong commitment from functional and corporate teams if it is to be widely delivered. This commitment must be even greater if the classification strategy that has been defined impacts users (through obligations to classify documents, use encryption, etc.).

Classification takes center stage again

The topic is back, in force, with large corporates, driven by digital transformation programs—requiring the rethinking of data protection, and with the large players in the market—who are shaping their offerings around the subject. Some analysts, like Gartner, even foresee the consolidation of data-protection solutions into a single, classification-centric solution.

Awareness and ergonomics will need to be combined, if such approaches are to be successful and end users are to buy into the process. The two will need to work together – hand in glove.

In a future article, we’ll be looking at how the market is evolving for historical security players, and how the implementation of an effective classification strategy can provide a springboard for new impetus in data protection.  

(1) A regular expression is a string of characters that corresponds to a specific syntax. For example, a French phone number can have one of three formats: 0123456789, +33123456789 or 0033123456789.

Cet article Classification: that essential aspect of data protection est apparu en premier sur RiskInsight.

La directive NIS fixe un cap

Comme l’indique son nom, la directive NIS n’est ni une loi, ni un règlement. Elle donne un objectif à atteindre, mais laisse le choix des moyens pour y arriver. Comme pour toute directive, elle doit être transposée par chacun des pays membres en lois qui fixeront les moyens pour y arriver. La LPM française ou le IT Security Act allemand en sont des exemples. L’ANSSI a récemment annoncé être en charge du pilotage de la déclinaison en France.

Il est possible de diviser les obligations données par la directive en trois catégories :

• Définition d’un modèle de gouvernance national (articles 5,6,7) : chaque État membre doit adopter une stratégie nationale, en définissant des objectifs et une législation appropriée dans le but d’atteindre un haut niveau de sécurité national.
  Pour cela chaque pays doit se doter au moins d’une autorité compétente, chargée de la transposition de la directive en loi. Cette autorité peut être unique, comme c’est le cas en France avec l’ANSSI, ou peut être divisée selon les différents secteurs essentiels. Les dites-autorités sont invitées à se rapprocher de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) pour obtenir de l’aide.
  De même, un CSIRT (Computer Security Incident Response Team) national doit être désigné. En charge de la gestion d’incident nationaux, il a pour mission d’alerter et de partager sur les risques et les incidents, et de reporter les notifications d’incidents aux entités adéquates. Enfin, un point de contact unique doit être désigné pour participer à la coopération transfrontalière sur les objectifs stratégiques et les moyens mis en place.

• Mise en place de mesures de sécurité et de systèmes de notification d’incident pour les opérateurs de services essentiels (article 14 et 15a) : les entités identifiées par les pays comme indispensables à la pérennité d’activités critiques (économiques ou sociales) doivent mettre en place des mesures pour appréhender les risques ainsi que leurs impacts. Ces opérateurs ont également l’obligation de notifier immédiatement à l’autorité compétente tout incident dont la nature pourrait impacter significativement la continuité du service. La notion d’impact,laissée à la libre évaluation de l’entité, dépend du nombre d’utilisateurs touchés, de la durée de l’incident et de la portée géographique.
  La directive impose des actions similaires aux « fournisseurs de services numériques ». Ces fournisseurs correspondent aux les places de marchés en ligne, les moteurs de recherches, les services cloud, à l’exception des TPE et des microentreprises (2003/361/EC). Leurs obligations sont légèrement moindres (règles spécifiques au niveau des États et obligation de notifications plus restreintes), comme leurs activités ne nuiront pas directement à la vie des personnes, mais plutôt à l’économie.

• Participation aux initiatives de partage d’information et collaboration (article 8) : Lors de la présentation de la directive, le vice-président de la Commission Européenne en charge du Marché unique numérique, Adrus Ansip, et le Commissaire européen à l’Économie et à la Société numérique, Günther H. Oettinger, ont insisté sur la nécessité d’une coopération entre les institutions publiques européennes et nationales avec les acteurs privés. Ils ont également rappelé l’importance de la standardisation pour faciliter les échanges inter-frontaliers. Une réponse à ces besoins se traduit par la création d’un réseau de CSIRT et d’un groupe de coopération stratégique composé de représentants des pays membres de la Commission Européenne et de l’ENISA.

La directive NIS en renfort de la LPM

En France, la directive NIS vient accroître la légitimité de la Loi de programmation militaire dont certains arrêtés ont été publiés le 23 juin dernier.

Plusieurs différences sont toutefois notables entre le texte européen et la loi française, notamment dans la partie concernant les obligations des entreprises.

• Alors que la France a identifié 12 secteurs d’importance vitale (SIV), la directive NIS n’en reconnait que 6 (énergie, transport, banques, distribution et provision d’eau potable, infrastructures financières, santé) auxquels s’ajoutent les fournisseurs de services numériques non couverts par la LPM actuelle. Ces fournisseurs ont été estimés à près de 1400 pour l’ensemble du territoire européen. De plus, certains secteurs comme l’industrie ne sont pas inclus dans la démarche, et ne profiteront pas de l’impulsion donnée au sommet de l’Europe.
• Au sein d’un même secteur, les opérateurs concernés ne seront pas forcément identiques. En effet, la directive NIS ne considère que ceux dont l’activité dépend fondamentalement des réseaux et des systèmes d’information.
• Bien que les obligations pour les entités considérées comme sensibles soient similaires, la LPM va un cran plus loin et requière que les organisations identifiées dans le secteur d’importance vitale soient auditées par des prestataires qualifiés, alors que cela n’est pas rendu obligatoire par le texte européen. Chaque pays sera libre d’adapté le texte.

En définitive, les opérateurs des secteurs d’importance vitale français ayant initié un processus de mise en conformité à LPM seront globalement en accord avec les objectifs fixés par la directive. En revanche, certaines organisations devront mettre en place des mesures pour identifier et réduire les risques, en particulier celles du secteur de fournisseurs de services numériques car non concernées par la LPM.

21 mois pour s’aligner à la directive

La directive NIS entrera en vigueur 20 jours après publication au Journal Officiel de l’Union Européenne, c’est-à-dire en août 2016. Suite à cela, les différents États membres disposeront de 21 mois pour transposer cette directive en lois nationales. Une période de 6 mois supplémentaire sera donnée pour identifier les opérateurs de services essentiels correspondants aux secteurs identifiés.

Afin d’aligner la gouvernance nationale avec le cap fixé par la directive NIS, il restera un certain nombre d’interrogations auxquelles devra répondre chacun des pays de l’UE : Qui va prendre en charge cette transposition ? Combien d’autorités compétentes ou de CSIRT désigner à l’échelle nationale ? Quels moyens faut-il mettre à disposition ? Est-il nécessaire d’écrire de nouvelles lois ou simplement faire des amendements d’anciennes lois ?

La directive NIS est un pas important pour obtenir une cybersécurité unifiée à l’échelle européenne et c’est devenu une nécessité, car les cybercriminels eux, ne connaissent pas les frontières.

Cet article Directive NIS : Une confiance accrue dans le cyberespace européen est apparu en premier sur RiskInsight.

 iPaaS : quelques cas d’usages à considérer

Les DSI doivent répondre à différents cas d’usages d’intégration, auxquels le Cloud est lié: des applications Cloud à intégrer entre elles ou avec le SI interne, une intégration avec des partenaires ou filiales et enfin un débordement du SI vers le Cloud.

Ces cas d’usages se traduisent par des besoins d’échanges de fichiers de grandes tailles en différés, de messages au fil de l’eau, d’appels de services synchrones… Les systèmes d’échanges assurant alors les fonctions de transfert, routage, transformation et connectivité aux applications dans le Cloud et dans le SI interne.

Trois typologies de déploiement permettent de supporter ces cas d’usages

Le plus naturel consiste à utiliser un système d’échange existant on-premise (SI interne). L’intégration avec les applications dans le Cloud est faite via des connecteurs spécifiques (particulièrement pour le SaaS). Mis en œuvre initialement pour une intégration majoritairement interne au SI, le système d’échange est utilisé pour l’intégration avec le Cloud. Ce choix n’est pertinent que pour un nombre restreint d’applications Cloud, sans échanges importants entre elles.

Avoir une plateforme unique d’échange dans le Cloud public est une autre typologie possible. Elle sera alors principalement utilisée pour l’intégration entre applications dans le Cloud.  Elle peut également être utilisée pour devenir le point unique d’échanges avec des partenaires et filiales. Toutefois, le passage systématique par le système d’échange dans le Cloud pour l’intégration d’applications internes au SI peut être rédhibitoire (volume, latence…). Ce peut être un choix uniquement tactique, pour une adoption rapide.

L’utilisation de deux systèmes d’échanges en « miroir », un dans le SI (potentiellement existant) et un autre dans le Cloud, est la typologie la plus avancée. Il n’y a alors qu’un lien unique entre les deux plateformes, donc un seul point d’entrée dans le SI interne sur lequel la sécurité est renforcée. Elle permet de couvrir efficacement l’ensemble des échanges internes et Cloud.  Une gouvernance des échanges est ici indispensable pour maîtriser leur répartition entre les deux plateformes. Des réponses doivent également être apportées pour assurer la consolidation de la supervision, le déploiement des flux…

Au final, le choix de typologie dépend avant tout de l’existence de systèmes d’échanges au sein du SI et du nombre d’applicatifs dans le Cloud à la cible.

Un marché de l’iPaaS hétérogène

L’iPaaS est une suite de services Cloud supportant ses caractéristiques principales : self-service, élasticité, mesurable et mutualisation des ressources. Il permet l’intégration entre des éléments du Cloud et on-premise et peut assurer différentes typologies d’intégration : processus (BPM, workflow…), services (ESB / SOA), applications et données (ETL).

Dans les faits, les solutions iPaaS n’ont pas toutes ces caractéristiques clés, et peuvent être de différentes natures :

D’un côté, il y a les pure players de l’intégration Cloud. Leurs solutions sont construites sur le modèle du Cloud, ils en respectent les préceptes. Leur maturité est cependant encore à challenger dans un marché qui n’est pas encore entièrement consolidé. De l’autre, il existe des solutions n’ayant aucune caractéristique Cloud mais ayant des connecteurs vers les grands noms du SaaS (Salesforce, WorkDay…). Elles servent avant tout d’accélérateur pour une connexion simplifiée. Mais il ne faut pas non plus mettre de côté les solutions classiques on-premise d’éditeurs historiques de l’intégration directement déployées sur une offre PaaS. Ces solutions ont pour elles leur maturité acquise dans l’intégration interne au SI. En revanche les caractéristiques du Cloud ne sont pas toutes assurées…

Il est donc nécessaire de prendre en compte son existant afin de faire les choix les plus pertinents.

Quel chemin emprunter pour aller vers le Cloud ?

Le chemin vers l’intégration Cloud peut prendre différentes voies selon l’existant en termes d’échanges au sein du SI de l’entreprise. Pour un SI déjà outillé avec une ou plusieurs plateformes d’échanges, ce qui est le cas chez les grands comptes, il est important de capitaliser sur celles-ci en se concentrant sur deux problématiques clés. La première : est-ce que la solution propose des connecteurs Cloud vers les applications SaaS utilisées, ou même un framework de développement pour s’adapter à toute application SaaS ? La seconde : est-ce que la solution est proposée par l’éditeur dans une version iPaaS ? Cela permet de mettre en œuvre une typologie de déploiement en miroir, tout en conservant les mêmes compétences internes.

Si l’extension du SI vers le Cloud n’entraîne pas une rupture des architectures d’échanges inter-applicatifs déjà en place (SOA, EDA…), il sera cependant nécessaire de décliner les patterns établis afin de tirer entièrement parti des promesses du Cloud et de prendre en considération ses contraintes.

Cet article L’iPaaS, pourquoi ne peut-on pas faire l’impasse ? est apparu en premier sur RiskInsight.

La 4G  débarque dans les foyers : gadget ou vraie révolution ?

Internet est devenu un must have auquel tout individu veut pouvoir accéder n’importe quand, depuis n’importe où et via n’importe quel terminal. Le taux de croissance annuel de la consommation internet est estimé à 32% jusqu’en 2017. À horizon 2015, 80% des connexions internet se feront via un smartphone, alors que 77% des français déclarent ne jamais sortir sans leur mobile.

L’hyper connectivité modifie les comportements sociaux et engendre une explosion de la communication temps réel. Le phénomène des réseaux sociaux l’illustre parfaitement. On « like », « tweete », « poste » des messages, des vidéos/photos, on « poke », on « skype » en vidéo, on donne son avis sur le restaurant dont on sort, on communique sa position géographique… Tout le monde partage tout, tout le temps.

La 4G va contribuer à cette tendance ; en effet, il est couramment admis qu’elle :

• accentuera l’immédiateté
• enrichira les interactions
• accélérera le multi-applicatif
• banalisera le multimédia mobile HD

Mais en plus et surtout, elle permettra l’avènement de nouveaux usages. La traduction instantanée deviendra possible. La télé-éducation (tendance de fond à venir pour les digital natives d’après Steve Jobs), la télésanté ou la surveillance de malades en mobilité (marché sur lequel Google se positionne fortement), la sécurité des biens et personnes, la réalité augmentée seront autant d’usages qui viendront progressivement peupler la bande passante disponible.

Internet, innovation disruptive, a transformé la chaîne de valeur  de nombreuses industries et fracturé les frontières géographiques. L’ère de la dématérialisation des services et contenus a sonné, catalysée par l’apparition d’un objet connecté devenu pour beaucoup indispensable, le smartphone.

La 4G, amplificateur de la relation marque / consommateurs par la mise en place de nouveaux services 

La 4G ne favorisera pas immédiatement l’émergence de nouveaux usages mais fiabilisera d’abord l’immédiateté en situation de mobilité. En levant le principal frein qu’est la bande passante allouée par utilisateur, nous pouvons donc d’ores et déjà prédire l’explosion de la consommation des médias (télé, musique, films…) que ce soit à l’aéroport, à son arrêt de bus, dans un restaurant…

Un client en magasin pourra enfin consulter sans latence les commentaires et avis liés à un produit, visionner une vidéo de démonstration… autant d’usages simples mais aujourd’hui limités par les bandes de fréquence de la 3G. Les marques pourront également utiliser la 4G comme pivot d’optimisation de leur stratégie digitale pour proposer un univers autour de services à valeur ajoutée en magasin, faisant de ces derniers de véritables éléments différenciant d’accompagnement à la vente.

