concours interne d’ingenieur des … · doc/fr/images/debian_edu_network_wheezy.png pages 17 ......
TRANSCRIPT
CONCOURS INTERNE D’INGENIEUR DES SYSTEMES D’INFORMATION ET DE COMMUNICATION
- SESSION 2015 -
Mardi 31 mars 2015
Epreuve n°2
Etude de cas à partir d’un dossier à caractère technique de vingt cinq pages maximum, soumis au choix du candidat, permettant de vérifier les capacités d’analyse et de synthèse du candidat ainsi que son aptitude à dégager les solutions appropriées, portant sur le thème suivant :
Sujet : ARCHITECTURES ET SYSTEMES
(Durée : 3 heures – Coefficient 3)
Le dossier documentaire comporte 25 pages.
IMPORTANT
IL EST RAPPELE AUX CANDIDATS QU’AUCUN SIGNE DISTINCTIF NE DOIT APPARAITRE NI SUR LA COPIE NI SUR LES INTERCALAIRES.
Sujet
Vous êtes affecté (e) à la Direction des Systèmes d'Information et de Communication (DSIC) du Ministère de l'Intérieur, dans un service d'urbanisme et d'architecture. Votre direction souhaite mettre en place un projet de rationalisation et de sécurisation du poste de travail qui sera proposé pour l'ensemble des agents de l'administration centrale et déconcentrée. La rationalisation concerne notamment le nomadisme : un même utilisateur doit pouvoir accéder aux mêmes ressources et applications, pourvu qu'il se connecte depuis un poste de travail banalisé situé sur le réseau interne du ministère. Un point d'attention doit être porté aux utilisateurs qui ont un pro.l particulier, notamment les personnels techniques ayant des fonctions d'administrateur ou d'exploitant des systèmes d'information.
Travail demandé : Vous devez rédiger une note à l'attention du directeur des systèmes d'information et de communication détaillant votre solution ainsi que les étapes de la mise en place de ce projet. Dossier documentaire :
Document 1 Politique de Sécurité des Systèmes d'Information de l’État 2014 - Extraits
pages 1 à 7
Document 2 Cadre de Cohérence Technique du Ministère de l'Intérieur version 2.6 - Extraits
pages 8
Document 3 Assemblée Nationale – Question écrite pages 9 à 10
Document 4 La virtualisation – Extraits
http://debian-handbook.info/browse/fr- FR/stable/sect.virtualization.html
pages 11 à 12
Document 5 Les différences entre Xen Desktop et Horizon View – Le Mag IT - Extraits
http://www.lemagit.fr/conseil/Les-differences-entre- XenDesktop-et-Horizon-View
pages 13 à 14
Document 6 Dix façons de faire échouer votre déploiement VDI – Extraits
http://www.lemagit.fr/conseil/Dix-facons-de-faire- echouer-votre-deploiement-VDI
pages 15 à 16
Document 7 Exemple de réseau de clients légers LTSP (Linux Terminal Server Project)http://maintainer.skolelinux.org/debian-edu-
doc/fr/images/Debian_Edu_Network_Wheezy.png
pages 17
Document 8 Stratégie intelligente de reprise d’activité pour les postes de travail : postes de travail sous forme
de service (DaaS) – Extraits
pages 18 à 20
Document 9 Livre Blanc Vmware « Postes de travail dans le Cloud » - Extraits pages 21 à 24
Document 10 Architecture de référence VMWare Horizon 6 - Extraits pages 25
Document 1
La politique de sécurité des systèmes d’information de l’Etat – Version 2014 – Extraits
1
La PSSIE s'adresse à l'ensemble des agents de I 'État, et tout particulièrement :
• aux autorités hiérarchiques, qui sont responsables de la sécurité des informations
traitées au sein de leurs services ;
• aux agents chargés des fonctions de directeurs des systèmes d'information {DSI);
• aux personnes chargées de la sécurité et de l'exploitation des systèmes d'information .
La PSSIE énonce des mesures techniques générales, qui constituent un socle minimal. Pour
certaines applications, ce socle minimal ne devra pas être considéré comme suffisant. Chaque
ministère s'appuiera sur la PSSJE, sur les normes existantes et sur les guides techniques
de I'ANSSI pour élaborer des mesures techniques détaillées.
Sécurité des réseaux
Sécurité des réseaux locaux
Objectif 13 : usage sécurisé des réseaux locaux. Maitriser les interconnexions de réseaux
locaux. Configurer de manière adéquate les équipements de réseau actifs.
RES-CLOJS : cloisonner le SI en sous-réseaux de niveaux de sécurité homoaènes. Par
analogie avec le cloisonnement physique d'un Mtiment, Je système d'information doit être
segmenté selon des zones présentant chacune un niveau de sécurité homogène.
RES-INTERCOGEO : interconnexion des sites géographiques locaux d'une entité.
L'interconnexion au niveau local de réseaux locaux d'une entité n'est possible que si la
proximité géographique le justifie et sous réserve de la mise en place de connexions
dédiées à cet effet, et de passerelles sécurisées et validées par le HFDS.
RES-RESS : cloisonnement des ressources en cas de partage de loçaux. Dans le cas où
une entité partage des locaux (bureaux ou locaux techniques) avec des entités externes,
des mesures de cloisonnement des ressources informatiques doivent être mises en place. Si
le cloisonnement n'est pas physique, les mesures prises doivent être validées par Je ou /es
HFDS concernés.
Accès spécifiques
Obiectif 14 : accès spécifiques. Ne pas porter atteinte à la sécurité du SI par le déploiement
d'accés non supervisés.
RES-INTERNET -SPECIFIQUE : cas particulier des accès spécifiques dans une entité. Les
accès spécifiques à Internet nécessitant des droits particuliers pour un usage métier ne
peuvent être mis en place que sur dérogation dûment justifiée, et sur des machines isolées
physiquement et séparées du réseau de l'entité, après validation préalable de l'autorité
d'homologation.
2
Exploitation des SI
Protection des informations sensibles
Objectif 19 : protection des informations sensibles. Définir et mettre en œuvre des mesures
de protection renforcées pour les informations sensibles.
EXP-PROT-INF: protection des informations sensibles en confidentialité et en intégrité . Des
mesures doivent être mises en œuvre afin de garantir la protection des informations
sensibles en confidentialité et en intégrité. A défaut d'utilisation d'un réseau homologué, ces
informations doivent être chiffrées à l'aide d'un moyen de chiffrement labe/lisé .
Sécurité des ressources informatiques
Objectif 20 : surveillance et configuration des ressources informatiQues. Durcir les
configurations des ressources informatiques, et surveiller les interventions opérées sur
celles-ci.
EXP- TRAC : tracabilité des interventions sur le système. Les interventions de maintenance
sur les ressources informatiques de l'entité doivent être tracées par le service informatique,
et ces traces doivent être accessibles au correspondant SS/Iocal durant au moins un an.
EXP-CONFIG : configuration des ressources informatiques . Les systèmes d'exploitation et
les logiciels doivent faire l'objet d'un durcissement. Les configurations et mises à jour sont
appliquées dans le strict respect des guides ou procédures en vigueur dans l'entité ou, par
défaut, en vigueur au niveau central.
EXP-DOC-CONFIG : documentation des configurations . La configuration standard des
ressources informatiques doit être documentée et mise à jour à chaque changement
notable.
Gestion des autorisations et contrôle d'accès logique aux
ressources
Objectif 21 : autorisations et contrôles d'accès. Authentifier les usagers et contrôler leurs
accès aux ressources des SI de l' tat, en fonction d'une politique explicite d 'autorisations.
Contrôle des accès logiques
EXP-ID-AU TH : identification. authentification et contr61e d' acc9s logique. L'acc9s à toute
ressource non publique doit nécessiter une identification et une authentification individuelle
de l'utilisateur. Dans le cas de l'accès à des données sensibles, des moyens
d'authentification forte doivent être utilisés. A cette fin, l'usage d'une carte à puce doit être
privilégié. Le contrôle d'accès doit être géré et s'appuyer sur un processus formalisé en
cohérence avec la gestion des ressources humaines.
EXP-DROITS : droits d'accès aux ressource . Après avoir déterminé le niveau de sensibilité,
le besoin de diffusion et de partage des ressources, les droits d'accès aux ressources
doivent être gérés suivant les principes suivants : besoin d'en connaitre (chaque utilisateur
3
n'est autorisé à accéder qu'aux ressources pour lesquelles on lui accorde explicitement le
bénéfice de l'accès), moindre privilège (chaque utilisateur accède aux ressources avec le
minimum de privilèges lui permettant de conduire les actions explicitement autorisées pour
lui).
EXP-PROFILS : gestion des profils d'accès aux applications. Les applications manipulant
des données sensibles doivent permettre une gestion fine par profils d'accès. Les principes
du besoin d'en connaitre et du moindre privilège s'appliquent.
Processus d'autorisation
EXP-PROC-AUTH : autorisations d'accès des utilisateurs. Toute action d'autorisation
d'accès d'un utilisateur à une ressource des SI, qu'elle soit locale ou nationale, doit s'inscrire
dans le cadre d'un processus d'autorisation formalisé, qui s'appuie sur le processus
d'arrivée et de départ du personnel .
EXP-REVUE-AUTH: revue des autorisations d'accès. Une revue des autorisations d'accès
doit être réalisée annuellement sous le contrôle du RSSI, le cas échéant avec l'appui du
correspondant local SSI.
