1. Dossier Rationalisation des prestations
informatiques et continuité
Atos* Workplace Solutions
Intel® vPro™ Technology
de service utilisateur grâce
à la technologie Intel® vPro™
Atos Origin s’est penché sur les fonctionnalités de téléadministration et de sécurisation
intégrées aux PC de technologie Intel® vPro™, pour en conclure qu’elles ouvraient de nouvelles
perspectives pour la téléadministration et le télédépannage du parc. Le prestataire estime en
particulier que la synergie instaurée par ces fonctionnalités alliées à ses propres services
d’administration Atos* Workplace Solutions devrait rationaliser et accélérer les opérations de
maintenance et de dépannage ainsi que les processus de mise à jour automatisés. Avec le
déploiement de la technologie Intel vPro dans les entreprises, il table ainsi sur une réduction
conséquente des interventions sur site et sur une augmentation de la productivité utilisateur,
avec un renforcement de la téléadministration et de la sécurisation des postes.
2. Dossier Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™
SOMMMAIRE
Synthèse 2
Synthèse
Atos* Workplace Solutions sur PC
de technologie Intel® vPro™ 3 Au travers de ses solutions intégrées d’externalisation
Prestation de services informatiques : les enjeux 3 informatique, la société Atos Origin assure auprès de ses clients
Atos Workplace Solutions et PC des prestations de support bureautique de tout premier ordre.
de technologie Intel® vPro™ 3
Or elle compte améliorer encore sa qualité de service par le
Des fonctionnalités matérielles actives en permanence 3
recours aux fonctionnalités de téléadministration qu’intègrent
Essai et validation des fonctionnalités
les PC de technologie Intel® vPro™.
de la technologie Intel® AMT 4
Télédépannage 5 Grâce à celle-ci, ses agents pourront en effet communiquer avec
PC à configuration verrouillée ou ouverte 5 les postes même si ceux-ci sont éteints, que leur système
Télédépannage des postes à configuration d’exploitation n’est pas opérationnel ou que leurs agents
ouverte individualisée 5
logiciels sont inopérants. L’entreprise y voit la possibilité de
Intervention plus rapide sur postes à configuration
ouverte standard 7 rationaliser ses processus d’administration et de les rendre
Élargissement de l’offre de service plus performants.
pour les postes verrouillés 7
Elle estime par ailleurs que la technologie Intel vPro intéresse
Télérésolution des défaillances matérielles 7
toutes les entreprises équipées d’un parc micro-informatique.
Renforcement de la sécurité 8
Les fonctionnalités matérielles intégrées aux PC qui en sont dotés
Télédétection et neutralisation d’un virus 8
accélèrent en effet le diagnostic des dysfonctionnements et
Arrêt général d’urgence, même pour les postes défaillants 8
renforcent les capacités de télédépannage. Une grande partie des
Gains de performances 9
défaillances logicielles peut ainsi se résoudre dès le premier appel
Résultats et extrapolation 10
au service d’assistance, ce qui évite une intervention sur site et les
Perspectives 10
Conclusion 11
frais correspondants. Pour de nombreuses pannes matérielles
Complément d’information 12
aussi, le déplacement d’un technicien n’est plus nécessaire puisque
ce dernier est aujourd’hui en mesure d’identifier l’origine de l’avarie,
grâce à des fonctions de télédémarrage et de redirection sur sa
console d’administration.
Avec les nouvelles possibilités d’intervention et de dépannage
L’entreprise offertes par la technologie Intel vPro, Atos Origin compte en
Atos Origin est l’un des principaux acteurs internationaux des particulier limiter le remplacement pur et simple des postes
services informatiques. Sa mission est de traduire en résultats
défaillants. Le renforcement des capacités de télésécurisation
concrets la vision stratégique de ses clients par le recours à ses
solutions de conseil, d’intégration de systèmes et d’infogérance. devrait par ailleurs lui permettre de parvenir d’emblée à une
couverture plus complète d’un parc pour la télédistribution des
mises à jour essentielles. Ces deux avantages lui assureront
de pouvoir renforcer la stabilité du parc de ses clients.
Au travers des Atos* Workplace Solutions (AWS),1 ce prestataire
peut proposer aujourd’hui des services de téléadministration et
de télésécurisation que n’autorisent pas les PC moins bien équipés
ni les solutions strictement logicielles. La maintenance et le
dépannage des postes sont plus rapides et les entreprises
bénéficient également d’une baisse des manques à gagner
dus à des interruptions de service prolongées.
2
3. Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™ Dossier
Atos* Workplace Solutions
sur PC de technologie Intel® vPro™
Prestation de services informatiques : les enjeux et de mise à jour devraient elles aussi s’en trouver facilitées, en raison
Les progrès réalisés par les logiciels de téléadministration permettent de la possibilité offerte par la technologie Intel vPro de téléadministrer
aux structures de services informatiques d’automatiser ainsi que de les postes même s’ils sont éteints au départ.
piloter à distance une grande partie des opérations d’administration et
Les fonctionnalités des PC de technologie Intel vPro permettent
de mise à jour des parcs micro-informatiques dont elles ont la charge.
ainsi à Atos Origin d’intervenir rapidement sur des postes jusque-là
En revanche, ces solutions strictement logicielles se révèlent en général
inaccessibles depuis une console d’administration, ce qui renouvelle
inopérantes lorsqu’un poste est éteint ou que son système d’exploitation
largement les possibilités d’administration et de dépannage.
n’est pas opérationnel.