Accélérant le phénomène Big data, la 4G permettra aux marques de capter plus de données clients, des données également plus riches. Dès lors la 4G apparaît comme vecteur d’affinage de la connaissance clients et constituera un moyen d’affiner les ciblages voir d’optimiser la segmentation.

Véritable laboratoire numérique, vitrine de la 4G, la Corée du Sud, pays de early adopters, illustre effectivement  l’accélération des mutations dans la relation entre marques et consommateurs.

Les réseaux mobiles très haut débit nous rendront-ils plus productifs ?

Selon une étude d’Arthur D. Little « The Business Benefits of 4G LTE » la 4G, déployée depuis fin 2010 aux États-Unis et en croissance rapide, impacte déjà favorablement l’activité des entreprises américaines. 67% considèrent qu’elle accroît la productivité, 47% qu’elle réduit les coûts, 39% qu’elle aide à faire plus de business et 37% qu’elle augmente la motivation et la satisfaction des salariés. Certains analystes économiques annoncent même que le déploiement de la 4G pourrait faire gagner des dixièmes de points de  PNB aux pays les plus avancés en augmentant l’efficacité des collaborateurs des entreprises connectées. La 4G apparaît comme un moyen de combler le besoin croissant des salariés d’accéder à toujours plus de services en mobilité. Apprentissage en ligne, bureaux mobiles collaboratifs, synchronisation des catalogues de référentiels pour les forces de ventes et équipes de terrains, entretiens vidéos, accès aux services Cloud de l’entreprise (CRM, RH, finance…)… Smartphones et tablettes créent un lien de plus en plus fort entre entreprises et salariés, et la 4G, par le confort d’utilisation qu’elle procure, renforcera encore ce lien… Jusqu’à saturation ?

Le tout-connecté est déjà une réalité que ne démentira pas 2014. Le CES et de récentes études vont dans ce sens : les objets connectés vont s’imposer dans notre quotidien. Ils seraient ainsi 80 milliards en 2020. Actuellement, des débits encore insuffisants imposent des limites aux usages personnels et professionnels émergeants. Ces barrières seront levées par la 4G. La probable émergence de nouveaux devices exploitant ce potentiel permettra certainement l’explosion d’usages encore embryonnaires : la réalité augmentée, les interfaces gestuelles, les lunettes connectées… une multitude de nos objets usuels seront interconnectés en permanence, sans temps de latence, pour faciliter notre quotidien.

Cet article La 4G, une norme pour révolutionner les usages ? est apparu en premier sur RiskInsight.

Les 4 clés de l’intégration des services Cloud

1 – Une intégration des données sans couture

Avec l’utilisation de services Cloud, on exacerbe le besoin de mettre en place des plateformes transverses d’échanges entre les différentes ressources, qu’elles soient Cloud ou internes. Cette problématique est essentiellement présente lorsque l’on s’appuie sur des services SaaS.

Il s’agit ainsi soit d’étendre les plateformes d’échanges traditionnelles aux services Cloud si elles offrent des connecteurs vers les interfaces (API) des applications Cloud, soit de s’appuyer sur des services d’échanges relais (Cloud ou internalisés), qui masqueront la complexité des interfaces et de leur évolution.

2 – Une gestion centralisée des identités

Celle-ci est essentielle pour fournir aux utilisateurs un accès sans couture à l’ensemble du SI, qu’il soit en mode Cloud ou non. Elle doit notamment permettre de gérer le cycle de vie des comptes utilisateurs (décommissionnement, gestion du mot de passe…).

Cet aspect est trop souvent négligé. Il arrive par exemple de laisser des accès ouverts à des employés ayant quitté la société, l’exposant à de la surfacturation et à d’importantes brèches de sécurité. La DSI doit donc mettre en œuvre une gouvernance des identités globale ainsi que l’outillage adéquat.

3 – Des référentiels communs de service management

Pour que la DSI puisse garantir les niveaux de services de l’outil informatique (disponibilité, impact des changements, capacité d’évolution…), il est nécessaire qu’elle puisse intégrer les services Cloud à ses référentiels de service management. Ils auront notamment un rôle primordial pour gérer les changements. En effet, les services Cloud évoluent constamment, en cycle rapide, sans que les clients puissent s’y opposer. Les analyses d’impacts doivent donc être précises et le plus automatisées possible. Pour s’adapter au Cloud, les référentiels devront intégrer des ressources fournies en mode as-a-Service, pour lesquels les aspects de localisation ou de dépendance à des ressources physiques ne sont pas connus.

4 – Des portails de services par usage

L’une des composantes essentielles du Cloud est l’aspect self-service. Pour optimiser l’apport des services Cloud, il est primordial de limiter le nombre de points d’entrées pour les demandes de ressources, les déclarations d’incidents et le suivi des consommations, et ce quel que soit le nombre de fournisseurs.

En revanche, il n’est pas nécessaire de se limiter à une seule interface globale pour l’ensemble des services de la DSI. Il s’agit ici de fédérer les différents portails de services qui seront instanciés par typologie d’usage et de population. Pour ce faire, il faut anticiper au plus tôt une cible globale d’intégration puis s’appuyer sur un outillage adapté aux services souscrits et à l’existant. Cet outillage est à déployer progressivement à l’occasion de chaque projet Cloud jusqu’à atteindre la cible.

Une stratégie d’outillage à définir en fonction de la stratégie Cloud

La cible d’outillage sera à définir en fonction de la stratégie Cloud. Dans une stratégie à dominante SaaS, le challenge majeur sera d’intégrer sans couture les nouvelles applications au SI. Il faudra donc en priorité traiter les problématiques d’intégration de données, la gestion unifiée des identités et le portail de services. Si la stratégie Cloud est essentiellement IaaS, les enjeux seront plutôt liés à la gestion de ce nouveau parc de ressources. Il faudra alors se doter rapidement d’un outillage permettant d’adresser la problématique de service management.

Deux types d’acteurs constituent actuellement le marché de l’outillage Cloud, qui est en phase d’évolution rapide. D’un côté, des startups aux offres fonctionnellement riches mais dont la pérennité n’est pas toujours assurée. De l’autre, des fournisseurs traditionnels avec des offres qui sont soit balbutiantes, soit issues de rachats récents, donc peu intégrées au reste de leur gamme et en passe de subir des évolutions majeures.

Ces solutions n’étant pas pleinement satisfaisantes, deux stratégies de déploiement s’offrent aux entreprises.

Si l’on est dans un rythme d’adoption du Cloud plutôt lent, mieux vaut temporiser en s’appuyant sur l’outillage existant et en l’adaptant au cas par cas. Par exemple, des transferts de fichiers non automatisés peuvent suffire dans un 1er temps pour assurer le provisioning des identités. Cette stratégie évite d’investir dans des solutions peut-être non pérennes, au prix d’un surcoût modéré en opérations.

En revanche, si l’on souhaite adopter une démarche volontariste et cadencée vers le Cloud, il n’est plus possible de temporiser au risque de voir exploser ses coûts d’opérations. Il faut donc expérimenter ce que le marché sait fournir ! L’outillage Cloud-ready, qu’il permette l’intégration de données, la gestion des identités et le service management ou offre un portail de service, embarque de toute façon un ensemble de connecteurs vers  les fournisseurs du marché. Charge ensuite à l’éditeur de la solution de les maintenir à jour en fonction des évolutions apportées par les fournisseurs Cloud.

Dans tous les cas, un impératif : rester en veille permanente pour adapter sa stratégie aux évolutions des standards, à leur niveau d’adoption par le marché et aux mouvements de consolidation.

Cet article Sans maîtrise, le Cloud n’est rien… est apparu en premier sur RiskInsight.

Un e-commerce pionnier

Les premiers à avoir dû rendre compatibles robustesse et agilité sont sans aucun doute les acteurs du e-commerce. Ils ont dû pour cela résoudre trois difficultés majeures :

1. Le business demande un time to market au jour le jour
2. Le succès fait accroître le besoin en puissance de façon exponentielle (comme le montre la  vente sur internet)
3. Le digital rend les architectures systèmes de plus en plus complexes et hétérogènes (il suffit de regarder l’exemple du transport aérien)

Agile robustesse, impossible équation ?

Observons leur exemple pour voir comment ils ont su répondre à la problématique du  « tout digital », allant parfois à l’encontre de certaines certitudes.

Conviction°1 : adapter la proximité MOA-MOE

L’organisation globale des entreprises doit tenir compte de l’agilité du SI sachant qu’il faut distinguer trois cas « types » : SI « classique », SI « ERP » et SI « multi-canal ». Pour le dire simplement : plus le besoin en agilité est fort plus les acteurs métiers et IT doivent être proches. L’organisation en mille-feuille, de par son manque cruel d’agilité et de par la multiplicité des acteurs qui la composent, souffre par définition d’inertie. Il ne faut pas d’ailleurs se limiter à rapprocher uniquement  les équipes MOE et les équipes MOA : il est nécessaire que les acteurs de la mise en production acquièrent une vraie sensibilité « métier ».

Conviction°2 : nommer un responsable système de bout en bout

La multi-canalité et le « tout digital » ont mis en évidence la difficulté de garantir une vision complète et maîtrisée du SI par des équipes organisées par technologies ou domaines fonctionnels. Cependant, la notion ou le rôle d’un responsable « système » (de bout en bout) est encore peu fréquent et incompatible avec les organisations en place. Il s’avère que ce manque de vision et de responsabilité transverse est l’une des causes majeures des difficultés et des coûts de mise en production. Pour pallier à ces difficultés, les entreprises mettent en place des batteries de tests de non-régression générant des coûts récurrents importants. Par souci d’agilité, il faut adapter ces tests en permanence et en raison de la complexité des chaînes de liaison, il est difficile de disposer des tests complets et pertinents.

Conviction°3 : recruter des profils plus qualifiés

Le recrutement de talents pour la filière SI se limite encore trop souvent aux « études », réputées plus créatives. Mais cette stratégie a ses limites. En effet, la crise a imposé un gel des embauches, ce qui a conduit à un vieillissement des équipes et donc à une perte progressive de connaissance sur les nouvelles technologies, les nouveaux usages et les nouvelles méthodes de travail. Par ailleurs, la complexité des architectures nécessite aujourd’hui, notamment dans les activités historiquement considérés comme « techniques », moins de valeur créative ce qui a conduit à une réelle perte d’attractivité. Pourtant, la mise en production ne doit plus être considérée comme un simple geste technique mais comme clé de voûte de la qualité du système entier ! Elle nécessite des compétences fortes et transverses.

Conviction°4 : partager les risques entre Métiers et DSI

L’entreprise a aujourd’hui besoin d’accroître sa capacité de gestion de risque. Les trois points évoqués précédemment sont des conditions nécessaires pour améliorer la situation et enfin trouver des gains escomptés dans la durée. Mais le partage des risques entre les acteurs métiers et  les acteurs IT en fonction des enjeux business permet de tirer profit des investissements à réaliser. Bien entendu ceci passe par la mise en place d’un pilotage fondé sur des indicateurs pertinents. La question du coût de mise en production est relative et doit être directement reliée à l’impact métier… soit la prise de risque associée.

Bien sûr, les grandes entreprises ne peuvent pas pleinement se comparer à ces acteurs du e-commerce qui, pionniers en la matière, ont été privilégiés par la petitesse de leur structure et par l’unique objectif qu’ils suivaient de mener à bien leur business naissant. Mais les grandes sociétés ont tout de même beaucoup à apprendre d’eux. À chacun de trouver sa recette pour conjuguer succès rapides et une stratégie moyen terme.

Cet article Une mise en production agile et robuste, et si l’équation était finalement possible ? (2ème partie) est apparu en premier sur RiskInsight.

Des missions au service d’une adoption progressive du Cloud

En mettant en place un incubateur Cloud, la DSI se donne les moyens de piloter la trajectoire et le rythme de la transformation qu’induit le Cloud. Elle peut aussi promouvoir l’usage des services Cloud qui permettront de combiner au mieux innovation, maîtrise financière et maîtrise technique du SI.

Dans ce cadre, l’une des priorités de l’incubateur est de se faire connaître, de promouvoir son action afin de capter au plus tôt les initiatives Cloud qui pourraient émerger. Ceci fait, son leitmotiv doit être de favoriser ces initiatives en facilitant le déploiement et l’intégration de ces nouveaux services dans le SI.

Pour cela, il doit jouer un rôle de conseil et de contrôle dans le cadre des projets, pour anticiper d’éventuels écueils techniques ou juridiques réels, mais aussi permettre de relativiser un certain nombre de risques ou de freins non justifiés.

Il diffuse également son expertise et ses retours d’expérience issus d’initiatives précédentes, pour sensibiliser les Métiers et les équipes de la DSI aux impacts du Cloud. Ceux-ci concernent aussi bien le SI (problématiques d’intégration et de réversibilité, décommissionnement de l’existant pour justifier le ROI de l’initiative…) que l’utilisation des services (limitations fonctionnelles liées à l’usage d’une solution standard, perte de maîtrise sur les processus d’évolution et de gestion des changements…).

Ensuite, en s’appuyant sur une veille marché active, il identifie les périmètres du SI éligibles au Cloud et promeut les nouveaux usages porteurs de valeur pour l’entreprise.

Enfin, il a vocation à préparer la transformation de la DSI et du SI pour passer à l’ère du Cloud. Il animera ainsi les réflexions autour des évolutions et de l’outillage nécessaires à la DSI pour maîtriser les impacts du Cloud sur les plans suivants : compétences et organisation, modèle économique et pilotage des coûts, garantie de la qualité de service et de la sécurité sans oublier la mise en cohérence et l’homogénéité du SI.

Si son action est efficace, l’incubateur favorisera un passage en douceur vers une gestion industrielle des services Cloud par les équipes de la DSI.

Une structure visible et agile…

Pour assumer pleinement son mandat, l’incubateur doit bénéficier d’un haut niveau de sponsorship et d’un rattachement transverse au sein de la DSI pour être légitime et connu des Métiers.

