17 minute read
transformation
Auteur : Sébastien Lambotte Crédit photo : EBRC « Pour bon nombre d’organisations, un des enjeux actuels pour accompagner la transformation digitale du business réside dans le renforcement de leur capacité à déployer des services de mente Yuri Colombi, Head of Solutions pour cela qu’elles puissent s’appuyer sur un environnement informatique plus évolutif, offrant en outre des garanties Yuri Colombi - Head of Solutions & Innovation,
CLOUD HYBRIDE, DEVOPS, STOCKAGE OBJET :
Advertisement
ACCÉLÉRATEURS DE VOTRE TRANSFORMATION
Afin de s’adapter à la transformation du business et permettre à l’entreprise d’accroître ses performances, l’environnement informatique doit évoluer en permanence. L’heure est à l’hybridation des ressources, entre infrastructure dédiée et cloud public, mais aussi à un rapprochement des acteurs du développement et des opérations. Afin d’aider ses clients à mieux évoluer, EBRC complète son portfolio de services en mettant en œuvre des plateformes plus flexibles, facilitant la migration d’un environnement vers un autre, et fournissant à ses clients une agilité accrue.
manière plus agile et sécurisée » , com& Innovation au sein d’EBRC. « Il faut en matière de résilience, de continuité du business et de protection des données. » et Gérard Miceli - Innovation Consultant - EBRC veloppé une offre d’accompagnement à la transformation digitale pour aider les organisations à migrer plus facilement vers le cloud hybride, à mettre en œuvre des démarches DevOps, le tout s’appuyant sur une gouvernance robuste.
— ADOPTION DE LA
CONTENEURISATION POUR
GÉRER ET FACILITER LES
DÉPLOIEMENTS HYBRIDES
L’un des premiers défis est de permettre au service IT de gagner en agilité dans la gestion de la ressource informatique. L’évolution technologique a comme corollaire la mise sur le marché d’applications de plus en plus conteneurisées. « La technologie du conteneur facilite la gestion de l’informatique à travers des environnements de plus en plus hybrides, c’est-à-dire utilisant des infrastructures on-premise, private cloud et public cloud » commente Gérard Miceli, Innovation Consultant au sein d’EBRC. « Les conteneurs offrent un niveau d’abstraction supplémentaire. Ils peuvent dès lors être déployés à travers tout type d’environnement, grâce notamment à l’outil d’orchestration Kubernetes que nous utilisons. Dans une perspective Dans cette perspective, EBRC a dé-
de migration vers le cloud public par exemple, la technologie offre une grande flexibilité. »
— CHEMINER
VERS LE CLOUD HYBRIDE Aujourd’hui, EBRC se positionne comme un acteur du cloud à part entière, en permettant à ses clients d’accéder aux environnements les plus adaptés à leurs besoins, qu’il s’agisse d’un environnement
dédié ou largement mutualisé. « Nous les accompagnons dans l’analyse des opportunités liées à l’évolution de leur environnement. Contrairement à l’idée répandue, le recours au cloud public n’est pas forcément la solution la moins coûteuse. Une analyse, au regard des besoins, doit être menée. À partir d’une bonne compréhension des enjeux, nous pouvons mieux orienter les organisations dans le cheminement vers le cloud hybride », commente Yuri Colombi.
— UNE PLATEFORME POUR
FACILITER LE DEVOPS
Au-delà, EBRC veut faciliter la création de ponts entre le développement et les opérations. « La souplesse à laquelle nos clients accèdent au niveau de la gestion des environnements peut aussi se traduire dans la manière de développer et de déployer de nouvelles fonctionnalités, notamment par le recours aux approches DevOps », assure Gérard Miceli. « Le défi est de pouvoir mettre en place une démarche de développement en continu, et de garantir une intégration facilitée et sécurisée des nouvelles fonctionnalités. » Dans cette optique, EBRC facilite l’industrialisation du déploiement au départ d’une plateforme pensée à cet égard. « Nous accompagnons nos clients dans la gestion opérationnelle de la plateforme que nous mettons à leur disposition et qui s’appuie sur un environnement multi-cloud », explique Yuri Colombi. « Cette plateforme, à travers laquelle on peut facilement orchestrer les conteneurs, facilite grandement la mise en place d’une approche DevOps. Nos clients, à travers elle, accèdent à une palette d’outils certifiés de déploiement ainsi qu’à une diversité de solutions de data analytics. » L’ensemble doit permettre aux organisations de gagner en autonomie, d’être moins dépendantes des ressources techniques et de plus facilement déployer des services et micro-services en fonction de leurs besoins du moment. « On peut dès lors considérablement réduire le time-tomarket », confirme Gérard Miceli.