Pour simplifier les opérations d’administration et améliorer la continuité Des fonctionnalités matérielles actives en permanence
de service, certains PC de nombreux parcs d’entreprise sont « verrouillés ». Les PC de technologie Intel vPro sont dotés de la technologie
Cette mesure s’adresse surtout aux salariés qui sont de simples d’administration active Intel® AMT, dont les fonctionnalités sont
exécutants (opérateurs de saisie, par exemple) : reliés en permanence au intégrées au niveau du matériel et du micrologiciel.3 Son avantage le
réseau, la possibilité d’installer des logiciels et de stocker des données plus marquant est que les administrateurs systèmes disposent grâce à
sur leur poste n’est pas nécessaire pour eux. Cependant, si le verrouillage elle d’un accès permanent à ces postes, que ceux-ci soient allumés ou
de la configuration logicielle facilite l’administration et la sécurisation des éteints, que leur système d’exploitation (OS) soit opérationnel ou non,
postes, elle n’en réduit pas moins considérablement l’adaptabilité des pourvu qu’ils soient reliés à une source d’alimentation et au réseau.
utilisateurs. Or, en moyenne dans une entreprise, de 10 à 50 % de ces
• Communication hors OS. Réservée aux administrateurs, elle
derniers ont au contraire besoin pour leur travail d’une configuration
intervient « par-dessous » l’OS. Le canal correspondant s’établit au
« ouverte » ;2 à l’inverse, l’inventaire, la maintenance et le dépannage
niveau du matériel et du micrologiciel, pas à celui de l’environnement
des PC concernés sont alors plus malaisés…
d’exploitation. Il reste donc opérationnel même si l’OS ne l’est pas
Dans un environnement micro-informatique idéal, les techniciens et même si le poste est éteint. Il est fiabilisé par identification HTTP
bénéficieraient donc de la facilité d’administration de configurations et sécurisation TLS (Transport Layer Security).
verrouillées, et les utilisateurs de la flexibilité d’une configuration
• État d’alerte permanent. Un poste reste capable d’envoyer à tout
ouverte. Parvenir à mieux concilier administrabilité et flexibilité suppose
moment à la console d’administration des alertes ainsi que des « traps »
donc de nouveaux outils, qui rationalisent la télémaintenance, la
SNMP (alertes sur événements précis). L’administrateur peut ainsi être
résolution des problèmes et la gestion des correctifs pour ces deux
averti lors du franchissement d’un seuil prédéfini (vitesse de rotation
types de postes à la fois.
d’un ventilateur, température interne, etc.) ou de la survenue de certains
événements (ouverture du châssis, panne matérielle, OS bloqué, etc.)
Atos Workplace Solutions et PC de technologie
Intel® vPro™ • Journaux d’événements persistants. Ils permettent l’accès à
La technologie Intel vPro offre aux prestataires informatiques comme l’historique des événements intervenus avant la manifestation du
Atos Origin la possibilité d’administrer et de sécuriser aussi bien les postes dysfonctionnement matériel ou logiciel, même si le poste est éteint
« ouverts » que verrouillés, et ce depuis un point central. Parmi les ou que son OS est bloqué.
fonctionnalités innovantes des PC qui en sont dotés figurent en effet
un canal de communication indépendant du système d’exploitation, le • Renseignements sur la configuration matérielle. Ils permettent
téléamorçage, le téléallumage, la redirection sur console, des rapports de repérer les incompatibilités matérielles ainsi que le fabricant
d’activité persistants et l’accès aux paramètres du BIOS pour le démarrage et le modèle d’un composant à remplacer.
d’un poste depuis le réseau ainsi que la consignation de renseignements • Accès aux paramètres de démarrage du BIOS. C’est la possibilité
sur la configuration matérielle. de vérifier les informations de configuration et, le cas échéant, de
Grâce à elles, la solution qui consiste à remplacer et restaurer un PC modifier le paramétrage pour faciliter la résolution des problèmes.
verrouillé défaillant ne sera plus aussi systématique. Atos Origin devrait • Téléallumage. L’administrateur peut allumer, éteindre et réinitialiser
également pouvoir largement limiter la nécessité d’une intervention un poste depuis sa console. La fiabilisation de cette fonction est
sur site pour les deux types de configurations, même si le système assurée par sécurisation TLS, identification HTTP et authentification
d’exploitation n’est pas opérationnel. Les opérations de maintenance au niveau de la structure via Microsoft* Active Directory.
3
4. Dossier Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™
• Télédémarrage. Grâce à la fonction IDE-R (IDE Redirection), un Les données, résultats et extrapolations présentés ici proviennent de
administrateur peut changer de volume d’amorçage pour un PC sa base de connaissances et de son rapport d’étude sur les possibilités
défaillant en désignant une image intègre parmi celles dont dispose de la technologie Intel AMT.2
le service d’assistance ou sur tout autre volume distant.
