ISO/CEI 19770

Les normes internationales (en) de la famille des normes ISO/CEI 19770^[1] pour la gestion des actifs informatiques (ITAM - IT asset management (en)^[2]), traitent à la fois des processus et de la technologie pour gérer les logiciels et des ITAM connexes. D'une manière générale, ce standard appartient à l'ensemble des normes de gestion des actifs logiciels (ou SAM - Software Asset Management) et est intégrée à d'autres normes du système de gestion.

La gestion quotidienne de l'ISO/CEI 19770 relève de la norme ISO/CEI/SC7/WG21, ou du Groupe de travail 21 (WG21) présidé par Roger Cummings en qualité d'animateur et Peter Beruk^[3] secrétaire général. Le WG21 est responsable du développement, de l'amélioration et de la garantie des besoins du marché lors de l'élaboration de ces normes.

Quel est le but de ISO/CEI 19770 ? modifier

La norme ISO/CEI 19770 est un concept de standardisation des ITAM au sein d'une organisation intégrant les normes ISO/CEI. L'objectif de la norme est de fournir aux organisations de toutes tailles des informations et une assistance pour aider à minimiser les risques et les coûts des ITAM. Grâce à la mise en œuvre, ces mêmes organisations acquerront un avantage concurrentiel grâce à :

La gestion du risque d'interruption de la prestation des services informatiques, violation des accords juridiques et audit ;
La réduction des coûts globaux des logiciels grâce à la mise en œuvre de divers processus ;
Une meilleure disponibilité de l'information, ce qui améliore la prise de décision fondée sur des données précises.

Les principales parties de cette norme ITAM sont détaillées ci-dessous :

ISO/CEI 19770-1 est un cadre de processus permettant à une organisation de prouver qu'elle exécute ITAM à un niveau suffisant pour satisfaire les exigences de gouvernance d'entreprise et assurer un support efficace pour la gestion des services informatiques dans son ensemble ;
ISO/CEI 19770-2 fournit une norme de données ITAM pour les marqueurs d'identification de logiciel (Software Identification Tags) ;
ISO/CEI 19770-3 fournit une définition technique d'un schéma qui peut encapsuler les détails des droits des logiciels, y compris les droits d'utilisation, les limitations et les métriques (« ENT ») ;
ISO/CEI 19770-5 fournit l'aperçu et le vocabulaire ;
ISO/CEI 19770-7 discutera de la gestion des marqueurs.

ISO/CEI 19770-1 : processus modifier

L'ISO/CEI 19770-1 est un cadre de processus ITAM permettant à une organisation de prouver qu'elle exécute la gestion d'actifs logiciels à un niveau suffisant pour satisfaire les exigences de gouvernance d'entreprise et assurer un support efficace pour la gestion des services informatiques dans l'ensemble. L'ISO/CEI 19770-1 est aligné sur la gestion des services (ISO/CEI 20000-1) et contient 27 domaines de processus, avec des objectifs et des résultats détaillés définis pour chacun.

Mises à jour vers 19770-1 modifier

La première génération a été publiée en 2006. La deuxième génération a été publiée en 2012. Elle conserve le contenu original (avec seulement des changements mineurs), mais divise la norme en quatre niveaux qui peuvent être obtenus séquentiellement. Ces niveaux sont :

Niveau 1 : données fiables
Niveau 2 : Gestion pratique
Niveau 3 : Intégration opérationnelle
Niveau 4 : Conformité complète ISO/CEI ITAM

Cette norme révisée est conçue pour permettre à la mise en œuvre des processus ITAM d'être «réalisée en plusieurs étapes et avec l'ajustement le plus adapté aux besoins de l'organisation»^[4].

ISO/CEI 19770-2 : Marqueur d’identification des logiciels modifier

ISO/CEI 19770-2 fournit une norme de données dans la gestion des actifs informatiques (ITAM - IT Asset Management) concernant les marqueurs d’identification des logiciels (SWID - Software Identification Tags) détaillant notamment le nom, l’édition, la version... Les marqueurs d’identification des logiciels fournissent des informations d’identification légale pour l’installation de logiciel ou autre élément faisant l'objet d'une licence, tels que les polices ou les documents protégés par copyright.

