Maîtrisez mieux vos technologies IT : le plaidoyer du DSI de l’Insee

Copyright TechTarget - All rights reserved LeMagIT, créé en 2008, regroupe au travers de 13 rubriques clés les informations, conseils d'experts, analyses, retours d'expérience et livres blancs nécessaires aux décideurs IT. Plus de 10 000 documents sont disponibles en téléchargement. https://cyber.law.harvard.edu/rss/rss.html Techtarget Feed Generator en Sat, 07 Mar 2026 16:06:45 GMT https://www.lemagit.fr editor@lemagit.fr <p>Communicant, gestionnaire de risques, auditeur, doté « d’une culture minimale en sécurité des systèmes d’information ». Le délégué à la protection des données personnelles, le DPO, doit réunir des compétences multiples, résume <a href="https://www.lemagit.fr/actualites/366619030/La-CNIL-au-debut-du-chemin-sur-lIA">lors de l’université de l’AFCDP</a> son président Paul-Olivier Gibert (ex-CISO d’AG2R La Mondiale).</p> <p>Pour remplir ses missions, il est préférable qu’il soit sensibilisé aux enjeux de la maîtrise IT, ajoute le DSI de l’Insee, Jean-Séverin Lair.</p> <section class="section main-article-chapter" data-menu-title="L’Insee « temple de la donnée personnelle »"> <h2 class="section-title"><i class="icon" data-icon="1"></i>L’Insee « temple de la donnée personnelle »</h2> <p>Au sein de l’Institut, sécurité et protection des données sont notamment justifiées par la volumétrie et la sensibilité des données traitées.</p> <p>L’Insee gère ainsi « le totem de la donnée personnelle », le NIR, c’est-à-dire le numéro de sécurité sociale. Au sein du « temple de la donnée personnelle », le patron des SI revendique donc une stratégie informatique axée sur la maîtrise technologique.</p> <p>Et attention, en la matière, il ne faut pas confondre solution et technologie, prévient-il. Jean-Séverin Lair oppose ainsi maîtrise IT et discours commercial. « On nous vend beaucoup de rêve. Il faut savoir sortir de ce rêve. »</p> <blockquote class="main-article-pullquote"> <div class="main-article-pullquote-inner"> <figure> « On nous vend beaucoup de rêve. Il faut savoir en sortir. » </figure> <figcaption> <strong>Jean-Séverin Lair</strong>DSI de l’Insee </figcaption> <i class="icon" data-icon="z"></i> </div> </blockquote> <p>Une technologie n’est donc pas une solution – un terme qui rimait systématiquement avec discours commercial. Une technologie cloud sera par exemple la <a href="https://www.lemagit.fr/definition/Conteneurs">conteneurisation</a> et non les offres de tel ou tel fournisseur cloud.</p> <p>Pourquoi ces précisions sémantiques ? Parce qu’elles permettraient de clarifier le domaine auquel s’appliquera précisément la maîtrise, ce qui permettrait de mieux connaître et de mieux contrôler ses dépendances. Des problématiques que les clients de VMware ont pu réinvestir <a href="https://www.lemagit.fr/essentialguide/Laffaire-Broadcom-VMware">suite au rachat par Broadcom</a>.</p> <p>Sur cet enjeu de la maîtrise, le DSI appelle les décideurs à se référer à <a href="https://www.lemagit.fr/actualites/450301187/Quand-la-psychologie-entrave-la-reponse-aux-incidents">l’effet Dunning-Kruger</a> traitant d’un biais cognitif bien connu relatif à la différence entre compétence réelle et confiance de l’individu dans sa propre compétence.</p> </section> <section class="section main-article-chapter" data-menu-title="Maîtriser, c’est descendre de « la montagne de la stupidité »"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Maîtriser, c’est descendre de « la montagne de la stupidité »</h2> <p>En résumé, il est essentiel de s’extraire de la phase dite « de la montagne de la stupidité », puis de celle de « la vallée de l’humilité » afin de gravir « le plateau de la connaissance ».</p> <p>« Inutile de vous dire que ceux qui vous apportent des solutions adorent que vous soyez en haut de la montagne », ironise le DSI.</p> <p>Jean-Séverin Lair regrette que la maîtrise technologique soit aussi peu explorée. Il reconnaît cependant qu’elle présente une certaine complexité, à commencer par le recrutement de compétences et des profils rares, dont les architectes.</p> <blockquote class="main-article-pullquote"> <div class="main-article-pullquote-inner"> <figure> « Assurer la sécurité est très compliqué si une boîte noire est installée au milieu du SI. » </figure> <figcaption> <strong>Jean-Séverin Lair</strong>DSI de l’Insee </figcaption> <i class="icon" data-icon="z"></i> </div> </blockquote> <p>« D’autres experts peuvent être utiles, comme les experts poste de travail. Je ne dis pas “experts Windows Microsoft”, mais “poste de travail”. Cela signifie un profil capable d’aller au-delà de la solution pour s’intéresser à la technologie et à sa compréhension », détaille-t-il.</p> <p>Les applications ont en effet leurs spécificités en matière de traitement des données personnelles, ce qui est le cœur de l’activité d’un DPO. Mais la maîtrise IT permet aussi d’agir au niveau de la dépendance technologique (qui présente des « inconvénients énormes ») et de la sécurité informatique, souligne le DSI de l’Insee.</p> <p>« Lorsqu’on fait des analyses de sécurité, on s’arrête souvent aux bornes de ces boîtes noires », poursuit-il. À titre d’illustration, l’Institut de la statistique a approfondi ses analyses et mis au jour une importante faille au sein d’un produit de détection des vulnérabilités qu’il avait déployé.</p> <p>« Assurer la sécurité est très compliqué si une boîte noire est installée au milieu de son SI ». La problématique de la maîtrise technologique, l’Insee a eu l’occasion de l’aborder dans d’autres domaines que la détection de CVE.</p> </section> <section class="section main-article-chapter" data-menu-title="Montée en puissance sur les technologies cloud"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Montée en puissance sur les technologies cloud</h2> <p>C’est aussi le cas dans le <a href="https://www.lemagit.fr/definition/Cloud-computing">cloud</a>, qui englobe virtualisation, <a href="https://www.lemagit.fr/definition/Stockage-Objet">stockage objet</a>, conteneurs, etc.</p> <p>La question de l’adoption du cloud s’est posée pour l’Insee, qui est ainsi « monté en puissance sur les technologies cloud. »</p> <p>Cela s’est traduit par le déploiement d’une infrastructure de conteneurisation, hébergée en interne. « Je vais être honnête, on peut se le permettre, car la DSI chez nous, c’est plus de 400 personnes », concède Jean-Séverin Lair.