Il doit également avoir la capacité de mobiliser les ressources de la DSI, sans pour autant s’inscrire totalement dans le cadre des processus classiques de la DSI. Ainsi, il sera en mesure d’accélérer et de favoriser les  initiatives, en  particulier lorsque le service Cloud concerné est en phase d’expérimentation ou de pilote. C’est la seule façon pour l’incubateur de réussir à ancrer la DSI dans l’adoption du Cloud et la seule façon de démontrer la valeur ajoutée que la DSI peut apporter aux utilisateurs. À l’image d’une cellule « Innovation », c’est au travers de la réussite durable des initiatives qu’il aura accompagnées et du changement d’image de la DSI qu’il aura véhiculé que l’incubateur prouvera sa propre valeur et justifiera l’investissement qu’il représente.

…mobilisant de larges compétences regroupées sur quelques personnes

Afin de conserver l’agilité nécessaire, l’incubateur doit rester compact : 3 à 5 personnes. En revanche, le succès de l’incubateur repose avant tout sur la qualité du casting de ces personnes.

Pour mener à bien les missions de l’incubateur, les profils à cibler sont ceux alliant compétences IT larges et parfaite connaissance de l’entreprise et disposant d’un leadership fort pour promouvoir de nouveaux usages et de nouvelles pratiques. De tels profils sont généralement des ressources critiques et libérer une partie de leur temps pour qu’ils se consacrent à l’incubateur est un réel investissement.

Cet investissement est un impératif pour la DSI. Même si l’appel à de la prestation externe est envisageable pour apporter compétences techniques et connaissance des offres Cloud, il n’est pas suffisant pour assurer la maîtrise de l’organisation et de l’existant de l’entreprise.

Si les bonnes ressources ne sont pas disponibles en nombre suffisant, mieux vaut privilégier le caractère compact de l’équipe à la couverture exhaustive des compétences nécessaires.

Quelles actions pour débuter ?

La priorité doit être donnée à l’accompagnement des initiatives qui permettront d’obtenir des quick wins visibles par le Métier et aux actions de communication valorisant les apports du Cloud et de l’incubateur. C’est par ce biais que l’incubateur pourra réellement être l’avant-poste de la transformation induite par le Cloud.

Deux éléments nous semblent essentiels à produire immédiatement par l’incubateur : un kit de sensibilisation aux bénéfices et aux impacts du Cloud (paiement à l’usage, localisation des données, évolution des relations DSI / Métiers…) et le catalogue des services Cloud déjà déployés ou à venir.

Une chose est sûre, l’objectif n’étant pas de pérenniser son existence dans l’organisation, l’incubateur doit avancer vite et donner la priorité à l’action et non à la réflexion !

Cet article Aller vers le Cloud oui, mais comment légitimer la DSI ? est apparu en premier sur RiskInsight.

La problématique n’est pas simple. L’architecture IT locale des entreprises rend de nombreux services – services aux utilisateurs (fichiers, messagerie, impression…), services techniques (télédistribution d’application, antivirus, annuaire et authentification, services réseaux…) ou encore hébergement d’applications. S’ajoute à cette première complexité l’hétérogénéité des sites distants : nombre d’utilisateurs, bande passante réseau, usages et niveaux de service différents selon les besoins métiers…

Quelles sont les solutions techniques disponibles pour s’affranchir des serveurs locaux ? Quel impact sur l’expérience utilisateur et sur l’exploitation des services ? Sur le réseau ? Voici 3 clés pour réduire le coût de vos infrastructures locales.

Des quick-wins pour les petits sites

Dans la plupart des cas, supprimer les serveurs locaux sur les plus petits sites suffit à dégager des économies substantielles sans investissement notable. La première étape est donc la rationalisation.

Comment faire ? On supprime par exemple les serveurs locaux et, pour limiter l’utilisation de la bande passante WAN, on déporte les services directement sur les infrastructures locales existantes, comme par exemple les postes de travail. On parle alors de relais locaux.

La fonctionnalité Windows BranchCache – disponible depuis Vista / WS2008 – est un premier exemple. Il s’agit d’une sorte de mode peer-to-peer : les postes de travail adoptent le rôle de relais à la fois pour les fichiers utilisateurs, les packages SCCM, les mises à jour ForeFront… Ce type de solution est également disponible en dehors du monde Microsoft (fonction GUP de l’éditeur Symantec par exemple). Attention toutefois, ces fonctionnalités ont des limites et nécessitent un paramétrage fin : gestion des pics de charge, monitoring des stations relais, sécurité…

Concernant les services d’impression, le Direct IP Printing – transmission directe sans serveur d’impression du job d’impression vers une imprimante – se développe. Windows 8 prend d’ailleurs en compte cette tendance en offrant nativement la fonctionnalité (Branch Office Direct Printing). Toutefois, l’installation des imprimantes et la gestion des drivers en mode Direct IP Printing doit être repensée pour éviter de générer une surcharge sur le helpdesk. Il est alors intéressant de considérer l’utilisation d’un outil spécifique pour adresser ces problématiques.

Il est également envisageable dans certains cas de remplacer les serveurs locaux par des appliances nécessitant une administration moins lourde qu’un serveur classique – notamment pour jouer le rôle de relais de télédistribution ou de cache pour les fichiers.

Pour aller plus loin, une centralisation des services IT nécessaire

Si la centralisation de ces services est plus classique et à présent maîtrisée pour des services tels que l’annuaire d’entreprise (Active Directory..) ou les services réseaux (DHCP, DNS…), cela reste bien souvent un challenge quand on aborde la question de l’accès aux fichiers et de leur restauration. Jusqu’à présent, la présence de serveurs locaux historiques était bien souvent expliquée par le besoin d’avoir un serveur des fichiers en local pour éviter les latences.

Dans cette optique de centralisation, la bande passante disponible devient donc un élément clé. Une étude site par site de cette dernière s’avèrera souvent nécessaire, sous peine d’altérer l’expérience utilisateur.

Un upgrade du réseau WAN pour augmenter sa bande passante reste possible et devient aujourd’hui de plus en plus accessible économiquement. À défaut, des boitiers de compression / cache réseau peuvent également être installés sur certains sites.

Quelques adhérences à garder à l’esprit pour ce type d’initiatives : la nécessité de redimensionner les infrastructures centrales et la difficulté de mutualiser boitiers de cache avec appliances réseaux hybrides.

Cloud et virtualisation pour un résultat optimal

Pour espérer un gain encore plus important, la refonte des infrastructures locales doit se faire dans le cadre d’une approche plus en rupture, poussée par des choix stratégiques et technologiques forts, tels que la virtualisation ou l’adoption de services Cloud. Ces choix ne sont pas neutres en termes de réseau et posent immédiatement la question de la disponibilité des services en mode déconnecté.

Le Cloud est également une possibilité lorsqu’il s’agit de services techniques. On pourra citer Windows Intune, qui embarque à la fois le patch management Microsoft (WSUS) pour la télédistribution d’application et l’antivirus ForeFront. Mais il faudra toutefois se poser les questions suivantes : en cas de bande passante WAN limitée, est-il judicieux d’en consacrer une partie à des services techniques ? Et si oui dans quelles proportions ?

Des services d’impression dans le Cloud – privé ou public – se développent également. On pourra citer Google Cloud Print – où les serveurs d’impression sont dans les datacenters du géant américain. Des limitations importantes existent encore (compatibilité des types de fichiers et des imprimantes) mais on répond ainsi à certains besoins liés à la mobilité (lancement d’une impression sur une imprimante corporate depuis une tablette…).

Le VDI supprime quant à lui le besoin de délivrer des services locaux de télédistribution ou d’antivirus par exemple, les postes étant eux-mêmes déjà centralisés. Toutefois, encore implémenté chez seulement 2 à 3 % de nos clients de manière massive, le VDI peut rarement être mis en place sur l’ensemble d’un périmètre client.

Pour mettre en place ces approches, le réseau devient le nerf de la guerre. Une stratégie innovante en la matière consiste à implémenter des réseaux hybrides, permettant de faire passer directement certains flux vers internet, là où ils transitaient auparavant par le WAN. Cette solution devient particulièrement pertinente lorsque des services sont sourcés dans le Cloud : accès direct aux serveurs dans le nuage, meilleure bande passante et diminution des coûts. Attention toutefois à la maitrise des flux (priorisation des flux, redondance des liens…).

On l’aura compris, l’arrivée à maturité des technologies (réseaux, infrastructures de gestion de l’environnement de travail, virtualisation) et l’arrivée de services techniques Cloud permet aujourd’hui d’aller chercher plus facilement des économies par une démarche de rationalisation et de centralisation partielle des services. Pour aller jusqu’à la centralisation complète des infrastructures locales, il est inévitable d’élargir l’étude pour considérer le même type d’initiative autour du poste de travail lui-même, tout en cherchant à optimiser la consommation du réseau WAN de l’entreprise qui permettra au passage de faciliter l’adoption de services Cloud. Préparez-vous, la Digital Workplace arrive !

Cet article Et si on supprimait tous les serveurs d’infrastructure locaux ? est apparu en premier sur RiskInsight.

Déchiffrer la complexité des modèles fournisseur

La maîtrise de la facturation du fournisseur constitue le 1^er pilier de ce pilotage. De prime abord, le système de facturation du Cloud peut paraître simple : prix à l’unité, facturation au volume. Ce mode de fonctionnement peut cependant générer des surprises au bout de quelques cycles de facturation. En effet, le modèle contractuel embarque fréquemment des éléments structurants tels que les volumes ou montants minimaux, ou encore les effets de seuil. De telles clauses induisent des risques pour la DSI : si la demande du Métier n’est pas au rendez-vous, l’équilibre économique du service pourrait ne pas être atteint.

Avant de contractualiser, une attention particulière doit par conséquent porter sur la compréhension du modèle économique du fournisseur, et notamment sur les services et options qui sont les plus rentables pour ce dernier. En effet, les tarifs de service  anormalement bas pourront cacher des options coûteuses qui s’avéreront finalement nécessaires (extension de volumes de stockage, frais d’interconnexion, etc.).

Construire des scénarios d’utilisation des services

La réflexion sur l’équilibre économique doit amener à piloter les recettes de la DSI et implique donc de bénéficier d’une vue au plus juste des besoins du Métier, présents et futurs. Il s’agit, pour la DSI et ses clients, de construire et de suivre une projection de l’évolution des volumes d’utilisation des services Cloud, et si nécessaire de formaliser des scénarios d’évolution. Cette concertation DSI / Métiers permet d’obtenir un engagement mutuel entre la DSI et les Métiers.

Cette connaissance permettra à la DSI de souscrire au service Cloud le plus adapté, d’évaluer le seuil de rentabilité de ce service, et de mettre en place une facturation à l’usage permettant l’équilibre économique. Pour le Métier, cette collaboration permettra de disposer d’un certain degré de maîtrise financière de ses dépenses informatiques.

Les scénarios d’utilisation des services constitueront in fine des entrants précieux dans la démarche de construction budgétaire, pour les Métiers comme pour la DSI.

Accompagner le Métier dans la gestion de sa demande

La mise en place d’outils ergonomiques pour l’accès au Cloud (portails self-service par exemple) et l’amélioration de la qualité ont pour effet de faciliter l’accès aux services informatiques pour les utilisateurs, qui ont ainsi naturellement tendance à en augmenter leur utilisation : cette amélioration de l’offre conduit à une demande accrue.

La facturation à l’usage par les fournisseurs, associée à cette augmentation de la demande peut d’ailleurs induire une augmentation de la facture globale des services Cloud. Sans freiner la productivité des Métiers, la DSI se doit de les accompagner et les conseiller, en mettant à leur disposition des outils de suivi de l’usage des services IT.

Il s’agit avant tout de donner un maximum de visibilité au Métier sur ses consommations :

• Refacturer au Métier peu de temps après les consommations réelles, au mois par mois ;

• Produire un reporting opérationnel de l’utilisation des services, intégrant notamment un suivi des volumes consommés par rapport aux volumes prévus, et un système d’alertes en cas de surconsommation (et également de sous-consommation) ;

• Analyser cette consommation avec les Métiers pour ajuster les priorités et prévisions d’utilisation future.

Il est également recommandé de fournir les systèmes techniques de gestion de la demande (portails selfservice, outils de workflow), permettant au client de valider les besoins de ses utilisateurs.

Cet accompagnement de la demande constitue un véritable service fourni par la DSI, qui ne serait pas accessible en cas de souscription des services Cloud directement par les Métiers. Ces derniers n’ont en effet pas d’objectif régalien de maîtrise globale des coûts IT : il s’agit donc pour la DSI de valoriser l’image de ce service, qui constitue un réel élément différenciant.

Le Cloud ? Une raison supplémentaire de faire travailler main dans la main DSI et Directions Métiers !

Cet article Garantir l’équilibre économique de la DSI à l’ère du Cloud est apparu en premier sur RiskInsight.

Une adoption motivée par réduction des coûts et recherche d’agilité

Malgré la dynamique du marché et la promesse de gains sous-jacente, les DSI des grandes entreprises tardent à se mettre en mouvement, réagissant plus au Cloud qu’elles ne l’anticipent. Elles le privilégient essentiellement pour des usages à risques techniques limités et à ROI rapide, principalement en IaaS et en SaaS.

SaaS : une utilisation massive des services standardisés

Le SaaS est aujourd’hui le principal vecteur d’adoption du Cloud. L’adoption du SaaS est centrée sur les fonctions support dont l’usage est standardisé (bureautique, messagerie, CRM, paie…). Le SaaS est également fortement sollicité pour les services de sécurité (antivirus, proxy, services de tests d’intrusion…) qui nécessitent une puissance de calcul importante, des évolutions en cycle court ainsi qu’une disponibilité maximale pour des employés de plus en plus mobiles.

PaaS : une adoption encore confidentielle

C’est le segment le moins bien appréhendé par les grands groupes aujourd’hui. Il correspond à la fourniture d’une plateforme d’exécution de code informatique. Il permet la mise à disposition d’une application en limitant très fortement les opérations sur les couches sous-jacentes (systèmes, bases de données, serveurs d’applications…). Le PaaS reste aujourd’hui cantonné chez les grands comptes à des usages « jetables », comme des prototypes ou des sites web temporaires (événementiels).