Vue d’ensemble des marqueurs SWID utilisés modifier

Il y a trois principales méthodes qui peuvent être utilisées pour s’assurer que les marqueurs SWID sont disponibles sur l’appareil avec les logiciels installés :

Les marqueurs SWID créés par l’éditeur ou le créateur du logiciel qui sont installés avec le logiciel, méthode qui prévaut pour l’identification ;
Les organisations peuvent créer leurs propres marqueurs SWID pour tout logiciel qui ne possède pas déjà de marqueurs. Cela permet à l’organisation de suivre plus précisément les installations des logiciels sur leur réseau ;
Des outils de recherche tiers peuvent également ajouter des marqueurs à un appareil au fur et à mesure que les propriétés du logiciel sont connues.

Fournir des données précises d’identification du logiciel améliore la sécurité organisationnelle et réduit les coûts. Il permet également d’augmenter la capacité des processus informatique tel que la gestion des correctifs (patches), desktop management, help desk management, le respect des politiques du logiciel etc. Les outils de détection ou processus qu’utilisent les marqueurs SWID permettent de déterminer le nom et les valeurs normalisés associés aux applications logicielles et veiller à ce que les outils et les processus utilisés par une organisation fassent référence au même logiciel avec l'exacte même nom et valeurs.

Information sur le développement des normes modifier

Cette norme a été publiée en novembre 2009^[5]. Cependant une révision de cette norme a été publiée en octobre 2015^[6] par Steve Klos.

Le soutien d’une organisation à but non lucratif modifier

En 2009, une organisation sans but lucratif appelé TagVault.org^[7] formée sous IEEE-ISTO (en)^[8] a fait pression pour l’utilisation des marqueurs SWID. TagVault.org agit comme une autorité d’enregistrement et de certification des marqueurs de la norme ISO/CEI 19770-2. Elle fournit également des outils et services à tous les membres de l’écosystème SAM, leur permettant de tirer avantage des marqueurs SWID plus rapidement, à moindre coût et avec plus de comptabilité industrielle que ce qui aurait été possible.

Les marqueurs SWID peuvent être créés par n’importe qui, les individus et les organisations ne sont pas tenues de faire partie de TagVault.org pour créer ou distribuer des marqueurs.

Le soutien commercial modifier

De nombreux pack d’installation d’outils Windows utilisent des marqueurs SWID :

Caphyon's Advanced Installer
Flexera Software (en) InstallShield
Flexera Software's InstallAnywhere (en)
Open Source - Windows Installer XML Toolset (WiX)

De nombreux outils de détection de logiciel utilisent déjà les marques SWIRD notamment : Altiris, Aspera License Management, Belarc (en)'s BelManage, Sassafras Software's K2-KeyServer, Snow Inventory, CA Technologies discovery tools, Eracent's EnterpriseAM, Flexera Software's FlexNet Manager Platform, HP's Universal Discovery, IBM Endpoint Manager and Microsoft's System Center 2012 R2 Configuration Manager.

Adobe a publié plusieurs versions de leurs produits Creative Suites et Creative Cloud avec des marqueurs SWID. Symantec a également publié plusieurs produits incluant des marqueurs SWID et s'est engagé à aider la communauté du logiciel, à adopter une approche plus cohérente et normalisée en matière d'identification des logiciels et, éventuellement, une approche plus automatisée de la compatibilité. Microsoft a ajouté des marqueurs SWID à toutes les nouvelles versions de ses logiciels depuis la sortie de Windows 8^[9]. Et IBM a commencé à commercialiser des marqueurs avec certains logiciels début 2014, mais à partir de novembre, toutes les versions des logiciels IBM incluaient des marqueurs SWID. Cela équivaut à environ 300 versions de produits par mois incluant des marqueurs SWID.

Le soutien gouvernemental modifier

Le gouvernement fédéral des États-Unis a identifié les marqueurs SWID de la norme 19770-2 comme un aspect important des efforts nécessaires pour gérer la conformité, la logistique et les processus de sécurité des logiciels. La norme 19770-2 est incluse dans le Registre des normes d'informations du département de la Défense des États-Unis (DISR) comme une norme émergente depuis septembre 2012. Le National Institute of Standards and Technology (NIST)^[10] et le National Cybersecurity Center of Excellence (en) (NCCoE) ont discuté en Mars 2015 de la nécessité des marqueurs SWID sur le marché.

