• Information Governance

Enterprises are now more than ever, aware of the risks and stakes of having the best management of their information. It is not anymore a security aspect; it is clearly a legal and a knowledge aspect that lets innovation, agility and risk management to fully develop. Record management, E-discovery, traceability, content and data system, …, in fact everything that brings efficiency and effectiveness needs to be based on a global common information fundamental. But it brings a lot of complexity to be addressed because of a richly structured but moving organization. This is why information governance will be more and more up to date. With strong sponsors, it will give the opportunity to answer to so many local but unconsidered needs.

• Information on Business processes

There is no doubt technology became very accurate to answer many powerful needs. Business Processes that are the backbone of the enterprise are starting to be considered from an Information point of view.  It is now possible to optimize processes, especially content processes. In fact the E-Government action plan is to help European member states to realize their commitments by 2010, commitments on helping the government to use tools and systems to provide better public services. Who said governments are not managing information, or more likely content … .

• Tools and applications

Of course collaborative tools will continue to develop and bring new ways to work; enterprises will adopt more and more of those tools with limited but integrated functionality. Those collaborative projects will bring a lot of change in organizations, some directly anticipated; other will be building from a bottom-up approach.  Traditional ECM platforms will concentrate on developing Content Vertical applications because: even more enterprises are aware of valuable potential to optimize content processes with good ROI, and because Microsoft Sharepoint is now able to cover global horizontal content needs, for collaborative purpose.

• IT Department:

IT Departments will accelerate transformation to a new business model based on services. Cloud aspects and Saas solutions will develop offers and give real opportunities for some IT departments to cover even more than just infrastructure but to transform into some kind of Enterprise Information and Organization department. In any case, ITSM will transform into an ITOM as Offer management, this will extend already methods and catalogs into a more end user valuable package of services. IT departments will start to include some marketing function to develop those offers.

• Access to information:

Enterprise search will continue its transformation into a major part of Information System (other are Content and Data platform), bringing new opportunities and value to businesses and surely a strong link with Business Intelligence.

Portals will transform to become one real full single point of use and functional integration for both data and content using gadgets, widgets, and all user centric functionalities. Portals will be even more one of the most tactical parts of any transformation based on Information Management. Because they are one of the major components of change.

Convergence in Mobile world is still very up to date; today mobile helps end users to access many different kinds of information, integration with organization will be developing, bringing search capability, social networking, and access to part of core applications.

Content infrastructure will transform to have a centralized management and virtual central repository, but the “one will do all” will only be possible if “all” is on a very limited scope. It means, ECM platform could be composed by many different applications in many different places, offline functionality. This will bring major change in vendors specialization (Cf vertical and Horizontal).

“Government 2.0: Rethinking government and

democracy for the digital age

This is a time of great peril and great promise for government. Around the world, governments are reeling under the strains of the financial meltdown and global economic crisis. Plummeting tax revenues, bank bailouts and infrastructure investments made to keep national economies from the brink of collapse have drained government coffers, causing in turn a crisis in the funding of basic operations. And in many parts of the world democracy itself isstalled, with low voter turnouts and cynical public attitudes towards government.

The irresistible force for cutbacks is meeting the immovable object of public expectations about what government should be and do: they should be better, providing better services, healthcare, safety and stability for our troubled economies. So while cost control measures may be necessary, they are clearly insufficient. We can no longer tinker with government – we need to reinvent it…”

The book, edited by John Gøtze & Christian Bering Pedersen, is available for free download here: http://21gov.net/book/

To learn more about the project: http://21gov.net/

1. Préparer un test ou bien un exercice ?
La validation d’un PRA doit s’effectuer à travers des tests techniques et des exercices.
• Les tests techniques valident un point particulier du PRA, comme l’accès au réseau sur le site de reprise de l’activité. Toujours planifiés et préparés en amont, ils visent à vérifier ou à développer le projet mis en place.
• Les exercices simulent quant à eux un scénario de sinistre et valident une partie significative du PRA (les cellules de crise, les services logistiques…). Un exercice implique la participation de plusieurs métiers et peut revêtir différentes formes : simulé ou réel, préparé ou impromptu. C’est à l’issue du premier déploiement d’un PRA et des nombreux tests techniques qui l’accompagnent que le RPRA peut alors procéder à son premier exercice.

2. Se concentrer sur l’essentiel
Pour le premier exercice, il convient de définir un périmètre d’action raisonnable.

Il s’agit de démontrer sa capacité à :
o appliquer une stratégie de redémarrage des applications, afin de pouvoir anticiper un éventuel scenario de sinistre,
o conduire les arbitrages techniques et organisationnels adaptés au contexte de l’exercice. On cherchera donc principalement à s’assurer que :
o la reprise technique est opérationnelle,
o les procédures PRA sont efficaces et bien adaptées,
o les ressources humaines sont aptes à réagir en situation de PRA,
o la reprise des activités vers une situation normale se déroule correctement.

Et ce, dans les délais impartis. Pour la première expérience, un galop d’essai « à blanc », c’est-à-dire sans conséquence sur les données en production, est fortement recommandé.

3. Se donner du temps pour mieux déterminer ses objectifs
Le premier exercice nécessite en moyenne une semaine d’exécution. Il est cependant, nécessaire de prévoir un timing plus large pour parer aux impondérables et prendre en compte les nouvelles informations et tâches inhabituelles qui seront à vérifier dans le détail.
Pour cette raison le temps passé ne sera pas calculé « au réel » : les heures d’interruption de nuit ne seront pas prises en considération dans le décompte temps. Des process de traitement pourront en effet s’activer la nuit, mais le personnel n’interviendra pas. Cela présente l’avantage d’impliquer des équipes vigilantes et dédiées à l’exercice. N’oublions pas que la production se déroule en parallèle et nécessite du personnel.
Les cellules de crise correspondant aux scenarii d’exercice pourront être activées. Mais elles ne devront pas découvrir le PRA à cette occasion ! Des formations et des entrainements auront été prodigués précédemment aux cellules afin qu’elles n’entravent pas le bon déroulement du scénario par des réactions trop lentes ou inadaptées.
Le scénario d’exercice sera défini avec une grande précision technique et organisationnelle, ceci afin de pouvoir s’adapter au mieux à toute situation de crise à laquelle l’entreprise pourrait être confrontée. La qualité de l’exercice dépendra avant tout de son caractère plausible. En effet plus le scénario sera proche d’une situation réelle, moins les acteurs seront dans l’interrogation lors de l’exécution du Plan.
Ce synopsis devra être connu de tous les intervenants, qu’il s’agisse des personnes astreintes aux alertes, des membres des cellules de crise activées, des intervenants en production, ou encore du personnel qui pourrait intervenir dans le cadre d’une éventuelle démarche d’infogérance. A noter que chacun des acteurs devra disposer d’un remplaçant, prêt à être opérationnel le cas échéant.