Gestion des authentifiant
EXP-CONF-AUTH : confidentialité des informations d'authentification. Les informations
d'authentification (mots de passe d'accès aux SI, clés privées liées aux certificats
électroniques, etc.) doivent être considérées comme des données sensibles.
EXP-GEST-PASS : gestion des mots de passe. Les utilisateurs ne doivent pas stocker leurs
mots de passe en clair (par exemple dans un fichier) sur leur poste de travail. Les mots de
passe ne doivent pas transiter en clair sur les réseaux.
EXP-INIT-PASS : initialisation des mots de passe. Chaque compte utilisateur doit être créé avec un mot de passe initial aléatoire unique. Si les circonstances l'imposent, un mot de
passe plus simple mais à usage unique peut être envisagé.
E)(P-POL-PASS : politiques de mots de passe. Les règles de gestion et de protection des
mots de passe donnant accès aux applications et infrastructures nationales, telles
qu'édictées par les maitrises 'ouvrage nationales, doivent être respectées dans chaque
entité. Pour les ressources dont la politique de mots de passe est gérée localement, les
recommandations de I'ANSSI doivent être appliquées pour tous les comptes.
EXP-CERTIFS : utilisation de certificats électroniques. L'utilisation de certificats
électroniques doit respecter les règles édictées par le RGS.
EXP-QUAL-PASS : contrôle systématique de la qualité des mots de passe. Des moyens
techniques permettant d'imposer la politique de mots de passe (par exemple pour s'assurer
du respect de l'éventuelle obligation relative à l'usage de caractères spéciaux) doivent être
mis en place. A défaut, un contrôle périodique des paramètres techniques relatifs aux mots
de passe doit être réalisé.
Gestion des authentifiants d'administration
EXP-SEQ-ADMIN : séquestre des authentifiants « administrateur». Les authentifiants permettant l'administration des ressources des SI doivent être placés sous séquestre et
tenus à jour, dans un coffre ou une armoire fermée à clé. L'authentifié doit être informé de
4
J'existence de ces opérations de gestion, de leurs finalités et limites. Tout accès
d'administration à une ressource informatique doit pouvoir être tracé et permettre de
remonter à la personne exerçant ce droit. Les informations d'authentification bénéficiant d'un
moyen de protection physique (notamment carte à puce) n’ ont, par défaut, pas besoin d'être
J'objet d'opérations de séquestre de la part d'autres personnels que l'authentiffié lui-même.
EXP-POL-ADMIN: politique de mots de passe « administrateurs ». Chaque administrateur
doit disposer d'un mot de passe propre et destiné à l'administration.
EXP-DEP-ADMIN : gestion du départ d'un administrateur des SI. En cas de départ d'un
administrateur disposant de privilèges sur des composants des SI, les comptes individuels
dont il disposait doivent être immédiatement désactivés. Les éventuels mots de passe
d'administration dont il avait connaissance doivent être changés (exemples : mots de passe
des comptes fonctionnels, comptes génériques ou comptes de service utilisés dans le cadre
des fonctions de l'administrateur).
Exploitation sécurisée des ressources informatiques
Objectif 22 : sécurisation de l'exploitation. Fournir aux administrateurs les outils nécessaires
à l'exercice des t ches SS/ et configurer ces outils de manière sécurisée.
Administration des systèmes
EXP-RESTR-DROITS : restriction c!es droits. Sauf exception dOment motivée et validée par
le RSSI, les utilisateurs n'ont pas de droits d'administration.
EXP-PROT-ADMIN : protection des accés aux outils d'administration. L'accès aux outils et
interfaces d'administration doit être strictement limité aux personnes habilitées, selon une
procédure formelle d'autorisation d'accès.
EXP-HABILIT-ADMIN : habilitation des administrateurs. L'habilitation des administrateurs
s'effectue selon une procédure validée par l'autorité d'homologation. Le nombre de
personnes habilitées pour des opérations d'administration doit être connu et validé par
l'autorité d'homologation.
EXP-GEST-ADMIN : gestion des actions d'administration. Les opérations d'administration
doivent être tracées de manière à pouvoir gérer au niveau individuel l'imputabilité des
actions d'administration .
EXP-SEC-FLUXADMIN : sécurisation des flux d'administration. Les opérations d'administration sur les ressources locales d'une entité doivent s'appuyer sur des protocoles
sécurisés. Un réseau dédié à l'administration des équipements, ou au moins un réseau
logiquement séparé de celui des utilisateurs, doit être utilisé. Les postes d'administrateurs
doivent être dédiés et ne doivent pas pouvoir accéder à Internet.
EXP-CENTRAL : centraliser la gestion du svstème d' information. Afin de gérer efficacement
un grand nombre de postes d'utilisateurs, de serveurs ou d'équipements réseau, les
administrateurs doivent utiliser des outils centralisés, permettant l'automatisation de
traitements quotidiens et offrant une vue globale et pertinente sur Je système d'information.
EXP-SECX-DIST: sécurisation des outils de prise de main à distance. La prise de main à
distance d'une ressource informatique locale ne doit être réalisable que par les agents
autorisés par l'équipe locale chargée des SI, sur les ressources informatiques de leur
périmètre . Des mesures de sécurité spécifiques doivent être définies et respectées.
5
Sécurité du poste de travail
Sécurisation des postes de travail
Objectif 25 : sécurisai/on des postes de travail. Durcir les configurations des postes de
travail en protégeant les utilisateurs.
Mise à disposition du poste
PDT-GEST: fourniture et gestion des postes des travail. Les postes de travail utilisés dans le cadre professionnel sont fournis et gérés par l'équipe locale chargée des SI.
PDT-CONFIG: formalisation de la configuration des postes ç!es travail. Une procédure
formalisée de configuration des postes de travail est établie par chaque entité,
conformément aux directives nationales existantes.
Sécurité physique des postes de travail
PDT-VEROUIL-FIXE : verrouillage de l'unité centrale des oostes fixes. Lorsque l'unité centrale d'un poste fixe est peu volumineuse, donc susceptible d'être facilement emportée, elle doit être protégée contre le vol par un système d'attache (par exemple un c§ble antivol).
PDT-VEROUIL-PORT : verrouillage des postes portables. Un câble physique de sécurité
doit être fourni avec chaque poste portable. Les utilisateurs doivent être sensibilisés à son
utilisation.
Réaffectation du poste et récupération d'informations
PDT-REAFFECT: réaffectation du poste de travail. Une procédure SSI définit les règles
concernant le traitement à appliquer aux informations ayant été stockées ou manipulées sur
les postes réaffectés.
Gestion des privilèges sur les postes de travail
PDT-PRIVIL: privilèges des utilisateurs sur les postes de travail. La gestion des privilèges des utilisateurs sur leurs postes de travail doit suivre le principe du « moindre privilège » :
chaque utilisateur ne doit disposer que des privilèges nécessaires à la conduite des actions
relevant de sa mission.
PDT-PRIV: utilisation des privilèges d' accès « administrateur». Les privilèges d'accès « administrateur » doivent être utilisés uniquement pour les actions d'administration le
nécessitant.
PDT-ADM-LOCAL : gestion du compte « administrateur local». L'accès au compte << administrateur local » sur les postes de travail doit être strictement limité aux équipes en
charge de J'exploitation et du support sur ces postes de travail.
6
Protection des informations
POT-STOCK: stockage des informations . Dans la mesure du possible, les données traitées
par les utilisateurs doivent être stockées sur des espaces réseau, eux-mêmes sauvegardés
selon les exigences des entités et en accord avec les règles de sécurité en vigueur.
PDT-SAUV-LOC: sauvegarde 1synchronisation des données locales. Dans le cas où des
données doivent être stockées en local sur le poste de travail, des moyens de
synchronisation ou de sauvegarde doivent être fournis aux utilisateurs.
POT-PART-FIC: partage de fichiers. Le partage de répertoires ou de données hébergées
localement sur les postes de travail n'est pas autorisé.
PDT-SUPPR-PART: suppression des données sur les postes partagés. Les données
présentes sur les postes partagés (portable de prêt, par exemple) doivent être supprimées
entre deux utilisations, dès lors que les utilisateurs ne disposent pas du même besoin d'en
connaitre.
PDT-CHIFF-SENS : chiffrement des données sensibles. Une solution de chiffrement
labellisée doit être mise à disposition des utilisateurs et des administrateurs afin de chiffrer
les données sensibles stockées sur les postes de travail, les serveurs, les espaces de
travail, ou les supports amovibles.
PDT-AMOV: fourniture de supports de stockage amovibles. Les supports de stockage
amovibles (clés USB et disque durs externes, notamment) doivent être fournis aux
utilisateurs par l'équipe locale chargée des SI.
Nomadisme
PDT-NOMAD-ACCESS : accès à distance aux Systèmes d'Information de l'entité. Les accès
à distance aux SI de l'entité (accès dits «nomades») doivent être réalisés via les
infrastructures nationales. Lorsque l'accès à distance utilise d'autres infrastructures, l'usage
de réseaux privés virtuels (VPN) de confiance est nécessaire.
PDT-NOMAD-PAREFEU: pare-feu local. Un pare-feu local conforme aux directives
nationales doit être installé sur les postes nomades.
PDT-NOMAD-STOCK : stockage local d'information sur les postes nomades. Le stockage
local d'information sur les postes de travail nomades doit être limité au strict nécessaire. Les
informations sensibles doivent être obligatoirement chiffrées par un moyen de chiffrement
labellisé.