</p> <p>Cet effectif et ces ressources garantissent à l’Insee une taille suffisante pour internaliser des compétences rares. Ces expertises ont été exploitées pour développer en interne via « des souches open source […] Nous sommes revenus à la techno de base. »</p> <p>Grâce à la maîtrise acquise sur le cloud, la DSI s’attelle à présent à la mise en place <a href="https://www.lemagit.fr/definition/Disaster-Recovery">de PCA/PRA</a> sur le cloud interministériel et à des expérimentations sur un cloud commercial. Mais cela intervient « dans un deuxième temps, c’est-à-dire après s’être vraiment fait une opinion et une représentation complète de la technologie. »</p> </section> <section class="section main-article-chapter" data-menu-title="SAS remplacé par Python et R"> <h2 class="section-title"><i class="icon" data-icon="1"></i>SAS remplacé par Python et R</h2> <p>Cette politique de maîtrise, l’Insee l’a aussi appliquée à la construction de sa plateforme de Data Science.</p> <p>Le résultat, c’est Onyxia, un produit open source pour la construction d’environnements conteneurisés de Data Science. Les premières réalisations ont toutefois été menées dans le contexte de l’open data afin de minimiser les contraintes SSI et réglementaires.</p> <p>Ultérieurement, le service open data (SSPCloud) a été doublé d’une plateforme « fortement sécurisée » et « enrichie progressivement » du nécessaire (authentification, traçabilité, confidentialité, etc.).</p> <blockquote class="main-article-pullquote"> <div class="main-article-pullquote-inner"> <figure> « Il y a quelques années, SAS a fait x4 sur ses tarifs » </figure> <figcaption> <strong>Jean-Séverin Lair</strong>DSI de l’Insee </figcaption> <i class="icon" data-icon="z"></i> </div> </blockquote> <p>Dans le domaine du développement logiciel, le but premier de la maîtrise est celui du contrôle de la complexité, juge Jean-Séverin Lair. Car le foisonnement d’outils et de librairies impacte fortement le maintien en condition de sécurité.</p> <p>Mais la maîtrise du développement a aussi des implications financières et en termes d’innovation. Historiquement tourné vers SAS (« merveilleux langage statique sur une solution propriétaire dont l’éditeur a fait x4 sur le tarif il y a quelques années ») et Java, l’Insee a pris un virage sur les langages R et Python.</p> <p>D’ici fin 2025, l’Insee aura en principe rompu totalement avec SAS. Mais pour le DSI, le choix des langages répond aussi à des enjeux de spécialisation… et donc de maîtrise. Il est en outre clé pour favoriser d’autres usages. Avec Python, l’Insee répond ainsi à ses besoins sur la valorisation des données.</p> <p>En ce qui concerne enfin les services collaboratifs, l’Institut a opté pour du « best of breed » plutôt que du « clé en main », c’est-à-dire du tout intégré dont le principal inconvénient est « le verrouillage » des organisations clientes.</p> </section> <section class="section main-article-chapter" data-menu-title="Small ESN are beautifull"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Small ESN are beautifull</h2> <p>Sur le collaboratif, l’Insee combine ainsi, grâce au <a href="https://www.lemagit.fr/definition/Authentification-unique">SSO</a>, différents produits du marché : Outlook comme client de messagerie, Exchange (mais la sortie est en cours « pour des raisons financières »), Zoom sur la visioconférence (« choisi au moment du Covid »), Jalios sur l’intranet.</p> <p>« Aller sur des solutions indépendantes permet de les mettre en concurrence, de juger de leur pertinence, de leurs risques et donc aussi de pouvoir améliorer, même en termes SSI, les traitements », note le DSI.</p> <p>Jean-Séverin Lair admet que la maîtrise technologique n’est pas seulement une question de volonté. Des compétences adéquates sont indispensables en interne. De quoi exclure nombre de candidats ?</p> <p>Pas forcément. Des remèdes sont possibles, dont le recours à des sociétés de conseil, « mais de petite taille » pour la qualité de leurs expertises, suggère le DSI sur la base de sa propre expérience. Les grands cabinets en prennent pour leur grade.</p> <p>Les organisations ont cependant aussi besoin d’une « bonne personne, une personne clé » pour interagir avec ces compétences externes, au risque sinon d’être maintenu au sommet de la montagne de la stupidité. Et de faire les mauvais choix technologiques et d’abandonner toute maîtrise.</p> </section> Pour prévenir les risques de dépendance technologique et les boîtes noires néfastes à la sécurité, Jean-Séverin Lair, DSI de l’Insee, plaide pour une stratégie IT axée sur la maîtrise IT. Une ligne qu’il a suivie sur le collaboratif, le cloud et à présent sur la Data Science – en se séparant de SAS. https://cdn.ttgtmedia.com/visuals/LeMagIT/hero_article/Chains.jpg https://www.lemagit.fr/news/366619404/Maitrisez-mieux-vos-technologies-IT-le-plaidoyer-du-DSI-de-lInsee Thu, 20 Feb 2025 11:32:00 GMT Maîtrisez mieux vos technologies IT : le plaidoyer du DSI de l’Insee <p>Les <a href="https://www.lemagit.fr/definition/Intelligence-artificielle-generative">assistants d’IA génératives</a> (GenAI) embarqués dans les suites bureautiques ne séduisent pas forcément tout le monde. Non pas qu’ils ne soient pas bons, mais les entreprises semblent avoir du mal à trouver les bons cas d’usage – ceux avec un réel ROI qui justifierait l’achat de <a href="https://www.lemagit.fr/conseil/Copilot-et-Microsoft-365-les-grandes-differences-entre-les-licences">licences Copilot</a> (Microsoft) ou <a href="https://www.lemagit.fr/actualites/366616233/Gemini-pour-Workspace-lassistant-IA-de-Google-qui-veut-booster-la-collaboration">Gemini</a> (Google).</p> <section class="section main-article-chapter" data-menu-title="100.000 sièges Copilot chez un industriel français"> <h2 class="section-title"><i class="icon" data-icon="1"></i>100.000 sièges Copilot chez un industriel français</h2> <p>« Si j’investis pour créer le meilleur outil, que je le mets dans les mains de quelqu’un, mais qu’il ne l’utilise pas : le retour sur investissement sera nul. Et c’est précisément ce qui se passe avec ces outils d’IA génériques, comme Copilot [pour Microsoft 365] », soulignait <a href="https://www.forrester.com/analyst-bio/ted-schadler/BIO1707">Ted Schadler</a>, VP et Principal Analyst chez Forrester lors de l’évènement organisé à Paris autour des prévisions 2025 du cabinet de conseil.</p> <p>Son propos n’était pas de dire que Copilot était en soi une mauvaise IA, mais que, contrairement à Github Copilot « l’adéquation entre les besoins métiers et un outil d’IA qui traite des connaissances non spécialisées est loin d’être parfaite ».</p> <p>Il faudrait donc mener une réflexion encore plus approfondie, au niveau de chaque « métier », et en accompagner l’usage.</p> <p>En attendant, les déploiements susciteraient plus de déception qu’autre chose. « Chez un très grand industriel français, le DSI s’est vu confier 100 000 sièges pour Copilot », raconte Ted Schadler. « Il s’est dit : “Je ne vais pas déployer 100 000 sièges immédiatement. Commençons par 10 000” ».