4. Se préparer à une crise réelle lors de l’exercice !
En amont de l’exercice, sera réalisée une analyse de risques dont les résultats devront être communiqués à la Direction. Il s’agit de certifier que l’exercice n’aura pas d’effets collatéraux sur la production et les entités métiers, mais également que les ressources « de production » ne seront pas mobilisées et qu’elles pourront bien intervenir en cas de crise réelle. Par ailleurs, le RPRA doit se préparer à affronter une situation de crise réelle lors de l’exercice. En fonction des éléments identifiés il lui faudra afficher un plan d’action permettant de répondre à :
o des incidents pendant l’exercice,
o des procédures de PRA manquantes,
o des personnes indisponibles…

Par conséquent, un correspondant Système d’Information et un correspondant Métiers seront sensibilisés à l‘exercice afin de pouvoir être joints rapidement pour pouvoir réagir à un problème pouvant impacter la production. C’est pourquoi, dans la mesure du possible, les personnels d’astreinte, les locaux de gestion de crise, les procédures d’alerte « réelles »… ne seront pas ceux concernés par l’exercice.

Le RPRA sera donc d’une vigilance extrême le jour J, et s’assurera, avant de donner le « GO » de l’exercice, qu’il n’y a pas eu d’incidents en production, de sauvegardes interrompues ou tout fait pouvant contrecarrer le début de l’exercice.

5. Former et communiquer à bon escient sur l’exercice
Un exercice de PRA nécessite une formation spécifique sur plusieurs jours des protagonistes. Cette formation de une à deux heures permettra de passer en revue les principales interrogations et de fournir des éléments de réponses : détails concernant l’organisation, usage des documents, planning et rôle de chacun… Pour les membres des cellules de crise, il est cependant préférable d’organiser une formation spécifique.
N’oublions pas non plus de mentionner les observateurs ; présents sur site et répartis entre les cellules de crise, l’infogérance et les salles d’exercice. Ils auront pour mission de prendre note de l’utilisation de la documentation PRA, de rapporter les délais des principales étapes, de tenir une main courante locale, mais aussi de faire état des incidents et dysfonctionnements observés. A noter que ces observateurs ne devront à aucun moment intervenir dans le déroulement de l’exercice.
La communication quant à elle pourra s’effectuer à travers un intranet d’entreprise, grâce à des messages collectifs donnant ponctuellement un aperçu de l’avancement de la préparation jusqu’au jour J.

6. Déployer efficacement la logistique
Pour ne pas être pris au dépourvu, il est important de définir plusieurs mois à l’avance les locaux qui seront réquisitionnés pour l’exercice. Il s’agit principalement de la salle de pilotage, des salles de crise et d’une salle commune pour les réunions ponctuelles des différents acteurs. Il est néanmoins préférable que la majorité des intervenants puisse réaliser l’exercice depuis le poste de travail habituel, afin d’être au plus près d’une mise en situation réelle.
Concernant le pilotage de l’exercice, un logiciel de gestion des plans de secours apparait aujourd’hui indispensable au maintien opérationnel d’un PRA ou d’un PC (Plan de Continuité). En effet, des plans sous Word, sous Excel ou MS Project se trouvent vite limités. Un outil de pilotage en réseau sera capable de donner en temps réel l’avancement de la situation, l’exécution de plans, de procédures, et permettra de prévenir d’éventuels incidents. La communication pendant l’exercice constitue l’une des principales préoccupations du RPRA. L’outil de gestion des plans de secours lui apportera en ce sens une aide précieuse, mais sera néanmoins accompagné des réseaux habituels de communication (messagerie d’exercice, lignes téléphoniques dédiées, présence de conférenciers dans chaque salle…). Il faut également intégrer à la logistique de l’exercice tous les moyens « techniques » spécifiques à celui-ci, tels que le réseau LAN (dédié aux environnements de reprise dans le cas d’un exercice indépendant de la production) ou les ressources informatiques réquisitionnées pour l’occasion (souvent des moyens utilisés en préproduction), ce qui implique :

o Le recensement des ressources d’exercices,
o Un planning de mise à disponibilité de ces moyens,
o Un déploiement des configurations adaptées à l’exercice,
o Des tests unitaires de bon fonctionnement avant l’exercice…

Il ne faut absolument pas négliger l’importance de la charge de travail correspondant à cette phase préparatoire. C’est pourquoi, afin de gérer l’ensemble des actions nécessaires à la mise en œuvre d’un exercice, il est nécessaire que le RPRA constitue un comité de préparation, cellule qui l’assistera ainsi dans l’organisation, la logistique et la communication.