Le fait d’avoir réalisé ces essais avant la sortie officielle de la technologie
Le télédémarrage IDE-R est plus sécurisé que le démarrage PXE
Intel vPro permettra à ce prestataire d’être plus performant pour la mise
(Pre-eXecution boot Environment) ou WOL (Wake-on-LAN).
en œuvre de ses fonctions évoluées de téléadministration et de
• Redirection sur console. La fonction SOL (Serial-over-LAN) intégrée sécurisation, dès que les PC qui en seront dotés feront leur apparition
autorise la mise en œuvre d’une procédure de diagnostic et de dans les entreprises. Il se trouvera ainsi d’emblée dans une position
dépannage sans intervention de l’utilisateur et sans quitter la console privilégiée pour faire bénéficier ses clients et prospects des atouts de
d’administration. celle-ci. En outre, capable d’attester d’une amélioration de la continuité
de service à partir de chiffres avérés, il pourra élargir son offre de service
Essai et validation des fonctionnalités
et renforcer sa compétitivité.
de la technologie Intel® AMT
C’est à partir d’un environnement de test qu’Atos Origin a analysé et
extrapolé en vraie grandeur les atouts de la technologie Intel AMT.
Standard communication through the OS
Powered on and
working properly
Communication channel “below” the OS
IT console
Powered off
Asset information and remote
power-up still available
Powered on
but OS is down
Event logs, BIOS settings, remote boot, and
console redirection still available
Figure 1. Canal de communication hors système d’exploitation. Il ne passe pas par l’OS et reste donc utilisable même si le PC est éteint, que cet OS
ne répond pas ou que les agents d’administration logiciels sont inhibés ou qu’ils n’ont pas encore été installés.
4
5. Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™ Dossier
• Postes à configuration verrouillée. Dans un parc, ils possèdent tous
une base matérielle et logicielle identique. Leurs utilisateurs ne
Environnement de test peuvent ni modifier leur configuration logicielle, ni y enregistrer
Atos Origin a testé les fonctions de la technologie Intel AMT dans des données (elles sont stockées sur un serveur). Ces postes se
un laboratoire de même infrastructure que celle mise en place chez dépannent en général par remplacement pur et simple, l’opération
ses clients. Cet environnement se compose d’Atos Workspace
prenant en moyenne une heure environ.
Solutions 2.0 dans son intégralité ainsi que des services standards
ci-dessous, gérés sur serveur virtuel. • Postes à configuration ouverte standard. Ils sont destinés à des
• Services de base : Microsoft Windows* Server 2003 Enterprise utilisateurs aux besoins similaires sinon identiques (employés d’un
Edition (connexion, répertoires, serveur de fichiers et d’impression). service comptable ou autre groupe de salariés fonctionnels, par
• Services de communication universels : serveur Microsoft* Exchange, exemple). La configuration matérielle et logicielle est identique
Microsoft SharePoint* et serveur Microsoft Life Communication. pour un même groupe (carte mère, processeur, mémoire vive, carte
• Services de déploiement : Microsoft* Systems Management Server graphique, etc. ainsi que système d’exploitation et logiciels
2003 (SMS) et son module d’extension pour la technologie Intel AMT. d’application). Dans le cas d’une défaillance logicielle, on peut les
Ce module intègre les fonctions de la technologie Intel AMT à l’outil dépanner sur site par identification et résolution du problème ou
SMS Management Console. bien, comme leur configuration est standard, par remplacement
• Services d’administration : Microsoft* Operations Management de leur image logicielle (« réimageage »). Cette opération de
(MOM) Server, qui s’interface avec l’environnement d’administration reconstitution (OS, logiciels et données utilisateur) peut prendre
standard d’Atos Origin.
jusqu’à 2 heures 30.
Configuration des postes
• Postes à configuration ouverte individualisée. Ils s’adressent à des
Cinq PC de bureau Lenovo* et dix autres sans marque. La technologie
Intel AMT était mise en œuvre sur tous.
utilisateurs qui font appel à des logiciels spécialisés, une variante d’un
OS ou plusieurs OS sur des partitions distinctes (virtualisation)
Les PC Lenovo étaient des modèles ThinkCentre* M52 8212, dotés
c’est-à-dire, plus généralement, à une configuration personnalisée.
d’un processeur Intel® Pentium® 4 ; les PC sans marque étaient équipés
d’une carte mère Intel® D945GTP et d’un processeur Intel® Pentium® D. Il s’agit notamment d’ingénieurs de bureau d’études, de chercheurs,
Les processeurs étaient d’une fréquence d’au moins 3,0 GHz et les de techniciens d’assistance produits, de spécialistes de CAO-DAO et
configurations étaient dotées de 512 Mo à 2 Go de mémoire vive. d’handicapés. En général, le dépannage ne peut pas s’effectuer par
simple remplacement du poste ou de son image logicielle, en raison
Scénarios de test
précisément de cette spécificité. Les interventions sur site sont donc
Les fonctions de la technologie Intel AMT ont été testées sur des
postes à configuration ouverte et dans plusieurs scénarios : agent longues, complexes et, par là même, d’un coût de revient élevé.