</p> <p>Verdict ? « L’adoption a été faible, la valeur créée a été faible, et donc le ROI a été horrible. Le PDG s’est alors demandé pourquoi ils avaient acheté 90 000 licences pour tous ses travailleurs du savoir ». Conclusion, il faut, en amont, interroger la valeur.</p> </section> <section class="section main-article-chapter" data-menu-title="Les promesses trop élevées des promoteurs de la GenAI"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Les promesses trop élevées des promoteurs de la GenAI</h2> <p>Le cabinet de conseil en transformation digitale Lecko confirme ce constat. Il a étudié l’impact de l’IA générative sur une population de managers qui ont utilisé Copilot pendant 3 mois. Résultat, « le rythme de travail de ces managers, à l’agenda saturé, n’a pas été allégé de manière significative ».</p> <p>Pas de gain de temps, donc. Il aurait pour cela fallu « mieux questionner les pratiques et cibler des problèmes précis à résoudre », note Lecko. S’assurer d’un bénéfice effectif serait d’autant plus pertinent que « l’usage de l’IA générative doit être raisonné au regard de son impact environnemental et sociétal ».</p> <p>Ce qui n’a pas empêché Microsoft et Google de déployer leurs assistants en l’incluant nativement dans leurs suites – et <a href="https://www.lemagit.fr/actualites/366618174/Workspace-Google-met-la-pression-sur-Microsoft-en-rendant-son-IA-presque-gratuite">en augmentant le prix de celles-ci</a> pour un bénéfice qui s’avérerait donc somme toute limité pour l’utilisateur.</p> <p>Lecko et Cog'X ont évalué quatre dimensions : nombre de jours de travail en débordement, niveau de multitâches durant les réunions, volume de réunions, et temps de récupération entre les visios.</p> <p>En 2023 (période avant Copilot), l’étude a évalué que les cadres étaient à 40 % en hyperconnexion (travail en débordement 1 jour sur 2 en moyenne sur un trimestre) et 60 % en hyperconnexion occasionnelle.</p> <p>Malheureusement, « aucun changement significatif, encore moins approchant les gains de production annoncés par les promoteurs de l’IA générative, n’a été constaté », insiste Lecko.</p> </section> <section class="section main-article-chapter" data-menu-title="Des gains à condition de résoudre « de vrais problèmes »"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Des gains à condition de résoudre « de vrais problèmes »</h2> <p>« Cela ne signifie pas pour autant l’absence de gain », nuance cependant le cabinet. « L’usage de Copilot se révèle être principalement à la frontière des compétences des utilisateurs, sur des tâches de confort ou de renfort ». Or « libérer du temps nécessite de substituer une action », insiste le cabinet.</p> <p>Autre <a href="https://www.lemagit.fr/conseil/Copilot-dans-Microsoft365-les-cas-dusage">bénéfice des IA génératives intégrées</a>, elles peuvent réduire la durée des réunions (qui représenteraient 40 % à 80 % du temps de travail des jeunes managers). « Mais le plus important est de questionner le rôle de la réunion aujourd’hui et d’améliorer les rythmes de travail pour contrer l’effet rebond » invite Lecko.</p> <p>Conclusion, identique à celle de Forrester : « déployer une technologie n’apporte de valeur que si elle est mise au service de la résolution de vrais problèmes ».</p> </section> Les promesses des éditeurs d’assistants IA embarqués dans des suites applicatives (Copilot, Gemini) semblent surévaluées. Pire, il n’y aurait pas de gains de temps de travail. En cause, des outils peut-être trop génériques, mais surtout le manque d’analyse en amont des cas d’usage à réelle valeur ajoutée. Quand ils existent. https://cdn.ttgtmedia.com/visuals/ComputerWeekly/Hero%20Images/AI-artificial-intelligence-workforce-2-adobe.jpg https://www.lemagit.fr/news/366618362/La-valeur-creee-par-les-assistants-IA-pas-si-forte-que-ca Fri, 31 Jan 2025 10:29:00 GMT La valeur générée par les assistants IA, pas si forte que ça <p>Les baies de stockage <a href="https://www.lemagit.fr/definition/Storage-Area-Network-SAN">SAN</a> ne sont plus le domaine exclusif des grandes entreprises. De nombreux fournisseurs proposent désormais des produits SAN d’entrée de gamme afin de permettre aux PME d’aller bien plus loin que leurs habituelles baies <a href="https://www.lemagit.fr/definition/Network-attached-storage-NAS">NAS</a> ou tiroirs de disques <a href="https://www.lemagit.fr/definition/Direct-Attached-Storage-DAS">DAS</a>. Contrairement à une baie NAS qui ne partage que des fichiers et à un tiroir de disques qui ne se branche que sur un seul serveur, les baies SAN permettent à plusieurs serveurs d’accéder à des disques en mode bloc. Ce mode est nécessaire dès lors que l’on souhaite exécuter des bases de données ou des machines virtuelles avec de bonnes performances.</p> <p>Les trois produits SAN détaillés dans cet article s’adressent aux PME. Ce sont des modèles très représentatifs des différentes caractéristiques à rechercher dans un SAN d’entrée de gamme, et qui montrent à quel point ce sont des solutions différentes des baies que vous utilisez d’ordinaire. Utilisez ces informations pour mieux éclairer les décisions relatives aux produits SAN, mais n’oubliez pas qu’il existe de nombreux autres modèles d’entrée de gamme qui méritent d’être pris en considération. Pour une plus grande sélection de produits, consultez le tableau ci-dessous.</p> <figure class="main-article-image full-col" data-img-fullsize="https://www.lemagit.fr/rms/onlineimages/storage-smb_san_product_comparison-f.png"> <img data-src="https://www.lemagit.fr/rms/onlineimages/storage-smb_san_product_comparison-f_mobile.png" class="lazy" data-srcset="https://www.lemagit.fr/rms/onlineimages/storage-smb_san_product_comparison-f_mobile.png 960w,https://www.lemagit.fr/rms/onlineimages/storage-smb_san_product_comparison-f.png 1280w" alt="Chart of entry-level SAN products" height="1186" width="560"> <div class="main-article-image-enlarge"> <i class="icon" data-icon="w"></i> </div> </figure> <h3><strong>Hewlett Packard Enterprise MSA 1050</strong></h3> <p>Les baies SAN d’entrée de gamme dans la famille <a href="https://www.lemagit.fr/actualites/4500272890/HPE-dope-ses-baies-MSA-1040-a-la-Flash-et-revoit-ses-baies-NAS">HPE MSA</a> Gen6 sont censées être si faciles d’utilisation qu’il ne faudrait aucune connaissance ou compétence particulière pour les déployer et assurer leur maintien en opération.</p> <p>La MSA 1050, qui a le prix le plus bas de la famille MSA, est livrée avec deux contrôleurs à double port qui prennent en charge une connectique soit <a href="https://www.lemagit.fr/definition/Fibre-Channel-FC">Fibre Channel</a> (FC), soit <a href="https://whatis.techtarget.com/fr/definition/iSCSI?