IaaS : des déploiements essentiellement en mode « privé »

Le modèle IaaS, fourniture de machines virtuelles (VMs) et ressources associées depuis un Cloud, qu’il soit public ou privé, permet d’introduire davantage d’agilité. Les grandes entreprises déploient aujourd’hui beaucoup de IaaS privés, dans l’optique de capitaliser sur leurs compétences internes et leurs investissements en infrastructures. De son côté, le IaaS public est mis en œuvre de façon très ciblée, par exemple pour une filière web, ou dans une logique de « bac à sable ».

Pour autant, grâce à la consolidation à grande échelle, c’est le modèle public qui permet d’obtenir les gains fonctionnels et financiers les plus importants. C’est pourquoi les stratégies de déploiement de IaaS privés sont ou doivent être considérés comme une étape sur une trajectoire plus ou moins long terme de généralisation d’IaaS public.

Un avenir qui promet plus d’innovation et de valeur ajoutée

La 1ère phase d’adoption du Cloud est motivée par la recherche d’économies et l’optimisation du niveau d’agilité. Ces prochaines années, le marché devrait évoluer pour offrir des solutions avec une valeur ajoutée de plus en plus forte, pour répondre à la fois aux offreurs en quête de relais de croissance et aux entreprises utilisatrices souhaitant optimiser leur marge en se recentrant sur leur cœur de métier.

Le SaaS devrait s’imposer dans les entreprises comme le choix par défaut. Les éditeurs de logiciels vont proposer de manière systématique leurs solutions en mode SaaS, en partenariat avec les fournisseurs IaaS. Ils s’assureront ainsi des revenus constants et proposeront à leurs clients des services très industrialisés, flexibles et au meilleur coût.

L’usage du PaaS devrait exploser lorsque les problématiques de portabilité des applications, bien souvent surestimées, seront résolues. Il devrait alors devenir le socle d’exécution par défaut de toutes les applications qui ne seraient pas consommées en SaaS. Ces plateformes vont s’enrichir pour fournir aux développeurs un maximum d’accélérateurs et de nouvelles possibilités (composants et connecteurs pré-packagés, services de sécurité, réseaux de distribution de contenus… ) et donc en faire un choix par défaut dans les filières de développement.

Par ailleurs, les éditeurs de progiciels devraient rapidement proposer leurs solutions en mode pré-packagé pour les plateformes PaaS du marché. Le IaaS devrait perdurer pour adresser des besoins applicatifs très spécifiques. Mais il ne permettra pas d’aller chercher toutes les économies d’échelle d’une approche Cloud.

 Ce sont le SaaS et le PaaS qui porteront le marché demain.

Cet article Le Cloud : quelle réalité marché derrière les nuages ? est apparu en premier sur RiskInsight.

Un schéma directeur IT au service de la transformation de votre entreprise !

Démarche stratégique, un schéma directeur  vise à mettre en cohérence une large palette de problématiques opérationnelles, thématiques et économiques afin de définir la vision cible à long terme (généralement 5 ans) du SI. Il existe différents types de schémas directeurs mais tous se doivent de traiter des sujets tels que les orientations stratégiques, l’évolution du budget informatique, l’organisation, la gouvernance du SI et bien entendu les différents aspects techniques liés au SI.

Or, tout projet de transformation, y compris ceux répondant à des problématiques métiers pures, a des impacts sur les infrastructures et les socles logiciels du SI. L’automatisation d’un processus métier ou l’évolution d’une application métier implique ainsi des mises à jour plus ou moins profondes des infrastructures ou des socles sous-jacents (mise à jour du système d’exploitation par exemple). Poussées par une logique émergente de centre de profits, certaines DSI prennent même les devants. Elles repensent leur existant à l’occasion d’un schéma directeur infrastructures pour redéfinir leur  fonctionnement, leurs infrastructures et leurs socles logiciels tout cela dans une cible cohérente en vue d’améliorer le service rendu, leurs coûts et préparer l’avenir.

Un schéma directeur IT aux gains multiples

La définition d’une cible pour les infrastructures et de sa trajectoire associée dans le cadre d’un schéma directeur infrastructures est porteuse de différents types de gains.

Tout d’abord, il y a les gains techniques et opérationnels : la rationalisation des briques de base du SI et l’adoption de standards apportent un meilleur service avec une moindre variété de solutions ; un catalogue de solutions mieux défini permet de concevoir plus simplement les architectures avec une meilleure garantie de services. C’est là aussi par conséquent l’occasion de proposer des solutions techniques innovantes aux projets et aux Métiers.

Bien entendu, autres gains non négligeables, la problématique des coûts ! Pourquoi ? Ne serait-ce que parce que les coûts liés à l’obsolescence peuvent dépasser les coûts d’investissement annuels de remplacement des infrastructures : traiter cela, c’est déjà dégager de nouvelles marges de financement. Sans compter que le schéma directeur apporte une meilleure visibilité et une meilleure anticipation des investissements. Enfin, en rationalisant les infrastructures, on réduit la variété des solutions et ainsi le nombre de fournisseurs avec à la clé une possible massification des commandes.

Les gains humains ne sont pas non plus en reste. Mettre en place une trajectoire d’évolution des infrastructures peut être l’opportunité d’une nouvelle organisation mettant en valeur les compétences des différents acteurs. Elle est aussi l’occasion de communiquer auprès des équipes et d’insuffler une nouvelle dynamique autour d’un projet fédérateur, porteur de perspectives.

Quelques clés pour réussir son schéma directeur IT

 La crédibilité d’un schéma directeur dépend en grande partie de sa pertinence et celle-ci ne peut être garantie sans avoir pris en compte les réalités de l’entreprise. Différentes approches sont possibles et une méthodologie telle que SOI (Service Oriented Infrastructure) offre un cadre d’analyse et de formalisation permettant une approche structurée et exhaustive des composants du SI.

Si la participation des différents acteurs (du SI comme des métiers) est fondamentale, deux travers sont à éviter : aborder cette démarche comme un audit ce qui fausserait la collecte d’informations ou l’effet « lettre au Père Noël » où chacun liste ses souhaits et s’attend à les voir exaucés.

La définition d’une cible d’évolution du SI est finalement  toujours un compromis entre différents facteurs tels que l’existant, les besoins et les souhaits recueillis, la stratégie de l’entreprise dans sa globalité, l’état de l’art et les bonnes pratiques sans oublier la capacité à réaliser les changements notamment sur les plans budgétaires, techniques et humains.

La dernière étape d’un schéma directeur consiste à formaliser cette trajectoire de transformation à travers différents chantiers, à les coordonner dans une perspective temporelle en y intégrant les aspects budgétaires, humains ainsi que les contraintes métiers et projet. La validation du plan de transformation doit se faire à haut niveau (DG, DSI…). Parmi les différents chantiers, il en est un stratégique qui doit ouvrir et fermer la marche : la gouvernance de l’implémentation du schéma directeur. En effet, elle en assure le pilotage, la cohérence, permet d’en assurer le rythme et gère l’adaptation de l’ordonnancement des chantiers et de leurs projets.

Le changement, c’est maintenant !

Avez-vous le choix aujourd’hui de ne plus toucher aux infrastructures de votre SI pendant les 5 ans à venir ? Le carrousel des technologies combiné avec l’évolution de l’entreprise ne le permettront pas. Un schéma directeur infrastructures est l’occasion de reprendre le contrôle de l’évolution des éléments fondamentaux du SI, de ses niveaux de service et de ses coûts mais c’est aussi une formidable opportunité de dynamiser et de fédérer des équipes souvent plongées dans l’opérationnel au quotidien. Il est nécessaire de s’inscrire dans une nouvelle hygiène de gestion proactive des infrastructures du SI afin de garantir l’adaptation permanente du SI aux besoins et à l’évolution de l’entreprise.

Cet article Pour mettre sous contrôle durablement les fondations de votre SI, pensez schéma directeur IT ! est apparu en premier sur RiskInsight.

Le cloud public, moins cher mais non nécessairement moins sécurisé, commence à séduire ces mêmes comptes et non plus seulement les TPE et PME, notamment pour des environnements non critiques ou demandant une forte agilité.

Et si l’’avenir n’était pas le cloud, mais les clouds ?

La proposition de valeur du cloud hybride

Chaque modèle de déploiement (privé, privatif, public) a ses avantages (personnalisation et contrôle des données dans le cloud privé, prix et scalabilité dans le cloud public) et ses inconvénients (coûts d’investissement pour le privé, moindre contrôle des données dans le public). Le cloud hybride consiste en l’utilisation de plusieurs clouds afin d’en maximiser les bénéfices selon les besoins de l’entreprise.

Parmi les grands cas d’usage de l’approche hybride, l’on retrouve :

• La répartition d’applications sur plusieurs clouds suivant leurs besoins (criticité des données, élasticité et agilité, etc.) permettant de profiter du « meilleurs des deux mondes ». L’entreprise pourra par exemple utiliser un cloud public pour des environnements web faiblement couplés au SI et un cloud privé pour des environnements hébergeant des données métiers critiques. Il s’agit du cas d’usage le plus fréquemment rencontré.
• Le « cloud burst » permettant d’absorber des pics de charge en faisant déborder son infrastructure privée vers un cloud public ou privatif. Cela permet notamment de compenser l’élasticité moindre du cloud privé pour des besoins ponctuels.
• La répartition des tiers d’une application : les couches applicatives et base de données hébergées dans un cloud privé tandis que la couche de présentation sera sur un cloud public (elle ne gère pas de données critique et requiert une forte élasticité)
• L’optimisation des coûts et les performances en utilisant plusieurs fournisseurs de cloud public et en choisissant, en temps réel, le plus avantageux.

Cependant, sans un bon outillage, les coûts induits par la gestion de plusieurs clouds peuvent constituer un réel frein à l’adoption.

Comment piloter un cloud hybride ?

Le Cloud management platform (CMP) fournit à la DSI une interface de gestion unifiée vers de multiples fournisseurs de cloud.

Si de nombreux  outils existent, deux grandes approches se distinguent :

1 – L’approche « Open » : liberté et réversibilité

Cette approche se base sur l’utilisation de plate-formes de gestion de cloud privé comme le très en vogue OpenStack (mais aussi Cloudstack ou Eucalyptus) permettant l’extension de son infrastructure sur un Cloud Public, ou sur des solutions logicielles comme Scalr ou Dell Multi-Cloud Manager (ex-Entratius). Une entreprise pourra ainsi bénéficier d’une grande liberté dans le choix des clouds à piloter (et de fait d’une meilleure réversibilité), tout en limitant ses investissements et en gardant une certaine souplesse dans la personnalisation de l’outil.

Cependant sa complexité de mise en œuvre peut parfois être un frein au déploiement et grever le TCO (total cost of ownership) de la solution (coûts OPEX d’ingénierie notamment). D’autre part, la sécurisation de cette solution, partiellement ouverte sur internet (pour piloter un ou plusieurs clouds publics) reste à la charge de l’entreprise, ce qui pourra refroidir les responsables de la sécurité.

La solution de simplicité pourra alors se trouver dans l’approche “constructeur”.

2 – L’approche « Constructeur » : extension de l’hyperviseur et de son outil de gestion

On a pu voir ces derniers mois de grands constructeurs comme Microsoft et VMware ouvrir leurs Clouds publics et dévoiler leur stratégie : proposer à leurs clients utilisant leur hyperviseur (respectivement Hyper-V et vSphere) de basculer de façon transparente sur leur cloud public ou celui d’un tiers.

Il s’agit pour l’entreprise de s’appuyer sur son existant, sans déploiement supplémentaire et sans bouleverser son organisation. Elle bénéficie de nouvelles fonctionnalités tout en préservant une sécurisation forte.

Cependant le risque de “Lock-in” chez un constructeur n’est pas neutre et la réversibilité sera nécessairement plus difficile qu’avec un outil indépendant. De plus les coûts d’utilisation du cloud public seront souvent plus élevés et les besoins spécifiques de l’entreprise (la personnalisation de l’outil) plus difficiles à faire passer.

S’outiller pour anticiper les changements futurs

L’usage du cloud par les entreprises, dans une stratégie hybride, va se généraliser dans les années à venir, et les changements induits sont multiples. Il est donc nécessaire de les anticiper et de s’y préparer. Pour cela, il est important pour l’entreprise de commencer à aligner ses processus et à réfléchir à sa stratégie d’outillage.

Cependant les outils de pilotage unifiés étant encore peu matures, seules les entreprises allant très fortement vers le cloud ont intérêt à s’outiller immédiatement (pour éviter une explosion de leurs coûts d’opérations). Les entreprises moins pressées, elles, pourront attendre que les outils soient plus mûrs et se limiter pour l’instant à une veille active.

Dans tous les cas réfléchir à sa stratégie d’outillage n’est plus une option, il s’agit de préparer l’avenir !

Cet article Quelles vertus au Cloud hybride ? est apparu en premier sur RiskInsight.

Stratégie de prix : évacuer la négociation sur les prix pour se concentrer sur la régulation de la demande

Le dialogue de gestion entre la DSI et les entités Métiers repose sur la dualité entre prix et volume par service acheté. Logiquement, le prix est révélateur de la performance financière de la DSI, et le volume de la consommation des services informatiques par les Métiers. La discussion doit donc porter sur ces deux axes.

La méthode ABC, en mettant fortement le focus sur la relation entre les coûts d’un service donné et son prix de « revente », focalise fortement le débat DSI-Métiers sur la notion de prix. Cette approche nous parait contre-productive :  la clé consiste à évacuer du dialogue DSI-Métier la négociation sur les prix pour se concentrer sur la régulation de la demande.

Pour ce faire, il est nécessaire de construire le catalogue en se basant sur des prix de marché, par construction acceptables par les Métiers, en mettant en place une véritable stratégie de prix au service des enjeux globaux de l’entreprise (incitation à la mutualisation, développement de services innovants, etc.). Le dialogue qui s’engage peut alors devenir vertueux en se focalisant sur les usages : quels sont les réels besoins des Métiers ? Avec quels niveaux de services ? Quels sont les inducteurs révélateurs de la consommation réelle ? Quelles sont les projections d’évolution des usages sur les années à venir ? Quels sont les nouveaux usages, voire les nouvelles offres à développer par la DSI ?

