Sergey Nivens - Fotolia

Au secours ! Mon système d’information devient incontrôlable (Par S. DEON)

Parce qu’il est un enchevêtrement de composants, le système d’infomation d’une entreprise doit être placé en permanence en observation. Comment imaginer capitaliser sur un socle sans en connaître l’étendue, les limites et les possibilités techniques ? Sébastien Deon, Directeur de l’Offre Santé chez l’opérateur de services hébergés Adista, revient sur l’absolue nécessité de se livrer à une cartographie de son SI et sur les outils à mettre en place.

Un système d’information n’est jamais isolé : il est toujours composé de sous-systèmes reliés entre eux.

Cela paraît une évidence et pourtant ! Comment imaginer une seule seconde ne pas connaître l’intégralité des composants d’un ensemble ou sous-ensemble d’un système dont on en est le responsable ?

Prenons comme exemple le corps humain : ce vaste système est composé de plusieurs sous-systèmes (squelettique, musculaire, nerveux, respiratoire, digestif, …) étant eux-mêmes constitués d’éléments spécifiques. Tous ces éléments ou composants, ainsi que leurs fonctionnements et relations, ont été recensés par les spécialistes du domaine de la médecine. En cartographiant le système « corps humain », cela a permis aux médecins de le connaître, de le comprendre et d’en maîtriser les contours et limites et donc, in fine, de le surveiller pour mieux en prendre soin.

En matière de système d’information, les composants sont répartis en différentes couches : la couche métier composée des processus métier, résultat de la déclinaison de la stratégie d’entreprise, la couche fonctionnelle composée d’une ensemble de SI spécialisés (vente, relation client, marketing, production, …), la couche applicative composée de logiciels (ERP, bureautique, comptabilité, …, applications métiers), et la couche technique composée de matériels (bâtiments, datacenter, énergie, serveurs, baies de stockage, routeurs, switchs, machines virtuelles, firewalls, …).

 

Ces quatre couches communiquent entre-elles ; en cartographier les composants et leurs relations revient à visualiser le fonctionnement du SI donné. En effet, savoir que l’application « GesProd » fonctionne sur un cluster HyperV géo-localisés sur deux datacenters à Paris et à Nancy, que l’application fonctionne sur un environnement Oracle 12c et qu’il y a une fonctionnalité d’envoi de commandes en passant par un serveur de messagerie hébergée dans un cloud public nous donne de précieuses informations, à savoir qu’une défaillance du lien Internet va entraîner une perte de commande ou qu’une non disponibilité de la base Oracle va mettre au chômage technique tous les utilisateurs de l’application.

Imaginons maintenant que le SI soit constitué de 1000 machines virtuelles, de 200 applications utilisant trente versions de middleware (Java 7/8, PHP, Tomcat 7.x/8.x/9.x, SQL Server, MySQL, …) . Il est impossible pour un être humain normalement constitué de parfaitement retenir les détails du fonctionnement du SI sans être outiller de façon adéquat. La production est toujours sous contrôle alors que la gestion globale du SI est souvent laborieuse

Alors que la production est très souvent maîtrisée, il n’y aucun doute là-dessus, de même que les développements d’applications, la gestion du SI semble plus laborieuse : absence de schémas de circulations des flux, des interactions entre les serveurs, les bases de données, les utilisateurs, la sécurité, …  La réponse est souvent la même : « nous n’avons pas de cartographie », « elle n’est pas à jour », « la personne qui était en maîtrise est partie », « je peux vous envoyer un tableau Excel de la liste de mes serveurs avec les vCPUs, la RAM et l’espace disque », … Il apparaît ainsi un manque évident de maîtrise des systèmes en jeu. Et quoi de plus difficile, voire délicat, de s’aventurer à imaginer des schémas cibles urbanisés, des projets d’externalisation vers le cloud privé, vers le cloud public, vers une éventuelle hybridation, d’écrire des roadmaps de modernisation de SI, d’identifier les traitements de données chers au RGPD, …, sans savoir d’où l’on part. Le recours à un audit à 360° est la première étape du parcours de soin d’un SI (le bilan de santé en quelque sorte) indispensable en vue d’alimenter la future base de données des éléments d’un SI et donc de son référentiel.

A l’objection d’investissement dans un projet de cartographie de SI, il est nécessaire de marquer les esprits en proposant, de façon ironique, d’essayer l’incident.

Un système d’information a besoin d’être soigné par des spécialistes

Un système d’information naît, grandit, vit, vieillit et meurt. Il a donc besoin d’être suivi afin de faire sur lui des actions curatives, préventives, voire de plus en plus prédictives grâce à l’apport des technologies d’intelligence artificielle.

