Flux RSS

Inscrivez-vous

Oracle publie 59 correctifs de sécurité, dont trois critiques

Sur les 59 patchs annoncés dans le cadre de la campagne trimestrielle Critical Patch Updates d'Oracle, 13 concernent des problèmes de sécurité fragilisant la suite de base de données maison et 28 pour des vulnérabilités exploitables à distance et considérées d'une importance capitale par l'éditeur. : elles permettent en effet de prendre le contrôle des systèmes sans avoir besoin de s'identifier par un nom d'utilisateur ou un mot de passe. « Trois de ces patchs sont essentiels car ils portent sur des défauts particulièrement dangereux dans toutes les versions database server d'Oracle, » a déclaré Josh Shaul, directeur de la gestion produits chez Application Security, un spécialiste en solutions de sécurité basé à New York. L'une des failles, qui porte le numéro CVE-2010-0902, permet à tout utilisateur authentifié au sein d'une base de données Oracle de disposer d'un accès administrateur total. «Ils peuvent consulter la base de données, la modifier ou arrêter le serveur de base de données. En un mot, ils disposent de toutes les autorisations administrateur de la base de données, » a expliqué Josh Shaul.

Des failles critiques pour les entreprises

Les deux autres failles critiques affectant la base de données pourrait être exploitées sans que l'utilisateur ait même besoin d'être connecté à la celle-ci. Elles permettraient notamment à un attaquant de déclencher un déni de service (DoS) contre la base pour la rendre inaccessible aux utilisateurs légitimes. «Ce sont trois vulnérabilités très dangereuses pouvant mettre à néant la base de données, » a encore déclaré le responsable d'Application Security. « L'indice établi par Oracle pour classer les failles par niveau de gravité ne reflète pas la véritable nature de la menace, » a t-il commenté.

[[page]]

La suite de produits Solaris acquise par Oracle avec le rachat de Sun Microsystems est concernée par 21 correctifs dans le total de ceux qui ont été livrés, dont 7 sont exploitables à distance. Dix-sept des correctifs réparent des failles dans E-Business Suite et Supply Chain Management (SCM), dans la suite JD Edwards de PeopleSoft. Une autre série corrige 7 failles dans les produits Fusion Middleware d'Oracle, tandis que l'un des correctifs colmate un trou dans Enterprise Manager Grid Control.

Mise en oeuvre prudente

Comparativement aux livraisons précédentes, le nombre de correctifs appliqués cette fois-ci est globalement assez faible. En Janvier 2006 par exemple, Oracle avait publié 82 correctifs après une mise à jour effectuée en octobre qui réparait déjà 101 bugs. Dans le passé, les administrateurs d'Oracle ont été notoirement lents à déployer des correctifs de sécurité, en particulier dans les environnements de base de données. Des enquêtes ont montré que les environnements sous Oracle attendent souvent plusieurs mois avant de disposer de correctifs de sécurité, même dans les cas où les failles peuvent représenter un danger manifeste. Cet immobilisme découle en grande partie de la préoccupation concernant la mise en oeuvre de ces correctifs, le délai nécessaire pour tester et déployer ces patchs entrainant une perturbation redoutée de la production. « Depuis peu les entreprises savent de mieux en mieux réagir pour effectuer le déploiement des correctifs dans les base de données Oracle, aidées notamment par des outils qui facilitent la gestion de l'application des patchs, » a déclaré Josh Shaul.

Crédit photo : D.R.

WPC 2010 : Avec CRM 2011 et Dynamics MarketPlace, Microsoft assiège Salesforce

Disponible en version bêta à partir de septembre, CRM 2011 sera proposé en version online. Selon Sophie Jacquet, chef produit Dynamic CRM chez Microsoft France, l'application définitive sera disponible d'ici la fin de l'année. Microsoft va également élargir la disponibilité géographique de son CRM en ligne à 40 marchés d'ici cette date, ajoutant à sa liste l'Australie, le Brésil, la Colombie, le Costa Rica, le Chili, Chypre, le Pérou, Trinité-et-Tobago. Le produit CRM phare de l'éditeur de Redmond sera livré avec une série de mises à jour, dont l'interface « sur mesure » personnalisable par l'utilisateur selon ses besoins, et une meilleure intégration à Outlook, Office et SharePoint. Et pour rassurer les clients quant à la disponibilité et à la latence, Sophie Jacquet précise que l'éditeur a installé un datacenter par continent pour assurer une bonne qualité de service.