En parallèle, cette approche permet de focaliser le management de la DSI sur sa performance financière. En effet, le montant global des recettes générées par les services rendus peut mettre en évidence un écart avec le montant global des charges de la DSI. Cet écart, une fois identifié, doit être traité au travers d’un pilotage fin des coûts par nature de dépenses et un suivi des principaux indicateurs de performance opérationnelle.

In fine, le coût des ressources ne régit plus le tarif des services (modèle ABC). Au contraire, les besoins et la consommation des clients délimitent la dépense de la DSI, autrement dit son budget, faisant basculer l’entreprise dans un cycle vertueux de performance.

Analyse des coûts par nature : analyser et piloter finement les coûts en surinvestissant sur le contrôle de gestion

Cette nouvelle approche, vertueuse pour l’entreprise, accroît la pression financière sur la DSI et rend indispensable la professionnalisation et le renfort du contrôle de gestion. Celui-ci doit être en mesure de répondre aux spécificités du suivi et de l’analyse des coûts IT :

• Conduite d’analyses coûts fixes / coûts variables pour être en mesure d’adapter rapidement le niveau de charge de la DSI en fonction de l’évolution des demandes Métiers ;
• Mise en place d’un suivi par contrat : contrôle des volumes commandés, contrôle du réalisé au regard des prévisions, suivi des éventuelles pénalités financières, etc. ;
• Pilotage des investissements au travers notamment du suivi de l’engagement des projets ;
• Optimisation des charges de support.

Optimisation de la performance opérationnelle : se focaliser sur quelques indicateurs clés de performance opérationnelle

En complément de l’approche financière portée par le contrôle de gestion, il convient de contrôler que la transformation des ressources de la DSI pour délivrer les services soit la plus efficiente possible. Cela passe par la mise en œuvre et le suivi d’une série d’indicateurs opérationnels et non financiers.

Ces indicateurs ont pour objectif d’identifier puis d’optimiser les zones de non-performance opérationnelle. Ils doivent être limités en nombre mais suivis de façon extrêmement rapprochée par les opérationnels et le management de la DSI. La liste d’indicateurs à suivre doit également être remise à jour en fonction des évolutions de positionnement stratégique de la DSI et de l’identification de nouvelles zones de non-performance.

Pour une instance opérationnelle garante du résultat global et de la performance opérationnelle

Le pilotage de la performance économique se fait donc au travers de ces trois axes majeurs : stratégie de prix, contrôle des coûts et identification des zones de non-performance opérationnelle. La difficulté réside in fine dans la coordination et la priorisation des actions entre ces trois domaines.

Pour cette raison, il est indispensable de créer au sein de la DSI une gouvernance forte de ces sujets qui passe a minima par la mise en place d’une instance mensuelle associant l’ensemble des acteurs (management DSI, contrôle de gestion, opérationnels, fonctionnels). Cette instance, animée par le contrôle de gestion pour garantir la qualité des données analysées, doit être présidée par le management de la DSI, seul acteur à même d’arbitrer les leviers à activer et par là de parvenir à un pilotage global efficace.

Cet article Simplifier : le secret d’un pilotage économique optimal est apparu en premier sur RiskInsight.

Le Cloud impose-t-il une évolution forcée ?

Le Cloud simplifie l’accès à l’outil informatique en focalisant l’énergie de l’utilisateur sur le choix du service plutôt que sur la démarche de mise en œuvre. Cette facilité d’accès à des services « clé en main » peut inciter les Métiers de l’entreprise à traiter directement avec les offreurs Cloud sans impliquer la DSI. Pour contrôler l’adoption des services Cloud, la DSI doit devenir un acteur incontournable de ses Métiers : non pas en s’imposant mais bien devenant un partenaire légitime du Métier, apporteur de valeur ajoutée aux services Cloud.

Une priorisation des chantiers nécessaire

Le Cloud n’est pas qu’un outil technique à destination de la DSI seule. Il est essentiel de mettre en place sa stratégie Cloud en impliquant la Direction de l’entreprise pour prendre en compte l’existant et les besoins à venir, en déduire le périmètre éligible et enfin choisir ses modèles de sourcing (Public et/ou privé) et le type de Cloud (IAAS, PAAS et/ou SAAS) adapté aux cas d’usage. Deuxième étape pour la DSI : promouvoir cette stratégie auprès des Métiers avec ses sponsors en valorisant les apports de la démarche et en éclairant les contraintes liées à son utilisation.

A ce stade la DSI devra choisir entre 2 positionnements :

1) Un accès direct des métiers aux fournisseurs Cloud

La DSI ne porte pas la responsabilité du choix des fournisseurs mais apporte son expertise sur les dimensions :
•    Contractuelles, en mettant à profit l’expérience de la DSI pour définir les engagements en matière de niveau de service, de traçabilité, de pilotage des coûts…
•    Techniques, en accompagnant les projets sur l’intégration des services Cloud dans le SI de l’entreprise tout en respectant les contraintes internes de sécurité et d’échanges de données
•    Légales, en apportant sa connaissance des contraintes liées à l’hébergement des données (données personnelles, données sensibles d’entreprise, législation française, contraintes sectorielles…)
•    De réversibilité technique et opérationnelle, pour préparer en amont le désengagement d’un fournisseur.

2) Une DSI « broker de Cloud »

La DSI se positionne comme l’interlocuteur unique à la fois du Métier et des fournisseurs Cloud.  Le rôle d’expertise reste d’actualité et voit son périmètre étendu par une fonction de gestion des  relations clients et fournisseurs. La DSI est alors en responsabilité :
•    D’intégrer des services Cloud technique ou métier au catalogue de la DSI
•    De piloter et de garantir la qualité des services exposés par la DSI
•    De définir et de mettre en place les outils permettant une intégration au SI des services Cloud (IAM, échanges, service management…)
•    De faire évoluer ses processus internes pour fournir un service utilisateur unifié indépendamment des modes de sourcing
•    Et bien sûr, de fournir ces services Cloud au meilleur coût du marché à ses utilisateurs !

Bien que la stratégie de positionnement soit à définir suivant le contexte particulier de chaque entreprise, une majorité aura intérêt à adopter un positionnement « broker de Cloud ». Ce positionnement permettra de définir une stratégie IT globale cohérente entre les besoins internes et les possibilités offertes par les fournisseurs. Elle permettra ainsi de tirer toute la valeur économique et qualitative d’une approche Cloud par le biais d’achats massifiés et intégrables de manière standardisée au SI.

Les « temps métiers » et les « temps IT traditionnels» n’ont plus la même échelle, le Cloud est un des vecteurs de transformation qui permet de contribuer à la performance globale de l’entreprise. Néanmoins, pour combler ce décalage, la DSI doit être en perpétuelle transformation pour fournir les moyens nécessaires aux ambitions de l’entreprise.

Cet article Le Cloud computing : vers une DSI orientée service ? est apparu en premier sur RiskInsight.

Big data : un intérêt qui ne faiblit pas

Depuis 2012, l’intérêt pour le Big data ne cesse de croître (cf. courbe google trends). Pourtant, faute de disposer d’une définition tangible, la pertinence des usages de cette expression reste, aujourd’hui encore, sujette à interprétation.

Prenons un échantillon de définitions produites par les voix les plus influentes du domaine IT (Gartner, Forrester, IBM etc.). Derrière le Big data, une multitude de sujets : il peut s’agir, selon les analystes,  1) des données  (d’un genre caractéristique), 2) d’un phénomène ou encore 3) d’un ensemble de techniques ou technologies. Il en ressort cependant un champ lexical qui fait assez largement consensus et s’est imposé sur la plupart des slidewares (avec aussi des contradicteurs).

« Petite » analyse lexicale du « Big » data

3 V. Volume, Variété, Vélocité. Vision du Gartner de 2001 : chacune de ces caractéristiques constituent un défi pour les entreprises qui souhaitent les exploiter ; leur combinaison accentue d’autant la difficulté que représente le traitement des données. Le Big data n’est pas que l’explosion des volumes. C’est aussi la richesse des formats et le temps réel. Ce qui pose question et qui est rarement explicité, c’est la mesure de chacune de ces trois dimensions. Le volume se mesure-t-il en téra- ou en pétabytes ? Où se situent les niveaux d’acceptabilité qui permettent de déterminer qu’une situation ou un cas d’usage relève du Big data ? Le Big data d’aujourd’hui sera-t-il celui de demain ? Car avec la croissance des données et les avancées technologiques, le curseur ne cessera sans doute pas de se déplacer…

4V = 3V+Valeur. Certains ont noté un glissement de l’acception Big data de 3 à 4 V : des caractéristiques de nature technique à celle de « valeur ». Que peut-on tirer des données ? C’est en fait la question essentielle : celle de « l’opportunité à saisir » ou du « besoin à combler ». Une autre question apparaît avec les fournisseurs de données : quel est le prix des données ?

Technologie accessible. Il n’y a pas de définition technologique du Big data au sens où aucune technologie n’est liée de manière exclusive et catégorique au concept. Tout comme les web services n’étaient pas la SOA, le Big data n’est pas Hadoop*, même si Hadoop est la valeur sure d’un marché en plein essor et encore peu lisible. Certes, l’envolée du Big data doit beaucoup à l’« accessibilité »  d’Hadoop et du noSQL. Mais le coût et le ROI de ces solutions sont-ils à la hauteur des promesses ?

Acquisition, visualisation etc. Le Big data n’est pas que stockage et analyse de données. Il faut  développer son gisement pour trouver la bonne information. L’information produite doit être comprise, retenue, travaillée et des techniques d’analyse visuelle sont aujourd’hui mises en avant.  Enfin, pour les questions de fiabilité et de sécurité, des évidences en gestion des données, des solutions se positionnent.

Décision. Le Big data bouscule le décisionnel. Les cas d’usage Big data sont quasiment exclusivement analytiques. Les technologies dont nous parlions ne sont d’ailleurs pas construites pour supporter des processus transactionnels qui restent en périphérie de la « révolution » à la source des données.

Un Big data à ma sauce

Le Big data est une véritable problématique, soit littéralement un faisceau de questions. Si l’exercice de définition va se poursuivre, il serait salvateur de l’évacuer rapidement. Mieux vaut se concentrer sur les défis techniques et organisationnels du traitement des données et la recherche de nouveaux leviers de performance.

Forrester propose pour ce faire une approche pragmatique « Calculer son « Big Data score », qui vise à s’auto-évaluer sur sa capacité à stocker, traiter, requêter ses données selon chacune des 3 dimensions. Big data ne veut pas dire la même chose pour Google et pour moi. Il faut revenir à des enjeux réalistes : ai-je exploré les opportunités d’utilisation des données « à ma disposition » ? Suis-je capable de « passer à l’échelle » efficacement (délai, coût) si une opportunité se présente ?
Et, à quelle échelle : *10, *100, *1000 ? Que font mes concurrents ?

Alors : in or out ?

*Hadoop comme nombre de bases de données noSQL est distribué en open source. Le déploiement d’Hadoop n’exige pas d’infrastructure réseau et/ou serveurs haut de gamme.

Cet article Big data : tour d’horizon 2013 ! est apparu en premier sur RiskInsight.

La montée en maturité des DSI crée l’opportunité de franchir le pas, comme l’ont déjà fait plusieurs leaders comme Areva, Amazon ou encore Dassault.

Augmenter et diversifier l’activité de la maison-mère et de sa DSI

Areva, leader mondial de l’énergie nucléaire, a fait le choix de capitaliser sur les actifs de sa DSI pour en commercialiser les services sur le marché. Preuve du succès de la transformation, cette DSI, maintenant filialisée sous le nom d’Euriware, a généré près de 294 millions d’euros de chiffre d’affaires en 2011 ! [1]

Ainsi, la commercialisation des offres de services des DSI sur le marché est une occasion pour les entreprises d’accroître leur chiffre d’affaires. Grâce à la pénétration de nouveaux marchés, il est alors possible de diversifier le portefeuille de clients ainsi que les activités : Euriware propose des prestations d’infogérance ou encore d’intégration de systèmes pour des clients de l’énergie, mais aussi de l’industrie et de la défense.

Faire de la DSI une entité génératrice de profit

Cette transformation est l’occasion pour la DSI de se positionner comme réel actif stratégique (en devenant un centre de profit). Pour garantir la rentabilité, il faut commercialiser les services permettant de capitaliser sur les investissements de la DSI, tout en mutualisant les compétences et expériences de la maison mère. Les produits ou services commercialisés peuvent tout autant être des savoir-faire spécifiques qu’une surcapacité de production (sur un datacenter par exemple). Cette commercialisation est une opportunité pour l’entreprise de générer du cash… sans trop avoir à en débourser !

Ainsi, Dassault Systèmes génère du profit en commercialisant le logiciel Catia, qui avait été initialement conçu pour les besoins propres de Dassault.

La formalisation d’un catalogue de services tarifé ainsi que la définition d’une stratégie de pénétration du marché sont des enjeux clés pour assurer le succès de la transformation. Une fois les premiers produits commercialisés, la DSI génère du chiffre d’affaires et doit rentabiliser son activité. Elle le fera en ajustant sa politique commerciale et en optimisant sa présence sur le marché tout en pilotant ses investissements.

Développer et fiabiliser l’expertise de la DSI

Amazon, qui est originellement un site d’achat et de vente en ligne, a pourtant été parmi les premiers à lancer des offres cloud, via leur entité Amazon Web Services. Amazon a profité de son expertise de l’infrastructure SI et de sa maîtrise des besoins des acteurs du web pour commercialiser son Infrastructure as a Service (IaaS) sur le marché.

L’augmentation de l’activité SI permet d’investir et de fiabiliser les services utilisés par la maison-mère. Confrontée à de nouvelles demandes et de nouvelles exigences, la DSI est incitée à monter en compétence et à développer son expertise. L’industrialisation de l’activité et la croissance du portefeuille de clients permettent aussi d’asseoir la crédibilité et la légitimité de la DSI en interne.

La commercialisation des services d’une DSI sur le marché représente une transformation de grande ampleur, se déroulant sur plusieurs années. Du positionnement prix à la structure de coût en passant par l’infrastructure SI ; les enjeux stratégiques, financiers ainsi que ceux liés au système d’information doivent être maîtrisés ! Il faut également se poser la question de l’évolution de l’organisation avec, bien souvent, celle de la filialisation de la DSI. Des problématiques clés doivent alors être pilotées, comme l’évolution culturelle ou la mutation des activités. En résumé, la commercialisation des services IT est une opportunité aux enjeux forts. Mais comment s’assurer que le profil de votre entreprise présente les caractéristiques nécessaires ? Réponse dans un prochain article !