Le soutien de l’organisation de développement de normes modifier

La compagnie Trusted Computing Group (TCG)^[11] développe une norme TNC SWID Messages et Attributs pour IF-M Spécification^[12] qui utilise des marqueurs à des fins de sécurité.

Le National Cybersecurity Center of Excellence (en) (NCCoE) a documenté « The Software Asset Management Continuous Monitoring building block^[13] » qui spécifie comment les marqueurs SWID sont utilisés pour l'identification en temps quasi réel des logiciels.

Le National Institute of Standards and Technology (NIST) est en train de créer une documentation qui spécifie comment les marqueurs SWID seront utilisés par les organisations gouvernementales, y compris le département de la Sécurité intérieure des États-Unis. David Waltermire, spécialiste des IT (information technology) au NIST a présenté le programme d'automatisation de la sécurité du NIST^[14] et comment les marqueurs SWID peuvent soutenir cet effort. Cet institut a publié « Guidelines for the Creation of Interoperable Software Identification (SWID) Tags », NISTIR 8060, en avril 2016.

ISO/CEI 19770-3 : schéma des droits logiciels (ENT) modifier

Un aperçu de la norme ISO/CEI 19770-3^[15] est disponible en anglais sur le site de l'ISO. Cette partie de l'ISO/CEI 19770 fournit une définition technique d'un schéma XML qui peut englober les détails des droits logiciels, y compris les droits d'utilisation, les limitations et les métriques. Les intentions principales de l’ISO/CEI 19770-3 sont de fournir une base pour une terminologie commune à utiliser pour décrire les droits, les limitations et les métriques, et de fournir un schéma qui permet une description efficace des droits, limitations et métriques attachés à une licence de logiciel.

Les informations spécifiques fournies par un schéma des droits (ENT) peuvent être utilisées pour garantir le respect des droits et des limites des licences, optimiser leur l'utilisation et contrôler les coûts. Bien que les créateurs d'ENT soient encouragés à fournir les données qui permettent le traitement automatique, il n'est pas obligatoire que les données soient automatiquement mesurables. La structure des données est censée être capable de contenir tout type de modalités et conditions inclus dans un accord de licence de logiciel.

Cette partie de la norme ISO/CEI 19770 prend en charge les processus ITAM tels que définis dans la norme ISO/CEI 19770-1^[16]. Elle est également conçue pour fonctionner conjointement avec des marqueurs d'identification logicielle telles que définies dans la norme ISO/CEI 19770-2^[17]. La normalisation dans le domaine des droits des logiciels fournit des données uniformes et mesurables pour à la fois la conformité aux licences et l'optimisation des licences, processus de la gestion des actifs logiciels (SAM).

Cette partie de l'ISO/CEI 19770 ne fournit pas d'exigences ni de recommandations pour les processus liés à la gestion d'actifs logiciels ou aux ENTs. Les processus de gestion d'actifs logiciels sont dans le champ d'application de la norme ISO/CEI 19770-1.

Information sur le développement des normes modifier

Le Groupe de travail ISO/CEI 19770-3 (« Other Working Group^[18]) » a été convoqué par vidéoconférence le 9 septembre 2008. John Tomeny^[19] de Sassafras Software Inc a été l'organisateur et l'auteur principal de l'ISO/CEI 19770-3 « Other Working Group », plus tard renommé « Groupe de développement ISO/CEI 19770-3 ». M. Tomeny a été nommé par le Working Group 21 (ISO/CEI JTC 1 / SC 7 / WG 21) avec Krzysztof (Chris) Baczkiewicz d'Eracent, qui a servi en tant qu'éditeur de projet sous la direction de M. Tomeny.

En plus des membres du WG21, d'autres participants au Groupe de Développement 19770-3 ont été désignés comme des «individus considérés comme ayant une expertise pertinente par le Coordinateur^[20]». Jason Keogh^[21] d'Alcurian et une partie de la délégation d'Irlande est l'éditeur actuel de 19770-3. L'ISO/CEI 19770-3 a été publiée le 15 avril 2016.