CRM 2011 « couvait depuis longtemps, mais les éditeurs de logiciels indépendants avaient semble-t-il plaisir à travailler sur la mise à jour, » a déclaré China Martens, analyste du groupe 451. La Dynamics MarketPlace est également le fruit d'un gros travail d'intégration, justifié par le constat qu'un certain nombre de clients risquaient de se tourner vers Salesforce.com parce qu'il permettait de trouver facilement un ensemble d'applications complémentaires et d'extensions pour agrémenter son CRM. « Microsoft a eu raison de réaliser cette plate-forme» commente l'analyste. Cette dernière a également souligné que Microsoft avait eu raison de renforcer les liens entre son CRM et Office, « un apport que Salesforce.com ne peut concurrencer. »  Par contre, « le système de tarification du CRM 2011 de Microsoft manque de clarté, » fait remarquer China Martens qui rappelle que l'entreprise a été « très agressive » en matière de prix pour la version en ligne comparativement à Salesforce.com. Sophie Jacquet indique encore que l'éditeur prévoit de publier des informations sur ses tarifs à une date ultérieure.

Selon China Martens, « si Microsoft maintient la pression sur les prix, en plus de la possibilité offerte à ses clients de déployer l'application CRM sur site ou en hébergement chez des partenaires, l'entreprise dispose de solides arguments pour concurrencer Salesforce.com. » Reste que Microsoft a un long chemin à parcourir avant de se retrouver vraiment face à face avec Salesforce.com. Ce dernier est en effet le plus grand fournisseur de logiciels d'automatisation de ventes dans le monde, et selon un rapport publié récemment par IDC, Salesforce.com a récolté 885 millions de dollars de recettes en applications connexes pour l'année 2009. Sur la liste d'IDC, Oracle et SAP arrivent en seconde et troisième position, avec respectivement 820 millions de dollars et 642 millions de dollars, Microsoft ne se classant que cinquième avec 139 millions de dollars avec son Dynamic CRM 4.0 lancé en janvier 2008. Les chiffres d'IDC ne comprennent pas « les recettes provenant de la formation, du conseil et de l'intégration systèmes extérieurs (ou séparés) aux droits d'usage de la licence, » comme le précise le rapport.

Adecco passe aux feuilles de paie dématérialisées

La dématérialisation des bulletins de paye est une source importante d'économie : au-delà du papier, il y a également la logistique de la distribution, en général par courrier postal. Par ailleurs, l'entreprise a l'obligation de conserver les bulletins de paye à disposition dans un coffre-fort électronique, ce qui évite la perte d'un document papier par le salarié (ainsi que les demandes de réédition) ou les erreurs de mauvais acheminement.

Adecco vient d'annoncer qu'il franchit le pas. Il est le premier à le faire pour des intérimaires. Cette évolution s'inscrit, au sein du groupe, dans une démarche plus générale de croissance des services en ligne. Les bulletins de paye seront ainsi accessibles par le salarié via le web en permanence. Si une version papier est désirée, son impression restera possible par le salarié.

Test avant déploiement

Une expérimentation auprès d'une population test de 3000 intérimaires ayant recueilli 55% d'avis favorables,  la société d'intérim a décidé de généraliser la dématérialisation des bulletins de paye. Le déploiement se fait progressivement, par enseigne : Adecco Experts dès à présent, Adecco et Adia d'ici la fin de l'année. De plus, les collaborateurs permanents du groupe seront également concernés. Adecco précise que le groupe économisera 15 tonnes de papier par an grâce à cette dématérialisation.

Le projet est basé sur une solution développée par PBA-Astérion, par ailleurs prestataire éditique du groupe Adecco. Cette solution intègre le coffre fort électronique Cecurity.com.