— ACCOMPAGNER LA
TRANSFORMATION DES
MÉTHODES ET APPROCHES
Face à ces enjeux, EBRC entend être plus qu’un partenaire technologique. Tout en continuant à veiller sur la gestion des aspects opérationnels, avec des niveaux de service garantis dépendant des besoins de chacun, le prestataire de confiance accompagne l’évolution de la gouvernance et de la gestion de l’architecture de ses clients. « Pour cela, nous leur proposons,
au-delà de la plateforme technologique, tout un ensemble de services et de formations afin qu’ils puissent activer cette transformation tout au long de la chaîne de valeur de l’innovation », explique Yuri Colombi. « Chaque organisation peut donc profiter de toute la compétence d’EBRC et de ses partenaires pour entrer pleinement dans l’ère numérique. »
— UN STOCKAGE PLUS
FLEXIBLE ET MIEUX
GARANTI DANS LE TEMPS Dans ce contexte d’accompagnement des clients vers le cloud, EBRC a aussi mis en place un service d’hébergement et de préservation des données à partir de la technologie de stockage objet « S3 ». « Dans cette évolution vers des environnements plus hétérogènes, la volonté est de proposer des solutions améliorant le stockage des données, garantissant leur intégrité dans le temps, avec une plus grande flexibilité », commente Gérard Miceli. « Le stockage objet vient répondre à ces nouveaux défis. » Le stockage objet facilite la migration et l’intégration vers le cloud public dans un contexte d’hybridation des systèmes. La technologie intègre les grands standards du marché et notamment les API utilisées par les géants du cloud. Le client profite d’une grande réversibilité et peut donc facilement migrer d’un environnement vers un autre, en garantissant l’intégrité de ses données. En abordant d’une nouvelle manière les enjeux de stockage, cette technologie permet de gérer plus facilement d’importants volumes de données non structurées. « Le stockage objet a été spécialement conçu pour garantir la protection des données et leur intégrité de manière pérenne », précise Yuri Colombi. « Quand hier, l’accès aux éléments se faisait au niveau du disque, avec ce nouveau mode de stockage, chaque objet peut aujourd’hui être protégé et crypté individuellement. On s’assure de répondre de cette manière aux exigences réglementaires les plus élevées. Le stockage objet intègre dès le départ les mécanismes d’écriture et de lecture des éléments, assurant redondance et correction automatique des erreurs. »
Fabrice Croiseaux CEO - InTech
Auteur : Michaël Renotte Crédit photo : InTech
DEVSECOPS : LA SÉCURITÉ EN PLUS
EBRC et InTech, toutes deux membres du groupe POST, conjuguent leurs expertises pour aider les entreprises à tirer pleinement parti de l’agilité et de la réactivité de l’approche DevOps tout en y incorporant directement des pratiques de sécurité. Cette approche intégrée permet de concilier le développement continu et les impératifs de cyber-sécurité et de protection des données.