PDT-NOMAD-F/L T : filtre de confidentialité. Pour les postes de travail nomades manipulant
des données sensibles, un filtre de confidentialité doit être fourni et être positionné sur
l'écran dès lors que le poste est utilisé en dehors de l'entité.
PDT-NOMAD -CONNEX: configuration des interfaces de connexion sans fil. La configuration
des interfaces de connexion sans fil doit interdire les usages dangereux de ces interfaces.
PDT-NOMAD-DESACTIV : désactivation des interfaces de connexion sans fil. Des règles de
configuration des interfaces de connexion sans fil (Wifi, Bluetooth, 3G...), permettant
d'interdire les usages non martrisés et d'éviter les intrusions via ces interfaces, doivent être
définies et appliquées. Les interfaces sans fil ne doivent être activées qu'en cas de besoin.
7
Document 2
Cadre de cohérence technique du Ministère de l’Intérieur version 2.6 – Extraits
8
Document 3
14e
législature
Question n° :
27634 de Mme Isabelle Attard
(Écologiste - Calvados) Question
écrite
Ministère interrogé > Intérieur Ministère attributaire > Intérieur
Rubrique > ministères et
secrétariats d'État Tête d'analyse > équipements Analyse > parc informatique.
logiciels libres. statistiques
Question publiée au JO le : 28/05/2013 page : 5440
Réponse publiée au JO le : 15/10/2013 page : 10878
Texte de la question
Mme Isabelle Attard attire l'attention de M. le ministre de l'intérieur sur l'application de la circulaire n° 5608
du 19 septembre 2012 du Premier ministre, définissant les orientations pour l'usage des logiciels libres dans
l'administration. La circulaire incitait les ministres à l'utilisation des logiciels libres dans leurs services. Elle
souhaite savoir quelles suites ont été données à cette circulaire, notamment les études d'opportunités de
migration de logiciels, l'intégration de ce critère dans les appels d'offres, les projets de migration de logiciels
propriétaires vers des logiciels libres ou encore la mise à disposition des sources de logiciels développés en
interne ou par un prestataire, au sein du ministère et de l'intégralité des administrations qui en dépendent.
Elle souhaite de plus connaître le montant des dépenses en logiciel, en distinguant les logiciels propriétaires
des libres, au sein du ministère et des administrations qui en dépendent, pour chaque année de 2008 à 2012.
Texte de la réponse
La circulaire n° 5608 du 19 septembre 2012 relative à l'usage du logiciel libre dans l'administration s'inscrit
dans le contexte plus large de l'élaboration et de la mise en œuvre d'un cadre stratégique commun du
SI de l'Etat (circulaire n° 5639-SG du 7 mars 2013) qui fixe une ambition commune de transformation des
systèmes d'information, à l'échelle interministérielle, au service de la modernisation de l'action publique. Dans
ce contexte, l'Etat privilégie pour sa politique logicielle une approche globale, progressive et non dogmatique
visant à mettre l'administration en situation de choisir à tout moment entre les différentes solutions, libres,
éditeurs ou mixtes, en fonction des seuls critères de performance et d'efficacité sur le long terme. La circulaire
n'a ainsi pas pour objet d'inciter les ministères à accroître l'usage des logiciels libres par rapport aux logiciels
propriétaires mais à systématiquement considérer le logiciel libre à égalité avec les autres solutions, afin de
répondre au mieux aux besoins métiers. La mise en oeuvre de ces orientations est engagée, sous l'animation
et la coordination de la direction interministérielle des systèmes d'information et de communication. Appuyée
au sein de chaque ministère sur une analyse de l'existant, la politique logicielle s'inscrit dans la durée et
nécessite un travail d'appropriation et de transposition internes en fonction des domaines d'application, des
usages et des niveaux de service attendus. Cependant, le ministère de l'intérieur s'inscrit depuis quelques
années déjà dans une stratégie de recours volontaire au logiciel libre. C'est l'un des premiers ministères
à avoir encouragé et adopté le libre dans la modernisation de son système d'information. Par exemple la
gendarmerie nationale mène depuis plusieurs années une politique volontariste qui permet aujourd'hui à 90
% de son parc informatique d'être libre d'adhérences applicatives au système d'exploitation Windows. Au
niveau interministériel il contribue au développement et à l'intégration du logiciel libre dans les systèmes
d'information de l'État par sa participation active aux différentes instances de promotion du libre et est
porteur d'offres de service interministérielles basées sur du logiciel libre (FIMAD [fédération d'annuaires],
OCS/GLPI [gestion du parc informatique], Ubuntu [Système d'exploitation des postes de travail], ...). Plus
particulièrement, pour l'environnement du poste de travail et des infrastructures (système d'exploitation des
serveurs, supervision, suite bureautique, messagerie...) ainsi que pour les systèmes de gestion de
bases
9
de données (adoption de PostgreSQL), des actions énergiques ont permis d'engendrer de substantielles
économies. A titre d'exemples, dès 2008, le ministère a adopté une messagerie libre (Thunderbird/OBM)
en substitution d'une solution propriétaire (Outlook/Exchange de l'éditeur MICROSOFT) pour ses 200 000
adresses. Plus récemment, le ministère a retenu OCS/GLPI pour répondre au besoin d'inventaire et de gestion
du parc (200 000 postes). Enfin, le ministère en est à sa deuxième génération de logiciels libres sur certains
domaines tels que les outils de production et de gestion de sites Internet/Intranet, les plates-formes d'e-
learning ou la gestion électronique de documents et de courriers. Enfin, il assure la gouvernance du marché
interministériel de support « Logiciels Libres » notifié en mai 2012 et en est le plus gros contributeur. Le
suivi de la mise en œuvre de la circulaire relative à l'usage du logiciel libre dans l'administration font l'objet
de travaux interministériels visant à mesurer, en volume et en valeur, l'évolution de l'usage des logiciels
libres et propriétaires. La valorisation des dépenses logicielles se heurte toutefois à d'importants obstacles
méthodologiques et pratiques. Leur périmètre fonctionnel est difficile à définir précisément : des logiciels
sont intégrés dans des équipements électroniques très variés (ordinateurs, téléphones, radios numériques,
satellites...). De surcroît les logiciels dits « embarqués » et les objets connectés se multiplient et ne permettent
pas d'isoler la dépense logicielle. Par ailleurs, même lorsque l'achat porte spécifiquement sur des logiciels,
il s'inscrit le plus souvent dans un contrat plus large de prestations de services informatiques
(développement, intégration, maintenance évolutive). Au plan économique, il n'est pas pertinent d'évaluer
le coût d'achat des licences sans prendre en compte ces prestations dès lors qu'elles sont indispensables
à l'utilisation même des logiciels. Enfin, au plan comptable, les outils de recueil disponibles n'ont pas
été conçus pour isoler spécifiquement ce type de dépense. Par ailleurs, la structure et l'organisation du
marché du logiciel ne facilitent pas une objectivation des coûts via le suivi des fournisseurs : la distribution des
logiciels fait intervenir différents prestataires et intermédiaires ; certains éditeurs sont aussi fabricants de
matériel et prestataires de service. Dans ce contexte, une évaluation des dépenses de logiciel a été
conduite par le service des achats de l'Etat avec l'ensemble des ministères. Cette évaluation porte sur les
logiciels acquis par l'Etat (administrations centrales et déconcentrées) sur la période 2008 - 2011. De cette
étude, le dépenses du ministère de l'intérieur (y compris l'immigration) en logiciels s'établissent comme suit :
Intérieur Immigration 2008 46 977 633 + 121 365 = 47 098 998 2009 59 631 567 + 2 052 884 = 61 684 451
2010 59 638 664 + - = 59 638 664 2011 75 874
659 + - = 75 874 659 Si la valorisation de tous les logiciels libres ne peut être établie avec précision comme
indiqué supra, on peut cependant estimer les économies dégagées pour quelques grandes opérations, toutes
prestations confondues, telles que : - la mise en œuvre de la messagerie libre en 2008 : 5 fois moins onéreuse
sur la durée qu'une solution propriétaire. - le déploiement de l'outil de gestion du parc (OCS/GLPI) : 10 fois
moins onéreux que l'outil propriétaire précédent.
10
Document 4
La virtualisation http://debian-handbook.info/browse/fr-FR/stable/sect.virtualization.html [extraits]
La virtualisation est une des évolutions majeures de ces dernières années en informatique. Ce terme regroupe différentes abstractions simulant des machines virtuelles de manière plus ou moins indépendante du matériel. On peut ainsi obtenir, sur un seul ordinateur physique, plusieurs systèmes fonctionnant en même temps et de manière isolée. Les applications sont multiples et découlent souvent de cette isolation des différentes machines virtuelles : on peut par exemple se créer plusieurs environnements de test selon différentes configurations, ou héberger des services distincts sur des machines (virtuelles) distinctes pour des raisons de sécurité.
Il existe différentes mises en œuvre pour la virtualisation, chacune ayant ses avantages et ses inconvénients. Nous allons nous concentrer sur Xen, LXC et KVM, mais on peut aussi citer, à titre d'exemple :
- QEMU, qui émule en logiciel un ordinateur matériel complet ; bien que les performances soient nettement dégradées de ce fait, ceci permet de faire fonctionner dans l'émulateur des systèmes d'exploitation non modifiés, voire expérimentaux. On peut également émuler un ordinateur d'une architecture différente de celle de l'hôte : par exemple, un ordinateur arm sur un système amd64. QEMU est un logiciel libre.