7. Suivre l’exercice avec vigilance
Ca y est, c’est le jour J !
Le PRA suivra en permanence l’évolution de l’exercice. Au début, sa place sera dans la salle de pilotage, où il s’assurera du bon démarrage des opérations et de la bonne tenue de la main courante dans laquelle toutes les informations pertinentes y seront notifiées par un « secrétaire ». Ensuite, une fois les opérations initiées et la Direction informée du démarrage des opérations, il fera rapidement un contrôle de chaque cellule prenant part au PRA.
Il est important de pouvoir s’entretenir avec les responsables d’équipes et les observateurs, et de mesurer à la fois la qualité et l’atmosphère du travail. Le RPRA devra modérer, rassurer et aider dans la prise de décisions, ce qui aura pour objectif de fédérer l’équipe assignée à l’exercice. Le RPRA supervisera ensuite au quotidien les points de situations en salle de pilotage en s’appuyant sur les informations collectées et répertoriées dans « la main courante ». Cependant, si la logistique de communication est opérationnelle, un point midi et soir sera suffisant. A l’issue, un message sera transmis à la Direction pour l’informer des principales tâches, et notamment de l’état d’avancement sur le planning initial.
Chaque fin de journée donnera lieu à un débriefing qui sera fait oralement, à chaud, en salle de pilotage. Le RPRA donnera les principaux éléments d’information de la journée et demandera aux responsables ayant éprouvé des difficultés de faire part de leurs analyses.
Le dernier jour de l’exercice, un ultime débriefing sera réalisé, avec cette fois-ci plus de participants, dont les observateurs, les responsables d’équipes et les membres de la cellule de crise de la Direction.

8. Terminer et « archiver » l’exercice

Dernière étape et non des moindres, le RPRA veillera à ce que les acteurs restent mobilisés. A l’issue de l’exercice, l’environnement de secours doit en effet être remis à disposition, tel qu’à l’origine. Il faut donc suivre ces opérations de remise en état jusqu’au bout et s’assurer que la production retrouve l’ensemble de ses moyens.

Dans la mesure du possible, les sauvegardes seront également conservées quelques temps pour une éventuelle analyse post-exercice. Il faut également penser au traitement de l’ensemble de la documentation générée lors de l’exercice, de préférence via un logiciel de pilotage, ce qui simplifiera la tâche. Les mains courantes, les rapports, les notes des différents intervenants et les messages devront être récupérés, analysés et complétés pour ensuite faire l’objet d’un rapport détaillé.

o Un compte rendu global sera adressé aux responsables, quelques jours après l’exercice. Il permettra de fournir rapidement un retour d’expérience et fournira aussi l’occasion de leur (re)demander les informations qu’ils ont également à retransmettre au RPRA pour établir le rapport final.

o Un compte rendu détaillé sera transmis à la Direction et aux responsables impliqués afin qu’ils puissent mettre en œuvre, si besoin, les recommandations issues de l’analyse de l’exercice et nécessaires à un PRA opérationnel.

Une fois l’exercice terminé et « historisé », les informations qui en seront extraites le feront entrer dans une nouvelle phase, celle dite de « Maintien en Condition Opérationnelle ». Une autre histoire, pour un autre projet… ]]> http://www.devoteamblog.com/toutes-categories/security/quelques-conseils-pour-reussir-son-premier-exercice-de-pra%e2%80%a6/feed 0 http://www.devoteamblog.com/toutes-categories/security/quelques-conseils-pour-reussir-son-premier-exercice-de-pra%e2%80%a6 http://feedproxy.google.com/~r/DevoteamBlog/~3/a9obVj4-WiA/devoteam-danet-au-coeur-de-la-convergence-ossbss http://www.devoteamblog.com/toutes-categories/telecom-networks/devoteam-danet-au-coeur-de-la-convergence-ossbss#comments Mon, 26 Oct 2009 17:24:59 +0000 François Mouillaud http://www.devoteamblog.com/?p=1832 La convergence OSS/BSS est la nouvelle frontière de ce qu’on appelle aussi le “SI Opérateur”, un domaine encore largement fermé et propriétaire chez les opérateurs Telecom, et qui doit aujourd’hui s’adapter pour survivre à la mutation effrénée du paysage technologique et règlementaire.  En substance, la convergence des processus de supervision et de taxation du réseau suit un processus analogue à celui du réseau lui-même et de sa mutation vers l’IMS. Un coeur de réseau et un environnement commun, sur lequel convergent des sources de différentes provenances et en particulier lié aux types d’accès (fixe, mobile, Internet, IPTV). 

Cette double évolution coeur de réseau / SI permet ainsi de passer d’un environnement en silos, typiquement hétérogène, fragmenté, redondant, et faiblement adapté au paysage actuel des télécoms, à un environnement “Telco 2.0″. Dans cet écosystème convergent, on trouve un coeur de réseau (IMS) et un middleware (SI) uniques, sur lesquels des enablers de services connectent respectivement les différents services et accès telecom de l’IMS, et les processus business du SI, le tout à travers des interfaces normalisées (comme Soap, Corba pour le SI, ou OSA/Parlay pour les services IMS).

Si l’on revient aux sources, on peut modéliser l’OSS (Opérational Support Systems) sous la forme d’un moteur commun (typiquement une plate-forme des grands acteurs du marché IT) connecté aux différents noeuds d’un réseau, et sur lequel se branchent les différents processus opérationnels (provisioning, gestion, inventaire et  supervision du réseau, exploitation des statistiques, activation et configuration des services, etc..).

La notion de BSS (Business Support Systems) recouvre quant à elle tout ce qui touche de près ou de loin au client et à la facturation:

• Gestion des produits, des offres, et des commandes
• Gestion des comptes clients et exposition à travers différentes interfaces, dont la gestion par l’abonné lui-même (customer self care)
• Taxation et facturation
• Activation des services et provisioning des éléments réseau

 On peut représenter le BSS selon le modèle standardisé eTOM ou enhanced Telecom Operations Map, aujourd’hui largement reconnu dans l’industrie comme le modèle de représentation des opérations au sens large d’un opérateur Telecom:

Devoteam Danet, la société allemande qui a rejoint le groupe en 2009, possède une expertise unique en la matière, qu’elle est venue présenter à l’ensemble des membres de la Communauté Telecom de Devoteam lors d’une “Telcosphère”, organisée à Levallois le 28 septembre dernier.  Les fidèles lecteurs connaissent bien les Telcosphères,  vitrines de nos belles réalisations en Telecoms,  qu’ils peuvent retrouver à plusieurs reprises sur ce blog (lire en particulier la “rétro 2008″).  Grace à la combinaison d’une expérience très forte en conseil / intégration, et d’une plate-forme intégrant les briques de plusieurs éditeurs du marché, chacun étant spécialisé dans un domaine, Danet peut désormais offrir une palette de services “SI convergents” de bout en bout, de l’audit à la réalisation sur mesure aux clients opérateurs de Devoteam.