Principes modifier

Cette partie de l'ISO/CEI 19770 a été élaborée en tenant compte des principes pratiques suivants :

Possibilité d'utilisation maximale avec les informations sur les droits existants modifier

L'ENT ou le schéma d'autorisation de logiciel est destiné à fournir la possibilité d'utilisation maximale avec les informations de droits existants, y compris toutes les transactions historiques de licences. Bien que les spécifications offrent de nombreuses possibilités d'amélioration des processus et des pratiques d'admissibilité, elles doivent être capables de traiter les transactions de licences existantes sans imposer des exigences qui empêcheraient ces transactions d'être codifiées dans les enregistrements ENT.

Alignement maximal possible avec la spécification d'étiquette d'identification du logiciel (ISO/CEI 19770-2) modifier

Cette partie de l'ISO/CEI 19770 (schéma d'autorisation) est destinée à s'aligner étroitement avec la partie 2 de la norme (étiquettes d'identification du logiciel). Cela devrait faciliter la compréhension et leur utilisation conjointe. En outre, tous les éléments, attributs ou autres spécifications de la partie 2 que le créateur ENT peut souhaiter utiliser peuvent également être utilisés dans cette partie.

Avantages des parties prenantes modifier

Il est prévu que ce schéma normalisé profite à toutes les parties prenantes impliquées dans la création, l'octroi de licences, la distribution, la libération, l'installation et la gestion continue des droits logiciels. Les avantages pour les concédants de licences de logiciels qui fournissent des ORL comprennent, sans s'y limiter :

Reconnaissance immédiate par le client logiciel des détails des droits d'utilisation dérivés de leur droit au logiciel.
Possibilité de spécifier des détails aux clients qui permettent de mesurer et de déclarer les actifs logiciels aux fins de conformité aux licences.
Sensibilisation accrue des clients finaux aux problèmes de conformité des licences logicielles.
Amélioration des relations client-logiciel grâce à des audits de conformité des licences plus rapides et plus efficaces.

Les avantages pour les fournisseurs d'outils SAM, les fournisseurs d'outils de déploiement, les revendeurs, les revendeurs à valeur ajoutée, les emballeurs et les gestionnaires de versions comprennent, sans s'y limiter :

Réception de données cohérentes et uniformes par les donneurs de licences de logiciels et les créateurs d'ORL.
Des informations plus cohérentes et plus structurées sur les droits, appuyant l'utilisation de techniques automatisées pour déterminer la nécessité de réhabiliter les licences de logiciels.
Amélioration des rapports issus d'une catégorisation supplémentaire rendue possible par l'utilisation d'ORL.
Amélioration des capacités de rapprochement des droits de l'outil SAM résultant de la normalisation de l'emplacement et du format des données d'autorisation de logiciel.
Capacité de fournir des fonctionnalités à valeur ajoutée pour la gestion de la conformité par la consommation de données d'admissibilité.

Les avantages pour les clients logiciels, les praticiens SAM, les professionnels du support informatique et les utilisateurs finaux d'un élément donné de configuration logicielle comprennent, sans s'y limiter :

Réception de données cohérentes et uniformes par les fournisseurs de licences de logiciels, les revendeurs et les fournisseurs d'outils SAM.
Des informations plus cohérentes et plus structurées sur les droits qui appuient l'utilisation de techniques automatisées pour déterminer le besoin de réhabilitation des licences de logiciels.
Amélioration des rapports issus d'une catégorisation supplémentaire rendue possible par l'utilisation d'ORL.
Amélioration de la SAM et des capacités de conformité des licences logicielles découlant des étiquettes d'identification logicielles ISO/CEI 19770-2, standardisées et fournies par le fournisseur de licences, et compatibles avec ces ORL.
Amélioration de la capacité à éviter les sous-achats de licences logicielles ou les sur-achats avec une optimisation des coûts ultérieure.
Utilisation standardisée sur plusieurs plates-formes, rendant les environnements informatiques hétérogènes plus faciles à gérer.

ISO/CEI 19770-4 : mesure de l'utilisation des ressources modifier

L'ISO/CEI 19770 4 fournit une norme pour les structures d'information de mesure de l'utilisation des ressources (RUM). Le RUM intègre une structure normalisée contenant des informations d'utilisation autorisées sur la consommation de ressources liées à l'utilisation d'un actif logiciel. La structure sera créée d'une manière compatible avec les informations d'identification définies dans l'ISO/CEI 19770-2 et avec les informations d'attribution définies dans l'ISO/CEI 19770-3 et, lorsqu'elles sont utilisées conjointement, ces trois types d'informations ont la capacité Pour améliorer et automatiser de manière significative les processus de gestion des actifs informatiques.