- Bochs est une autre machine virtuelle libre mais elle n'émule que les architectures x86 (i386 et amd64).
- VMWare est une machine virtuelle propriétaire. C'est la plus ancienne et par conséquent une des plus connues. Elle fonctionne selon un mécanisme similaire à QEMU et dispose de fonctionnalités avancées comme la possibilité de faire des snapshots (copies instantanées d'une machine virtuelle en fonctionnement).
- VirtualBox est une machine virtuelle libre (bien que certains composants additionnels soient disponibles sous une licence propriétaire). Elle est plus récente que VMWare et restreinte aux architectures i386 et amd64, mais elle dispose tout de même de fonctionnalités intéressantes comme la possibilité de faire des snapshots. Cette solution est disponible dans Debian depuis Lenny.
Xen Xen est une solution de « paravirtualisation », c'est-à-dire qu'elle insère entre le matériel et les systèmes supérieurs une .ne couche d'abstraction, nommée « hyperviseur », dont le rôle est de répartir l'utilisation du matériel entre les différentes machines virtuelles qui fonctionnent dessus. Cependant, cet hyperviseur n'entre en jeu que pour une petite partie des instructions, le reste étant exécuté directement par le matériel pour le compte des différents systèmes. L'avantage est que les performances ne subissent pas de dégradation ; la contrepartie est que les noyaux des systèmes d'exploitation que l'on souhaite utiliser sur un hyperviseur Xen doivent être modifiés pour en tirer parti. Explicitons un peu de terminologie. Nous avons vu que l'hyperviseur était la couche logicielle la plus basse, qui vient s'intercaler directement entre le noyau et le matériel. Cet hyperviseur est capable de séparer le reste du logiciel en plusieurs domaines, correspondant à autant de machines virtuelles. Parmi ces domaines, le premier à être lancé, désigné sous l'appellation dom0, joue un rôle particulier, puisque c'est depuis ce domaine (et seulement celui-là) qu'on pourra contrôler l'exécution des autres. Ces autres domaines sont, eux, appelés domU. Le terme « dom0 » correspond donc au système « hôte » d'autres mécanismes de virtualisation, « domU » correspondant aux « invités ». […]
LXC Bien qu'il soit utilisé pour construire des « machines virtuelles », LXC n'est pas à proprement parler une solution de virtualisation. C'est en réalité un système permettant d'isoler des groupes de processus sur un même système. Il tire parti pour cela d'un ensemble d'évolutions récentes du noyau Linux, regroupées sous
11
le nom de control groups, et qui permettent de donner des visions différentes de certains aspects du système à des ensembles de processus appelés groupes. Parmi ces aspects du système figurent notamment les identifiants de processus, la configuration réseau et les points de montage. Un groupe de processus ainsi isolés n'aura pas accès aux autres processus du système et son accès au système de fichiers pourra être restreint à un sous-ensemble prédéfini. Il aura également accès à sa propre interface réseau, sa table de routage, éventuellement à un sous-ensemble des périphériques présents, etc. Si l'on tire parti de ces fonctions, on peut isoler de la sorte tout une famille de processus depuis le processus finit et on obtient un ensemble qui se rapproche énormément d'une machine virtuelle. L'appellation officielle est « un conteneur » (ce qui donne son nom à LXC, pour LinuX Containers), mais la principale différence avec une machine virtuelle Xen ou KVM tient au fait qu'il n'y a pas de deuxième noyau ; le conteneur utilise le même noyau que la machine hôte. Cela présente des avantages comme des inconvénients : parmi les avantages, citons les excellentes performances grâce à l'absence d'hyperviseur de noyau intermédiaire, le fait que le noyau peut avoir une vision globale des processus du système et peut donc ordonnancer leur exécution de manière plus efficace que si deux noyaux indépendants essayaient d'ordonnancer des ensembles de processus sans cette vision d'ensemble. Parmi les inconvénients, citons qu'il n'est pas possible d'avoir une machine virtuelle avec un noyau différent (qu'il s'agisse d'un autre système d'exploitation ou simplement d'une autre version de Linux). Limites de l'isolation par LXC Contrairement au fonctionnement « habituel » des émulateurs ou des virtualiseurs plus lourds, les conteneurs LXC ne fournissent pas nécessairement une isolation totale. En particulier : Bien que le noyau de Wheezy dispose de la fonctionnalité permettant de limiter la mémoire accessible à un conteneur, cette dernière n'est pas activée par défaut car elle réduit légèrement les performances globales du système. Toutefois, elle peut facilement être activée on définissant l'option cgroup_enable=memory sur la ligne de commande du noyau. Comme le noyau est partagé entre le système hôte et les conteneurs, il est possible d'accéder depuis les conteneurs aux messages du noyau, ce qui peut donner lieu à des fuites d'informations si des messages sont émis par un conteneur.
Pour la même raison, si l'un des conteneurs est compromis et si une faille de sécurité du noyau est ainsi exposée, les autres conteneurs seront affectés aussi. […] Virtualisation avec KVM KVM (Kernel-based Virtual Machine, « Machine Virtuelle basée sur le Noyau ») est avant tout un module noyau facilitant la mise en place de machines virtuelles. L'application que l'on utilise pour démarrer et contrôler ces machines virtuelles est dérivée de QEMU. Ne vous étonnez donc pas si l'on fait appel à des commandes qemu-* dans cette section traitant de KVM ! Contrairement aux autres solutions de virtualisation, KVM a été intégré au noyau Linux dès ses débuts. Le choix de s'appuyer sur les jeux d'instructions dédiés à la virtualisation (Intel-VT ou AMD-V) permet à KVM d'être léger, élégant et peu gourmand en ressources. La contrepartie est qu'il ne fonctionne que sur les processeurs d'architectures i386 et amd64 suffisamment récents pour disposer de ces instructions. [...]
12
Document 5
Les différences entre Xen Desktop et Horizon View – Le Mag IT
http://www.lemagit.fr/conseil/Les-differences-entre-XenDesktop-et-Horizon-View [extraits]
Les logiciels de VDI économiques ne manquent pas. Pour autant, de nombreuses DSI choisissent in.ne entre XenDesktop de Citrix et Horizon View de VMware. Peut-être est-ce dû au fait qu’elles utilisent déjà des technologies de l’un ou l’autre des deux éditeurs, ou bien qu’elles cherchent à changer de l’un pour l’autre, ou encore parce qu’elles se lancent de la VDI et doivent choisir un produit qui répondent tant aux objectifs métiers que techniques.
Quel que soit le contexte, ces deux solutions aboutissent généralement en tête de liste. Mais la comparaison entre XenDesktop et Horizon View peut être assez compliquée. De nombreux points doivent être pris en considération, et cela va au-delà des seules spécifications. Les DSI doivent également identi.er leurs besoins spécifiques et penser à la manière dont la technologie qu’elles utilisent y répond.
Citrix XenDesktop 7.5 La dernière version de XenDesktop a été combinée à XenApp sous l’architecture FlexCast. Contrairement à View, qui est limité à un hyperviseur, XenDesktop peut fonctionner sur XenServer, ESXi de VMware, ou encore Hyper-V de Microsoft. C’est un point à prendre en compte si l’on exploite déjà l’un de ces hyperviseurs ou si l’on envisage de passer à un autre. Citrix propose d’ailleurs des ressources utiles sur la mise en œuvre de XenDesktop sur VMware vSphere.
La technologie HDX de Citrix, qui optimise la fourniture des postes et des applications virtuels sur le réseau, est, selon les utilisateurs, l’un des points qui distinguent XenDesktop des autres logiciels de VDI. HDX est basé sur le protocole TCP mais peut aussi utiliser UDP dans certaines situations. HDX est particulièrement efficace sur les connexions WAN, et supporte les graphismes 3D, la fourniture de contenus multimédia et la gestion de nombreux périphériques. HDX 3D-Pro fournit encore plus d’accélération graphique pour les applications qui en ont besoin. En.n, HDX for mobile, apparu avec XenDesktop 7, a amélioré le support des gestes et s’avère plus adapté aux interfaces tactiles.
Plus récemment, Citrix a travaillé à la simplification de la mise en œuvre et de l’administration de XenDesktop. Dans la version 7 de son logiciel de VDI, l’éditeur a significativement réduit le nombre de consoles d’administration à manipuler. Désormais, elles sont au nombre de deux : Studio, pour l’administration des machines virtuelles, et Director pour la supervision de l’environnement.
Les administrateurs peuvent provisionner des images en utilisant les Provisioning Services, qui permettent une gestion centralisée des disques, ou les Machine Création Services, qui utilisent les clones liés. De là, les administrateur peuvent fournir postes de travail et applications aux utilisateurs via cinq méthodes FlexCast différentes : postes hébergés partagés ; VDI hosté ;VHD streamé, qui exécute le poste de travail en local ;VM locale, qui exécute la machine virtuelle sur un hyperviseur installé en local sur le poste de travail ; et applications à la demande, qui fournit des applications virtualisées individuellement. XenDesktop 7 intègre en outre une fonction de publication en lots qui renforce l’automatisation du provisionnement.
Pour simpli.er les choses pour l’utilisateur final, Citrix a multiplié les terminaux supportés par Receiver, son logiciel client, désormais disponible pour iOS,Android, BlackBrry,Windows Phone, Mac et PC.