_gl=1*i4futf*_ga*MTE0NjQyMTAzOS4xNjEyMjg1MTEz*_ga_RRBYR9CGB9*MTYxNDE2NDYzMC44NC4xLjE2MTQxNjUwMzguMA..">iSCSI</a>, soit <a href="https://www.lemagit.fr/definition/SCSI">SAS</a>. Le système comprend un cache de 6 Go par contrôleur et peut accueillir des unités 3,5 ou 2,5 pouces, qu’il s’agisse de disques durs ou de <a href="https://www.lemagit.fr/actualites/252492056/Stockage-Les-fabricants-levent-le-voile-sur-leurs-prochains-SSD">SSD</a>. Le MSA 1050 est disponible en huit modèles, qui varient selon le type de contrôleurs et la taille des disques.</p> <p>Le MSA 1050 offre un bon équilibre entre les performances et les contraintes budgétaires, en permettant aux petites entreprises de déployer un produit SAN qui, d’ordinaire, serait inabordable.</p> <p>HPE recommande sa baie MSA 1050 aux entreprises qui utilisent des technologies de virtualisation, telles que <a href="https://www.lemagit.fr/conseil/Virtualisation-choisir-entre-Nutanix-AHV-et-VMware-ESXi">VMware ESXi </a>ou <a href="https://www.lemagit.fr/conseil/Hyper-V-face-a-vSphere-comment-les-comparer">Microsoft Hyper-V</a>, ainsi que les plateformes de bases de données d’<a href="https://www.lemagit.fr/actualites/252494774/Oracle-21c-la-fonctionnalite-Blockchain-Table-en-detail">Oracle</a>, <a href="https://www.lemagit.fr/conseil/Ou-trouver-6-exemples-de-bases-de-donnees-SQL-Server">Microsoft</a> ou <a href="https://www.lemagit.fr/actualites/252493580/Gestion-de-donnees-SAP-prone-une-transition-en-douceur-vers-le-cloud">SAP</a>. Les entreprises peuvent choisir parmi une gamme de SSD et de disques durs, et elles peuvent étendre leurs systèmes avec des tiroirs de disques optionnels, lesquels peuvent être ajoutés à chaud.</p> <p>Tout le stockage sur le MSA 1050 est virtualisé, y compris le <a href="https://www.lemagit.fr/definition/Tiering-de-donnees">tiering</a>, à savoir la hiérarchisation automatisée des données, selon leur nature, vers des disques plus ou moins rapides. Les fonctions de tiering permettent de combiner efficacement les SSD et les disques durs au sein d’un même système. Le MSA 1050 prend en charge trois niveaux de hiérarchisation : un niveau de performance avec les SSD, un niveau standard avec les disques durs rapides et un niveau d’archivage avec les disques durs économiques.</p> <p>Le système prend même en charge différents niveaux de hiérarchisations au sein d’une même LUN (unité de disque logique, celle vue par les serveurs et qui ne correspond pas nécessairement à un disque physique unique). Le déplacement des données entre chaque niveau est entièrement automatisé. Ces fonctions de tiering nécessitent toutefois une licence optionnelle, l’Advanced Data Services Suite LTU.</p> <p>Le MSA 1050 intègre par ailleurs des fonctions de <a href="https://www.lemagit.fr/definition/Thin-provisioning">thin provisioning</a>. Celles-ci servent à allouer du stockage physique à une application au fur et à mesure qu’elle le consomme. Cela permet de surprovisionner le pool de stockage pour répondre à des besoins spécifiques.</p> <h3><strong>NetApp AFF A250</strong></h3> <p>La série A des baies AFF de NetApp est une gamme de baies SAN <a href="https://www.lemagit.fr/actualites/252491494/Stockage-NetApp-generalise-NVMe-QLC-et-S3-dans-ses-baies-OnTap">entièrement Flash</a>. Elle comprend l’AFF A250, un SAN d’entrée de gamme qui fournit une connectique <a href="https://www.lemagit.fr/conseil/Pourquoi-les-SSD-NVMe-sont-ils-plus-performants">NVMe</a> de bout en bout : non seulement ses SSD sont de type NVMe, mais la connectique est également de type <a href="https://www.lemagit.fr/conseil/Stockage-le-NVMe-over-FC-debarque-dans-les-datacenter">NVMe-over-FC</a> (NVMe/FC). L’intérêt de cette configuration est qu’il n’y a aucun goulet d’étranglement : les SSD communiquent avec les serveurs au maximum de leurs performances, sans être ralentis par des protocoles FC ou iSCSI qui ajoutent des commandes propres aux disques durs et qui seraient inutiles ici. Cela dit, le système prend également en charge les protocoles FC ou iSCSI si ce sont les seuls reconnus par les serveurs et il peut même se comporter comme un NAS en partageant sur le réseau ses contenus en mode fichiers via les protocoles NFS et SMB. Il supporte même d’être accessible en <a href="https://www.lemagit.fr/definition/Amazon-S3">S3</a>, le protocole de stockage objet d’AWS qui fait désormais office de standard.</p> <p>L’ensemble est très flexible, puisqu’il est possible de combiner différents contrôleurs et tailles de SSD.</p> <p>L’A250 fonctionne sous le système d’exploitation <a href="https://www.lemagit.fr/actualites/252465565/NetApp-unifie-ses-solutions-de-stockage-pour-concretiser-le-multi-Cloud">OnTap</a> de NetApp. Celui-ci automatise les tâches de stockage courantes, comme le rééquilibrage des charges de travail, la protection des données ou encore les différentes mises à jour. NetApp propose également le moteur d’intelligence Active IQ, qui consiste à optimiser le fonctionnement du stockage avec des algorithmes d’<a href="https://www.lemagit.fr/essentialguide/Analyse-predictive-et-Intelligence-Artificielle-pour-un-stockage-plus-intelligent">analyse prédictive</a>, notamment capables d’alerter directement le support technique du fabricant.</p> <p>Selon NetApp, l’A250 fournit jusqu’à 11,4 millions d’IOPS, une latence de 100 μs et un débit de 300 Go/s. Deux A250 supportent par ailleurs de fonctionner en mode actif-actif, dans lequel les deux systèmes sont redondants, se synchronisent régulièrement et répondent à tour de rôle aux requêtes pour assurer un travail rapide et une disponibilité continue. Le système comprend une qualité de service (<a href="https://whatis.techtarget.com/fr/definition/QoS-qualite-de-service?_gl=1*1e2859i*_ga*MTE0NjQyMTAzOS4xNjEyMjg1MTEz*_ga_RRBYR9CGB9*MTYxNDE2NDYzMC44NC4xLjE2MTQxNjY4NzMuMA..">QoS</a>) adaptative ; il s’agit notamment du logiciel FlexCache qui favorise le débit pour les applications les plus nécessiteuses de performances.</p> <p>Concernant les fonctions de protection des données, l’A250 en comprend plusieurs. Par exemple, le logiciel NetApp SnapCenter permet de cloner le contenu à un instant T vers une autre baie de disques, ou vers une appliance de sauvegarde. NetApp SnapMirror réplique à intervalle régulier les données vers n’importe quelle autre baie FAS ou AFF de NetApp, qu’elle soit physiquement sur site ou virtuellement dans le cloud. MetroCluster, enfin, assure une réplication synchrone entre deux baies ; il s’agit du mode actif-actif.</p> <p>L’A250 prend en charge le chiffrement des données soit au niveau des disques, soit au niveau de la couche système, ce qui permet d’atteindre certains niveaux de conformité réglementaires.