d’administration installé ou non installé ; état du système d’exploitation
inconnu ; poste allumé et en utilisation, allumé mais en veille, éteint Télédépannage des postes à configuration
avec état de fonctionnement inconnu. ouverte individualisée
Atos Origin estime que c’est pour cette catégorie de postes que la
technologie Intel vPro sera la plus avantageuse. Leur dépannage
implique en effet de sauvegarder les données utilisateur (si possible),
de remplacer des composants non standards, de reconstruire un
système d’exploitation, d’installer une configuration logicielle
Télédépannage spécifique, puis de restaurer les données utilisateur dans leur dernier
Le démarrage avorté d’un PC, que sa configuration soit verrouillée ou état non corrompu. L’opération peut prendre 2 heures 30, ajoutées
non, déclenche en général une intervention fastidieuse, mais à réaliser d’une journée/homme pour l’installation et la vérification des logiciels
le plus tôt et le plus vite possible. Or la technologie Intel vPro contribue spécifiques à l’utilisateur. Étant donné sa lourdeur, les services
à réduire les délais de diagnostic et de dépannage tant logiciels que informatiques n’appliquent bien évidemment cette procédure qu’en
matériels en permettant de réaliser ces deux opérations à distance, dernier recours.
depuis la console d’administration. Cet atout élargit les possibilités d’Atos
Origin en termes de dépannage et rend plus performants ses processus Les PC de technologie Intel vPro permettent en l’occurrence aux
de prise en charge des postes défaillants. administrateurs d’effectuer des opérations de diagnostic et de
dépannage directement depuis le centre d’assistance, même si le
système d’exploitation ne répond plus (cf. figure 2). Dans le cas d’un
PC à configuration verrouillée ou ouverte
problème d’amorçage d’origine logicielle, dû à une DLL (bibliothèque de
Pour les prestataires d’infogérance, le fait que la configuration d’un PC
liens dynamiques) corrompue, on peut effectuer depuis la console
soit verrouillée ou ouverte fait toute la différence quant aux moyens
d’administration toutes les opérations qu’on aurait dû réaliser sur site :
et aux procédures à mettre en œuvre pour les opérations de diagnostic
relancer l’ordinateur à partir d’un CD-ROM, effectuer un diagnostic
et de dépannage.
et restaurer le fichier corrompu.
5
6. Dossier Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™
Problem resolution for a PC that won’t boot
Call help desk
Tasks that can be done from the
Troubleshooting from IT management console
IT console
H/W problem H/W or S/W S/W problem
problem?
No Yes No Diagnose Yes
Remote diagnosis
effective? remotely?
Remotely ID the failed
part to replace No Yes
Requires reimage?
Dispatch technician
Remote virus scan,
reinstall DLL file Remotely reimage PC
Troubleshoot PC or agent
deskside
Remotely restore user
Done
config, data
ID the failed part
to replace
Done
Return to service
center Dispatch technician
Troubleshoot PC
Get replacement part deskside
Dispatch technician No Yes
Require reimage?
Replace failed part
Deskside virus scan,
Deskside reimage These steps may no
reinstall DLL file,
of PC longer be needed
reinstall agent, etc.
for PCs with Intel
Done vPro technology.
Done Deskside restore user
PCs with Intel vPro
config, data
technology allow
IT to do more
remotely, or when
deskside, to fix PCs
Done more efficiently.
Tasks that are done deskside Problem resolution
on any PC.
Figure 2. Réduction des interventions sur site pour les postes à configuration ouverte individualisée. La possibilité de téléadministrer ces postes
permet de diagnostiquer et de corriger à partir de la console d’administration une plus grande partie de leurs dysfonctionnements tant d’origine matérielle que logicielle.
6
7. Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™ Dossier
On exploite la fonction IDE-R intégrée au poste pour changer à distance Pour les services informatiques, éviter le remplacement d’un poste réduit
son image d’amorçage en désignant à la place un volume de diagnostic par ailleurs le nombre de PC à diagnostiquer, réimager et dépanner
sur un serveur ou sur un CD-ROM. Au redémarrage du poste, on lance la ultérieurement en centre de support. En augmentant la proportion des
fonction de redirection sur console pour entamer le dépannage à partir postes pour lesquels un télédépannage suffit, Atos Origin table ainsi
d’outils de diagnostic, toujours sans quitter le centre d’assistance. une importante réduction des coûts correspondants.
Lorsque la DLL corrompue a été repérée, on en envoie au poste une
version intègre, qui supprime la première. Dans ce cas de figure, on évite
tout déplacement et intervention sur place.
Test : télérésolution d’une erreur d’amorçage d’origine logicielle
Selon les résultats de l’étude réalisée par Atos Origin sur les possibilités
Pour mettre au banc d’essai les possibilités de télédiagnostic et de
de la technologie Intel AMT, le télédiagnostic et la télérésolution de ce
télédépannage de l’OS sur un poste à configuration ouverte, Atos
type de défaillances logicielles peuvent ne prendre que 10 minutes Origin a supprimé une DLL vitale, ce qui inhibe l’OS et empêche le PC
en tout, soit une nette amélioration de la continuité de service pour de démarrer. Le technicien a alors tenté d’amorcer le PC et de restaurer
l’utilisateur et une réduction des frais d’intervention (déplacement et le fichier manquant sans se déplacer :
main-d’œuvre).