13
VMware Horizon View Précédemment connu sous le seul nom de View, Horizon View fait partie de la gamme Horizon qui comprend les produits de virtualisation de postes de travail, d’applications et de mobilité de VMware. Ce logiciel de VDI fonctionne sur l’hyperviseur de l’éditeur ESXi et n’en supporte pas d’autre. Il supporte nativement le protocole PCoIP qui est basé sur UDP plutôt que TCP. Les administrateurs peuvent gérer leur environnement Horizon View avec vCenter et le composant View Administrateur.
Selon les experts, Horizon View se distingue des autres logiciels de VDI par ses capacités liées au stockage. SE Sparse Disks et View Storage Accelerator aident à optimiser l’utilisation des ressources de stockage et à éviter les goulots d’étranglement. La nouvelle fonctionnalité VSAN rassemble les capacités de stockage locales pour constituer une vaste ressource de stockage au lieu d’isoler le trafic comme les réseaux de stockage virtuels le font habituellement. Le stockage a longtemps été la bête noire des administrateurs VDI. Ces avancements constituent donc des plus considérables.
Horizon View et XenDesktop supportent tous les deux l’organisation de postes virtuels en pools – ce que les administrateurs peuvent faire avec de simples assistants logiciels – mais les processus sont légèrement différents.
Horizon View est en outre facile à intégrer à vSphere, que de nombreuses organisations exploitent déjà pour leurs environnements de serveurs virtualisés. Qui plus est, la plupart des administrateurs du domaine de la virtualisation sont aujourd’hui certifiés VMware d’une manière ou d’une autre : la courbe d’apprentissage est ainsi plus douce pour implémenter Horizon View.
L’un des principaux points faibles de View est historiquement la gestion des pro.ls utilisateurs. La plupart des organisations utilisent des logiciels tiers pour cela.
Mobilité et GPU virtuel Citrix et VMware ont tous deux avancé pour supporter la virtualisation de GPU et intégrer leurs produits de virtualisation à des outils de mobilité d’entreprise.
XenDesktop peut fonctionner avec XenMobile et Citrix Receiver pour fournir des applications et des postes de travail virtuels sur des terminaux mobiles. De son côté, Horizon View fonctionne avec Horizon Workspace pour fournir l’accès aux postes virtuels sur des terminaux mobiles. Et les deux éditeurs travaillent pour améliorer leurs protocoles de poste de travail déporté afin de s’adapter aux connexions de faible qualité et de répondre au besoin croissant d’accès aux applications sur des appareils mobiles.
Profitant des efforts de Nvidia en matière de virtualisation de GPU, XenDesktop et Horizon View offrent tous les deux la possibilité de faire fonctionner des applications et des postes profitant d’une accélération graphique. La fonction Grid vGPU de Citrix est intégrée à XenDesktop 7.1. Et VMware propose Soft 3D,Virtual Shared Graphics Acceleration et Virtual Dedicated Graphics Acceleration en fonction de la densité d’utilisateurs et du niveau d’accélération souhaités par les administrateurs.
14
Document 6
Dix façons de faire échouer votre déploiement VDI http://www.lemagit.fr/conseil/Dix-facons-de-faire-echouer-votre-deploiement-VDI [extraits]
Le VDI est une technologie qui fait l’objet de nombreux pilotes mais de beaucoup moins de déploiements. Celui-ci est complexe et les raisons de faire échouer un projet ne manquent pas.
La première erreur de nombreux administrateurs est d’appréhender la virtualisation du poste de travail comme s’il s’agissait de virtualisation de serveur. Mais cela ne s’arrête pas là. La seconde erreur sur la liste consiste à essayer de traiter trop de points à la fois. Enfin, réseau et stockage ne doivent pas être appréhendés comme pour des postes de travail conventionnels. Voici comment les administrateurs échouent généralement dans leur projet VDI. Et comment ne pas tomber dans le même piège.
1. Penser que la virtualisation du poste de travail est comme la virtualisation de serveurs Si vous imaginez que vous réussirez votre projet VDI parce que vous avez pleinement réussi la virtualisation de vos serveurs, vous vous trompez. Virtualiser des serveurs est souvent plus simples parce que leurs traitements sont cohérents, peu évolutifs et prévisibles. Les traitements associés aux postes de travail virtuels sont plus dynamiques et nécessitent de considérer de nombreux composants : entrées/sorties par secondes, pro.ls utilisateurs, machines virtuelles sur le poste client, streaming de système et virtualisation d’applications, pour n’en citer que quelques uns.
2. Trop en faire Si vous utilisez encore Windows XP, il est temps de migrer vers Windows 7. Mais n’appréhendez pas votre migration comme le point de départ de votre déploiement VDI. Finissez votre migration, puis penchez-vous sur la mise en place de votre infrastructure de poste de travail virtuel. Sinon, vous allez travailler à deux projets considérables en même temps, et c’est la recette parfaite pour un désastre.
3. Ne pas savoir pourquoi vous virtualisez Ce n’est pas parce que la virtualisation peut sembler plus cool que des postes de travail physique que le VDI correspond à vos besoins. Ne prenez pas le risque de gâcher le temps et l’argent que nécessite un déploiement VDI si les Terminal Services suffisent à vos besoins. Assurez-vous que vous savez quel problème métier vous cherchez à régler et quelles applications sont adaptées au VDI.
4. Oublier l’environnement utilisateur Les utilisateurs apprécient leur poste de travail. Si votre déploiement VDI complique l’expérience utilisateur de manière trop importante, les employés ne seront pas satisfaits et votre projet VDI va tourner au cauchemar. Assurez-vous d’avoir mis en place la formation adéquate. Essayez même d’intégrer de véritables utilisateurs à vos scénarios de test.
5. Conserver de mauvaises habitudes Il y a des choses que vous pouvez faire avec des postes de travail physiques qui seront tout simplement impossibles avec la virtualisation. Par exemple, vous pouvez lancer une défragmentation ou une analyse antivirale sur autant de postes physiques à la fois que vous le voulez. Mais pensez un peu à ce que cela provoquerait sur un serveur exécutant 40 postes de travail virtuels.
6. Mal évaluer l’élasticité de votre déploiement VDI Il est facile de passer de 50 utilisateurs à 100, voire à 150. Mais votre pilote VDI a ses limites et
15
vous allez vous y heurter. Une fois que vous les aurez atteintes, vous risquez de devoir démonter intégralement votre architecture et recommencer de zéro, avec une nouvelle architecture capable de supporter la charge. Et il n’est pas possible non plus de trop prévoir à l’avance : les grands environnements VDI ne présentent pas une grande élasticité décroissante et les produits adaptés à ces déploiements sont onéreux.
7. Mal comprendre les règles de licence de Microsoft Microsoft ne vous simplifie pas la tâche pour déterminer rapidement vos besoins en licences. Il est donc important d’examiner attentivement les conditions de licence spécifiques au VDI pour les postes virtuels Windows. Il est ainsi nécessaire d’avoir une licence Software Assurance (SA) pour chaque équipement qui accède à une machine virtuelle. Si vos postes de travail ont déjà la SA, ils peuvent accéder à une machine virtuelle fonctionnant sous la même version de Windows. Les terminaux iOS et Android n’ont pas de SA, mais vous pouvez acquérir des licences d’accès à des postes de travail virtuels (VDA) pour 100 $ pièce. Ce n’est pas tout: il y a aussi la toute dernière licence pour appareil compagnon (Companion Device License).
8. Penser qu’un déploiement VDI va vous faire réaliser des économies Le modèle économique que vous avez préparé vous indique peut-être que le VDI va vous faire réaliser des économies. Mais beaucoup sont ceux qui oublient des données liées à une importante dépense. Peut-être pensez-vous que le VDI sera adapté à votre entreprise, avec par exemple des machines virtuelles non persistantes. Mais vous finirez peut-être par découvrir que cela n’est pas ce qui vous correspond. Si vous déployez une infrastructure VDI avec une machine virtuelle par utilisateur, vous n’économisez pas ni temps ni l'argent car rien n'est consolidé. Qui plus est, les coûts de stockage peuvent être plus élevés pour des postes de travail virtuels que pour des postes physiques.
9. Ne pas travailler ensemble Dans de nombreuses DSI, les équipes postes de travail, serveurs et réseaux travaillent séparément, en silos. Mais un projet VDI est extrêmement transversal. Il requiert la coopération de toutes ces équipes, ou au moins la mise en place d’une équipe dédiée regroupant les différents domaines concernés.
10. Sous-estimer les besoins Les éditeurs vous diront supporter x utilisateurs par coeur CPU. Mais les chiffres de densité et de stockage sortent des tests dans des conditions idéales. Testez le VDI sur votre matériel cible afin de déterminer de manière précise le nombre d’utilisateurs que vous pouvez supporter, et combien d’entrées/sorties par seconde (IOPS) sont nécessaires.
Le trafic réseau est également un facteur déterminant du succès - comme de l’échec - de votre déploiement VDI. Assurez-vous de disposer de suffisamment de bande passante pour supporter les connexions à vos postes de travail virtuels, et veillez à surveiller les niveaux de latence lors de vos tests.