</p> <p>Bien que l’AFF A250 s’adresse aux PME, ses capacités entièrement flash et hautement performantes en font un outil idéal pour les entreprises qui utilisent couramment Microsoft SQL Server ou SAP HANA, voire des applications d’intelligence artificielle et autres moteurs d’analyse en temps réel.</p> <h3><strong>Pure Storage FlashArray//X10</strong></h3> <p>Le <a href="https://www.lemagit.fr/actualites/252479552/Pure-Storage-passe-ses-baies-X-au-100-NVMe">FlashArray//X10</a> fait partie des produits de stockage FlashArray//X de Pure Storage qui sont non seulement entièrement Flash mais aussi entièrement NVMe. Il s’agit d’une baie SAN d’entrée de gamme dans un format 3U qui peut supporter jusqu’à 73 To de capacité utile. Elle offre une connectivité FC et iSCSI, et devrait bientôt supporter le NVMe/FC.</p> <p>La FlashArray//X10 est idéale pour exécuter les bases de données <a href="https://www.lemagit.fr/etude/Leroy-Merlin-remplace-Oracle-par-MongoDB-pour-son-catalogue-de-produits-Web">MongoDB</a>, SAP, les systèmes de virtualisation <a href="https://www.lemagit.fr/actualites/252473582/OpenStack-Train-un-bon-placement">OpenStack</a>, <a href="https://www.lemagit.fr/essentialguide/Kubernetes-la-nouvelle-infrastructure-dune-IT-en-mode-hybride">Kubernetes</a>, Red Hat <a href="https://www.lemagit.fr/etude/Les-prochains-satellites-dAirbus-entierement-exploites-par-lOpen-source">OpenShift</a>, ou encore les systèmes de <a href="https://www.lemagit.fr/definition/VDI">bureaux virtuels</a> VMware <a href="https://www.lemagit.fr/definition/VMware-Horizon">Horizon</a> et Citrix <a href="https://www.lemagit.fr/etude/Le-CD77-bascule-1-500-agents-en-teletravail-en-quelques-jours-via-Citrix">XenDesktop</a>. La latence de moins d’une microseconde du système permet de prendre en charge les charges de travail critiques, y compris celles qui s’exécutent dans des conteneurs et des machines virtuelles. Les administrateurs peuvent utiliser les fonctions intégrées de qualité de service pour consolider sur la baie des applications très différentes, sans que cela affecte les performances.</p> <p>Au cœur de la FlashArray//X10 se trouve le système d’exploitation <a href="https://www.lemagit.fr/actualites/252484645/Pure-Storage-ajoute-a-ses-FlashArray-des-fonctions-de-NAS-et-de-PCA">Purity</a>. Celui-ci apporte des fonctions de protection des données, comme les <a href="https://www.lemagit.fr/conseil/Comprendre-la-difference-entre-snapshots-et-sauvegardes">snapshots</a> pour les sauvegardes et la réplication vers une baie de secours. On note également que le système intègre la réduction des données.</p> <p>Purity fournit une couche d’orchestration complète pour gérer et surveiller l’environnement de stockage. En outre, comme les autres systèmes FlashArray//X, le FlashArray//X10 se pilote aussi depuis plusieurs consoles d’administrations du marché via son <a href="https://www.lemagit.fr/definition/API-RESTful">API REST</a>. Celle-ci permet d’intégrer les menus de la console Purity à une autre interface et elle supporte de recevoir des ordres d’automatisation.</p> <p>En termes de longévité, la FlashArray//X10 est vendue avec la promesse de pouvoir y installer des contrôleurs et des SSD de génération plus récente. Il est même possible de transformer la FlashArray//X10 en une autre baie FlashArray//X de gamme supérieure sans avoir à migrer les données.</p> <p>Pure Storage s’engage aussi à assurer la maintenance de sa baie à distance au travers du service Pure1 qui repose sur des algorithmes d’analyse prédictive et un index des snapshots pour restaurer les données telles qu’elles étaient avant un incident. Selon Pure Storage, le FlashArray//X10 offre une disponibilité de 99,9999 %, avec une prise en charge des mises à jour et de la maintenance.</p> <p>Le système est bien adapté aux petites et moyennes entreprises qui ont besoin des performances d’un système entièrement Flash, mais qui ont besoin d’un produit simple à déployer et à adapter. Les entreprises qui souhaitent mettre en place des services de données agiles pour les conteneurs et les machines virtuelles pourraient également bénéficier de ce système.</p> <p>Pure Storage assure que les entreprises peuvent installer sa baie SAN d’entrée de gamme facilement et rapidement, sans manuel ni personnel spécialisé. La solution se résume en effet à un boîtier qui nécessite le branchement de six câbles.</p> Les baies de disques conçues pour les bases de données et la virtualisation existent désormais dans des modèles d’appoint adaptés aux petites entreprises. https://cdn.ttgtmedia.com/visuals/LeMagIT/NetAppAFFa250.jpg https://www.lemagit.fr/tip/Stockage-comparez-les-baies-SAN-adaptees-aux-PME Wed, 24 Feb 2021 08:04:00 GMT Stockage : comparaison des baies SAN adaptées aux PME <p>L’adhésion de la direction et l’existence d’un plan de <span><a href="https://www.lemagit.fr/ehandbook/Reponse-a-incident-un-exercice-indispensable-mais-difficile">réponse à incident</a></span> documenté sont essentielles. Mais disposer d’outils appropriés, pour aider à se préparer et à réagir aux <span><a href="https://www.lemagit.fr/etude/Combien-coute-un-incident-de-securite">incidents de sécurité</a></span>, n’est pas négligeable pour autant. Compte tenu des informations qu’ils fournissent, des analyses qu’ils effectuent et des rapports qu’ils peuvent créer, ces outils doivent être mis en œuvre bien avant que les incidents ne se produisent.</p> <p>De nombreux contrôles de sécurité courants peuvent aider, notamment en termes de journalisation et d’alerte. Mais certains outils spécialisés peuvent aider à franchir les étapes du processus de réponse à incident et fournir tous les détails nécessaires pour prendre des décisions éclairées.</p> <p>De quels outils se doter ? Tout dépend. Certaines entreprises suivent la boucle d’Ooda, qui peut fournir des conseils sur les outils indispensables et le moment où il faut les utiliser. Cette boucle est une approche de la réponse à incident d’origine militaire qui s’appuie sur quatre piliers face à la menace :</p> <ol class="default-list"> <li>La <span><a href="https://www.lemagit.fr/essentialguide/Securite-les-apports-des-nouveaux-systemes-danalyse-du-trafic-reseau">visibilité sur le trafic réseau</a></span>, les systèmes d’exploitation, les applications, etc. Tout ce qui peut, en fait, aider à établir une base de référence de l’environnement et fournir des informations en temps réel sur ce qui se passe avant, pendant et après un incident de sécurité.