« Les décideurs IT s’appuient aujourd’hui sur trois leviers pour transformer leur organisation : la modernisation des systèmes existants, la cyber-sécurité et l’évolution vers des modèles de développement et de livraison agiles », analyse Jean-François Hugon, Head of Marketing chez EBRC. « Dans ce dernier domaine, l’adoption d’une démarche DevOps, issue en droite ligne des méthodes agiles, permet aux équipes informatiques de mettre en place un cycle continu de
LES PROJETS. développement et de mise en production, augmentant ainsi leur réactivité dans la prise en compte des demandes métiers et réduisant du même coup le time-to-market des applications. » Dans un contexte DevOps, les silos traditionnels entre les développeurs, les testeurs, les responsables de la mise en production et les administrateurs systèmes sont démantelés. Durant tout le processus de développement et de déploiement, tous collaborent plus étroitement, leur permettant de mieux comprendre leurs attentes et défis respectifs. « En joignant leurs forces, EBRC et InTech sont en mesure d’assurer un accompagnement de bout en bout dans la mise en œuvre de la chaîne de valeur DevOps, de la conception à l’exploitation, en passant par le développement, le test et le déploiement », explique Fabrice Croiseaux, CEO d’InTech. « EBRC, entreprise spécialisée dans les infrastructures, les opérations IT critiques ainsi que la transformation IT, bénéficie d’une grande expérience dans l’exploitation des systèmes et assure la gestion opérationnelle d’environnements IT pour le compte de nombreux clients », assure-t-il. « Quant à InTech, il s’agit d’un acteur de référence dans les domaines du développement logiciel, des architectures applicatives et de la mise en œuvre de plateformes de
développement industrielles. »
— DÉVELOPPEMENT,
OPÉRATIONS ET SÉCURITÉ
Pourtant, si une approche DevOps efficace garantit des cycles de développement rapides et fréquents, elle ne prend pas en considération un aspect critique du développement, celui de la sécurité des applications. Or, des pratiques de sécurité inadaptées peuvent réduire à néant les bénéfices des projets DevOps les plus efficaces. C’est dans le cadre de cette problématique qu’est en train d’émerger une évolution des principes DevOps, le DevSecOps, une démarche qui permet non seulement de rapprocher les services informatiques des besoins des métiers, mais aussi de renforcer la sécurité des développements, d’en améliorer la qualité et de faire preuve de plus de proactivité en matière de performance, de résilience et de haute disponibilité. « La transformation globale des services informatiques à laquelle nous assistons introduit un changement dans la manière d’aborder les projets », souligne Jean-François Hugon. « Les entreprises tendent vers plus d’agilité tant pour le business que pour l’IT. Les développeurs sont investis de davantage de responsabilités, notamment vis-à-vis de considérations transverses telles que la qualité et la sécurité. Cette dernière n’est plus rejetée en bout de chaîne, elle est intégrée by design. »
— DONNER LA PRIORITÉ
À LA SÉCURITÉ
L’approche DevSecOps repose en effet sur une sécurité intégrée, et non sur un périmètre de sécurité protégeant les applications et les données. Lorsque la sécurité est reléguée à la fin du processus de développement, les entreprises qui adoptent l’approche DevOps peuvent se retrouver confrontées à de longs cycles de développement, ce qu’elles essayaient précisément d’éviter. La démarche DevSecOps implique donc de réfléchir à la sécurité de l’application et de l’infrastructure dès le départ. Elle s’articule autour d’une collaboration étroite entre les équipes de développement et celles dédiées à la cyber-sécurité dans le but d’assurer la sécurité des produits tout au long de leur cycle de vie. Cette approche donne la priorité à la sécurité en établissant un cadre de référence pour les activités de développement. « Les bonnes pratiques de sécurité en développement sont connues et documentées. À l’instar d’OWASP, par exemple, qui liste les failles majeures de sécurité des applications et donne les clés pour que les développeurs puissent les adresser. Par contre, les contrôles OWASP sont assez peu intégrés automatiquement dans le processus d’industrialisation
des développements. C’est justement ce que nous faisons avec EBRC dans la mise en œuvre de DevSecOps » précise Fabrice Croiseaux.
— AUTOMATISATION
ET CONTRÔLE CONTINU
Pour éviter tout ralentissement des flux DevOps et puisque l’exécution de contrôles de sécurité manuels peut être laborieuse et coûteuse en temps, l’automatisation des tâches répétitives est un élément clé de l’approche DevSecOps. L’automatisation s’applique notamment au contrôle des développements : les développeurs peuvent tester en continu leur code pour identifier au plus tôt les éventuelles vulnérabilités et réduire le nombre de correctifs post-déploiement. Elle touche également le contrôle des systèmes à travers la conteneurisation des solutions qui permet d’isoler les différentes fonctions d’un système, d’automatiser les opérations d’audit de sécurité et de vérifier à chaque instant que les politiques de cyber-sécurité sont bien mises en application. L’utilisation d’environnements conteneurisés permet en outre de sécuriser l’infrastructure en automatisant la détection des incidents. Ainsi, lorsqu’une tentative d’intrusion ou un flux anormal est détecté, il est possible de désactiver et d’isoler les instances corrompues et de rediriger instantanément le trafic.