Dans ce domaine, l’équipe « médicale » est composée de parties prenantes diverses et variées (la DSI, les métiers, les clients, les prestataires externes, les MOAs, les MOEs, …).

Le SI de 2019 n’est pas encore autonome (nul doute que les projets d’IA sur ce secteur vont arriver dans les prochaines années) et ne peut donc pas vivre seul : des stratèges en SI, des architectes, urbanistes, experts devops, webops, sysadmin, … doivent être constamment à son chevet. Comme ce qui n’est pas mesurable n’est pas contrôlable, le chantier de production d’indicateurs et de tableaux de bord du SI peut (et doit) tout à fait être initié ou enrichi dans le cadre du projet de cartographie.

L’outil de cartographie, seul, ne sert à rien : il faut un accompagnement humain

Il faut entendre par là qu’un accompagnement par des experts du sujet est souvent nécessaire et salutaire au démarrage du projet. Pour effectuer un accompagnement de qualité, un expert doit connaître le fonctionnement des grandes fonctions de l’entreprise (production, administratif et budget, marketing, commerce, vente, …), le métier sur lequel il va intervenir ainsi qu’une excellente vision d’un SI sur toutes ses composantes, du métier (santé, banque, retail, …) à la technique.

Une prestation d’accompagnement commence toujours par établir le périmètre du système ou sous-système à cartographier, ainsi que la définition des enjeux et des problématiques à résoudre avec la MOA. Des interviews avec les métiers sont alors réalisées pour prendre connaissance et comprendre le fonctionnement du SI sous forme d’ateliers interactifs. Ilsvont permettre de récolter les données qui devront être impérativement formatées afin de faciliter l’intégration dans le logiciel de cartographie.

Après avoir intégré les composants et relations de façon la plus automatisée possible (scripts, API Rest, …), l’utilisation en mode graphique d’un logiciel va pouvoir alors commencer, ainsi que les séances de transfert de compétences afin de rendre autonomes les métiers.

Les promesses de la cartographie de SI

Disposer d’une cartographie à jour des actifs du SI permet de pouvoir répondre à de nombreux cas d’usage comme par exemple :

  • Offrir une vision partagée à tous les acteurs du SI
  • Maîtriser les risques en lien avec les référentiels sectoriels
  • Associer les licences logicielles des grands éditeurs (Microsoft, Oracle, …) aux actifs et éviter d’avoir de mauvaises surprises en cas d’audit
  • Effectuer des analyses d’impacts pour analyser et mesurer les impacts des incidents et des changements
  • Disposer d’une réponse on-line à une exigence réglementaire (circulaires et instructions ministérielles)
  • Produire une analyse de risques en positionnant des critères DICT (Disponibilité, Intégrité, Confidentialité, Traçabilité) sur les composants du SI
  • Effectuer un inventaire des traitements et consentements (RGPD)
  • Constituer un référentiel de processus métier

Les outils

En matière d’outillage, il existe deux approches : le logiciel on-premise réservé à une entreprise disposant d’un service informatique organisé maîtrisant l’infogérance technique de l’outil et si possible composé d’architectes de SI et d’urbanistes ; et le logiciel en mode SaaS pour les entreprises souhaitant principalement se concentrer sur le métier de cartographe et d’urbaniste de SI.

De nombreuses solutions existent sur ce marché, parmi lesquels la plateforme collaborative Hopex (Mega), Solu-QIQ (AB+Software) qui dispose d’un module Web de restitution et d’un module client/serveur réservé aux architectes, Ekialis Suite (Ekialis) qui présente l’avantage de fournir une solution simple et intuitive de cartographie des actifs et processus avec son module Explore,. L’outil propose également’une solution de pilotage permettant d’outiller le schéma directeur et de piloter les portefeuilles de projets (BUILD) et les activités récurrentes (RUN) avec son module Pilot.

 

Sébastien DEON est Directeur de l’Offre Santé chez l’opérateur de services hébergés Adista.

Spécialiste de la conception de plateformes multi-services dans les domaines de l'hébergement de données santé (HDS), des architectures IT et de la sécurité des systèmes d’information, avec un fort accent porté sur l’innovation, la conception, l’intégration et l’exploitation de technologie Open Source. Il est également l’auteur de plusieurs ouvrages sur OpenStack - Cloud Computing d'entreprise, Infrastructure as a Service (IaaS), sur la messagerie collaborative Zimbra et sur le système de téléphonie IP d’entreprise Asterisk, publiés aux éditions ENI.

Pour approfondir sur Administration de systèmes