ISO/CEI 19770-5 : aperçu et vocabulaire modifier

L'ISO/CEI 19770-5: 2015 donne un aperçu de l'ITAM, qui fait l'objet de la famille de normes ISO/CEI 19770 et définit des termes connexes^[22]. L'ISO/CEI 19770-5: 2015 s'applique à tous les types d'organisation (par exemple, les entreprises commerciales, les agences gouvernementales, les organismes sans but lucratif). Elle contient un aperçu de la famille de normes ISO/CEI 19770, une introduction à SAM, une brève description des principes et des approches fondateurs sur lesquels se fonde SAM et les termes et définitions cohérents à utiliser dans toute la famille de normes ISO/CEI 19770.

Notes et références modifier

↑ (en) « ISO/CEI 19770-5:2013 », sur iso.org.
↑ (en) « ITAM Organization for IT Asset Management Professionals and ITAM Providers ».
↑ (en) « Peter Beruk », sur Linkedin.
↑ (en) « ISO/CEI 19770-1:2012 », sur iso.org.
↑ (en) « ISO/CEI 19770-2:2009 », sur iso.org.
↑ (en) « ISO/CEI 19770-2:2015 », sur iso.org.
↑ (en) « Tagvault ».
↑ (en) « ISTO_IEEE ».
↑ (en) « What is SAM ? », sur microsoft.com.
↑ (en) « National Institute of Standards and Technology ».
↑ (en) « Trusted Computing Group ».
↑ (en) « TNC SWID Messages and Attributes for IF-M Specification ».
↑ (en) « Software Asset Management Continuous Monitoring building block ».
↑ (en) « information describing the NIST Security Automation Program ».
↑ (en) « Aperçu de la norme ISO/CEI 19770-3 » (consulté le 28 novembre 2016).
↑ (en) « ISO/CEI 19770-1:2012 ».
↑ (en) « ISO/CEI 19770-2:2009 ».
↑ (en) « Site web du OWG pendant le développement de la norme ISO 19770-3 »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, sur sassafras.com (consulté le 28 novembre 2016).
↑ (en) « John Tomeny » (consulté le 28 novembre 2016).
↑ (en) « Synthèse de révisions du coordinateur »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 novembre 2016).
↑ (en) « Jason Keogh » (consulté le 28 novembre 2016).
↑ (en) « Termes définissant l'ISO » (consulté le 28 novembre 2016).

Voir aussi modifier

Articles connexes modifier

Liens externes modifier

[1] (en) « ISO/CEI 19770-5:2013 », sur iso.org.

[2] (en) « ITAM Organization for IT Asset Management Professionals and ITAM Providers ».

[3] (en) « Peter Beruk », sur Linkedin.

[4] (en) « ISO/CEI 19770-1:2012 », sur iso.org.

[5] (en) « ISO/CEI 19770-2:2009 », sur iso.org.

[6] (en) « ISO/CEI 19770-2:2015 », sur iso.org.

[7] (en) « Tagvault ».

[8] (en) « ISTO_IEEE ».

[9] (en) « What is SAM ? », sur microsoft.com.

[10] (en) « National Institute of Standards and Technology ».

[11] (en) « Trusted Computing Group ».

[12] (en) « TNC SWID Messages and Attributes for IF-M Specification ».

[13] (en) « Software Asset Management Continuous Monitoring building block ».

[14] (en) « information describing the NIST Security Automation Program ».

[15] (en) « Aperçu de la norme ISO/CEI 19770-3 » (consulté le 28 novembre 2016).

[16] (en) « ISO/CEI 19770-1:2012 ».

[17] (en) « ISO/CEI 19770-2:2009 ».

[18] (en) « Site web du OWG pendant le développement de la norme ISO 19770-3 »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)}, sur sassafras.com (consulté le 28 novembre 2016).

[19] (en) « John Tomeny » (consulté le 28 novembre 2016).

[20] (en) « Synthèse de révisions du coordinateur »^{(Archive.org • Wikiwix • Archive.is • Google • Que faire ?)} (consulté le 28 novembre 2016).

[21] (en) « Jason Keogh » (consulté le 28 novembre 2016).

[22] (en) « Termes définissant l'ISO » (consulté le 28 novembre 2016).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]