</li> <li>La production d’informations contextuelles détaillées, en perspective avec les éléments de renseignement sur les menaces pour tenir compte des modes opératoires des assaillants et des traces qu’ils peuvent laisser</li> <li>À cela s’ajoutent une combinaison d’informations relatives à ce qui se passe en temps dans l’environnement, et ce qui s’est passé et a pu trahir les activités malicieuses, pour aider l’équipe de sécurité à prendre des décisions éclairées sur la manière de réagir.</li> <li>Viennent enfin les mesures, ou actions, à prendre pour faire face à la menace, minimiser le risque et l’impact potentiel sur l’entreprise, et rétablir des conditions opérationnelles.</li> </ol> <figure class="main-article-image half-col" data-img-fullsize="https://www.lemagit.fr/rms/onlineimages/whatis-ooda_loop_works.png"> <img data-src="https://www.lemagit.fr/rms/onlineimages/whatis-ooda_loop_works_half_column_mobile.png" class="lazy" data-srcset="https://www.lemagit.fr/rms/onlineimages/whatis-ooda_loop_works_half_column_mobile.png 960w,https://www.lemagit.fr/rms/onlineimages/whatis-ooda_loop_works.png 1280w" alt="Schéma Boucle Ooda" data-credit="Techtarget" height="280" width="280"> <figcaption> <i class="icon pictures" data-icon="z"></i>Boucle Ooda </figcaption> <div class="main-article-image-enlarge"> <i class="icon" data-icon="w"></i> </div> </figure> <p>La boucle d’Ooda n’est pas un ensemble rigide d’exigences de réponse à incident. Il s’agit plutôt d’une approche que les équipes de sécurité peuvent intégrer à leurs procédures d’incident existantes, afin de minimiser l’impact que les incidents de sécurité peuvent avoir sur l’entreprise. </p> <h3>Les outils de réponse à incidents</h3> <p>Face aux menaces actuelles, les entreprises ont besoin de technologies susceptibles de les aider à assurer la visibilité et le contrôle de manière automatisée et reproductible, pour garantir que le réseau reste résilient et que tous les aspects de la sécurité soient préservés. Cela vaut aussi bien pour les mesures de sécurité préventives, comme l’authentification à <span><a href="https://www.lemagit.fr/definition/Authentification-multiple">facteurs multiples</a></span> et les <span><a href="https://whatis.techtarget.com/fr/definition/Controle-dacces">contrôles d’accès</a></span> granulaires, que pour des aspects plus réactifs de la sécurité, comme la surveillance, l’alerte et l’isolation de systèmes.</p> <p>La plupart des outils relèvent de l’une des catégories suivantes, et certains peuvent s’avérer utiles dans plusieurs phases de la boucle Ooda :</p> <ul class="default-list"> <li>analyse des flux et du trafic réseau;</li> <li>gestion des vulnérabilités;</li> <li>gestion des informations et des événements de sécurité (<span><a href="https://www.lemagit.fr/definition/SIEM">SIEM</a></span>) ;</li> <li>détection et réponse sur les hôtes (<span><a href="https://www.lemagit.fr/actualites/252482851/EDR-le-Mitre-livre-les-resultats-de-son-evaluation-des-capacites-de-detection">EDR</a></span>) ;</li> <li>orchestration et automatisation ;</li> <li><span><a href="https://www.lemagit.fr/definition/Pare-feu">pare-feu</a></span>, prévention des intrusions (<span><a href="https://www.lemagit.fr/definition/Prevention-des-intrusions">IPS</a></span>) et atténuation des dénis de service (DoS) ;</li> <li>l’analyse post-mortem; et</li> <li>sensibilisation et formation.</li> </ul> <p>Dans la perspective de l’intégration de ces technologies dans les procédures de réponse à incident, il peut être intéressant de voir comment elles s’intègrent dans la boucle Ooda et ses différentes phases.</p> <h3>Observation</h3> <p>Dans cette partie de la boucle OODA, les outils de sécurité et de réponse à incident sont utilisés pour créer une base de référence, établir à quoi ressemble la « normale » et rechercher les anomalies. Compte tenu de ce qui est en jeu, cette catégorie englobe le plus grand nombre d’outils :</p> <ul class="default-list"> <li>Classification des données, prévention des pertes de données et passerelle d’accès cloud sécurisé (<span><a href="https://www.lemagit.fr/definition/Passerelle-dacces-Cloud-securise">CASB</a></span>), avec par exemple les offres de McAfee, Symantec Corp. et TITUS.</li> <li>EDR et outils de protection des hôtes de nouvelle génération (<span><a href="https://www.lemagit.fr/conseil/Lavancee-vers-la-fusion-entre-EDR-et-EPP-se-fait-en-ordre-disperse">EPP</a></span>), dont les offres de Carbon Black, Crowdstrike ou encore</li> <li>Systèmes de prévention des intrusions (IPS), avec par exemple les offres de Cisco, McAfee et Palo Alto Networks, sans compter les systèmes basés sur <span><a href="https://www.lemagit.fr/actualites/252473712/IDS-comment-Suricata-est-graduellement-devenu-incontournable">Suricata</a></span> ou encore Zeek.</li> <li>Les logiciels Netflow, dont les offres de ManageEngine, Nagios et Paessler AG</li> <li>Outils d’analyse du trafic réseau, avec par exemple les offres d’Awake Security, LiveAction et SolarWinds.</li> <li>Systèmes de gestion des informations et des événements de sécurité (SIEM), notamment les offres d’IBM, Elastic, Exabeam, LogRhythm, ou encore Splunk, LogPoint et iTrust.</li> <li>Des outils d’analyse et de gestion des vulnérabilités, dont ceux proposés par Tenable, Qualys et Rapid7.</li> </ul> <p>Comme pour la plupart des aspects de la sécurité, plus l’on dispose d’informations, mieux c’est. C’est pourquoi ces outils sont si essentiels. Ils permettent de se familiariser avec son réseau et de déterminer ce qui pourrait être à risque avant qu’il ne se passe quoi que ce soit.</p> <h3>Orientation</h3> <p>Dans cette partie de la boucle OODA, les outils de réponse aux incidents peuvent aider à fournir des informations et un contexte concernant la gravité des événements de sécurité qui se sont produits. Cela peut aider à déterminer l’étendue et l’impact, pour conduire à une prise de décision plus judicieuse. Ces outils peuvent être répartis dans les groupes suivants :</p> <ul class="default-list"> <li>Recherche et renseignement sur les menaces, y compris les offres d’AT&T Cybersécurité, d’IBM et de Recorded Future, mais également avec des outils tels que ceux d’Anomali ou ThreatQuotient, QuoLab, EclecticIQ, OpenCTI, voire MISP et Yeti.</li> <li>Investigation et réponse, avec les offres de FireEye, RSA Security et Uplevel Security, mais aussi un projet tel the TheHive.</li> </ul> <h3>Décider et agir</h3> <p>Bien que les outils de réponse aux incidents puissent aider à atteindre ce point, cette phase de la boucle de l’OODA implique finalement des personnes, dont la direction générale et le service juridique. Des décisions cruciales devront être prises. Et l’élément le plus important en revient aux deux phases d’observation et d’orientation pour s’assurer de disposer de toutes les informations nécessaires.