Le groupe n'a pas souhaité préciser le coût du projet.


Crédit Photo: DR

Open Text a intégré Vignette plus facilement que prévu, selon son PDG

Quel bilan tirez-vous de l'acquisition de Vignette et de son offre WCM, un an après ?

John Shackleton : L'intégration de Vignette s'est déroulée plus facilement et plus rapidement que prévu à la faveur de synergies auxquelles nous ne nous attendions pas. Le passage de la version 5 de leur offre à la 6 leur avait posé de gros soucis. Un grand nombre de leurs clients avaient rencontré toute une série de problèmes. Généralement, ce genre de situation entraîne, dans un premier temps, une baisse des ventes de licences. Mais lorsque les revenus de la maintenance prennent le même chemin, cela signifie que les gens ne veulent pas du logiciel. Nous sommes parvenus à stabiliser le produit, en améliorant les processus d'assurance qualité et d'ingéniering pour venir à bout de la majorité des problèmes rencontrés par les clients. Nous avons corrigé tout cela dans la version 8 et nous avons vu revenir certains clients qui avaient lâché la maintenance. Des clients que l'on croyait avoir perdu et qui, évidemment, ont payé l'arriéré. C'est donc très encourageant et, de fait, il s'agit d'un très bon produit. Seule cette version 6 s'est révélée problématique.

Cette acquisition fut tout de même un pari risqué pour Open Text.

C'est vrai. Mais, nous nous intéressions à Vignette depuis un certain temps déjà. Il y a quatre ans, j'avais rencontré le CEO et lui avait demandé de nous prévenir si jamais quelqu'un voulait les racheter. Nous savions qu'il fallait les regarder de près. Ainsi que vous l'avez rappelé, nous avons d'autres produits de WCM. Mais Vignette a toujours été le meilleur dès qu'il s'agit de monter en puissance, de prendre de l'ampleur. C'est une robuste application d'entreprise, avec de très fortes capacités d'extension lorsqu'il faut en étendre le périmètre (scalable). Son point faible, c'est sa difficulté d'accès pour les non-informaticiens. A l'inverse, le produit que nous avions était très simple à utiliser, mais il ne pouvait pas monter en puissance. Nous avons donc apporté à Vignette la simplicité d'accès de notre logiciel et en avons fait notre offre de WCM numéro 1. Néanmoins, nos autres produits de WCM continueront à être commercialisés, de préférence sur le marché des PME, en particulier en Europe, mais aussi, dans doute, en mode « Software as a service » (SaaS).

En février, vous avez racheté Nstein Technologies et son moteur d'analyse textuelle (text mining). Quelle est votre stratégie dans ce domaine ?

Considérez la Business Intelligence (BI) et les offres de Business Objects, Cognos, etc. Elles s'appliquent à des données structurées stockées dans des bases relationnelles. Il y a cinq ans, 60% de l'activité des entreprises étaient gérés dans ce type de bases. Maintenant, c'est moins de 10%. L'enjeu, c'est donc de faire de la BI sur un volume important de données non structurées. Il faut l'organiser afin d'obtenir l'information de façon plus efficace. L'analyse textuelle est une réponse. Mais que faire des flux vidéos, de la voix sur IP... qui représentent aussi de l'information. Comment s'y prendre de façon intelligente.

Nous travaillons par exemple avec la BBC pour répertorier tous les enregistrements vidéos effectués depuis 1911, avec un objectif multiusage. Nous étudions donc l'ensemble de ces possibilités, à la fois ce qu'apporte Nstein, mais aussi la façon de gérer de façon plus efficace les actifs multimédias, les contenus riches, et comment on peut les analyser. Nstein est un commencement, nous procèderons à d'autres acquisitions. Il y a des produits qui ont été mis au point par des services de renseignements gouvernementaux. Ils ont travaillé pendant dix ans sur des outils qui so12nt maintenant commercialisés. Certains nous intéressent. Nous investirons dans ce domaine. Et nous travaillerons aussi avec Business Objects.

Lire la suite de l'entretien
(...)