Cet article Et pourquoi ne pas commercialiser les services de ma DSI ? est apparu en premier sur RiskInsight.

Oscillant entre 1 à plus de 10% du CA en fonction du secteur d’activité, la dépense IT des grandes entreprises connait depuis plusieurs années  une croissance quasi-continue. Pourtant, en dépit d’une  augmentation continue des besoins, 80%^([1]) de nos clients ont lancé ou prévoient de lancer un plan de réduction des coûts dans l’année. La maîtrise des dépenses IT devient alors la priorité numéro 1 des DSI amenées à démontrer la valeur apportée par cette dépense aux métiers. Face à leurs nouveaux défis, quels sont les leviers de maîtrise des coûts que les DSI peuvent activer et quelle démarche peuvent-ils adopter afin de réaliser des gains pérennes ?

Maîtriser l’assiette des dépenses, un premier pas vers la maturité économique

La réduction des coûts IT commence par la maîtrise de l’assiette et de la répartition des dépenses. Il s’agit de mettre la répartition du budget IT en regard de points de repères permettant de s’assurer de sa bonne distribution. La comparaison aux ratios du marché permet de détecter les postes de dépenses à optimiser. Exemple : la composante matériels et licences représente, généralement, entre 30% et 40% des coûts DSI contre 60% à 70% pour les composantes « prestations intellectuelles ».

Identifier les leviers d’économie à court terme, générateurs de gains stables

Les leviers d’économie couvrent les quatre grands domaines d’activités d’une DSI : gestion de la demande, Sourcing / RH, gestion du patrimoine applicatif (AMS) et gestion des infrastructures (IMS). Chaque levier doit être analysé au regard de son assiette (montant des dépenses considérées) et du potentiel de gain. L’objectif étant de sélectionner en priorité des domaines à fort enjeu et à fort volume. L’optimisation du processus de gestion de la demande métier peut générer 4 à 8% d’économie sur l’ensemble des dépenses IT là où l’optimisation des contrats voix (fixe et mobile) et data peut générer 5 à 25% d’économies mais sur un périmètre restreint aux dépenses « télécom et réseau ».

Par ailleurs, la priorité doit être donnée aux leviers dont les fondamentaux sont déjà posés. Ce niveau de maturité permettra de maximiser les gains dans un temps réduit. La généralisation de la virtualisation de serveurs permettra par exemple de dégager plus rapidement des gains que l’introduction d’une nouvelle technologie de rationalisation d’infrastructure non maîtrisée par la DSI.

Enfin, ce plan doit inscrire dans la durée et les leviers sélectionnés doivent permettre de dégager des gains année après année. Il faut donc veiller à éviter l’activation de levier court-terme du type « tour de vis budgétaire » offrant des gains rapides mais non pérennes.

Mettre sous contrôle les gains réalisés

Afin d’assurer les gains escomptés et d’éviter les écueils des gains virtuels, la réduction des coûts IT doit être menée dans le cadre d’un programme avec une gouvernance dédiée. Ce programme se doit d’être sponsorisé à haut niveau par le Directeur financier, piloté stratégiquement par le DSI et mené opérationnellement par une équipe dédiée ayant des interlocuteurs disposant de moyens et de légitimité d’action. Un reporting doit permettre de tracer les gains, les actions et les acteurs associés.

Afin d’être en mesure d’intégrer des évolutions de périmètre, des règles claires de comptabilisation des économies doivent être définies et partagées. Les engagements de gains de chaque périmètre sont à traduire dans la notification budgétaire. Le non-respect des engagements de gains, souvent compensé par des arbitrages d’activité pour rester dans le budget, constitue un risque majeur à tracer.

Aujourd’hui, le plan de réduction des coûts est la première étape qui permet de maîtriser le pilotage économique de la DSI. Les DSI s’engagent en effet massivement dans des initiatives de réduction / maîtrise des couts IT. Ces initiatives constituent une vraie opportunité pour démontrer les vertus du pilotage économique de la DSI. Une  bonne pratique à ancrer dans les processus et la culture de la DSI !

Cet article Le secret pour réussir son plan d’économie IT est apparu en premier sur RiskInsight.

Un enjeu qui touche tous les acteurs du transport

Cette actualité STIF vient éclairer une tendance de fond. L’information voyageur se détache comme  l’un des enjeux clés pour l’écosystème du transport de demain. Le voyage longue distance rail et aérien tout comme le transport de proximité urbain et interurbain sont d’ailleurs concernés. Renforcer la qualité de l’information voyageur, c’est mener à bien un réel projet de  transformation car cela touche  en profondeur à la culture et à l’organisation du travail, au système d’information et aux moyens de communication vers les clients. Une tâche non négligeable et à forte répercussion.

Des clients voyageurs qui demandent à être convaincus

En vue de respecter les objectifs de développement durable du Grenelle II, le transport collectif doit doubler sa fréquentation d’ici à 2020. Cela implique un report modal* de la voiture vers le transport en commun et le mode doux*, une baisse de la note énergétique globale et la réduction de l’émission de gaz à effet de serre. Mais les transporteurs ne sauront y parvenir sans convaincre les clients voyageurs !

Ces derniers ont, reconnaissons-le, des exigences légitimes : leur quotidien est fortement impacté. Selon l’étude réalisée par la FNAUT  en juillet 2011, ces exigences concernent principalement la couverture de l’offre de transport (qui passe notamment par la multimodalité), mais aussi la facilité, la ponctualité et, point clé, l’information délivrée.

Le voyageur attend  une information multimodale « sans couture » contextualisée à son trajet, une information temps réel  lui permettant d’être aidé « avant » et « pendant » son trajet dans les changements de transport, lors de correspondances et dans la réorganisation de son voyage en cas de perturbation.

Les technologies au service de l’information voyageurs

Les exploitants de réseau de transport, les autorités organisatrices et les syndicats mixtes de transport l’ont bien compris : ils déploient de plus en plus des systèmes d’aide à l’exploitation et d’information voyageur (SAEIV) qui permettent de diffuser les horaires en temps réel et les messages de perturbation, dans les véhicules, aux arrêts ou en station.

Les sites internet et les applications mobiles se multiplient en parallèle pour toucher les clients chez eux, au bureau ou en déplacement.  Les calculs d’itinéraires se font eux aussi de plus en plus présents, ainsi que l’information voyageur en temps réel. Les fonctions innovantes se développent : mobiles NFC, mise en réseau et gaming, etc. De nombreux systèmes d’information voyageur multimodale (SIM), délivrant une information voyageurs tout transport confondu sur un même territoire, voient le jour très régulièrement, en région, dans les départements ou les communautés de communes (www.destineo.fr,  http://www.lepilote.org/, www.vianavigo.com ).

Deux projets de transformation particulièrement innovants

Le projet de recherche et innovation européen Wisetrip vise à interconnecter les calculateurs d’itinéraires afin de produire une information « porte à porte » au voyageur sur le territoire européen. En France, l’AFIMB a cette même ambition pour le territoire français. Sur un autre plan, la toute nouvelle Autorité de la qualité de service dans les transports est innovante : elle a pour objectif d’évaluer la qualité de l’information voyageur des transporteurs et de la rendre publique.

Mais si l’on revient au niveau d’un territoire bassin de population (telle qu’une grande agglomération), pour satisfaire aux exigences des clients voyageurs sur leurs trajets urbains et interurbains, plusieurs acteurs ont la main : l’exploitation d’un réseau de transport, son autorité organisatrice et l’éventuel syndicat mixte de transport.

Ces acteurs doivent partager une logique d’ensemble : chaque acteur ayant son rôle dans la chaîne d’information, tous doivent être attentifs aux transformations sous-jacentes à cette exigence de qualité de l’information voyageur.

Deux projets structurants découlent de cette logique d’ensemble :

• le projet de production et de diffusion in situ de l’information voyageur par l’exploitant d’un réseau de transport. Ce dernier a déjà un SI qui lui permet de gérer son exploitation et l’information voyageur de façon plus ou moins complète. L’enjeu pour lui est ici de mettre en exergue l’information voyageur dans sa culture d’entreprise, son organisation. En conséquence, il est amené à faire évoluer son SI ainsi qu’à ouvrir son SI à des partenaires.
• le projet de diffusion de l’information voyageur multimodale au niveau d’un territoire, porté par le syndicat mixte de transport. Il s’agit d’abord de conclure un ensemble de partenariats multiples entres les différentes collectivités territoriales représentées dans le syndicat mixte et les exploitants de transports. Le projet consiste aussi à construire un « SI transport » sur le territoire.

Dans ce contexte multi-partenarial un peu complexe, soyons pragmatiques : n’attendons pas que tous les partenaires soient d’accord pour lancer les projets, au risque de ne pas voir sortir de solutions. Le point clé de la démarche, c’est l’établissement d’une cible initiale avec de bonnes options en termes de responsabilité des différents acteurs, de standards d’échanges d’information, d’ouverture open data vers des partenaires privés. Cette cible initiale permet d’impulser les premiers projets et les premières réalisations. Les autres projets suivront  avec le temps et la réussite des premiers.

STIF : autorité organisatrice qui fixe les tarifs, finance les transports, définit la qualité du service des transporteurs d’Ile-de-France.

Transfert modal ou report modal : selon l’ADEME, résultat du changement d’un mode de déplacement vers un autre. Par exemple, quand des individus passent du véhicule individuel au transport public.

Mode doux : déplacement dans la rue ou sur route sans apport d’énergie autre qu’humaine et non polluant comme la marche, le vélo, la trottinette, les rollers…

Pour lire plus d’articles sur le secteur de l’énergie, cliquez ici.

Cet article L’information voyageur : tremplin dans la transformation du secteur du transport est apparu en premier sur RiskInsight.

Après l’énorme campagne de communication déployée par Microsoft depuis quelques mois sur la nouvelle version de l’OS (Operating System) le plus répandu au monde, la sortie de la Consumer Preview de Windows 8 (le 19 février dernier) permet d’en apprécier les nouveautés et d’alimenter le débat sur toutes les problématiques posées par cette nouvelle mouture. Un changement stratégique et ergonomique, annoncé comme le plus important depuis l’avènement de Windows 95.

Pour l’utilisateur, les nouveautés sont de taille, et la plus marquante est certainement la coexistence de deux interfaces : le “Bureau”, similaire à Windows 7, et “Metro”, orientée vers un usage tactile, pour le web et les applications. Et c’est l’arrivée de Metro qui aujourd’hui fait débat, par le changement qu’il implique dans la manière d’utiliser son poste.

En effet, la suppression du bouton Windows et la philosophie d’utilisation « tablette » vont certainement surprendre la majorité des utilisateurs et la prise en main risque de prendre un certain temps. Et si cette interface a été pensée pour faciliter la consommation d’informations, usage majeur dans la sphère privée, sera-t-elle pour autant adaptée à la production de contenus en entreprise ? Toujours est-il que, malgré l’aide que pourra apporter la généralisation de l’OS dans le monde grand public, toute apparition de Metro en entreprise nécessitera une importante conduite du changement, dont l’ampleur sera fonction de la politique adoptée par l’entreprise (promotion, autorisation ou blocage de l’interface).

Quels changements pour l’entreprise ?

Outre une nouvelle interface, avec Metro arrive aussi une nouvelle génération d’applications, basées sur un nouveau framework (WinRT) et destinées au monde tactile.

En effet, si les applications compatibles Windows 7 devraient également l’être pour le “Bureau” de Windows 8, il sera nécessaire de les repenser entièrement pour les adapter à l’interface Metro. Et si Microsoft a voulu proposer un OS véloce, c’est au détriment de certaines fonctionnalités, comme le non support d’add-ons sur la version Metro d’internet explorer. Cette adaptation, dans laquelle l’entreprise se trouvera confrontée à l’introduction du HTML 5, pourrait constituer un chantier supplémentaire après la difficile migration des applications de XP vers Windows 7. Concernant les éditeurs, très peu d’éléments ont été rendus publics sur leur stratégie, mais ils vont vraisemblablement devoir s’adapter et proposer une version pour chaque “monde”. Parallèlement, le développement vers Metro est aujourd’hui encore très peu documenté.

Mais au-delà de Metro, on retrouve également une meilleure intégration des solutions de connectivité (Wi-Fi Direct, NFC, USB 3.0…), une gestion native du cloud (Microsoft) et de la virtualisation, ainsi qu’une optimisation des performances permettant notamment un démarrage en 8 secondes. On peut noter quelques innovations comme “Windows To Go”, permettant d’avoir une version personnalisée et exécutable de l’OS sur une clé USB, et une migration annoncée “transparente pour l’utilisateur” depuis Windows 7. Mais la force majeure de Windows 8 est de proposer un OS unique pour PC et tablettes (et très similaire pour smartphones), à l’heure où l’augmentation des tablettes est inéluctable dans le SI des entreprises (forces de vente, commerciaux, relation client…).

De par son approche moderniste et sa présence en standard sur de nombreux matériels neufs, Windows 8 devrait progresser rapidement sur le marché grand public. Le tout est maintenant de savoir ce qu’il va en être de son adoption par les entreprises. Après l’échec de Vista et le succès toujours grandissant de Windows 7, la version 8 va-t-elle respecter la règle de “une version performante sur deux” généralement constatée au sein des grandes entreprises ?

L’approche « user-centric », une grande nouveauté Microsoft

L’objectif de Windows 8 est également de replacer l’utilisateur au centre de l’environnement de travail. Il lui permettra de retrouver son environnement personnalisé et ses données sur n’importe quel poste grâce à SkyDrive[1], et de télécharger ses applications favorites via la boutique en ligne Windows Store. Tout ceci à travers l’utilisation de son compte personnel Windows Live. Une façon de rassembler les services en ligne Microsoft autour de l’utilisateur, et de normaliser leur usage. En d’autres termes, Microsoft réinvente l’Apple world.

Cette approche « user-centric » pourra nécessiter la revue des modalités d’intégration des machines au sein d’un SI d’entreprise, de par la nécessité de s’authentifier avec un compte personnel. Faudrait-il alors considérer les terminaux Windows 8 comme forme de BYOD[2] ?

