Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

Connaître son environnement pour créer de la valeur

Le catalogue de services

Le catalogue de services est l’interface entre le fournisseur de service avec les clients et les utilisateurs de celui-ci. En structurant de manière claire les services disponibles, les utilisateurs peuvent ainsi comprendre ce qu’ils ont à attendre du fournisseur de service. À l’opposé, le fournisseur dispose d’une liste claire d’activités qui doivent être mises en place pour supporter ces utilisateurs et répondre dans l’intervalle des durées prévues et selon un prix et un niveau de qualité définis.

Le catalogue de services contient généralement les informations suivantes :

  • Un titre : le titre seul doit déjà permettre aux utilisateurs de comprendre ce à quoi ils ont accès. Il se doit donc d’être explicite.

  • La liste d’options : dans certaines situations, les entrées peuvent se voir associées des options, comme la couleur d’un objet commandé, le délai de livraison attendu, ou les caractéristiques d’un appareil électronique.

  • Une description : la description permet de recevoir des informations complémentaires afin de valider la bonne compréhension du titre, mais aussi de ce qui sera fourni et comment cela va se passer.

  • Les procédures : si cela n’est pas le formulaire...

La Configuration Management DataBase (CMDB)

La Configuration Management DataBase (CMDB), comme son nom l’indique en anglais, est une base de données ayant pour but de maintenir de l’information sur la gestion des configurations. Elle s’avère fort utile dans le contexte de la gestion des services informatiques. On y retrouvera de nombreuses informations tant sur l’infrastructure que sur les services et les applications.

Au niveau de l’infrastructure, on y retrouve l’ensemble des composants physiques : les serveurs, les machines des utilisateurs, mais aussi les éléments permettant la connectivité entre ceux-ci tels que les routeurs ou les firewalls.

À cela s’ajoutent les éléments virtuels, que ce soient les logiciels, les applications ou encore les licences, ou même la liste des utilisateurs de ces applications et éventuellement à qui sont associées les licences.

Il est fréquent de confondre la CMDB et le Software Asset Management(SAM). Là où la CMDB cherche à fournir une vue holistique des configurations, le SAM se focalise sur la gestion des licences et de la conformité des utilisations par rapport aux licences acquises. Certaines applications de ce type sont par ailleurs en mesure de lister les vulnérabilités des applications, bien que ce ne soit pas leur vocation première.

De nombreuses CMDB...

Le droit d’utiliser un produit ou un service

1. La licence

La licence permet d’avoir le droit d’utiliser un produit ou un service. Dans de nombreux cas, cette utilisation s’avère rémunérée tandis qu’il est également possible que l’utilisation s’avère gratuite. Dans les deux, des conditions d’utilisation s’appliquent. En effet, le développeur de logiciel ou le fournisseur de service détient des droits d’auteur ou de conception. La licence permet alors de clarifier si l’utilisateur peut redistribuer tout ou une partie d’un logiciel ou encore de faire appel à un service au sein d’un autre service.

De manière générale, la licence indique donc les droits acquis, mais aussi les restrictions et les contraintes telles que le droit de transférer ses droits à un autre utilisateur ou une autre machine. La licence a une durée particulière. Ainsi on retrouve souvent des licences à l’année, renouvelable tacitement ou non ou encore des licences perpétuelles. Parmi les aspects importants, l’accès au support, mais aussi la possibilité d’obtenir des mises à jour ou même des nouvelles versions sont autant de droits qui peuvent faire la différence entre deux logiciels. 

Bien qu’elle ne propose que rarement du support...

L’analyse de la composition des logiciels

1. Pour quoi faire ?

Tout d’abord il est nécessaire de définir une stratégie de gestion des composants et une série d’objectifs qui en découle. La stratégie doit permettre en effet de répondre à certaines questions pour l’opérationnalisation : quelle structure mettre en place ? Faut-il mettre en place une équipe centralisée ? Et dans ce cas, quel est son rôle ? Quelles sont les responsabilités des uns et des autres ? Au-delà des développeurs, quelles sont les autres équipes qui interviennent dans l’organisation ?

En effet, tous les outils ne proposent pas tous les mêmes fonctionnalités ni avec la même approche. Ainsi, certains outils s’avèrent plus adaptés à certaines audiences et cas d’utilisation. Le niveau de tolérance aux faux positifs, liés à l’organisation, doit également être pris en compte. L’approche proposée par les fournisseurs pour réduire les faux positifs entre également en ligne de compte.

Quoi qu’il en soit, l’outil d’analyse se doit de couvrir un maximum de cas d’utilisation et de s’intégrer avec un plus grand nombre, et ce, afin d’éviter le besoin de passer d’une application à l’autre.

2. Un élément d’un écosystème complet

Pour être efficace, l’outil d’analyse se doit de s’intégrer dans un écosystème. Certains...

L’identification de composants avec des failles de sécurité

Diverses techniques existent pour identifier des failles de sécurité, notamment l’utilisation d’outils de tests, que ce soit en statique ou en dynamique, comme nous avons pu le voir dans un précédent article. Ce type de tests se limite cependant à ce qui est directement visible et ne permet pas d’identifier les risques légaux liés à l’utilisation d’une licence open source ou de piloter les changements applicatifs, notamment lié à la découverte de failles de sécurité dans un composant après le passage au banc de tests.

L’identification de ces vulnérabilités requiert la conjonction de différentes sources et y inclut les outils de suivi des non-conformités. Encore faut-il que la qualité soit là. En effet, il peut être simple d’obtenir des faux positifs si ces sources s’avèrent peu fiables. C’est là que l’humain intervient pour combler les trous laissés par l’intelligence artificielle, même si celle-ci est en permanente évolution, et identifier les causes de ce faux positif. Il faut également que l’information soit disponible en temps et en heure. C’est dans ce contexte qu’en plus des bases de données partagées...