1 min Questions à l’utilisateur pour déterminer l’origine
du problème.
Intervention plus rapide sur postes à configuration
ouverte standard 3 min Changement d’image d’amorçage grâce à la
fonction IDE-R (CD-ROM de démarrage avec image
Atos Origin compte mettre à profit les possibilités de la technologie
DOS/réseau, gestion du format NTFS et présence
Intel vPro pour le dépannage de ce type de postes aussi.
des DLL courantes).
Lorsqu’un poste standardisé est en panne, si la défaillance ne peut se 2 min Envoi au PC d’un fichier en remplacement
corriger sous 5 à 15 minutes, on déclenche en général une intervention de la DDL manquante ou corrompue.
sur site. Avec un PC de technologie Intel vPro, le télédiagnostic est plus 4 min Télédémarrage du poste et surveillance
rapide puisqu’on peut faire appel au téléamorçage, à la redirection du processus d’amorçage.
sur console et à des journaux d’événements persistants, et cela même
Le dysfonctionnement a été résolu sur console d’administration,
si le système d’exploitation n’est pas opérationnel, que le poste est
dès le premier appel et en moins de 10 minutes.
éteint ou que les agents d’administration sont inopérants. En particulier
pour les dysfonctionnements liés à la zone d’amorçage (fichiers corrompus, Par comparaison, la même panne sur un PC moins bien outillé aurait
imposé une intervention sur site. D’après l’expérience d’Atos Origin,
problèmes de mot de passe, incompatibilité d’un pilote, etc.) qui ne
le délai de résolution correspondant (déplacement, diagnostic et
nécessitent pas de réimageage, cette télé-intervention peut induire
dépannage sur site) aurait pu s’établir aux alentours de 100 minutes.
un important gain de temps.
Sur les PC de technologie Intel vPro, la majorité des problèmes d’OS
Si, au contraire, le remplacement de l’image logicielle s’impose, cette peut se résoudre à distance.
opération peut néanmoins elle aussi s’effectuer à distance. Toute
intervention sur site est alors inutile, le service d’assistance gagne
du temps et économise de l’argent, tandis que l’utilisateur reprend
plus rapidement son travail.
Télérésolution des défaillances matérielles
Atos Origin compte aussi exploiter la technologie Intel vPro pour
Élargissement de l’offre de service pour les postes verrouillés
rationaliser la résolution des dysfonctionnements d’origine matérielle.
En temps normal, pour les parcs qu’administre Atos Origin, une panne sur
Ainsi, en cas de refus de démarrage d’un poste en raison d’un composant
un poste verrouillé conduit un technicien à tenter de le dépanner en moins
défaillant ou d’un problème de configuration du BIOS, un technicien
de 5 à 10 minutes. S’il n’y parvient pas, il demande alors à l’utilisateur
pourra dorénavant télédémarrer celui-ci à partir d’une image gérée dans
de changer tout bonnement de poste.
son service. Il fera ensuite appel à la fonction de redirection sur console
La technologie Intel vPro, au contraire, permet à ce technicien de pour surveiller le chargement du BIOS, vérifier et, au besoin, modifier
télédépanner le poste au lieu de le faire remplacer. Le gain de temps le paramétrage de celui-ci ainsi que, le cas échéant, déterminer quel
est alors très appréciable puisque de nombreuses défaillances d’origine composant matériel est défaillant.
logicielle peuvent se régler en 10 à 20 minutes à peine.
7
8. Dossier Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™
Grâce aux renseignements sur la configuration matérielle qui sont
stockés en mémoire non volatile sur le PC, il obtient le nom du fabricant
et le modèle de ce composant, par exemple le disque dur, et peut Test : télésécurisation d’un poste après une attaque numérique
Pour tester la capacité à détecter et neutraliser un virus, Atos Origin en
immédiatement commander la pièce de rechange. Au lieu d’avoir à se
a « inoculé » un (W32sasser.worm) à un PC à configuration ouverte et
déplacer deux fois sur site, d’abord pour le diagnostic puis pour le
employé les fonctions de la technologie Intel AMT à le télédépanner :
remplacement du composant défectueux, il n’aura plus à le faire qu’une
seule fois, pour installer le nouveau disque dur. Au bilan, l’utilisateur 1 min Questions à l’utilisateur pour déterminer l’origine
sera immobilisé moins longtemps et le service informatique aura gagné du problème.
du temps et économisé de l’argent. 3 min Changement d’image d’amorçage grâce à la fonction
IDE-R (CD-ROM de démarrage avec image DOS/réseau,
Renforcement de la sécurité gestion du format NTFS ainsi que présence des DLL
courantes et d’un antivirus).
L’un des rôles essentiels des prestataires informatiques est d’assurer
auprès de leurs clients des services de sécurisation qui, en cas d’attaque 3 min Lancement de McAfee VirusScan* Command Line
numérique, détectent les faiblesses sécuritaires, effectuent les mises Scanner (depuis la console d’administration) pour
recherche du virus.