</p> <p>Selon la situation, il peut être judicieux de revenir en arrière et d’échanger avec l’équipe technique afin d’obtenir des éclairages additionnels.</p> <p>Vient ensuite le passage à l’action. C’est la phase de la boucle d’Ooda où l’on fait bouger les choses. Là encore, des outils sont impliqués, à commencer par ceux de protection des hôtes (EDR/EPP), de sauvegarde et de restauration, de collecte et préservation d’indices – avec notamment les offres d’AccessData, EnCase et The Sleuth Kit –, mais également les systèmes de gestion des identités et des accès (<span><a href="https://www.lemagit.fr/conseil/IAM-8-outils-leaders-pour-2020">IAM</a></span>), des correctifs, etc. Pour coordonner tout cela, une offre spécifique s’est développée : les outils d’orchestration et d’automatisation de la sécurité (<span><a href="https://www.lemagit.fr/definition/SOAR">SOAR</a></span>), proposés notamment par Splunk, Palo Alto Networks, CyberSponse, mais aussi IBM. Et sans compter les projets open source tels que Shuffle.</p> <h3>Qu’est-ce qui est normal ?</h3> <p>L’un des aspects les plus importants de la gestion des systèmes d’information et de la sécurité est de comprendre le réseau et ce qui est normal. Cela peut paraître évident de prime abord, mais en pratique, c’est une chose qui n’est presque jamais maîtrisée.</p> <p>Beaucoup d’organisations n’ont pas de cartographie à jour de leur système d’information, et comprennent encore moins ce qui se passe sur le réseau et ce qui pourrait être considéré comme normal ou anormal. Il est également impératif que l’équipe de sécurité entende parfaitement les besoins de l’entreprise, afin qu’elle puisse commencer à collecter des données de référence et établir cette base critique de ce qui est normal.</p> <div class="youtube-wrapper"> <iframe src="https://www.youtube.com/embed/yo7l3hn1H6I" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen width="560" height="315" frameborder="0"></iframe> </div> <div class="youtube-wrapper"> Qu'est-ce que la réponse à incidents et pourquoi est-elle importante ? </div> La boucle d’Ooda peut aider les entreprises tout au long du processus de réponse à incident en leur donnant des indices sur les outils nécessaires à la détection et à la réponse aux événements de sécurité. https://cdn.ttgtmedia.com/visuals/IoTAgenda/security/iotagenda_article_018.jpg https://www.lemagit.fr/tip/Outils-de-reponse-a-incident-quand-comment-et-pourquoi-les-utiliser Thu, 29 Oct 2020 08:48:00 GMT Outils de réponse à incident : quand, comment et pourquoi les utiliser <p>Le test d’<a href="https://www.lemagit.fr/definition/API">API</a> demande un effort important à l’équipe <a href="https://whatis.techtarget.com/fr/definition/Assurance-Qualite-QA">assurance et qualité</a>. Il faut les intégrer au planning de vérification, à chaque fois que vous travaillez sur des applications Web ou mobiles, car ces interfaces sont essentielles pour l’échange de données entre applications.</p> <p>Prenons l’exemple des nombreux services bancaires mobiles et en ligne que les consommateurs utilisent chaque semaine. Elles reposent sur le transfert de données d’un lieu de stockage à un autre. Sans API, les applications sont moins efficaces, moins intégrées et donc moins utiles.</p> <p>Dans de nombreuses équipes de développement, les tests <a href="https://whatis.techtarget.com/fr/definition/Assurance-Qualite-QA"></a>Q&A incombent aux développeurs. Cependant, il est bénéfique pour l’équipe d’assurance et qualité d’apprendre à effectuer lesdits tests sur vos API. Cette étape contribue à la qualité, la fiabilité et au succès commercial d’une application. </p> <h3>Quand tester ses API ?</h3> <p>Les tests d’API doivent s’inscrire dans une stratégie continue d’analyse de la qualité des applications.</p> <p>Effectuez des tests d’API fréquemment, ou en continu, et selon des cycles courts. Tester les API souvent, au moins après toute modification significative du code. Il convient d’effectuer des tests rapides pour s’assurer du fonctionnement (ou non) de l’API, puis d’autres à chaque modification de l’application. Il faut aussi suivre les changements dans la base de données associée et vérifier que les deux composants fonctionnent correctement au sein de l’application.</p> <figure class="main-article-image full-col" data-img-fullsize="https://www.lemagit.fr/rms/onlineImages/microservices-api_types.jpg"> <img data-src="https://www.lemagit.fr/rms/onlineImages/microservices-api_types_mobile.jpg" class="lazy" data-srcset="https://www.lemagit.fr/rms/onlineImages/microservices-api_types_mobile.jpg 960w,https://www.lemagit.fr/rms/onlineImages/microservices-api_types.jpg 1280w" alt="Les 3 types de base d'API" height="281" width="520"> <figcaption> <i class="icon pictures" data-icon="z"></i>Les 3 types de base d'API </figcaption> <div class="main-article-image-enlarge"> <i class="icon" data-icon="w"></i> </div> </figure> <h3>Quoi tester ?</h3> <p>L’essentiel est de vérifier qu’une API est capable de se connecter, qu’elle envoie et reçoit les données.</p> <p>L’équipe d’assurance qualité doit inclure des tests de sécurité. Les messages API doivent vérifier la sécurité aux deux extrémités d’un échange de données.</p> <p>En plus de la connectivité et de la sécurité, il faut vérifier la validité de la <a href="https://whatis.techtarget.com/fr/definition/Base-de-donnees">base de données</a>. Si les API autorisent des données non valides pendant un échange, elle et les applications sont susceptibles de tomber en panne à cause d’une source inattendue. La validité des données est essentielle pour la communication des API, des bases de données et des applications. </p> <p>En général, les développeurs choisissent de transmettre les informations d’une base de données à une autre en utilisant le format <a href="https://www.lemagit.fr/definition/JSON-JavaScript-Object-Notation">JSON</a>. Bien que la plupart des <a href="https://www.lemagit.fr/definition/Systeme-de-gestion-de-base-de-donnees">SGBD</a> <a href="https://www.lemagit.fr/definition/SQL-Structured-Query-Language">SQL</a> ou <a href="https://www.lemagit.fr/definition/NoSQL-base-de-donnees-Not-Only-SQL">NoSQL</a> le supportent nativement, il faut s’attendre à des anomalies dans certaines tables. Tout dépend de la qualité d’indexation proposée par l’éditeur.</p> <p>Pour vérifier ces domaines, assurez-vous de tester également les conditions d’erreur. Le développeur de l’API doit partager les codes d’erreur qui seront générés lorsque le système rejette un message entrant. Les raisons peuvent être diverses : un problème de sécurité ou de données, un format de message inadéquat ou un terminal API hors service.