16
Document 7
Exemple de réseau de clients légers LTSP (Linux Terminal Server Project)
http://maintainer.skolelinux.org/debian-edu-doc/fr/images/Debian_Edu_Network_Wheezy.png
[extraits]
17
Document 8
Stratégie intelligente de reprise d’activité pour les postes de travail : postes de travail sous forme de
service (DaaS)
Résumé analytique
La plupart des entreprises estiment que, dans l’éventualité peu probable d’une catastrophe naturelle ou d’une
coupure de courant majeure, leur plan de reprise d’activité leur permettra de rester opérationnelles. Mais en réalité, ces
événements sont plus fréquents qu’on ne le pense, et la plupart des plans de reprise d’activité ne sont pas suffisants. Ils
couvrent généralement les serveurs et les réseaux, mais pas du tout les postes de travail. Cela est dû au fait qu’il est
trop coûteux d’avoir des postes de travail physiques en double juste pour les situations d’urgence. Et bon nombre
d’entreprises choisissent donc de ne rien faire à ce sujet. Pourtant, en cas de défaillance de vos postes de travail, vos
employés peuvent se retrouver au chômage technique pendant plusieurs jours, et les conséquences pour votre
entreprise peuvent s’avérer catastrophiques. Pour éviter ce genre de situation, de nombreuses entreprises se tournent
actuellement vers les solutions de postes de travail sous forme de service (DaaS), qui constituent un moyen simple et
abordable d’assurer la continuité d’activité et de garantir la productivité des employés en toutes circonstances, quels
que soient le lieu et le moment où un incident grave se produit.
L’improbable n’a jamais été aussi probable
Aucune entreprise n’est à l’abri d’un incident grave. Pensez aux ouragans Sandy, Irene et Katrina. Que votre société se
trouve dans une région de plus en plus exposée à de telles catastrophes naturelles ou dans des zones exposées à des
vents violents, des tempêtes de neige, des tremblements de terre ou à une chaleur extrême, il est probable que votre
entreprise se soit déjà retrouvée (ou se retrouvera bientôt) sans électricité ou avec des employés qui ne peuvent plus
accéder à leurs bureaux. Même si vous n’êtes pas personnellement confronté à des catastrophes naturelles, votre
entreprise subirait des préjudices importants en cas de coupure de courant locale ou de panne matérielle au niveau des
postes de travail.
L’ouragan Sandy a provoqué une perte de chiffre d’affaires de 6 milliards de dollars pour les entreprises de la région de
New York. 1 Si Sandy constitue sans doute un cas extrême, selon une récente enquête CDW, plus de 25 % des systèmes
informatiques d’entreprise connaissent des interruptions de service d’au moins quatre heures par an, ce qui se traduit
par 1,7 milliard de dollars de pertes. 2 Au niveau de l’entreprise, de telles interruptions entraînent des pertes de
productivité et d’opportunités pouvant coûter des milliers de dollars par employé et par jour.
Si vos employés dépendent de postes de travail physiques se trouvant dans les bureaux de l’entreprise, comment
accéderont-ils à leurs applications et à leurs données s’ils ne peuvent pas se rendre à leur bureau à cause
d’intempéries, ou si leurs ordinateurs ne fonctionnent plus en raison de coupures de courant ? Comment pourront-ils
continuer à faire tourner l’entreprise ?
Si vous avez mis en œuvre une infrastructure de postes de travail virtuels sur site, et si le serveur sur lequel reposent
vos postes de travail virtuels se trouve dans un data center qui subit une panne majeure, vos employés seront touchés
même si le site sur lequel ils travaillent n’est pas concerné par la panne.
L I V R E B L A N C / 3
18
Stratégie intelligente de reprise d’activité pour les postes de travail : postes de travail sous forme de
service (DaaS)
Assurer la reprise d’activité des postes de travail n’a jamais été chose facile
Les entreprises ont clairement besoin d’un plan de reprise d’activité pour leurs postes de travail. Néanmoins, prévoir un
site distinct pour assurer la reprise d’activité des postes de travail (la manière de gérer la reprise d’activité qui est
généralement envisagée) est coûteux, car cela nécessite de lourdes dépenses d’investissement et entraîne des
coûts opérationnels élevés. Financer et gérer un second site et une infrastructure de postes de travail en double
présente un coût trop élevé pour la majorité des entreprises.
De plus, si vous disposez d’un site dédié à la reprise d’activité, vous devez veiller à ce qu’il reste en phase avec votre
infrastructure de production, pour constituer au final un véritable double de votre environnement. Il est donc préférable
d’effectuer des tests annuels pour vérifier que le système de reprise d’activité est fonctionnel et qu’il sera
immédiatement disponible en cas de besoin. Selon Gartner, les coûts annuels des tests de reprise d’activité peuvent
s’élever à 150 000 dollars par entreprise.3
DaaS : l’assurance reprise d’activité pour les postes de travail
Les postes de travail sous forme de service, ou DaaS, sont de plus en plus considérés comme la stratégie de reprise
d’activité la plus intelligente pour les postes de travail. Pour comprendre pourquoi, il faut commencer par présenter
rapidement les solutions DaaS : essentiellement, ces solutions sont des offres basées sur le Cloud qui fournissent
des postes de travail virtuels et des applications aux utilisateurs sur n’importe quel terminal (tablettes, smartphones,
portables, PC de bureau, clients légers, etc.), n’importe où. Les postes de travail et les applications fournis depuis le
Cloud présentent une apparence et un fonctionnement identiques à l’environnement informatique de votre
entreprise, alors qu’ils s’exécutent dans un data center distant sécurisé. Toute l’infrastructure (serveurs, logiciels,
réseaux, stockage, etc.) est hébergée dans les data centers ultrasécurisés et à haute disponibilité de votre
fournisseur de services. Votre investissement se résume à un abonnement mensuel pour le nombre et le type de
postes de travail dont vous avez besoin.
Par nature, les solutions DaaS sont parfaitement adaptées à la reprise d’activité. Les fournisseurs de services qui
emploient une plate-forme DaaS en réseau peuvent facilement prendre en charge une offre de reprise d’activité DaaS
sur plusieurs data centers et plusieurs sites. En d’autres termes, non seulement vos postes de travail sont hébergés au
sein d’un data center sécurisé et haute disponibilité qui est préservé si une catastrophe frappe le site principal de
votre entreprise, mais vous avez également la possibilité de faire héberger vos postes de travail sur plusieurs data
centers par ces fournisseurs de services. De cette façon,
s’il arrive, ce qui est peu improbable, qu’un de ces data centers de pointe soit endommagé à la suite d’une catastrophe,
vos employés peuvent accéder à des postes de travail hébergés dans l’un des autres data centers du fournisseur de
services.
Voici pourquoi les solutions DaaS sont idéales pour assurer la reprise d’activité des postes de travail :
Les postes de travail hébergés dans le Cloud sont disponibles en permanence, y compris lorsque vos bureaux
ne le sont pas.
• Les employés sont immédiatement productifs : tout ce dont ils ont besoin, c’est d’un accès Internet.
• Les employés peuvent travailler depuis n’importe où et sur n’importe quel terminal, y compris leurs appareils
personnels.
• Votre département informatique n’a plus à gérer un environnement de reprise d’activité distinct, ni à se
débrouiller dans l’urgence pour rendre votre infrastructure de reprise d’activité opérationnelle lorsque cela est
nécessaire. Il lui suffit de réserver la capacité de postes de travail souhaitée, de créer l’image maître pour la
restauration, de provisionner les postes de travail au niveau du stockage, et de se tenir prêt à déclencher le
basculement en cas de besoin.
• Lorsque votre entreprise se développe, vous pouvez facilement ajouter des postes de travail virtuels à votre
abonnement de reprise d’activité DaaS : quelques clics suffisent.
• Et il n’y a plus besoin de perdre du temps et de l’argent avec les tests de reprise d’activité annuels.
L I V R E B L A N C / 4
19
Stratégie intelligente de reprise d’activité pour les postes de travail : postes de travail sous forme de
service (DaaS)
Scénarios types de reprise d’activité DaaS
Les entreprises utilisent généralement les solutions de reprise d’activité DaaS de trois façons :
1. En tant qu’assurance pour un environnement de postes de travail physiques
Dans ce scénario, la solution DaaS sert de stratégie de reprise d’activité pour vos postes de travail physiques, en
réservant de la capacité auprès d’un fournisseur de services pour tout ou partie de vos utilisateurs. Tout ce que vous
avez à faire, c’est créer un compte et provisionner les images. Ensuite, dès que le besoin s’en fait ressentir, il vous
suffit d’activer les postes de travail pour que ceux-ci soient immédiatement mis à la disposition des utilisateurs, qui sont
ainsi productifs instantanément.
2. Reprise d’activité pour une solution VDI sur site
Cette approche vous permet de gérer votre environnement VDI sur site, mais d’utiliser la solution DaaS en cas
d’urgence, lorsque votre data center (et donc le serveur sur lequel reposent vos postes de travail virtuels) cesse de
fonctionner. Vos employés peuvent se remettre au travail en quelques minutes.
3. DaaS à tous les niveaux, en permanence
Du fait que les solutions DaaS sont par nature adaptées à la reprise d’activité et qu’elles simplifient la vie des
départements informatiques et des utilisateurs, même en l’absence de toute catastrophe, bon nombre d’entreprises
choisissent de déplacer leurs postes de travail vers le Cloud pour une utilisation quotidienne. Si une catastrophe
naturelle ou une panne majeure se produit au bureau, vous êtes déjà couvert. Aucun autre plan de reprise d’activité des
postes de travail n’est nécessaire.
Une bonne solution de reprise d’activité DaaS peut également gérer différents modèles, ce qui vous permet de
composer la combinaison correspondant exactement aux besoins de votre entreprise. Voici quelques exemples de ces
modèles :
• À chaud ou à froid
– À chaud : disponibles instantanément, des postes de travail virtuels hébergés dans le Cloud sont toujours
là, toujours prêts. La capacité, notamment de stockage et de traitement, est allouée et réservée à votre entreprise.