à jour de sécurité et décontaminent les postes infectés plus rapidement.
En particulier, ces prestataires doivent être en mesure de toucher plus 30 s Suppression à distance sur le poste des fichiers
contaminés.
vite et plus totalement les 10 % de postes qui sont statistiquement
hors d’atteinte de la console d’administration parce qu’ils sont éteints 4 min Téléredémarrage du poste à partir de son disque
ou bien que leur système d’exploitation ou leurs agents de sécurité dur et reprise en main par l’utilisateur.
ne sont pas opérationnels.
Alors même que des logiciels d’administration habituels se révélaient
inopérants, le technicien d’Atos Origin a pu résoudre le problème depuis
Télédétection et neutralisation d’un virus la console d’administration, sans intervention sur site.
Lorsqu’un technicien d’assistance juge que le dysfonctionnement d’un En environnement de test, la procédure a duré moins de 15 minutes ;
poste est dû à un virus, il demande en général à l’utilisateur de en vraie grandeur, Atos Origin prévoit une réduction du délai de résolution
déconnecter le PC du réseau. Lui-même ou l’un de ses collègues se rend d’environ 35 minutes pour ce type de problèmes, soit une baisse
alors sur place pour redémarrer le PC, y lancer une version fiabilisée de 25 à 30 %.
d’un antivirus, décontaminer le poste, mettre à jour l’agent de sécurité L’autre avantage de la télésécurisation et du télédépannage pour Atos
et appliquer un correctif. Dans le contexte actuel, l’ensemble prend Origin est que ses techniciens peuvent lancer les processus de détection
d’une à 2 heures. et d’application d’un correctif de sécurité sur un premier PC, puis intervenir
auprès d’un autre utilisateur pendant que ces processus s’exécutent.
Dans le cas d’un parc de technologie Intel vPro, en revanche, toutes
ces opérations peuvent s’effectuer à distance, depuis la console
d’administration. Grâce à cette technologie, le technicien peut accéder Arrêt général d’urgence, même pour les postes défaillants
au PC même si le système d’exploitation est bloqué et qu’il ne parvient En cas d’attaque numérique imminente ou déclarée, les administrateurs
pas à communiquer avec lui sur le réseau par l’intermédiaire de doivent pouvoir déclencher l’arrêt général du parc, afin d’empêcher par
l’environnement d’exploitation. exemple un virus de se répandre et limiter ses répercussions.
Ainsi, s’il soupçonne qu’un PC a été contaminé par un virus (parce que Atos Origin était déjà en mesure de déclencher la télé-extinction de postes
son antivirus présente une anomalie de fonctionnement, par exemple), en fonctionnement, mais une partie du parc (configurations verrouillées ou
il peut le redémarrer à partir d’un volume de dépannage qui interdit au non) restait jusqu’ici hors d’atteinte de la console d’administration pour la
poste l’accès au réseau. Il peut aussi le réamorcer à partir d’un CD-ROM télédistribution des correctifs de sécurité : PC éteints, postes dont
de démarrage qui comporte un antivirus autonome. Il entame alors le l’utilisateur refuse la mise à jour parce qu’elle l’interromprait dans son travail,
télédépannage à l’aide des outils de la console d’administration. PC défaillants dont la télé-extinction ou la mise à jour ne serait possible
qu’après dépannage… C’est ainsi que, statistiquement, on parvient
Là encore, tout déplacement est inutile et les coûts d’intervention sont
actuellement en entreprise à un taux moyen de déploiement effectif
minimes. De plus, on peut appliquer plus diligemment les règles de
des correctifs de sécurité de 85 %… au bout de 5 jours.
sécurité informatique de l’entreprise, les postes se reconnectent plus
rapidement au réseau et les pertes de productivité sont limitées au Atos Origin est désormais en mesure d’éteindre les PC de technologie Intel
maximum. C’est une amélioration notable par rapport à une gestion vPro depuis la console d’administration, même si le système d’exploitation
classique des correctifs de sécurité. ne répond pas. Autrement dit, un administrateur peut atteindre la quasi-
totalité des postes du parc, même ceux qui échappaient jusque-là à une
procédure d’arrêt ou, plus généralement, à une intervention générale
d’urgence. Pour ce faire, il se sert d’abord du logiciel d’administration pour
8
9. Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™ Dossier
interroger les postes sur leur état d’alimentation (allumé ou éteint), puis de Or, même si la proportion de ces appels aux services d’assistance est
leur fonction intégrée de télé-extinction pour forcer l’extinction de ceux qui minime, ceux-ci n’en représentent pas moins un grave frein à la
sont défaillants ou contaminés. (On pourra ensuite téléredémarrer les PC productivité. Par exemple, pour un parc de 8 500 postes, sur 10 000
défaillants à partir d’un volume d’intervention qui les isolera du réseau demandes d’assistance reçues par Atos Origin en deux mois, seules
jusqu’à dépannage et remise en conformité.) trente étaient de ce type,4 mais il a fallu détacher dix techniciens
pour les traiter.