Le moment est idéal pour le marché.  Les opérateurs dits convergents sont à la croisée des chemins, leurs revenus croissant moins vite que les usages et que les débits, sur des réseaux qui sont loin d’être intégrés aujourd’hui en termes de processus, de maintenance, de déploiement de nouvelles fonctions, et d’interface unique pour le client.  Ils sont donc demandeurs d’une transformation et d’une simplification générale de leurs processus SI pour accompagner la convergence des réseaux tout comme la multiplicité des interfaces (clients, partenaires, fournisseurs de contenu, interceptions légales, interconnexion, etc..).

La transformation de leurs business models vers le Telco 2.0, la part prépondérante des contenus aujourd’hui, et de la QoS / QoE (qualité de service et d’expérience) demain, le raccourcissement des cycles de vie des produits et des services, la nécessité de rentabiliser les investissements à plus large échelle pour les grands opérateurs intégrés, sont autant de forces de marché qui poussent les opérateurs à agir.  Le potentiel des services de conseil et intégration OSS/BSS à l’échelle mondiale est quant à lui impressionnant (on parle de 4 milliards de $ à l’horizon 2012), ceci alors que les opérateurs n’en sont encore qu’au début des réseaux convergents, et notamment de l’IMS.

Lorsque les réseaux IMS seront déployés à grande échelle, le besoin d’une intégration avec l’univers OSS/BSS n’en sera que plus évident. Quand en particulier les terminaux IMS et leurs services innovants comme le RCS (Rich Communication Suite) arriveront sur le marché, le paysage global, encore largement basé sur la commutation de circuits aujourd’hui, sera entièrement numérisé. L’ARPU, qui repose encore majoritairement sur les usages voix, sera de plus en plus dépendant des usages data au sens large (multimedia, video, email, Web, etc…). Or, ce sont ceux qui sont les plus sensibles aux modèles de facturation: une réactivité dans la définition et la taxation des offres et dans la prise en compte de la consomation et des débits deviendra dès lors indispensable.

La convergence OSS/BSS doit donc relever les challenges des opérateurs, en adressant plusieurs besoins en même temps:

• La réduction des coûts opérationnels à travers de processus métiers optimisés et automatisés
• La modularité et l’ouverture des architectures et des interfaces pour une adaptation agile et ouverte aux nouvelles opportunités
• Une vision standardisée permettant l’interopérabilité entre constructeurs (modèles ITIL / eTOM)
• Une vision intégrée, consolidée, et convergente pour tous les types d’accès et d’interfaces
• Une architecture simplifiée, plus économe en ressources en mutualisant ce qui peut l’être
• Des plates-formes homogènes, permettant de réduire les OPEX et de minimiser les coûts d’intégration
• Une gestion des processus SI en temps réel, et non plus en mode différé (faite par  ”batch” quotidien par exemple)

Dans l’environnement en perpétuelle évolution des opérateurs telecoms, et dans le contexte économique de a crise financière et économique, la clé du succès des solutions OSS/BSS tiendra dans l’agilité, la rapidité, l’intégration des équipements, des processus, et des personnels, et enfin sur une base “low cost”. 

Seule la combinaison de ces paramètres permettra en effet aux opérateurs de prendre la décision d’investir, parce que les nouveaux systèmes seront ceux qui permettront une rentabiliser la croissance des usages, des débits, et des modes d’accès.  Il s’agit ici d’enfin monétiser le fameux “gap” résultant du découplage entre les usages (en croissance exponentielle, et de plus en plus gourmands en bande passante) et les revenus (en stagnation, et décorrélés de la consommation des ressources réseau). 

L’enjeu commercial est majeur, en particulier pour les opérateurs mobiles, où l’accès large bande a un impact non seulement sur le coeur de réseau (qu’on peut considérer comme bien dimensionné de ce point de vue), mais aussi et surtout sur les ressources radio, qui sont elles très sensibles à la montée en débit des usages. On peut estimer en fin de compte que la généralisation de l’accès large bande sur les mobiles dépendra fortement de la monétisation de ce gap, et donc de la capacité des opérateurs Telecom à le rendre effectif à travers leur SI (voir aussi à ce sujet l’article sur le Mobile World Congress).

Ce contexte général crée ainsi de nouvelles opportunités de marché pour les acteurs à même de répondre aux attentes des opérateurs d’une solution à la croisée de leur univers traditionnel et du monde “Telco 2.0″.  Sur ce segment porteur, Devoteam Danet est particulièrement bien positionné avec son offre “order to cash”, une solution sur mesure d’offre à la demande, reposant sur l’intégration sur une plate-forme dédiée des meilleurs outils  actuels sur le marché (content management, Web portal, CRM, billing, prépayé, médiation, gestion multi-canal, etc…).  Les références clients de Devoteam Danet s’adaptent à des secteurs industriels bien au delà des opérateurs telecom, et permettent à des acteurs non issus du secteur de développer une offre Telecom en capitalisant sur leur marque (par exemple, un distributeur alimentaire ou une banque peut créer une offre de MVNO).

Enfin, en rejoignant le groupe Devoteam, Danet s’adjoint l’expertise de tout le groupe en matière de conseil et d’intégration Telecoms. Devoteam peut alors offrir une vision globale (offre de conseil),  une capacité d’intégration mêlant le domaine IT et les réseaux Telecoms, et un niveau d’expertise pointu à la fois sur le coeur des réseaux Telecoms et sur le Système d’Information, ce à quoi peu d’acteurs du secteur peuvent prétendre aujourd’hui.