Affaire Faurecia : Oracle réussit à limiter sa responsabilité (MAJ)

Avec Sybase, SAP prépare du push pour tous les mobiles

«Si les clients ont besoin du push en temps réel de tout type de données sur leurs appareils mobiles, nous le ferons." explique Sanjay Poonen, vice-président exécutif de SAP. « Beaucoup de clients veulent disposer d'informations pendant leurs déplacements pour prendre des décisions, avant d'entrer en réunion, ou quand ils sont hors de leur bureau. C'est la principale raison pour laquelle nous voulons acquérir Sybase."
Prenant la parole lors du SAP World Tour actuellement à Birmingham, Sanjay Poonen a poursuivi en déclarant qu'un ensemble de « pressions financières et réglementaires, les nouvelles technologies plus la nouvelle génération de salariés » a poussé les entreprises à engager des changements radicaux en matière informatique. « Et les fournisseurs se doivent de soutenir cette évolution, » a-t-il affirmé. L'un des changements les plus importants a été de rendre les données disponibles quel que soit le lieu et de s'adapter à différents types de service. « La stratégie de SAP a été de faire que le logiciel soit disponible «à la demande, en plusieurs lieux et sur plusieurs types d'appareils, » a-t-il expliqué, ajoutant qu'il fallait en plus que tout cela se passe en temps réel. « Les utilisateurs veulent pouvoir planifier leur travail plus intelligemment, l'exécuter plus rapidement et de manière plus performante. »

Les plates-formes mobiles sont un marché d'avenir pour l'éditeur

La gestion de la relation client et la business intelligence sont les principales offres mobiles actuellement disponibles chez l'éditeur de Walldorf. Mais Sanjay Poonen a fait valoir qu'il y avait un gros potentiel pour créer de nombreux modules pour les utilisateurs nomades, notamment en matière de gestion des ressources humaines et de distribution des données. Selon une enquête réalisée par SAP, le logiciel sur site va sans doute encore dominer le paysage pour les trois à cinq ans à venir. L'étude menée au Royaume-Uni auprès de 250 responsables informatiques a révélé que 71 % des déploiements de logiciels se font actuellement sur site, 17 % à la demande et 13 % concernent les appareils mobiles. Ces résultats sont sans commune mesure avec la répartition qualifiée d'« idéale » par les entreprises  - 47 % pour le déploiement local, 31 % à la demande et 22 % sur mobile - lesquelles comptent se rapprocher de ces ratios dans les trois à cinq ans. En 2015, elles voudraient voir cette répartition évoluer vers un 51% sur site, 28 % en déploiement à la demande et 21 % pour les appareils mobiles.

[[page]]

De fait, l'importance du déploiement sur site a diminué, laissant de nombreux utilisateurs s'orienter vers le cloud ou vers des solutions accessibles sur appareils portables. « Le passage par des modèles basés sur lecCloud était principalement motivé par le coût et une évolutivité rapide, » a déclaré Sanjay Poonen, qui a reconnu que les préoccupations de sécurité retiennent encore de nombreuses entreprises. L'adoption d'un modèle mobile a été motivée par la demande de salariés souhaitant disposer de plus d'informations pendant leurs déplacements, ainsi que par les jeunes générations, peut-être plus familières de la tablette tactile et du smartphone que des ordinateurs portables traditionnels.

Simplifier le travail avec les solutions non-SAP

L'éditeur dispose de 100 000 clients environ dans le monde, répartis entre spécialistes de la planification des ressources dans l'entreprise et ceux de la business intelligence. Au Royaume-Uni, parmi les gros clients, SAP compte notamment BP, Shell, Pfizer, Burberry, Premier Foods et la BBC. L'entreprise vend aussi son offre Business ByDesign sous forme de software-as-a-service à des petites et moyennes entreprises. Selon Sanjay Poonen, l'éditeur allemand reconnaît que beaucoup de clients demandent que les masses de données traitées par leur ERP ou leurs outils décisionnels puissent s'interfacer plus facilement avec des systèmes non fournis par SAP. Mais il a insisté sur le fait que SAP disposait des outils pour extraire et traiter ces informations de manière efficace.