</p> <p>L’ingénieur Q&A doit vérifier que l’API renvoie les données que la <a href="https://www.lemagit.fr/definition/DSI">DSI</a> attend d’un système à l’autre. De nombreuses applications ont des composants intégrés, tels qu’un portail web et une application mobile. Une API sert probablement les deux composants, il faut donc valider les fonctions de l’application dans les deux systèmes et s’assurer que les données correspondent – ce qui n’est pas toujours une garantie. </p> <p>Si une application comprend à la fois une option web et mobile, les programmeurs codent souvent ces systèmes séparément. De même, ils peuvent avoir codé les processus différemment, ce qui nécessite des tests distincts pour chaque plateforme. Cette configuration provoque des maux de tête pour les testeurs, car les résultats de l’application fonctionnent probablement de la même manière. Vérifiez que les données qui s’affichent dans l’une correspondent à l’autre et que les deux systèmes restent synchronisés.</p> <p>Une fois que vous avez couvert les bases du test de l’API, passez à des configurations plus sophistiquées. De nombreux outils de test d’API comprennent des ensembles de trames de test préprogrammées. Les équipes d’assurance qualité peuvent modifier et utiliser ces <a href="https://whatis.techtarget.com/fr/definition/Framework">frameworks</a> pour créer des tests d’API automatisés. Par exemple, l’outil de développement Postman comprend un vaste ensemble de snippets JavaScript que les professionnels de l’assurance qualité peuvent utiliser individuellement ou conjointement.</p> <p>Dans tous les cas, les programmeurs doivent travailler de concert avec l’équipe assurance et qualité. Ensemble, ces deux parties doivent s’assurer de produire une documentation suffisamment fournie. En effet, une interface de programmation sera d’autant plus pertinente s’il est réutilisable dans un autre contexte. <br>De même, l’API peut être destinée à communiquer avec des applications externes, celles de partenaires par exemple. Dans ces conditions, les vérifications doivent être rigoureuses pour assurer une continuité de service aux consommateurs de l’interface.</p> <div class="extra-info"> <div class="extra-info-inner"> <h4>À lire également :</h4> <p><a href="https://www.lemagit.fr/conseil/Les-bases-du-test-des-API-RESTful">Les bases du test des API RESTful</a><br>Le test d’API RESTful insuffle au sein de l’entreprise une culture de tests en continu et d’une forme de responsabilité de l’équipe. Greg Sypolt passe en revue les composants clés d’un programme de test.</p> </div> </div> <h3>Quelques outils pour tester ses API</h3> <p>Si vous disposez d’une automatisation des tests fonctionnels pour votre application, vous pouvez créer une suite de tests axée sur la vérification de l’exécution de l’API, le tout sans effort supplémentaire. Ils peuvent probablement couvrir les données et les conditions d’erreur en les couplant avec les tests fonctionnels existants. <br>Toutefois, les étapes de sécurisation ne doivent pas s’appuyer totalement sur des processus automatisés.</p> <p>Les équipes d’assurance qualité n’ont pas forcément besoin d’outils pour effectuer les tests de l’API : elles peuvent travailler avec du code ou dans l’application. Mais de nombreux outils offrent des capacités très utiles pour cette tâche. Postman, API Fortress, SoapUI et SmartBear sont de ceux-là tout comme les outils d’AWS et d’autres éditeurs. <br>Il existe des options peu coûteuses pour les DSI, qui peuvent commencer par les bases et voir si les tests d’API apportent une valeur ajoutée, puis passer à des outils plus sophistiqués si nécessaire.</p> Les API exécutent des applications, il est donc essentiel de les tester et ne pas seulement vérifier leur connectivité. Étudiez les basiques pour savoir quand appliquer les tests. Découvrez les avantages de confier cette tâche au département assurance et qualité. https://cdn.ttgtmedia.com/visuals/ComputerWeekly/Hero%20Images/software-testing-1-fotolia.jpg https://www.lemagit.fr/tip/Comment-tester-les-API-pour-ameliorer-la-qualite-des-applications Wed, 18 Mar 2020 06:47:00 GMT Comment tester les API pour améliorer la qualité des applications <p>Dans un monde de l’IT qui se repeint massivement aux couleurs du Cloud, le datacenter constitue aujourd’hui l’épine dorsale technologique qui sert de support universel. Le problème ? Face à la demande toujours forte en trafic chez les clients, les opérateurs sont confrontés à un dilemme : comment rationnaliser leurs coûts, tout en maintenant un niveau de services de haut niveau et une disponibilité permanente, clé de voute du Cloud.</p> <p>Selon le Global Cloud Index de Cisco, le Cloud devrait compter pour plus de trois-quarts du trafic total des datacenters. Cette part croissante du Cloud dans le trafic devrait ainsi accroître considérablement le trafic global vers les datacenters. Dans son Index, Cisco fait état d’un triplement du trafic entre 2013 et 2018. Alors qu’en 2013, le Cloud comptait pour 54% du trafic des datacenters, il devrait en représenter 76% en 2018. </p> <p>Dans ce contexte, la consommation énergétique constitue un poste de dépenses important pour ces usines de la donnée qui doivent conjuguer activité poussée de leurs serveurs et leur administration et à l’optimisation de leur consommation énergétique pour satisfaire la demande.  D’où la mise en place de système de gestion de l’énergie intelligent à l’ensemble de l’infrastructure. Entre en jeu le DCIM (Datacenter Infrastructure Management), nouvelle pièce centrale des opérateurs de centres de données.</p> <p>Et l’enjeu est d’autant plus important pour eux. Sous la pression d’associations comme Greenpeace, qui ont donné un coup de projecteur sur l’empreinte carbone des grands de l’IT et de leurs datacenters, les opérateurs ont dû s’adapter et ouvrir au grand public leur consommation énergétique...mais aussi leur degré d’utilisation d’énergies renouvelables, leur méthode de refroidissement, et plus globalement, la conception même de leur architecture.</p> <p>Un enjeu tel que l’ouverture du modèle de conception est passé au cœur des préoccupations ; ce que montre le mouvement de l’Open Hardware, initié par les équipes datacenter de Facebook.</p> Le Cloud va rapidement compter pour plus de trois-quarts du trafic total des datacenters. Dans ce contexte, la consommation énergétique constitue un poste de dépenses important. Le point donc, dans ce Guide sur les nouvelles solutions d'alimentation et de refroidissement de ces usines de la donnée. https://www.lemagit.fr/essentialguide/Datacenter-lenjeu-de-lefficacite-energetique-a-lheure-du-Cloud Thu, 25 Jun 2015 00:00:00 GMT Datacenter : l’enjeu de l’efficacité énergétique à l’heure du Cloud LeMagIT 60 editorial@fr.techtarget.com