28% des entreprises effectuent une évaluation financière des incidents de sécurité d’après le dernier rapport “Menaces informatiques et Pratiques de sécurité en France”. Contrairement à d’autres pays, les entreprises françaises ne sont pas obligées de déclarer les incidents de sécurité qui pourraient impacter leurs clients ou fournisseurs. Par conséquent, il y a très peu de communications sur le sujet et encore moins de statistiques fiables. Au USA, le rapport annuel 2008 de l’IC3 (Internet Crime Complaint Center) fait état d’une perte globale (tous incidents rapportés) de 264,6 Millions de Dollars en 2008. Le CSI (Computer Security Institute) donne quelques chiffres dans son rapport d’enquête 2008 en prévenant que seulement une petite partie des sondés ont bien voulu donner des chiffres : “the most expensive kind of incident on average was financial fraud, with an average reported cost of $463,100, followed by dealing with “bot” computers within the organization’s network, reported to cost an average of $345,600 per respondent. As a point of interest, dealing with loss of either proprietary information or loss of customer and employee confidential data averaged at approximately $241,000 and $268,000, respectively.”

Pourquoi faire une évaluation financière d’un incident de sécurité ? La sécurité informatique n’est pas une finalité mais elle a un coût. Ce coût doit être comparé avec les estimations de pertes financières effectuées lors d’une analyse de risque. Les évaluations financières des incidents (avérés) de sécurité permettent de confirmer ou corriger les estimations (démarche RoSI orienté incident). De façon plus pragmatique, un RSSI doit justifier ses investissements et l’évaluation financière d’un incident peut aider à débloquer des budgets. Enfin, si le sinistre est assuré, l’évaluation financière fait parti du processus d’indemnisation.

L’évaluation doit prendre en compte les dommages “directs” sur le matériel et les données, et les dommages “indirects” sur le fonctionnement de l’entreprise. En général, ce sont les dommages “indirects” qui sont les plus importants et les plus difficiles à évaluer. Dans le cas d’un incident de sécurité logique (intrusion, infection virale, …), l’évaluation est complexe et les participants à cette conférence ne sont pas reparti avec une formule toute faite.

Ce que je retiens des débats est que l’évaluation financière doit être pragmatique et justifiée. Elle englobe 4 parties :

• l’évaluation des coûts de reconstitution matérielle (remplacement des équipements, des infrastructures, des bâtiments, …)
  La technologie évoluant très vite selon la fameuse loi de Moore, l’évaluation doit prendre en compte la valeur de remplacement des équipements perdus, à capacité égale (CPU, Disque, …)
• l’évaluation des coûts de restauration des données et/ou programmes
  Ces coûts dépendent fortement des moyens de sauvegarde mise en oeuvre. Dans le cas d’un incident entraînant une obligation de fournir des traces, la recherche des données peut coûter très cher si le système d’information n’est pas outillé pour le faire.
• l’évaluation des coûts métiers (impact sur le chiffre d’affaire de l’entreprise)
  Ce sont les coûts les plus difficiles à évaluer. Les assureurs se focalisent sur l’évaluation de la perte de chiffre d’affaire. Ces pertes doivent être justifiables, basées sur les chiffres de l’entreprise et de son secteur d’activité. Dans le cas d’un incident de sécurité portant atteinte à l’image de la société, il est proposé de s’intéresser à l’évolution de la part de marché de l’entreprise pour estimer la part de la clientèle qui s’est reporté sur la concurrence.
• l’évaluation des coûts de traitement de l’incident (main d’oeuvre supplémentaire, location, frais juridique, …)

Selon l’incident, les 4 parties de l’évaluation ne seront pas obligatoirement concernées. Par exemple, un incident virale ne nécessite pas de remplacer le contenu d’un datacenter. Autre exemple, une intrusion ayant entrainée une divulgation de données confidentielles devra être évaluée en prenant en comptes les coûts métiers et les coûts de traitement.

La même méthode peut être utilisé lors d’une phase d’estimation financière de l’occurrence des risques lors d’une analyse de risques. Dans ce cas, l’exercice est encore plus difficile car de nombreuses variables inconnues rentreront dans les équations, et certaines valeurs vont dériver dans le temps. C’est certainement pour cette raison que les normes ou guides (ISO27005 par exemple) ne donnent pas de recettes miracles, tout en préconisant de faire ces estimations.

En conclusion, l’évaluation et plus encore, l’estimation financière d’un incident de sécurité est complexe et cette complexité entraîne même certaines sociétés a ne pas faire l’exercice. Je reste cependant convaincu que l’évaluation financière est un moyen de communication auprès de sa direction pour obtenir des moyens. Mais le plus important reste la prévention des incidents de sécurité, et comme la prévention ne peut être infaillible, il faut être en mesure de détecter l’occurrence d’un incident de sécurité. Est ce toujours le cas ?

Juillet 2009 restera un mois marqué par la suppression de plusieurs livres, directement et à distance, sur les lecteurs de livres électroniques de clients. Cette opération maladroite, initiée par un distributeur majeur de contenus numériques, à cause d’une problématique de droits d’auteur, a provoqué la colère des consommateurs qui avaient acquis ces livres en parfaite légalité. Décryptage…

Nous avons, à mon sens, affaire ici à un acte fondateur dans l’histoire du livre électronique, et par extension de tous les contenus numériques. En effet, la décision d’Amazon permet à tous de comprendre qu’un livre numérique n’est pas la simple transposition d’un livre physique. Nous assistons donc bien aujourd’hui à la naissance publique du contenu numérique à part entière, ainsi que d’un écosystème qui lui est propre.

Ceci peut paraître paradoxal, car l’opinion générale parle plutôt d’un coup d’arrêt ! Il s’agit effectivement d’un sentiment de blocage, tout un chacun réalisant l’ampleur du phénomène et des chantiers à venir. Et à travers la perception justifiée d’intrusion par l’opinion générale, cette décision met en lumière la méconnaissance du grand public dans l’utilisation des appareils électroniques communicants. Elle ranime même une véritable méfiance envers les “boîtes noires”, également applicable aux mécanismes de paiement ou aux systèmes de vote électronique, par exemple.