Le Syntec formalise les contrats SaaS

Avec l'aide d'Olivia Flipo, avocate chez, Staub & Associés, le Syntec Informatique a donné les grandes orientations d'un contrat SaaS. Cette méthode de distribution des applications est devenue la porte d'entrée du cloud, mais elle nécessite quelques spécificités juridiques à prendre en considération lors de la signature d'un accord entre client et prestataire. Dans le guide produit par le syndicat et la juriste, il est souligné qu'un contrat Software as as Service est complexe, car il fait appel à plusieurs type de contrats, logiciel, maintenance et assistance technique. Nonobstant, les problématiques sont connues en tournant autour de 3 points, auxquels le Syntec apporte des réponses.

Une charte de qualité

Si le préambule du contrat est essentiel en matière de définition du service et des objectifs poursuivis pour fixer les responsabilités du prestataire, une attention particulière sera portée sur la qualité des applicatifs. Ainsi, le guide explique « l'impact des pannes pouvant avoir de graves conséquences pour le client. En dépit du fait que le client a de fortes attentes, le prestataire ne saurait être responsable de toutes les défaillances et notamment celles du réseau Internet. Il faut donc être très vigilant lors de la rédaction de cette clause, la plupart des interruptions étant fréquemment liées à des problèmes réseaux, voire à des virus ou malveillance. » Il est donc conseillé d'intégrer la mise en place d'un service redondant permettant de contourner les pannes d'origine matérielle ou réseaux. De plus, le syndicat propose la rédaction d'une annexe spécifique la création d'une charte de qualité ou la mise en place de SLA.

Ainsi sur les performances, cette charte doit comprendre des éléments très précis  en définissant « des niveaux de performances minimum attendus ainsi que d'anticiper et de corriger d'éventuelles défaillances. Il n'est pas inutile de mettre à disposition des futurs utilisateurs un profil de performances de l'application par heure, par jour, par semaine, par mois. » Idem sur la partie réseaux où les parties doivent indiquer la capacité de bande passante, les consignes de tests et les dispositifs d'assistance.

Crédit Photo: DR

[[page]]

En matière de sécurité des données, le guide renvoie à la loi Informatique et Liberté, mais encourage en cas d'informations sensibles le recours au cryptage. Par ailleurs, un audit technique doit être intégré dans le contrat « compte tenu du caractère très confidentiel de telles ou telles données circulant en mode SaaS ». Cet audit est encadré, tiers indépendant, coûts, modalités, périodicité, personnes autorisées, etc.

Une réversibilité balbutiante

Au coeur des débats sur le cloud, la question de la réversibilité du contrat, c'est-à-dire la récupération des données lorsque le contrat avec un prestataire est rompu, trouve un début de réponse dans ce guide. « Si en mode SaaS, la réversibilité est simplifiée, le rapatriement  en interne d'une application hébergée peut s'avérer problématique, s'il faut convertir le format des données » explique le guide. Cela suppose de vérifier l'intégrité des données et de déterminer un mode d'exécution en parallèle jusqu'à la fin de la conversion. Si les conditions techniques ne sont pas résolues, « les parties doivent prévoir de renvoyer l'élaboration du plan de réversibilité, dans un délai donné, lors de l'exécution du contrat » précise le guide.

Par ailleurs, le contrat doit bien préciser le pays de localisation des serveurs et donc d'hébergement des données  pour deux raisons : éviter qu'en cas de litige ce ne soit la loi du pays où se trouvent les serveurs qui s'applique, même si la localisation du serveur ne suffit pas, à elle seule, à déterminer la loi applicable. En second lieu, permettre aux clients d'effectuer les déclarations requises auprès de la CNIL.