– À froid : vous partagez la capacité d’infrastructure avec d’autres entreprises, par exemple pour des
employés qui n’ont pas besoin d’un accès instantané, mais doivent quand même pouvoir reprendre le travail en
quelques heures. Le stockage est alloué à votre entreprise.
• Postes de travail dédiés ou partagés
– Postes de travail Windows 7/8 complets et persistants.
– Postes de travail à distance à session partagée (RDS). Cette alternative utilise un plus faible encombrement
par utilisateur et moins de stockage, et constitue l’option la plus économique. Nombre d’entreprises utilisent une
combinaison de postes de travail virtuels DaaS partagés et dédiés pour assurer leur reprise d’activité.
Conclusion
Dans le monde d’aujourd’hui, où la disponibilité doit être permanente, votre entreprise ne peut pas se permettre de
subir des interruptions de service importantes. Vous ne pouvez pas vous permettre d’avoir des employés inactifs
pendant des heures, voire des jours, à cause d’une tempête ou d’une coupure de courant. Si vous n’avez pas encore de
plan de reprise d’activité satisfaisant pour vos postes de travail, envisagez les solutions DaaS. Elles constituent la
manière la plus simple, la plus économique et la plus fiable de permettre à vos employés de reprendre le travail
rapidement et avec une productivité optimale. On ne sait jamais quand se produira la prochaine tempête ou le prochain
incident, et la prudence commande de se prémunir contre toute éventualité. Pour en savoir plus sur la plate-forme
VMware Horizon™ DaaS® et la façon dont vous pouvez l’exploiter dans le cadre de votre stratégie de reprise d’activité
pour les postes de travail, consultez la page http://www.vmware.com/fr/products/daas.
1. « Hurricane Sandy’s Rising Costs », NY Times, 27 novembre 2012
2. « 2010 CDW Business Continuity Straw Poll : Plans Don’t Align with Reality. »
3. « Best Practices for Planning and Managing Disaster Recovery Testing », Gartner, août 2011
L I V R E B L A N C / 5
20
Document 9
Postes de travail dans le Cloud
Résumé analytique
Si le 8 avril 2014 ne semble pas être une date qui va entrer dans l’histoire, c’est pourtant le cas. En effet, c’est à cette date que Microsoft mettra fin à la prise en charge Windows XP. Les fabricants de matériel prévoient également de mettre fin à la prise en charge des chipsets compatibles avec XP à cette date, amplifiant ainsi l’impact de la fin de la prise en charge
par Microsoft. Cela signifie que vous disposez de peu de temps pour migrer vos postes de travail Windows XP vers Windows 7 ou Windows 8. Mais le problème est plus vaste qu’une simple migration de postes de travail d’un système d’exploitation à un autre (un processus déjà suffisamment complexe en lui-même), car vous devrez également mettre
à niveau ou remplacer une grande partie du matériel de vos postes de travail. Il existe néanmoins d’autres options pour migrer vos postes de travail qui ne nécessitent pas de remplacer simultanément tous vos composants matériels et tous vos systèmes d’exploitation, et de mettre à niveau tous vos logiciels. Et si, au lieu de cela, vous pouviez déplacer votre informatique pour l’utilisateur sur une plate-forme gérée de façon centralisée, qui fournit des postes de travail
Windows hautes performances, et qui répond aux difficultés à venir et issues du passé. C’est possible.
L’une des solutions pour atteindre ce but consiste à créer votre propre infrastructure de postes de travail virtuels (VDI). Il s’agit d’utiliser des machines virtuelles en tant que postes de travail situés dans votre data center. Toutefois, les
entreprises qui ont essayé de créer des environnements VDI ont découvert à quel point il est difficile de les budgétiser, de les bâtir et de les gérer ainsi que de respecter les contrats de niveau de service des branches d’activité. Il existe néanmoins un moyen de bénéficier de tous les avantages des environnements VDI sans avoir à réaliser des
investissements importants en matériel et en savoir-faire technique, et de profiter de contrats de niveau de service optimaux au sein de votre entreprise. Cette autre option consiste à migrer vos postes de travail et vos applications vers un modèle hébergé dans le Cloud.
Les postes de travail virtuels hébergés dans le Cloud sont des systèmes basés sur des machines virtuelles qui sont actifs en permanence, disponibles depuis n’importe où et accessibles depuis n’importe quel terminal prenant en charge un logiciel client de poste de travail à distance. Nous appelons cette solution «postes de travail sous forme de service»,
ou DaaS.
Migration incrémentielle des postes de travail
L’un des principaux avantages des solutions DaaS est la possibilité d’utiliser des postes de travail (ou des espaces de travail) sous forme de service. Cela signifie que « la vue » de ce poste de travail peut être adaptée aux besoins spécifiques du client. Dans le cadre de la migration depuis Windows XP, il peut s’avérer judicieux de migrer un utilisateur
vers le système d’exploitation Windows 7, tout en lui fournissant un accès aux applications qui restent hébergées sur un poste de travail Windows XP. Cela présente de nombreux avantages. Par exemple, vous évitez le processus chronophage consistant à valider toutes les applications sur le nouveau système
d’exploitation, et vous pouvez entamer rapidement le processus de familiarisation des utilisateurs avec celui-ci. En réalité, cette capacité à fournir uniquement les applications Windows XP peut s’avérer essentielle dans les cas où l’application n’est prise en charge que par l’ancien système d’exploitation. Cette méthode d’adoption itérative et incrémentielle
peut faciliter la transition pour les utilisateurs, et vous permettre de vous focaliser sur les services essentiels à l’entreprise plutôt que sur le système d’exploitation ou les applications.
Scénarios d’utilisation des solutions DaaS
Il n’existe pas de solution unique pour toutes les situations et, de même, il n’existe pas de poste de travail idéal pour tous les utilisateurs. Tous les utilisateurs de votre entreprise n’ont pas besoin d’un système d’exploitation de poste de travail complet installé sur un ordinateur. Le personnel d’exécution, saisonnier ou distant peut n’avoir besoin que d’une seule
application. Il existe toutefois des utilisateurs qui ont besoin d’un système classique. Ces utilisateurs, qui sont souvent majoritaires, ont besoin d’applications spécifiques ou personnalisées, de la capacité à pouvoir installer/désinstaller et modifier des applications, ou nécessitent des
applications gourmandes en calcul, comme dans les secteurs de la conception graphique et du développement d’applications. La plupart de ces utilisateurs peuvent tirer profit d’un client léger ou d’un système matériel économique doté d’un poste de travail Windows hébergé dans le Cloud.
La figure ci-dessous montre des exemples de types d’utilisateurs avec les besoins de chacun en matière de système de poste de travail. Notez que certains spécialistes de l’information et techniciens peuvent également tirer parti des
solutions DaaS. La majorité des utilisateurs utilisent un nombre limité d’applications : traitement de texte, tableur, client de messagerie, lecteur de fichiers PDF, outil de compression pour archiver les fichiers afin de faciliter leur transfert, navigateur Web, etc.
L I V R E B L A N C / 3
21
Postes de travail dans le Cloud Les utilisateurs qui se servent d’un ensemble d’applications standard, qui ont besoin de mobilité, qui ont besoin d’accéder à un poste de travail homogène depuis n’importe quel terminal, ou qui désirent bénéficier d’un niveau de sécurité accru retireront le plus de bénéfices des postes de travail hébergés dans le Cloud. Comme de nombreuses
applications sont basées sur le Web (et davantage le deviennent chaque jour), la nécessité de disposer en permanence de systèmes de postes de travail complets est en train de diminuer.
N’ayez crainte, vous ne serez pas obligé d’adopter une solution universelle juste parce que vos postes de travail sont
hébergés dans le Cloud. Les solutions DaaS vous offrent une grande liberté de choix. Vous pouvez composer une combinaison de postes de travail personnalisée pour vos utilisateurs, et faire votre choix entre Windows XP, Windows 7, Windows 8 et Linux. Oui, nous avons bien cité Windows XP comme l’une des options pour vos postes de travail virtuels.
En virtualisant vos postes de travail Windows XP, vous n’avez plus à vous soucier des futures incompatibilités matérielles qui apparaîtront à mesure que les fabricants de périphériques et de composants prendront en charge des versions plus récentes de Windows.
Type d’utilisateur Description Type de poste de travail Raison
Personnel d’exécution Saisie de données, centre d’appels,
administrateur, etc. Session partagée Accès à 1 ou 2 appl. en général
Stations de travail partagées
éventuellement
Utilisateur occasionnel Bibliothèques, kiosques,
laboratoires, etc. Session partagée Accès à 1 ou 2 appl. en général
Stations de travail partagées
Spécialiste de l’information Marketing, services financiers,
ressources humaines, etc. Poste de travail complet
Session partagée Plusieurs applications nécessitent
une personnalisation
Technicien Développeurs, graphistes,
chercheurs, etc. Poste de travail complet
Session partagée Nécessite des machines puissantes
en raison de l’importante capacité
de calcul consommée
Options de migration des postes de travail : mises à niveau matérielles et logicielles
Les enquêtes indiquent qu’environ 40 % des entreprises utilisent toujours Windows XP et que 75 % du matériel des
postes de travail actuellement utilisés n’est pas compatible avec Windows 7 ou Windows 8. Les coûts de remplacement ou de mise à niveau du matériel sont élevés. Vous devez prendre en compte le coût du matériel, la main d’œuvre nécessaire pour réaliser les mises à niveau et pour transférer toutes les données se trouvant sur l’ancien ordinateur, ainsi
que le coût lié à la mise à niveau de vos applications, comme par exemple Microsoft Office.