C’est pourquoi je préfère parler de naissance. Car cette affaire révèle l’apparition du livre électronique, dans toute son entièreté et sa complexité numérique dans un monde virtuel : droit des contenus numériques (droit d’auteur, de copie…) et maîtrise du système (administration de l’équipement terminal, ingérence dans l’espace privé…). Elle place également en avant des acteurs, qui permettent à chacun un contrôle du monde numérique, comme les tiers de confiance, ou les gestionnaires de certifications, dont nombre de promesses encourageantes viennent de l’open source, plus indépendant.

Maintenant, la difficulté est d’expliquer au grand public cette “destruction” opérée par Amazon, d’un objet acquis légalement par des clients et détenu sur un équipement privé de surcroît. Ces derniers ont bien acheté le Kindle, qui est donc devenu leur propriété privée, tout comme le serait un lecteur MP3, par exemple. Mais il est important de savoir que ce Kindle contient aussi un logiciel propriétaire qui renseigne Amazon sur le contenu de l’équipement et sur leurs actions.

Les clients pensent également avoir acheté un livre “électronique”, en tous points similaire à un livre “papier”. En réalité, ils n’ont acquis qu’un droit de lecture sur ce contenu ; le contrat Amazon sur l’utilisation des contenus numériques précise bien en effet que la licence confère “un droit non-exclusif de conservation [sur ce type d'appareil] d’une copie pour usage individuel [lecture, affichage, visualisation] à but non commercial”.

Cette intrusion dans le système privé d’une tierce personne s’apparente donc à un viol du droit, en application de l’article 323-3 du Code Pénal relatif à l’introduction, la suppression ou la modification frauduleuse de données dans un système de traitement automatisé. Des actions sont d’ailleurs en cours aux Etats-Unis.

La suppression des livres, au nom du respect des droits d’auteur, est assez paradoxale puisqu’elle entraîne de facto la destruction des notes et commentaires écrits par les clients, qui deviennent par conséquent auteurs eux aussi ! Finalement, il est légitime de se poser la question : qu’est-ce qu’un livre électronique ? Il est en fait ce que nous voulons en faire, en fonction du contenu, du support et de ce que l’on possède !

Le contenu est le texte, qui est produit (écrit) par un auteur et consommé (lu) par un lecteur. Le support est ce qui permet de lire ce texte. L’objet possédé résulte ainsi de l’addition “texte plus support”, jusqu’à maintenant sous une forme papier, et plus récemment audio. Ce livre peut être acheté – neuf (dans une librairie) ou d’occasion -, il peut être prêté ou donné (par un ami), ou bien encore attribué de façon temporaire (gratuitement ou via un abonnement en bibliothèque).
Un point crucial réside dans le fait que le livre papier que vous achetez est à vous : vous pouvez ensuite le prêter, le donner, le vendre, ou le conserver dans votre bibliothèque. C’est le vôtre, il est unique (différent de celui de votre voisin) avec sa forme, sa présentation caractéristiques, son histoire, et il n’est plus lié à la manière dont vous l’avez acheté.

Aujourd’hui, les acteurs comme Amazon nous proposent une nouvelle possibilité de lire ce texte, sur un support électronique unique et avec une offre qui n’est pas la vente d’un texte, mais la mise à disposition d’un contenu numérique, qui constitue la copie d’un contenu original. La force du numérique est de réaliser une reproduction parfaite, sans défaut donc sans passé, sans unicité et sans originalité. C’est ce que nous avons déjà avec la musique et les mp3. Cette disparition de l’objet unique perturbe certaines personnes d’autant plus qu’on leur explique que cette copie ne leur appartient pas !

Alors, l’objet unique électronique n’existerait donc pas ? Non, ou du moins pas encore. Il pourrait être, pour le grand public, la combinaison d’un texte (original) et de ses propres notes, par exemple. En effet, il est aujourd’hui possible de rendre unique un contenu numérique en lui adjoignant un “tatouage” par la technique du watermarking. Ainsi, le livre numérique contenant le texte de “1984″ avec les notes de Joël de Rosnay ou de Bill Clinton, n’aura pas la même valeur qu’une copie parfaite standard. Et on pourra envisager de le donner ou de le vendre. Rappelons que cet objet unique n’est qu’une possibilité parmi d’autres.
Quelles sont donc les perspectives que l’on peut déjà identifier dans un avenir proche ? L’union d’Internet, des hyperliens et d’un livre mobile offre à notre imaginaire créatif un champ de possibilités infinies. Prenons trois cas d’applications limités à un texte donné :

- Lié à internet, le texte devient ouvert ; vous pouvez en temps réel commenter et annoter le texte de manière communautaire, le partager avec le public à l’instar de ce qui se pratique actuellement sur des blogs, voire échanger avec l’auteur et participer ainsi à la création

- Libéré du papier, le texte devient vivant ; l’histoire peut évoluer en fonction de vos choix. Le livre s’adaptera à votre niveau afin de vous former, en vous posant des questions. Il s’adaptera en fonction du lieu où vous vous situez, ou de vos caractéristiques et comportements personnels.

- Le texte devient libre de son support ; vous pouvez acheter un texte et le lire de façon différente : sur papier, via Kindle, sur votre SmartPhone… Vous devez pouvoir aussi le stocker en ligne pour le retrouver partout, quel que soit son format d’acquisition. La séparation des droits de lecture, de copie et de support vous permettra alors de pouvoir acheter le livre papier, ou bien de ne payer que le support pour l’avoir en version numérique complète, ou encore de payer un droit de lecture audio en partie pour un temps défini, louer un chapitre, etc…

L’analogie du secteur de l’édition ou de la presse avec les autres filières média (musique, vidéo…) montre que la lecture en ligne (ou “streaming”) doit être possible. Ainsi, à l’image des DVDs, on pourra disposer de plusieurs variantes du texte (version courte, director’s cut…), des commentaires de l’auteur ou de l’éditeur, de son père, de l’acteur qui joue le rôle dans l’adaptation au cinéma du film tiré du livre, etc. Une fois cette révolution des techniques et des usages accomplie, alors le livre constituera un véritable contenu numérique…

Frédéric Abella
consultant “média & telecoms” chez Devoteam Consulting

Cette enquête, réalisée pour la première fois, a l’ambition d’explorer les liens qui unissent les TIC et le développement durable au sein des organisations. On y découvre un tableau mitigé. D’un côté, les investissements semblent encore bien faibles au regard des enjeux. De l’autre, la prise de conscience est manifeste et s’accompagne de nombreuses initiatives. L’ensemble reste, aujourd’hui, tiré principalement par des considérations économiques et réglementaires.