Au bilan, on évite des interventions sur site, on maîtrise plus rapidement
les attaques numériques et on limite les dommages — et le manque
à gagner — occasionnés par celles-ci. Grâce à la télé-extinction, Atos
Origin peut ainsi espérer permettre à ses clients de réduire leur Critical patch deployment on PCs without
« fenêtre de vulnérabilité » de plusieurs jours à seulement quelques
Intel vPro technology
heures (cf. figure 3).
Vulnerability
of network
Saturation of patch deployment
85%
Test : téléinstallation d’un correctif critique
Pour tester la possibilité à téléinstaller un correctif en dehors des 60%
heures de fonctionnement d’un parc, Atos Origin a éteint quinze postes
de technologie Intel vPro à configuration ouverte, reproduisant ainsi la
situation où les utilisateurs ont quitté le bureau jusqu’au lendemain. 40%
15 min Mise en place par le technicien d’une notification
(advertisement) à l’aide d’un pack correctif de
20%
vulnérabilité sous SMS :
• Choix des destinataires du pack (en l’occurrence les
2 hrs
4 hrs
24 hrs
5 days
15 postes).
• Sous SMS, programmation de la mise à jour (obligatoire). Time to achieve saturation, in hrs/days
• Sélection de l’option d’installation automatique sur
événement de SMS. Critical patch deployment on PCs with
• Ajout des commandes d’allumage et d’extinction pour
Intel vPro technology
les PC de technologie Intel vPro. Window of
98%
• Envoi de la notification.
Vulnera- vulnerability
bility of closed
45 s Déclenchement de l’allumage de tous les postes.
Saturation of patch deployment
network
Poll PCs for power state
10 min Déploiement par SMS du correctif sur tous les postes.
5 min Après mise à jour, extinction « propre » des postes
par SMS.
60%
Le correctif a été déployé sur la totalité des postes (100 %) en
40%
31 minutes. Atos Origin a par ailleurs extrapolé ces chiffres sur la base
d’un parc de 8 500 machines à configuration ouverte, réparti sur
plusieurs sites (cf. figure 3).
20%
2 hrs
4 hrs
24 hrs
5 days
Gains de performances Time to achieve saturation, in hrs/days
Certains freins aux performances sur PC à configuration ouverte ne sont
pas dus à des anomalies logicielles ou matérielles, mais à des fuites Figure 3. Télédistribution d’un correctif. Par extrapolation des résultats
de mémoire, à des incompatibilités applicatives, à une surcharge des de test, Atos Origin prévoit d’atteindre un taux de couverture de 98 %
processus d’arrière-plan, etc. en 4 heures environ pour 8 500 postes de technologie Intel vPro.
Par comparaison, le taux constaté sur des postes moins fonctionnels n’est
Actuellement, le signalement par un utilisateur des symptômes que de 40 % au bout de 4 heures et de 85 % au bout de 5 jours.
correspondants déclenche une intervention sur site impliquant un
diagnostic complet et donc une longue immobilisation du poste.
9
10. Dossier Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™
Dans le cadre d’un parc composé de PC de technologie Intel vPro, Perspectives
pour y corriger les anomalies de ce type, un technicien peut à présent Pour l’avenir, Atos Origin compte faire profiter ses clients des avantages
télédémarrer les postes défaillants et y effectuer un diagnostic en et des fonctionnalités renforcées qu’intégreront les PC de technologie
dehors de leurs horaires de fonctionnement. Il les soumet à un banc Intel vPro :
d’essai des performances et note le ou les scores obtenus. Il les
réamorce ensuite à partir d’une image intègre sur CD-ROM de démarrage • Vérification automatique des agents logiciels. Des dispositifs de
et relance le banc d’essai pour comparer les scores. Cette procédure lui surveillance matériels intégrés (mécanisme de pulsation et horloge de
permet d’éliminer certaines causes possibles du dysfonctionnement surveillance programmable) assurent la présence effective des agents
et de repérer les problèmes auxquels il est possible de remédier. d’administration et de sécurité. Ainsi, lorsqu’un agent ne signale plus
sa présence, le système consigne automatiquement cet événement
Les possibilités de télédémarrage offertes par la technologie Intel AMT en mémoire non volatile et, en fonction des règles AWS, envoie une
permettent également de lancer régulièrement des tests aléatoires sur alerte à la console d’administration. C’est donc le poste lui-même
les postes à configuration ouverte de tels ou tels sous-réseaux. qui veille à la présence et au bon fonctionnement de ses agents
À partir des statistiques ainsi obtenues, Atos Origin compte en l’occurrence de sécurité et autres.