— OUVERTURE
ET INTEROPÉRABILITÉ
« Aujourd’hui, les technologies qui permettent d’atteindre les objectifs d’agilité et de réactivité que vise l’approche DevOps peuvent dans une large mesure être mises en œuvre sur le cloud public », constate Fabrice Croiseaux. « Nos clients peuvent cependant bénéficier d’un niveau de service comparable à travers une plateforme hébergée au Luxembourg, dans le Trusted Cloud Europe et les data centres Tier IV d’EBRC, et rencontrer tant les exigences réglementaires des différents régulateurs que les critères de conformité des normes internationales les plus exigeantes telles que ISO 27001, ISO 20000, ISO 22301, Tier IV et PCI DSS, entre autres. » La plateforme cloud EBRC Kubernetes as a Service comprend toutes les briques nécessaires pour industrialiser le déploiement, la mise à l’échelle et l’orchestration d’architectures de micro-services et d’applications conteneurisées. Avec la solution Red Hat OpenShift - une plateforme orientée sécurité continue commune aux équipes de développement et d’exploitation qui permet de créer, déployer et gérer des applications conteneurisées -, EBRC KaaS forme le socle de l’offre technologique DevSecOps d’InTech et EBRC. En privilégiant ainsi l’ouverture et l’interopérabilité, les sociétés du groupe POST se différencient des acteurs traditionnels du cloud public et permettent aux entreprises de se prémunir contre le risque de vendor lock-in. « EBRC présente également de très hauts niveaux de compétences en matière de sécurité de l’information et de Cyber-Résilience ainsi qu’en gestion des processus et en gouvernance des systèmes d’information », rappelle Jean-François Hugon. « En combinant EBRC accompagnent leurs clients dans leur parcours DevSecOps en les aidant à transformer leurs méthodes de développement mais aussi en assurant un transfert de compétences quant aux nouvelles manières d’aborder les infrastructures. » Tant l’envergure que l’impact d’une transition vers le DevSecOps sont considérables. Et si le DevOps reste complexe aux yeux de développeurs fortement responsabilisés, les administrateurs systèmes sont contraints d’adapter leurs savoir-faire traditionnels à des systèmes d’informations configurés et gérés par du code. Ce sont là des éléments de risque dont il convient de tenir compte
dans toute stratégie DevSecOps. leurs expertises », résume-t-il, « InTech et
Du développement à l’exploitation, de l’idéation à la maintenance, EBRC et InTech conjuguent tous les atouts pour permettre aux entreprises d’intégrer sereinement, à leur organisation informatique, les facteurs-clés sur lesquels reposent une transition réussie vers le DevSecOps, qu’il s’agisse d’instaurer une collaboration active entre l’ensemble des parties prenantes, de normaliser les processus de développement et de livraison en y intégrant les exigences de cyber-sécurité, d’introduire de nouveaux outils technologiques d’automatisation des contrôles et des opérations, ou d’organiser une gouvernance transverse, commune à tous les métiers impliqués dans le cycle de vie des applications.
Auteur : Michaël Renotte Crédit photo : EBRC
TRUSTED ADVISORY SERVICES,
LA VOIE VERS LA RÉSILIENCE
Philippe Dann Head of Risk & Business Advisory - EBRC
Convaincu que les entreprises doivent acquérir la résilience indispensable à leur développement dans l’économie numérique, EBRC a déployé une offre de conseil qui répond aux défis posés par la transformation digitale. Cette activité de conseil couvre aujourd’hui la gestion de la continuité d’activité, la cyber-sécurité, la transformation informatique, l’audit des centres de données ainsi que tout le spectre de la Gouvernance, du Risque et de la Conformité.