Télécharger l’étude

Vous trouverez dans ces pages, une synthèse des résultats de notre enquête. Nous les avons agrémentés de quelques commentaires afin de les mettre en perspective et de faciliter leur interprétation.

Une version imprimée de l’enquête est également disponible. Il vous suffit d’en faire la demande (communication@devoteam.com).

Très bonne lecture !

• au niveau des serveurs de fichiers,
• dans les outils de gestion documentaire,
• dans la messagerie,
• les intra et/ou extranet,
• au niveau des ordinateurs de bureau,
• des PDA,
• des téléphone portable,
• des applications métiers, … .

Cette complexité et richesse apporte :

-une augmentation des risques liée à un manque de maitrise des actifs informationnels (fuite d’information, incapacité à rapporter des éléments de preuve en cas de litige,
traçabilité partielle et donc inexploitable, …).

-un affaiblissement de la productivité globale de part l’étouffement de la qualité par la quantité (quelle est la dernière bonne information, est elle fiable, en fait existe-t-elle, comment puis je la trouver ?)

Du coup le niveau de performance des organisations peut drastiquement devenir ankylosé par cette valeur ‘difficilement palpable’.

Il devient urgent, pour nos organisations, d’augmenter le niveau de maitrise de l’information, ceci de deux façons :
-Au niveau opérationnel : Augmenter la capacité de maitrise des responsables de l’information : les utilisateurs,
-Au niveau tactique : Mettre en place une gouvernance de l’information qui porterait les fondamentaux et serait en charge de coordonner les impacts informationnels majeurs.

Au niveau opérationnel, la meilleure approche serait de considérer l’utilisateur comme un adulte responsable de son information, et par là responsable des outils qui lui sont nécessaires pour manipuler l’information. Ceci est réalisable par la définition d’une offre de service riche proposée par des fournisseurs et qui positionnerait l’utilisateur comme un client exigeant. Cette offre serait composée : De règles d’usage et de comportements d’usage, de documentations d’utilisation simples et ergonomiques, d’une facturation, de rapports d’usage clairs et pertinents, de fondamentaux prédéfinis et d’autres adaptables, d’un contrat d’engagement qualité, d’un accompagnement à l’usage, d’un support, et bien sûr d’un ou plusieurs outils.

Au niveau tactique, la gouvernance de l’information serait soit collégiale et transverse (dans le cas d’une culture d’entreprise très répartie) soit organique (structure plus centralisée, et nécessitant plus de réactivité). Elle porterait les processus de traitement des cycles de vie de l’information, les référentiels d’exigences règlementaires et métier, de conservation, des actifs critiques, … . Elle aurait en charge de faire perdurer (ou non) l’information et serait garante de la bonne évolution du SI en cohérence avec les contraintes informationnelles (information personnelles, à supprimer, à garder, à consolider, …).

Vaste programme en apparence car l’ensemble de cette transformation est complexe et doit se réaliser dans le temps à petits pas et avec une grande sensibilité sur les changements qui doivent être apporté. Bien que cela semble un gigantesque chantier, la transformation améliorera fortement et rapidement l’agilité de l’organisation et par là un dynamisme appréciable par l’ensemble des acteurs de l’organisation.
De plus ne pas le faire aujourd’hui, surtout en période de crise, serait demain un frein majeur de développement et de performance (si cela ne l’est déjà pas aujourd’hui !).

L’étude sur les services de gestion de l’information de Devoteam Consulting réalisée en collaboration avec Social Computing, C-LOG international, Novapost et XWiki apporte des éléments de réflexion, je vous invite vivement à la lire, particulièrement vers la fin. http://www.devoteam.fr/index.php?option=com_content&task=view&id=297&pays=fr&Itemid=898?=1 –

Jean-Pascal Perrein

]]> http://www.devoteamblog.com/toutes-categories/information-management/l%e2%80%99innovation-par-l%e2%80%99information-vecteur-de-performance-pour-nos-organisations/feed 0 http://www.devoteamblog.com/toutes-categories/information-management/l%e2%80%99innovation-par-l%e2%80%99information-vecteur-de-performance-pour-nos-organisations http://feedproxy.google.com/~r/DevoteamBlog/~3/hv3uR3WTHg4/deontologie-de-la-gestion-de-projet http://www.devoteamblog.com/toutes-categories/it-methods-process/deontologie-de-la-gestion-de-projet#comments Thu, 27 Aug 2009 15:12:45 +0000 Antoine Hulin http://www.devoteamblog.com/?p=1719 Le PMI, dont je vous est déjà parlé dans mes billets précédents ici et ici, travaille depuis 40 ans au développement et à la reconnaissance du métier de chef de projet. Je profite de cette tribune pour vous faire découvrir un outil fondamental et méconnu du développement de notre métier : le code de déontologie du chef de projet. Les membres du PMI ont bâti ce code de conduite autour de quatre valeurs :

• Responsabilité,
• Respect,
• Équité et
• Honnêteté.

Comment, nous, chefs de projets, mettons-nous en pratique ces quatre valeurs au quotidien ?

En le lisant ce code de déontologie vous découvrirez l’ensemble de nos engagements. Mais patience, je ne vous donne pas le lien tout de suite . Suivez-moi quelques lignes encore les extraits suivants vous permettrons d’en saisir l’esprit.

Responsabilité

La responsabilité est notre devoir d’assumer les décisions que nous prenons ou manquons de prendre, les actions que nous entreprenons ou manquons d’entreprendre, et les conséquences qui en résultent.