Votre première option consiste à passer de systèmes Windows XP complets à des systèmes Windows 7 ou Windows 8 complets. Il s’agit là d’une migration un pour un. Il y a cependant un problème. Windows XP exige une configuration
matérielle très différente de Windows 7 et Windows 8. Le Tableau 1 présente ces différences en matière de matériel.
Matériel Windows XP Windows 7/8
CPU Pentium 300 MHz minimum 1 GHz*
Mémoire 128 Mo 2 Go
Disque 1,5 Go minimum 20 Go minimum
Vidéo 800 x 600 minimum DirectX 9 minimum avec pilote
WDDM
Autre Lecteur de CD ou de DVD
Tableau 1
L I V R E B L A N C / 4
22
Postes de travail dans le Cloud Beaucoup des personnes avec lesquelles nous parlons sont surprises d’apprendre que le remplacement du matériel incompatible et la mise à niveau du système d’exploitation reviennent plus cher qu’une infrastructure VDI, et 24 % plus cher qu’une solution DaaS. Selon notre analyse des coûts, un ordinateur de bureau ou portable classique vous
coûte un peu plus de 1 100 dollars par an. Développer votre propre environnement VDI vous fait passer tout juste sous la barre des 1 000 dollars par poste de travail, tandis qu’une solution DaaS vous coûte moins de 800 dollars par poste de travail (754 dollars). Consultez le Tableau 2 pour une analyse complète des coûts annualisés. À titre de
comparaison, vous pouvez observer que les solutions VDI sur site et DaaS vous font réaliser des économies considérables par rapport au remplacement de vos postes de travail classiques par du matériel plus récent et de nouveaux systèmes d’exploitation.
Coûts annuels par utilisateur
Infr. physique Infr. virtuelle
Matériel : serveurs, stockage, commutateurs
réseau, terminaux d’accès, maintenance
1 200
1 000
800
1 133 dollars
Personnel :
806 dollars
810 dollars
Logiciels : systèmes d’exploitation Windows,
licences VDI, maintenance
Personnel : services d’assistance (niveaux 1, 2 et 3),
sécurité, gestion des postes de travail, administration
871 dollars
783 dollars 754 dollars
Personnel :
600
400
200
0
Logiciel : 40 dollars
Matériel :
287 dollars
Ordinateur portable physique
Personnel :
542 dollars
Logiciel : 40 dollars
Matériel :
228 dollars
Ordinateur de bureau physique
418 dollars
Logiciel :
167 dollars
Matériel :
286 dollars
Concurrence
Personnel :
376 dollars
Logiciel :
140 dollars
Matériel :
266 dollars
VMware
View aujourd’hui
DaaS :
360
dollars
Personnel :
202 dollars
Logiciel : 75 dollars
Matériel :
117 dollars
VMware DaaS
Source : Gartner, estimations internes VMware
Coûts d’investissement annualisés, sur 4 ans pour les postes de travail physiques, 3 ans pour tous les
autres profils Coûts de transition non inclus
Tableau 2
Défis associés à l’infrastructure VDI
Vous vous demandez peut-être quel est le problème avec les solutions VDI. Selon nos calculs, la différence de coût
entre un environnement VDI classique et une solution DaaS s’élève à environ 100 dollars par poste de travail. Cet écart par poste de travail semble infime, mais si vous multipliez ces 100 dollars par 500 utilisateurs sur trois ans, cela devient tout de plus parlant : 150 000 dollars.
Mais il ne s’agit pas uniquement d’une différence de coûts, même si la majorité de ces coûts concerne les dépenses d’investissement initiales associées à l’acquisition du matériel nécessaire pour bâtir cette infrastructure. Il s’agit également de complexité, un aspect qu’il est difficile de quantifier en termes financiers. Il se trouve qu’un
environnement VDI peut s’avérer assez complexe à concevoir, développer, entretenir et gérer, ce qui peut décourager de nombreuses entreprises envisageant de passer à un modèle de postes de travail virtuels.
L I V R E B L A N C / 5
23
Postes de travail dans le Cloud
La différence VMware
Bien entendu, les solutions DaaS constituent l’option la plus économique, mais qu’est-ce qui rend l’offre VMware Horizon™ DaaS® si attractive ? Tout d’abord, c’est une question de spécialisation. Si vous n’êtes pas spécialiste de l’informatique, pourquoi agir en tant que tel ? Les solutions DaaS tirent parti d’installations de data center de premier
ordre, ce qui signifie de multiples sites dans le monde entier garantissant une robustesse absolue en termes de service, de sécurité physique, d’entretien du matériel, d’infrastructure réseau, de stockage et d’assistance, le tout géré par le fournisseur de Cloud. En fait, VMware dispose d’un réseau mondial de fournisseurs de services sans équivalent,
comprenant notamment Dell, Fujitsu, NEC, Dimension Data, NaviSite (une entreprise du groupe Time Warner Cable) et Quest, qui pourront vous fournir une solution DaaS et vous aider à la gérer.
En tant que client d’une solution DaaS, qu’apporte le fait de tirer parti de l’infrastructure de data center d’un fournisseur
de Cloud ? Cela vous permet de vous focaliser sur le fait de gérer votre entreprise plus efficacement, sans avoir besoin d’un département informatique pléthorique.
Autres avantages des solutions DaaS :
• Gestion centralisée : tous les postes de travail sont gérés depuis une console unique, avec une disponibilité de
100 %.
• Déploiement rapide des postes de travail : vous pouvez déployer les postes de travail et les applications en
fonction des besoins.
• Sécurité renforcée : les données restent dans le data center, pas sur le point d’accès.
• Plus grande disponibilité : des fournisseurs de services de classe mondiale.
• Meilleur environnement de poste de travail : environnement utilisateur bien plus performant qu’avec les
solutions VDI traditionnelles basées sur des data centers distribués.
• Économies au niveau des points d’accès et du support : le matériel existant peut être réaffecté, et vous pouvez
utiliser des clients légers économiques.
• Solution indépendante de la plate-forme client : iPad, iPhone, PC, Mac, machine virtuelle, Android,
Chromebook, Kindle, etc.
Les utilisateurs peuvent accéder à leur poste de travail virtuel à partir de quasiment n’importe quel terminal, ce qui signifie que, quels que soient l’endroit où vous vous trouvez et le type d’ordinateur ou de terminal mobile dont vous disposez, vous pouvez accéder à votre poste de travail, utiliser vos applications et communiquer avec vos collègues tout en bénéficiant d’une mobilité totale.
Est-il facile de passer à des postes de travail DaaS en partant d’un environnement Windows XP ?
Si vous prenez en considération les trois options, une solution DaaS n’est pas seulement la moins chère, c’est également celle qui nécessite le moins de temps et d’efforts. Si votre entreprise utilise des postes de travail Windows XP, vous pouvez, en moins d’une demi-journée, être en mesure d’exécuter Windows 7 depuis quasiment n’importe quel terminal
informatique, notamment vos postes de travail actuels, vos appareils Android, vos produits Apple, vos systèmes Windows, vos systèmes Linux et vos clients légers.
Vous n’avez besoin que de trois choses pour commencer dès aujourd’hui à utiliser des postes de travail hébergés dans le Cloud :
1. Une inscription à un service de postes de travail hébergés dans le Cloud.
2. Un terminal matériel (ordinateur, smartphone, tablette, etc.), ce que vous possédez déjà.
3. Un logiciel client de poste de travail à distance, que vous avez aussi déjà ou que vous pouvez télécharger
gratuitement.
VMware Horizon DaaS constitue une solution facile, rapide et économique pour passer de Windows XP aux systèmes
d’exploitation de poste de travail modernes.
Pour amorcer la migration de vos postes de travail et applications vers un modèle DaaS, contactez votre représentant
commercial VMware, ou accédez à la page http://www.vmware.com/fr/products/daas.
L I V R E B L A N C / 6
24
VMware Horizon 6 Reference Architecture
Horizon Clients
Kiosk
Thin Client
View Security Servers
View Connection Servers
Workspace Portal vApp
View Virtual Desktops View RDSH Apps & Desktops
RDSH Cluster Desktop Cluster
NFS Shared Storage
Management Cluster
File Print Server
Mirage Mirage Servers Mgmt
vCenter Operations Manager for Horizon
HTTPS/PCoIP
DMZ (HTTPS/PCoIP)
PCoIP
ESX, vCenter, View, Mirage, AD traffic
NFS Storage
Figure 4: Horizon with View Components
T E C H N I C A L W H I T E P A P E R / 8
Document 10
Architecture de référence VMWare Horizon 6
Client léger
Mac OS PC
Clients
Horizon
iOS/Android
Kiosque
Serveurs de sécurité
Vmware View
Serveurs de connexion
Vmware View
Serveur
d’impression
Serveurs d’applications du portail
Vmware vApp
Serveurs virtuels MS
SQL Active
Directory
Serveur de sessions de
bureaux distants (RDSH)
Bureaux virtuels
View Composer
vCenter Serveurs de gestion
de la solution de
bureaux virtuels
SSD SSD
Cluster de management
Stockage NFS
partagé
25