pouvoir repérer une plus grande partie des anomalies de fonctionnement
avant qu’elles ne suscitent une demande d’assistance. Ces possibilités • Filtrage matériel du trafic réseau. Des filtres matériels programmables
l’autorisent par ailleurs à effectuer d’autres opérations lourdes en dehors analysent les données en entrée et en sortie des postes pour y
des heures de travail (maintenance, sauvegarde, mise à jour, etc.) repérer d’éventuelles attaques répertoriées et ainsi anticiper les
problèmes qu’elles pourraient susciter. Les administrateurs peuvent à
Grâce à la technologie Intel vPro, Atos Origin envisage ainsi de développer présent définir, à partir de leur comportement, les paquets de données
son offre de services AWS en proposant une prestation de relèvement qui feront réagir l’un de ces filtres et qui déclencheront une alerte
régulier des performances des parcs composés de configurations et/ou un autre événement. Comme ces filtres sont matériels, ils
ouvertes (défragmentation du disque dur, contrôle d’intégrité, banc restent actifs même si le système d’exploitation est bloqué ou qu’un
d’essai des performances, etc.) agent est inopérant. Ils peuvent par ailleurs servir à automatiser les
processus d’endiguement et d’intervention après incident : envoi d’une
Résultats et extrapolation alerte à la console d’administration, mise en œuvre des règles de
Après analyse des résultats de test, Atos Origin les a extrapolés pour quarantaine, déclenchement d’une analyse antivirus, lancement d’un
appréhender les avantages de cette technologie en vraie grandeur, sur exécutable qui effectue une opération de résolution particulière, etc.
des postes non standards. L’hypothèse envisageait le parc d’une division
• Maîtrise rapide des menaces sécuritaires. Un commutateur matériel
d’une grande entreprise, composé de 8 500 postes à configuration
intégré, qui intervient comme un disjoncteur et qui se déclenche sur
ouverte et réparti sur plusieurs sites (cf. figure 1). On a alors extrapolé
indication des filtres, peut déconnecter le chemin des données réseau
les délais et gains de temps pour différentes opérations d’administration
au niveau de l’environnement d’exploitation, même si l’OS est fragilisé
(tableau 1) ainsi que les gains de temps sur l’ensemble du processus
ou bloqué. Un poste peut ainsi s’isoler lui-même du réseau comme
d’intervention (tableau 2).
limiter ses échanges réseau sur la base de règles prédéterminées,
en laissant le temps à l’administrateur d’analyser la dangerosité de
l’attaque supposée.
Ces possibilités et d’autres permettront à Atos Origin de téléadministrer
la totalité des postes d’un parc et non plus seulement ceux qui sont
allumés et dont le système d’exploitation est opérationnel.
10
11. Rationalisation des prestations informatiques et continuité de service utilisateur grâce à la technologie Intel® vPro™ Dossier
Diagnostic et Durée
Avec ou sans la Demande Services dépannage d’intervention Gains
Procédure technologie Intel AMT d’assistance élargisb Déplacementsc sur site totale de temps
Diagnostic et dépannage d’un Sans 15 min 0 30 min 15 min 60 min
PC dont une DLL est corrompue 83 %
Avec 10 min 0 0 0 10 min
Diagnostic et résolution d’une Sans 15 min 0 60 min 25 min 100 min
défaillance matérielle 55 %
Avec 10 min 0 30 min 5 min 45 min
Mise à jour en heures creuses Sans s.o.a s.o.d 30 min 5 min 35 min
d’un PC au départ éteint 86 %
Avec s.o. 5 min 0 0 5 min
Correctif sur machine virtuelle Sans 15 min 0 30 min 60 min 105 min
(amorçage sur OS spécifique 76 %
et téléinstallation) Avec 10 min 15 min 0 0 25 min
a
Sans objet.
b
Services élargis (assurés depuis la console d’administration) : télédémarrer, téléinstaller un correctif et réimager un poste.
c
Hypothèse : temps de trajet de 30 minutes jusqu’au poste concerné.
d
Sans la technologie Intel AMT, le logiciel d’administration n’est habituellement pas capable de communiquer avec les postes éteints. Ceux-ci échappent donc aux opérations de maintenance générale.
Grâce à la technologie Intel® AMT, Atos Origin peut assurer leur maintenance en les télédémarrant au préalable.
Tableau 1. Durée estimative de diverses opérations d’administration sur postes à configuration ouverte.
Conclusion
Gain de Les PC de technologie Intel vPro sont dotés de nouvelles
fonctionnalités matérielles qui aideront Atos Origin à rationaliser
Processus d’intervention temps moyen
Demande initiale d’assistance (premier niveau) 33 % l’administration et la sécurisation de postes à configuration verrouillée
ou ouverte. Cet intervenant estime ainsi qu’il pourra réduire
considérablement le recours à une intervention sur site pour les
Déplacements 80 %
configurations ouvertes, de même que le remplacement pur et simple
Travail sur site 95 %
Gain de temps pour les techniciens d’assistance 40 % des postes verrouillés. Grâce à la possibilité de télédémarrer ces PC, il
compte par ailleurs pouvoir réduire la « fenêtre de vulnérabilité » de
ses clients aux attaques numériques et autres menaces sécuritaires.
Gain de temps global 70 %
Tableau 2. Gains de temps prévisionnels moyens pour un poste La technologie Intel vPro lui permettra ainsi de rationaliser et de
à configuration ouverte. renouveler ses processus d’administration et de sécurisation pour
les postes qui restaient jusque-là hors d’atteinte de la console
d’administration. Il pourra ainsi proposer de nouvelles prestations,
renforcer sa qualité de service et faire évoluer son offre plus
rapidement, trois critères essentiels à sa compétitivité.
11