Une actualité à suivre de près

De nombreuses questions restent donc ouvertes, et vont encore faire débat dans les mois qui viennent au fil des annonces de Microsoft et des autres grands acteurs. Faut-il migrer vers Windows 8 ? Est-il préférable de migrer au fil de l’eau ou de mettre toutes les applis en conformité Metro avant de migrer ?

À l’heure où les annonces et les spéculations vont bon train, il faudra suivre de près les débats publics d’un côté et les réflexions stratégiques des entreprises de l’autre, afin de savoir qui sera dans le wagon de tête pour migrer vers Metro.

Cet article Windows 8 – Metro, boulot, perso ? est apparu en premier sur RiskInsight.

Lire la tribune.

Cet article Comment se préparer à une crue exceptionnelle ? est apparu en premier sur RiskInsight.

Quelques incidents majeurs d’indisponibilité survenus en 2011

Dans le domaine des technologies de l’information, l’année passée a connu une médiatisation forte du cloud, notamment vis-à-vis du grand public. Mais elle a également montré quelques limites du « nuage » en termes de disponibilité avec des incidents touchant les acteurs majeurs du secteur tels qu’Amazon, Microsoft ou Google.

2011 a également connu les désormais habituelles, mais ô combien impactantes ruptures de câbles. Notamment celle de Vélizy, en mai dernier, où des fibres ont été coupées lors de travaux du tramway. Un site d’hébergement informatique a été isolé près d’une journée, perturbant ainsi l’activité de grands comptes de la distribution et celle d’un ministère. Non moins insolite, une Géorgienne de 75 ans a coupé la connexion de 3,2 millions d’Arméniens en cherchant du cuivre près de Tbilissi !

Mais de tous les incidents, les catastrophes naturelles sont indéniablement les plus marquantes, par leur gravité et leur dimension parfois inhabituelle : les inondations en Thaïlande et surtout le désastre de Fukushima. Ces catastrophes ont montré les limites des dispositifs de maîtrise des risques, et poussé ces pays à améliorer leur capacité à gérer des crises exceptionnelles.

Un renforcement de la sensibilité des états et des organisations sur le sujet

Le Japon et la Thaïlande ne sont pas les seuls pays qui se sont intéressés à la question. Le sinistre de Fukushima a réveillé l’opinion publique sur le risque nucléaire et incité la très grande majorité des pays exploitant cette énergie à examiner la sécurité de leurs installations. Dans le même courant, l’augmentation des événements naturels pousse de nombreux gouvernements de par le monde à repenser leur gestion des risques majeurs.

Le 3 janvier, l’Autorité de Sûreté Nucléaire française (ASN) a remis au Premier Ministre son rapport sur les évaluations complémentaires de sûreté (ECS) et révisé ses exigences de sûreté relatives à la prévention des risques naturels (séisme et inondation), à la prévention des risques liés aux autres activités industrielles, à la surveillance des sous-traitants et au traitement des non-conformités.

Plus globalement, l’Union Européenne a, ces dernières décennies, défini des réglementations sur des sujets divers allant de la réglementation sur les substances chimiques (REACH), celle sur l’évaluation des risques d’inondation (2007/60/CE), à celle relative au domaine banque/assurance (Bâle III, Solvency II), etc. Et ces directives sont déclinées en France.

Sur un autre continent, le Maroc conduit un projet de définition d’une stratégie nationale de prévention et de gestion des risques, notamment ceux liés aux catastrophes naturelles. Cette volonté a été confortée par les inondations de mars 2011.

Mais outre ces réglementations, les catastrophes de 2011 poussent à inscrire la gestion des risques dans de nouvelles dimensions.

Des risques à traiter au-delà des frontières habituelles…

Au-delà des frontières géographiques…  Les inondations en Thaïlande en témoignent. Si la ville de Bangkok a été globalement préservée (au travers des actions volontaristes menées par le gouvernement), il n’en reste pas moins que des zones industrielles, dans sa périphérie ou dans le pays, ont été sévèrement touchées.  Les impacts en termes de production se sont répercutés partout dans le monde, en particulier sur le marché de l’électronique, et notamment sur la production des disques durs professionnels comme grand public (augmentation des prix de 30% à 150% selon les distributeurs).

Au-delà des frontières internes des entreprises… La gestion des risques doit bien intégrer la réflexion sur la continuité des processus avec l’ensemble des acteurs, sans omettre les prestataires et fournisseurs essentiels. C’est ainsi que la pénurie de pièces produites en Thaïlande a poussé un constructeur automobile à revoir sa production à la baisse.

Au-delà des frontières des typologies de risques… La cyberattaque en est une illustration. Il ne s’agit pas de traiter la confidentialité des données qui peuvent être accédées uniquement, en oubliant la disponibilité des services offerts par une DSI, ni l’inverse. Les objectifs de ces attaques étant variés, tous les risques doivent être considérés, de la fuite d’informations et à l’interruption d’activité.

L’approche traditionnelle consistant à traiter les risques de façon indépendante, ce qui pousse bien souvent à les penser dans un cadre restreint, a donc vécu : il convient désormais de bâtir un dispositif global de gestion des risques, sur les processus métiers critiques avec tous leurs enjeux, leurs acteurs et leurs moyens, qu’ils soient en France ou non, basés sur les nouvelles technologies ou non, etc.

Cet article 2011 : rétrospective des incidents majeurs et impacts sur la gestion de risques est apparu en premier sur RiskInsight.

L’automobile est un secteur à la fois très conservateur et nécessairement innovant. Le renouveau du secteur en cette période de crise est palpable : tous les constructeurs réinvestissent massivement dans l’innovation et la créativité tout en mettant le client au centre de la réflexion. Parmi tous les chantiers, la connectivité des véhicules est l’un des plus importants et prometteurs, au point que tous les acteurs du marché (constructeurs, équipementiers, opérateurs…) se sont positionnés. Par connectivité, nous entendons un véhicule qui est capable d’interagir de manière unilatérale ou bilatérale avec toutes les personnes ou machines imaginables.

Les voitures actuelles : des véhicules truffés de capteurs mais isolés

Alors que de nombreux autres secteurs ont été bouleversés par l’avènement de l’ultra connectivité, le monde automobile est pour l’instant relativement épargné. Le marché B2B a profité petit à petit de certaines évolutions (compagnies de taxis ou flottes de transport de marchandises par exemple) mais le marché B2C demeure presque vierge (à l’exception du GPS lors des 5 dernières années). Dans ce contexte, les usagers ont été des éléments moteurs de cette évolution. En embarquant eux-mêmes des appareils communicants comme un avertisseur de radars ou un smartphone, ils permettent à ces nouvelles technologies de s’intégrer dans le véhicule.

L’étape suivante sera celle de la démocratisation de la connectivité. Ou comment les données collectées au niveau du véhicule et celles accessibles via le réseau vont pouvoir être exploitées et mises à la disposition du conducteur et des passagers ?

Et les voitures du futur : des véhicules intelligents et connectés

Actuellement il y a un nombre considérable de projets plus ou moins avancés ayant trait au véhicule connecté. On sait que la voiture évolue selon 3 axes :

• Connexion internet : Grâce au développement du Wifi et de la 4G, de nombreux nouveaux services seront disponibles pour le conducteur et les passagers. LTE Connected, un projet mené par plusieurs équipementiers (Toyota, Alcatel-Lucent, Atlantic Records, …), cherche à développer des solutions et des business models en lien avec la nouvelle norme mobile LTE (ou 4G)
• Transmission d’informations entre véhicules : Ce partage de l’information pourra permettre de diminuer le nombre et la gravité des accidents (par exemple, un automobiliste doublant un camion pourra signaler au suivant que la manœuvre devient impossible à cause d’un véhicule arrivant en face)
• Interaction entre les véhicules et les infrastructures routières : Volvo travaille par exemple en ce moment sur une connectivité qui transforme les véhicules en paramètres mobiles au sein d’un système d’information

Où se placent les télécoms dans ce marché potentiel ?

Pour les opérateurs téléphoniques, la voiture connectée est un énorme marché. 30 millions de voitures sont en circulation et 2 millions de véhicules neufs sont vendus chaque année. On voit déjà apparaitre des projets mettant les opérateurs comme éléments centraux du futur de l’automobile :

• L’initiative “eCall” de la Commission Européenne va rendre prochainement obligatoire, dans chaque nouvelle voiture vendue dans l’Union Européenne, un service d’appel et de localisation automatique du véhicule en cas d’accident.
• Les entreprises ayant participé au boom technologique des smartphones accompagnent aussi les marques automobiles dans leurs développements. Par exemple, les actuels acteurs des systèmes d’exploitation de smartphones et de tablettes signent des partenariats de développement avec des constructeurs automobiles (Saab travaille conjointement avec Androïd sur un futur tableau de bord se rapprochant d’une tablette par exemple).
• L’utilisation de ces nouveaux canaux de communications va également permettre un lien direct entre les conducteurs et les marques automobiles. Toute une série de services autour de la relation client et l’entretien du véhicule pourra être imaginé. Le concessionnaire, le garagiste ou l’assureur font partie d’une chaine à forte valeur ajoutée qui peut être mieux maitrisée (une assurance qui s’adapte en temps réel à votre conduite, à votre localisation ou à votre zone de stationnement par exemple, comme un “pay as you drive” amélioré).

Un marché plein de promesses mais avec ses limites

À l’image des changements d’énergie et de motorisation dans l’automobile actuellement, l’informatique embarquée est un autre levier de la mutation profonde que subit le secteur automobile. Mais toutes ces évolutions doivent être poussées malgré des contraintes fortes liées à l’automobile (le risque de dispersion et d’accidents potentiels liés à ces nouveautés notamment). La question de la sécurité de ces nouveaux systèmes d’informations est aussi cruciale, des voitures connectées à internet font face à des risques de piratage.

Au final l’automobile suit cette logique actuelle du “tout connecté” à tout instant. Il y a un lien évident entre l’évolution actuelle du marché de l’automobile et celui récent du marché du mobile avec l’avènement des smartphones. En attendant le débarquement réel de ces voitures du futur, on ne peut qu’être attentif aux évolutions concrètes à venir.

Cet article La renaissance de l’automobile passera-t-elle par sa connectivité ? est apparu en premier sur RiskInsight.

Parmi ces services, nous retrouvons notamment le Mpaiement. Faire ses achats sur internet à n’importe quel moment et de n’importe où (transport, salle d’attente…) a enthousiasmé les utilisateurs. Cependant, les débuts ont été laborieux : saisir les 16 caractères de sa carte bancaire sur un clavier tactile de taille réduite génère forcément des erreurs et peut décourager plus d’un client. L’achat sur smartphone ne peut être qu’efficace que s’il est simple et rapide !

Protéger sa carte bancaire à travers les portefeuilles virtuels

Les portefeuilles virtuels proposés par les commerçants ont apporté une solution : les données de carte bancaire sont enregistrées chez le commerçant et par le biais d’un login et d’un mot de passe, l’utilisateur s’identifie pour réaliser son paiement en « un clic », tout simplement. La sécurité des données est assurée par les mesures mises en œuvre dans le cas d’une certification PCI DSS du commerçant ou d’une externalisation du service auprès d’un fournisseur de service de paiement (Payment Service Provider), lui-même certifié PCI DSS. (cf. un article précédent).

S’identifier pour réaliser un paiement n’est cependant pas une solution totalement innovante. Paypal, le leader mondial du portefeuille virtuel pour les sites web a naturellement décliné son offre pour les smartphones.  Ce service remporte un net succès et attise les convoitises, comme l’on peut le voir en ce moment avec  l’arrivée de nouvelles solutions sur le marché français telles que Kwixo, Buyster ou Lemonway qui utilisent notamment le numéro de téléphone du client comme identifiant.

Au-delà des mesures techniques de sécurité pour l’hébergement des données, ces solutions proposent, pour certaines d’entre elles, une sécurisation intéressante des mots de passe du client (longueur minimale, caractères spéciaux, questions secrètes pour le renouvellement) mais malheureusement elles font également le sujet d’attaque par Phishing et l’utilisateur non averti peut alors se retrouver malgré lui piégé en livrant lui-même ses identifiants au fraudeur….

La course aux moyens de paiement de demain est lancée !

De nouveaux moyens de paiement vont changer nos habitudes de demain comme les smartphones ont pu le faire ces dernières années.

Solution déjà lancée outre-atlantique dans les Starbucks New-Yorkais, le code barre 2D (ou QR code) est une nouveauté pour le paiement mobile. Initialement envisagé pour obtenir de l’information en le flashant, le QR code, a été détourné aujourd’hui pour proposer une « facture électronique » que le client va flasher avec son smartphone, et régler via une application de portefeuille virtuel, protégé par un code PIN.

Autre challenger qui se fait dorénavant attendre… le NFC. Le Near Field Communication est un protocole sécurisé d’échange de données entre une borne et une puce, intégré par exemple dans un smartphone ou une carte bancaire. Le NFC permet de centraliser divers services en un seul support, tels que le titre de transport ou la carte fidélité. Il peut également offrir la possibilité de payer « sans contact », une solution simple et transparente pour les utilisateurs. En expérimentation depuis 2010 dans la ville de Nice, ce test grandeur nature n’a pas rencontré le succès escompté. Pour 200 000 cartes avec module NFC livrées, seules 2 800 transactions sans contact ont été effectuées la première année au sein des 1 500 commerces de proximité de la ville (source ZDNet.fr).

Cependant, Google est l’un des acteurs qui y croit fort, notamment avec sa solution Wallet, basée sur la technologie NCF. Uniquement disponible aujourd’hui aux États-Unis, Google compte bien utiliser sa force pour prendre une place importante sur ce marché avant que son concurrent Apple ne propose également sa solution.

L’un des principaux freins au développement de ce nouveau moyen de paiement reste, notamment, le nombre très limité de terminaux mobiles intégrant directement une puce NFC. Mais avec le récent dépôt de brevet d’Apple sur le NFC, on peut s’imaginer que le message a été compris par les grands fabricants de smartphones…

Cet article Un téléphone ça sert à payer ! est apparu en premier sur RiskInsight.

Pourquoi parle-t-on d’unification des communications ?