Nous n’acceptons que les missions qui correspondent [...] à nos compétences et nos qualifications.

Nous tenons les engagements que nous prenons – nous faisons ce que nous promettons.

Respect

Le respect est notre devoir de témoigner une haute considération pour nous-mêmes, les autres et les ressources qui nous sont confiées.

Un environnement de respect suscite la confiance, l’assurance et l’excellence dans le travail en favorisant la coopération – un environnement où différentes vues et perspectives sont encouragées et appréciées.

Équité

L’équité est notre devoir de prendre des décisions et d’agir en toute impartialité et objectivité. Notre conduite doit être exempte de la concurrence d’intérêts personnels, de préjugé et de favoritisme.

Nous faisons preuve de transparence dans notre processus de prise de décision.

Nous veillons à ce que tous ceux qui sont autorisés à disposer d’une information y aient libre accès.

Nous veillons à l’égal accès de tous les candidats qualifiés aux opportunités.

Honnêteté

L’honnêteté est notre devoir de comprendre la vérité et d’agir de manière honnête à la fois dans nos communications et par notre conduite.

Nous fournissons des informations exactes dans les délais escomptés. [...] Ceci implique avoir le courage de faire part de mauvaises nouvelles même lorsque celles-ci sont susceptibles de provoquer des réactions indésirables.

Nous nous efforçons de créer un environnement au sein duquel d’autres se sentent encouragés à dire la vérité.

Comment concilier l’exigence de n’accepter que des missions pour lesquelles nous avons l’expérience avec la progression normale d’une carrière ? Vous trouverez la réponse en lisant les commentaires dans le code de déontologie. Ce sera court et très intéressant il tient en quelques pages.

Ces valeurs sont diffusées au travers de la formation à la certification PMP, du PMBOK, du magazine diffusé  chaque mois à tous les membres du PMI et au travers des conférences organisées par les cercles locaux. En temps que chef de projet PMP, je me suis engagé à respecter et défendre ce code de déontologie. Il est devenu un ingrédient fondamental dans ma pratique du métier de chef de projet chez Uperto.

Référence :

PMI — Code de déontologie et de conduite professionnelle : http://www.pmi.org/PDF/ap_pmicodeofethics_FRE.pdf

Déontologie de la gestion de projet

Antoine Hulin

Le PMI, dont je vous est déjà parlé dans mes billets précédents ici et ici, travaille depuis 40 ans au développement et à la reconnaissance du métier de chef de projet. Je profite de cette tribune pour vous faire découvrir un outil fondamental et méconnu du développement de notre métier : le code de déontologie. Les membres du PMI ont bâti ce code de conduite autour de quatre valeurs :

• Responsabilité,
• Respect,
• Équité et
• Honnêteté.

Comment mettons-nous en pratique ces quatre valeurs au quotidien ? En le lisant le code de déontologie vous découvrirez l’ensemble de nos engagements. Mais patience, suivez-moi quelques lignes encore avant d’aller le lire, les extraits suivants vous permettrons d’en saisir l’esprit.

Responsabilité

La responsabilité est notre devoir d’assumer les décisions que nous prenons ou manquons de prendre, les actions que nous entreprenons ou manquons d’entreprendre, et les conséquences qui en résultent.

Nous n’acceptons que les missions qui correspondent [...] à nos compétences et nos qualifications.

Nous tenons les engagements que nous prenons – nous faisons ce que nous promettons.

Respect

Le respect est notre devoir de témoigner une haute considération pour nous-mêmes, les autres et les ressources qui nous sont confiées.

Un environnement de respect suscite la confiance, l’assurance et l’excellence dans le travail en favorisant la coopération – un environnement où différentes vues et perspectives sont encouragées et appréciées.

Équité

L’équité est notre devoir de prendre des décisions et d’agir en toute impartialité et objectivité. Notre conduite doit être exempte de la concurrence d’intérêts personnels, de préjugé et de favoritisme.

Nous faisons preuve de transparence dans notre processus de prise de décision.

Nous veillons à ce que tous ceux qui sont autorisés à disposer d’une information y aient libre accès.

Nous veillons à l’égal accès de tous les candidats qualifiés aux opportunités.

Honnêteté

L’honnêteté est notre devoir de comprendre la vérité et d’agir de manière honnête à la fois dans nos communications et par notre conduite.

Nous fournissons des informations exactes dans les délais escomptés. [...] Ceci implique avoir le courage de faire part de mauvaises nouvelles même lorsque celles-ci sont susceptibles de provoquer des réactions indésirables.

Nous nous efforçons de créer un environnement au sein duquel d’autres se sentent encouragés à dire la vérité.

Comment concilier l’exigence de n’accepter que des missions pour lesquelles nous avons l’expérience avec la progression normal d’une carrière ? Vous trouverez la réponse en lisant les commentaires dans le code de déontologie Ce sera court et très intéressant, il tient en quelques pages.

Ces valeurs sont diffusées au travers de la formation à la certification PMP, du PMBOK, du magazine diffusé  chaque mois à tous les membres du PMI et au travers des conférences organisées par les cercles locaux.

En temps que chef de projet PMP, je me suis engagé à respecter et défendre ce code de déontologie. C’est un ingrédient fondamental dans ma pratique du métier de chef de projet chez Uperto.

Référence :

PMI — Code de déontologie et de conduite professionnelle : http://www.pmi.org/PDF/ap_pmicodeofethics_FRE.pdf

Pour reprendre les dires d’un collègue dans un de ces articles (Patrick Chataignier, http://www.devoteamblog.com/toutes-categories/telecom-medias/internet-issues-mars-2009 ) « La réponse la plus appropriée à la résolution du problème du piratage viendra d’un équilibre à trouver parmi tous les acteurs impliqués. » C’est sur ce point que repose tout l’avenir du modèle économique d’internet. Les internautes font clairement partie de ces acteurs et tant que les majors, les distributeurs, etc. ne les prendront pas en compte, ils feront indéniablement fausse route, tel un poisson remontant le fleuve à contre-courant.