« Nos missions de conseil et d’accompagnement sont menées par notre équipe de Trusted Advisors », explique Philippe Dann, Head of Risk & Business Advisory chez EBRC. « Nos experts rencontrent les responsables des différentes activités de l’entreprise qui fait appel à nos services, pour identifier ses processus et activités critiques. Ils peuvent ainsi identifier les besoins métiers et analyser la capacité de l’IT à répondre à ces impératifs. » Les investigations des experts d’EBRC couvrent tout le spectre de la continuité d’activité, du DRP - c’est-à-dire la continuité
de l’infrastructure - jusqu’aux analyses d’impact business. « Nos consultants travaillent à la fois avec les métiers et avec l’IT pour s’assurer de l’alignement des deux pôles », précise Philippe Dann. « Ils mènent des campagnes d’analyse d’impact, identifient les applications, les éléments à risque ou les plus critiques, et mettent ensuite en place, avec le client, ses propres stratégies et plans de continuité ainsi que la gestion de crise ». Les Trusted Advisors d’EBRC peuvent ensuite accompagner le client jusqu’à l’obtention de la certification ISO 22301 qui régit le domaine de la continuité d’activité. « En matière de gestion de la continuité d’activité, nous avons accompagné Arendt Services dans leur parcours de certification, premier PSF luxembourgeois à obtenir la certification ISO 22301, Banque de Patrimoines Privés, pionnière parmi les banques de la place, et une compagnie d’assurance française », témoigne Philippe Dann. « En ce moment », poursuit-il, « nous accompagnons une demi-douzaine d’entreprises dans leur processus de certification. Pour d’autres, notre intervention se concentre sur l’analyse de risque ou la Business Impact Analysis ». L’offre de conseil Trusted Advisory inclut en outre l’audit et l’accompagnement à la certification de data centres. Ces missions d’audit de data centres sont menées par les équipes certifiées qui gèrent et exploitent les propres centres de données Tier IV d’EBRC. « Au-delà des audits classiques portant sur les infrastructures et leur exploitation, ces missions intègrent l’analyse et la gestion des risques, qu’il s’agisse des risques environnementaux liés aux data centres, des risques cyber, ou encore des éléments mis en évidence par la directive
NIS et qui concernent le périmètre du data centre », détaille Philippe Dann. « Pour cela, nous menons systématiquement une analyse des risques auxquels est exposé le data centre de notre client par rapport à son activité économique et son environnement informatique. Nous combinons ainsi notre expertise technique des centres de données - sécurité physique, sécurité logique, disponibilité - et le pilotage des risques ». « Nos activités de conseil s’étendent également à la GRC, Governance Risk & Compliance, un domaine qui relève de la sécurité du système d’information, notamment de la norme ISO 27001. Nous aidons nos clients à mener leurs analyses de risques, à mettre en place un pilotage du risque et à élaborer leurs stratégies de sécurité », expose Philippe Dann. « Dans ce cadre », ajoute-t-il, « nous intégrons à la fois les régulations et
les directives européennes - GDPR et NIS notamment - les standards internationaux et les règles internes propres à l’entreprise pour définir un tableau de bord du pilotage du risque et de la cyber-sécurité afin d’en évaluer la conformité ». La transformation IT constitue un autre volet de l’offre de conseil d’EBRC. « Nous aidons nos clients à faire le choix de la solution la plus adaptée à leurs besoins, leurs métiers et leurs applications dans le cadre de la transformation de leur environnement informatique, que ce soit en termes de relocalisation de data centres ou de migration vers le cloud », poursuit Philippe Dann. Et pour aider les entreprises à mieux protéger leurs données et l’intégrité de leurs systèmes, les experts d’EBRC évaluent, afin de le renforcer, le niveau de sécurité des infrastructures et des applications sur la base d’analyses de risques, de tests de vulnérabilité et d’intrusion.
— UNE APPROCHE
RÉSOLUMENT PRAGMATIQUE
« Notre activité de conseil est basée sur un ensemble de compétences développées en interne car ce que nous recommandons à nos clients, nous l’appliquons à nos propres activités », explique Philippe Dann. « Notre approche est pragmatique. Elle se fonde sur le partage d’informations avec nos clients et le retour d’expérience. Nous ne sommes pas des théoriciens de la continuité d’activité, pas plus que de la gouvernance », souligne-t-il. « À ce jour, nous comptons plus de 800 tests de continuité à notre actif et de nombreuses réalisations en matière de gestion de crise », indique Philippe Dann. « Et nous détenons la certification ISO 27001 depuis 2010, renouvelée chaque année, ce qui nous permet de capitaliser sur une expérience acquise de longue date. C’est notamment pour cela que nos clients nous font confiance, parce que nous connaissons intimement les sujets que nous abordons et que nous possédons l’expérience nécessaire pour dialoguer d’une part avec les informaticiens, les CISO, les Risk Managers ou les DPO, et d’autre part avec les métiers ». « Notre intervention peut ainsi avoir pour point de départ une demande émanant des métiers, relative à la continuité d’activités par exemple, ou un besoin lié au risque identifié par le CISO, le Risk Manager ou le DPO. Dans les deux cas, l’alignement avec l’IT devra faire l’objet d’une évaluation », souligne Philippe Dann. « C’est ce qui nous permet de couvrir l’ensemble des besoins de l’entreprise et, en combinaison avec nos activités Cloud, SOC, et data centre, d’offrir une solution de bout en bout aux clients qui le souhaitent », conclut Philippe Dann.