De l’e-mail à la visio-conférence, en passant par la téléphonie sur IP, les moyens de communication se sont multipliés ces 30 dernières années. Pour les utilisateurs, les usages sont complexes, entre les solutions historiques et les nouveaux systèmes.

Côté DSI, les  équipes en silos ont des difficultés à gérer des infrastructures convergentes. Poussés par le marché grand public et les fournisseurs de solutions historiques, de nouvelles solutions apparaissent spontanément au sein des entreprises, sans contrôle par la DSI.

Pour pallier cela, les outils de communication classiques évoluent : les terminaux deviennent plus riches et les services s’intègrent mieux. Cela permet de créer de nouveaux services de communications dits unifiés. En faisant converger tous les canaux, ils  permettent d’échanger plus simplement : n’importe quel contenu, avec n’importe qui, avec n’importe quel outil, n’importe où et à tout moment.

Comment choisit-on sa solution de communications unifiées ?

Le marché des communications unifiées est dominé par deux types d’acteurs majeurs.

D’une part, les acteurs historiques de la téléphonie et autres services de communication comme  Cisco, Siemens, Avaya ou Alcatel, qui cherchent à enrichir leur offre historique.

D’autre part les acteurs des services liés au poste de travail comme Microsoft ou IBM, qui entendent profiter de cette opportunité pour pénétrer sur le marché des services de communication, en mettant en place des solutions complètement intégrées au poste de travail.

Le choix d’une première solution de communication unifiée se fait en fonction de l’existant, par adjonction d’une brique « unifiée »  à une solution existante. Le plus souvent, cela commencera par une expérimentation sur un périmètre réduit pour faire émerger les premiers besoins.

Une fois ces premiers besoins identifiés, le choix peut ensuite se faire à l’occasion d’un appel d’offre commun pour la brique historique étendu aux fonctionnalités de communications unifiées.

Pour une solution déjà largement utilisée, un appel d’offre dédié, focalisé sur les besoins attendus (la mobilité par exemple) permet de sélectionner une solution adaptée aux usages.

Une fois la solution choisie, comment assurer un déploiement efficace ?

Le succès du déploiement d’une solution de communications unifiées se mesure à l’adoption par l’utilisateur. Cette adoption sera encouragée par un  plan de communication structuré autour de 3 axes.

Dans un premier temps, il faut faire connaitre la solution en informant les utilisateurs par une communication vivante, coordonnée avec les RH, les équipes communications et les différentes équipes du support.

Il faut également identifier les potentiels freins liés à l’introduction de nouvelles fonctionnalités comme l’indicateur de présence, en impliquant au maximum les différentes équipes de l’entreprise dont les représentants du personnel.

Enfin des ambassadeurs choisis spécifiquement pourront promouvoir ces usages et diffuser les outils dans le reste de l’entreprise. Formés spécifiquement, ces ambassadeurs animeront les communautés d’utilisateurs. À cet effet, ils doivent être choisis au sein de population qui interagit intensivement avec le reste de l’entreprise : managers, assistantes, chefs de projets transverse, …

Ainsi, le déploiement se fera de manière virale. Les outils ne doivent pas être imposés, mais se répandre au fur et à mesure dans les usages quotidiens.

Cette phase de conduite de changement est capitale pour s’assurer de l’utilisation future de ces services et le succès du déploiement.

Cet article 3 questions sur les communications unifiées à Stéphan Mir, consultant senior est apparu en premier sur RiskInsight.

Freiner la machine, mais juste quand il faut

Anticiper c’est d’abord détecter le plus en amont possible les signaux faibles de contraction d’activité : affaires décalées dans le temps, difficultés de concurrents, baisse du taux de réussite commerciale…. L’objectif c’est de freiner la machine juste quand il faut, mais pas trop tôt non plus en se basant sur le seul principe de précaution. C’est donc le moment de renforcer les « capteurs avancés » dont l’entreprise dispose pour se piloter, en mobilisant plus largement les équipes sur la détection de ces signaux faibles, et d’améliorer les modes de reporting et de décision. Les technologies collaboratives peuvent grandement aider à la mise en place de ces moyens.

Ne pas stopper la machine, la laisser tourner, même si c’est au ralenti

Anticiper, c’est aussi ne pas rater le moment de la sortie de crise. Les indicateurs avancés évoqués plus haut sont là aussi pour anticiper les signes de reprise et les opportunités à saisir. Ensuite, il faut faire redémarrer la machine très rapidement pour être les premiers à bénéficier de l’embellie. L’expérience nous montre que freiner une entreprise en marche, c’est complexe et long, même si le levier des budgets permet de « passer le message » assez rapidement. En revanche, remettre tout le monde en mouvement est beaucoup plus lourd et beaucoup plus laborieux. Nous pouvons faire le parallèle avec les usines dans le secteur de la chimie, de la métallurgie ou du raffinage du pétrole : arrêter une usine prend plusieurs jours, voire plusieurs semaines, de même que pour la redémarrer. Il vaut donc souvent mieux la laisser tourner, à régime réduit certes, mais la laisser tourner tout de même pour savoir redémarrer très vite dès que possible.

En profiter pour améliorer les performances de la machine

Enfin, anticiper, c’est aussi profiter des périodes de contraction d’activité pour améliorer les performances de la machine. L’idée, c’est de l’alimenter avec des actions de fond que l’on a tendance à reporter en période faste et qui permettront d’être plus performant demain : supprimer les lourdeurs de fonctionnement, simplifier les processus, supprimer les couches d’organisation inutiles, transformer les modes de managements en renforçant l’autonomie et la proximité avec le management… Autant d’actions pour sortir plus léger et plus agile de la période d’incertitude.

Cet article ANTICIPATION – Anticiper pour réussir la sortie de crise ! est apparu en premier sur RiskInsight.

Les raisons ne manqueront pas pour alimenter un climat général de doute, d’incertitude et d’attentisme économique, le manque de visibilité sur la conjoncture générant une plus grande prudence des entreprises. La pression opérationnelle pousse à gérer les actions en urgence, engendrant des décisions relativement court-termistes. Pour les nouveaux projets, un certain attentisme s’instaure et leur lancement est repoussé à des lendemains plus sûrs. Oui, mais si ces lendemains ne reviennent plus, il va donc nous falloir considérer les choses autrement.

Se résigner ? Non. Innover ? Oui ! L’innovation doit être vue comme un moyen de sortie de crise ou, tout du moins, comme un modérateur de celle-ci.

L’innovation comme outil de différentiation

C’est bien sûr un des buts les plus recherchés des démarches d’innovation. Il est faux de croire qu’en temps de crise, les clients ne sont pas sensibles aux produits et services innovants. Quand l’innovation fait sens, elle trouve son marché. Citons deux exemples. 1993/94, crise du Système Monétaire Européen ; 1995, décollage du GSM en Europe. 2008, crise économique majeure ; 2009, explosion des ventes de l’i-Phone. De plus, l’entreprise innovante, en tant que pionnière, se constitue un avantage concurrentiel fort sur le marché, avec une image de marque très valorisable.

L’innovation au service de la compétitivité de l’entreprise

Mais l’innovation peut aussi être utilisée comme outil de rationalisation et d’optimisation des coûts et processus. De nombreuses entreprises ont lancé des programmes spécifiques pour stimuler les réflexions innovantes autour de la baisse des coûts de production des biens ou des services.
Par exemple, dans l’industrie, les démarches d’analyse de la valeur s’appuient sur des groupes d’innovation pluridisciplinaires qui, lors de séances de créativité, travaillent sur un poste de coût en particulier et imaginent toutes les solutions qui permettraient de le réduire.

L’innovation comme pilier de l’animation des équipes

Last but not least, l’innovation constitue un véritable pilier d’une politique de stimulation du travail entre les équipes. L’animation de l’intelligence collective, tous les process et outils collaboratifs sont autant de formidables catalyseurs d’échanges au sein de l’entreprise. De plus, ils renforcent les liens entre des directions pour lesquelles les tensions peuvent être plus vives en temps de crise (ex : la DSI dont les budgets ont été réduits et les métiers qui cherchent à avoir le plus de réactivité possible pour trouver de nouvelles sources de développement)

Pour conclure, n’oublions pas que l’innovation n’est pas une incantation ; elle est avant tout un état d’esprit. Elle est pragmatique et progressive, n’entraînant pas forcément de gros investissements ou de coûts déraisonnables.

L’innovation n’est pas l’invention, l’innovation est un moyen concret qui peut permettre à l’entreprise de sortir du marasme économique, ou tout du moins, de traverser plus aisément cette passe difficile. Mon cadeau pour 2012 est cette belle maxime de Tite-Live « Il faut oser ou se résigner à tout ». Alors en 2012, OSEZ L’INNOVATION !!

Cet article INNOVATION : Adieu 2011, année de crise. Bonjour 2012… année de crise ! est apparu en premier sur RiskInsight.

Cibler le bon levier de performance

Les leviers de performance existent en nombre : réduction des coûts, cloud, évolution des relations MOA/MAE, développement du savoir-faire économique au sein des DSI, poursuite de l’offshore, évolution des usages, etc. Une des clés de la réussite d’un plan de performance sera le choix des bons leviers. Ces leviers doivent être limités en nombre et doivent concerner des périmètres de maturité moyenne pour la DSI. Les périmètres maintes fois optimisés génèreront des gains faibles en volume et les périmètres peu matures ne permettront pas de gain à court terme, les actions étant plus compliquées à mettre en œuvre que sur un périmètre maîtrisé.

Responsabiliser l’ensemble des acteurs

La responsabilisation des acteurs du plan de performance est un sujet délicat parce qu’à court terme, les actions proposées vont aller à l’encontre des intérêts desdits acteurs : réduction des moyens, changement des modes de fonctionnement, mise en lumière des dysfonctionnements, etc. Il faut donc s’assurer que les acteurs soient responsabilisés sur l’atteinte des objectifs globaux du plan de performance et non sur des sous périmètres pouvant entraîner des actions locales ayant un effet finalement contraire aux objectifs globaux.

Choisir des critères de mesures simples et opposables

Bon nombre de plans de performance sont analysés à l’aulne de critères peu opposables car décorrélés des indicateurs de suivi de l’activité de la DSI. Le biais est évident et tout à fait humain, les acteurs en charge de la mesure passeront plus de temps à chercher comment faire évoluer positivement l’indicateur plutôt qu’à réaliser les actions de performance identifiées. Typiquement, la mesure de gains économiques décorrélés du résultat de la DSI – auditable dans les comptes – est rarement pertinente parce que directement dépendante de la méthodologie de calcul des gains (prise en compte des coûts évités, euros constants versus euros courants, etc.). Ce type d’approche peut par exemple conduire à afficher, en toute bonne foi, des gains théoriques conséquents mais une augmentation de la facture pour le client ! A contrario, un classique objectif de réduction des coûts par rapport à ceux inscrits au budget est un objectif simple, mesurable et opposable.

Le facteur clé de la réussite d’un plan de performance, c’est donc sa simplicité : un périmètre circonscrit et une responsabilisation sur un objectif global, opposable et mesurable. Cette simplicité est la garantie de faire d’un plan de performance un vecteur d’excellence pour les clients et pour l’ensemble des équipes impliquées. Pourquoi ne pas le vérifier dès 2012 ?

Cet article PERFORMANCE – Concept relativiste ou vecteur d’excellence ? est apparu en premier sur RiskInsight.

Des évolutions technologiques

2010 a été marquée par de fortes évolutions technologiques, et en premier lieu par l’innovation apportée par le cloud. Au-delà des apports fonctionnels et des évolutions techniques, l’approche cloud provient surtout de la diffusion d’un nouveau modèle économique construit autour de la notion de service informatique identifiable, qualifiable et dénombrable pour les utilisateurs finaux. L’approche cloud entraîne pour la DSI des questions d’intégration, de sécurisation et de gouvernance. Intégration des différentes briques de services entre elles (y compris les stratégies de sourcing sous-jacentes), maintien d’un niveau de sécurité acceptable pour les clients de la DSI au regard de leur analyse de risque et remises en cause de la gouvernance et des organisations par un renforcement des capacités des DSI à piloter et orchestrer des services externes.

Des évolutions d’usage

La montée en puissance des réseaux sociaux, la multiplication des terminaux mobiles (smartphones, tablettes) et l’arrivée à maturité des magasins d’applications (Appstore, AndroidMarket, etc.) sont en train de faire une entrée significative dans le monde de l’entreprise après avoir révolutionné les usages privés. Ces nouveaux usages brouillent la frontière entre réseau d’entreprise et internet entre usage professionnel et privé. A l’inverse des années 90, les usagers deviennent souvent mieux équipés à titre personnel que professionnel.

Des évolutions d’approche

Tout d’abord, il y a l’arrivée progressive de la génération Y (née entre la fin des 1970’s et le début des 1990’s) à la tête des entreprises. Cela pèsera fortement sur les orientations informatiques. En parallèle, l’informatique verte restera un sujet clé d’autant que la réalisation d’investissements plus éco responsables deviendra un enjeu financier de taille, surtout face à l’inflation du prix de l’énergie.

Quels impacts sur la gouvernance ?

L’impact de toutes ces évolutions sur l’organisation et la gouvernance des DSI est indéniable et se traduit d’ores et déjà chez un certain nombre de nos clients par un renforcement des fonctions transverses de pilotage, missions régaliennes par définition impossibles à externaliser. Quelques exemples. Le pilotage de l’offre de service, très orienté ces dernières années autour des notions de catalogue de service et d’unité d’œuvre avec pour objectif de mieux expliquer les services offerts par la DSI se renforce fortement sur des aspects économiques avec en ligne de mire la mise en place d’une grille de tarifs comparable à des prix de marché. Le pilotage des budgets SI se professionnalise pour mieux maîtriser les dépenses IT et en démontrer la valeur aux métiers. Le pilotage du portefeuille de projets, bien que complexe à mettre en place, devient un incontournable pour assurer un alignement entre la stratégie des métiers et les projets SI. Préparer 2011, c’est pour nos clients savoir anticiper ces évolutions et analyser leurs impacts pour être en mesure d’améliorer leur performance économique et opérationnelle.

Cet article Des évolutions structurantes pour la gouvernance des SI est apparu en premier sur RiskInsight.