L'industrie française du logiciel résiste à la crise

En 2009, malgré les conséquences négatives de la crise sur les investissements informatiques, le chiffre d'affaires global du Top 100 n'a baissé que de 1,4% par rapport à 2008, ramenant son CA global à 3,5 milliards d'euros, alors que la demande de logiciels a baissé de 4,5% en France. Le classement des acteurs est demeuré stable dans un secteur caractérisé par une concentration de 61% du CA global autour des dix premiers éditeurs et un marché par ailleurs fortement atomisé avec 60 entreprises du Top 100 ne réalisant pas plus de 15 millions d'euros de CA. « Ce classement est marqué par une stabilité qui contraste fortement avec l'adaptabilité permanente qui caractérise le secteur » fait remarquer Patrick Bertrand, Président de l'AFDEL.

Les poids lourds français tirent le marché

Cette bonne résistance s'explique notamment par la position de leaders tenue par certains éditeurs au niveau international, comme c'est le cas de Dassault (PLM), d'Axway (plate-forme), de Murex (finance), ou encore d'éditeurs traditionnels comme Cegid, Esker, Générix, qui ont évolué avec succès vers le SaaS/ASP, affichant une progression de 5 à 35% de leur revenu. Par ailleurs, des acteurs plus spécialisés comme Sidetrade, Metaware, Oodrive, ont su consolider leur position. L'optimisme vient également de l'implication des grandes entreprises françaises pour lesquelles le logiciel est devenu un support de service dont elle reconnaisse clairement la capacité à créer de la valeur. En 2009, Gemalto a acquis l'entreprise spécialisée en sécurité numérique et mobilité Trusted Logic (classée au 82ème rang), après avoir racheté un éditeur allemand (O3SIS). Autre exemple, celui de Doc@Post, filiale de La Poste, qui a racheté l'entreprise Sefas, spécialisée en éditique (classée au 93ème rang). Sans parler de HubTelecom (ADP) devenu propriétaire de Masternaut, et de Schlumberger qui a réalisé l'acquisition de Techsia.

Les grands acteurs maintiennent leur place en tête

Néanmoins, concernant les acquisitions, le document pointe le fait que les grands acteurs comme Dassault Systèmes (Exalead), Cegid, Berger Levrault, Cegedim restent leaders du marché : « En France, l'industrie du logiciel doit oeuvrer à l'émergence de nouveaux acteurs de taille critique ayant les moyens et les ambitions d'initier une politique de consolidation » explique Pierre Marty, European Software Leader au sein de PricewaterhouseCoopers. L'Eurosoftware 100 reconnaît aussi que, derrière le nom de ces leaders, la capacité d'innovation vient du travail, moins visible, des centaines de développeurs de logiciels oeuvrant chez France Telecom, Thales, Dassault, Amadeus... « Ce foisonnement de nouveautés et les attentes qu'elles génèrent chez les utilisateurs permettront à ceux qui s'adaptent de se préparer à la croissance de demain, »  déclare Pierre Marty, European Software Leader au sein de PricewaterhouseCoopers. Quant au Cloud Computing, désigné par le document comme vecteur de développement pour faire face à une concurrence d'un type nouveau, il vient aussi remettre en cause les modèles économiques et les modes de fonctionnement du secteur.

Infor s'empare des activités ERP LN de Qurius

L'éditeur de solutions métiers dédiées aux entreprises du « mid-market » a annoncé la reprise des activités ERP LN de Qurius.

Les deux sociétés étaient à l'origine partenaires. Qurius est intégrateur d'Infor pour accompagner ces clients en matière d'architecture, de déploiement et de gestion de systèmes, ainsi que de solutions IT y compris sur les infrastructures. La firme belge disposait d'une compétence propre sur les solutions ERP LN, progiciel de gestion intégré. C'est cette activité que vient d'acquérir Infor.

L'accord prévoit que les 60 membres de Qurius en charge du service clients d'ERP LN en Italie, en Allemagne et en Espagne rejoindront les équipes d'Infor. Ce dernier reprend donc la main sur la distribution de sa solution PGI. Pour Dennis Michaelis, vice-président senior d'Infor « cette opération ne représente pas un changement de stratégie, elle nous permettra au contraire de continuer à investir dans notre programme Channel et de recruter de nouveaux partenaires partout dans le monde ».

Aucun montant n'a été dévoilé sur cette opération.