Vous n’y connaissez rien en informatique ? Vous trouvez ça complexe et rébarbatif ? Et pourtant vous ne pourriez pas vous en passer au quotidien, car sans outils digitaux, point de salut. Pas de panique : la majorité des PME font face à ce dilemme. Alors pour résoudre cette quadrature du cercle, un seul mot d’ordre : les services managés. Présentation.

C’est un fait : l’informatique est de plus en plus complexe. Le risque cyber n’arrange rien, et participe de manière non négligeable à cette complexification. Pour une PME, cela ressemble à un effet ciseau : la numérisation des activités renforce leur usage de l’informatique, mais elles ne peuvent pour autant pas se permettre d’employer un informaticien à temps plein. Evidemment, il se trouve toujours un collaborateur un peu plus débrouillard, qui officiera comme « celui qui sait ». Pour le reste, les PME n’ont pas d’autre choix que d’externaliser.

Par externalisation, on sous-entend que la gestion de l’informatique est confiée à un tiers. Mais qu’est-ce que ce terme recouvre exactement ? Dans la liste des activités informatiques, on distingue évidemment les projets de l’exploitation. Et dans l’exploitation, on comprend la maintenance et le support. La maintenance consiste à conserver le système informatique en conditions opérationnelles : elle peut être préventive, ou corrective. Le support consiste, lui, à fournir une assistance aux utilisateurs et à résoudre les incidents.

Afin de couvrir ces activités – maintenance, support – les PME les confient donc généralement à un prestataire spécialisé. Cette délégation peut prendre différents aspects, définis par le niveau d’intervention, le budget et le caractère proactif, ou pas, des travaux. Intervenir sur une infrastructure informatique sous-entend que le prestataire la connaît déjà. Il a donc en général participé à sa mise en place – les projets de déploiement évoqués plus haut.

Le carnet d’heures, et ses contradictions

Historiquement, le moyen le plus simple de faire intervenir un prestataire consistait à réserver de la main d’œuvre, utilisable à la demande. On parle ici du fameux carnet d’heures, que tout le monde connaît. Il peut être utilisé aussi bien pour de la maintenance que du support. Mais comme il s’agit de prestations à la demande, il s’avère que peu de carnets d’heures donnent lieu à des maintenances préventives. C’est d’ailleurs toute la faiblesse de ce modèle.

Si vous achetez un certain nombre d’heures de service, mais que le prestataire décide de les utiliser pour procéder à de telles maintenances proactives, c’est finalement lui qui décide du rythme de sa consommation. Et donc de son épuisement, et à terme de son renouvellement. Côté support, ça n’est pas vraiment mieux : le décompte d’heures est d’autant plus vite consommé que le prestataire prend du temps à résoudre les problèmes. Résultat : moins ça sera efficace, plus ça vous coûtera cher. Sorte de double peine en sorte. Ah ! non, elle est triple en fait : vous avez payé à l’avance…

Pour résumer, le carnet d’heures n’engage pas assez le prestataire IT

Dans le pire des cas, une informatique gérée par le biais d’un carnet d’heures sera moyennement ou pas maintenue, tombera donc plus facilement en panne, et induira des interventions plus nombreuses. Et donc plus coûteuses. Inutile de vous faire un dessin : le carnet d’heures peut représenter un gouffre financier. En tout cas, il ne permet pas de contrôler votre budget informatique. Ni d’assurer un maintien à niveau optimal de votre infrastructure.

Un modèle de vertu

A l’opposé de ce modèle, les services managés sont bien plus vertueux. Pour simplifier, ils vous permettent de transmettre l’entier de la gestion de votre infrastructure informatique – support et maintenance – à un infogérant. Pas une personne en particulier, mais bel et bien une organisation. Imaginez que vous disposiez de plusieurs informaticiens, à temps partiel, qui assurent l’entretien de vos machines avec le même niveau de qualité, indépendamment des individus.

Leur intérêt est double pour le client. D’une part, le périmètre des activités réalisées en services managés est défini à l’avance, si bien que vous savez exactement quel service vous recevrez. Vous l’aurez compris, il s’agit de support et de maintenance. Mais dans les détails, cela peut couvrir les modifications de configuration, les mises à jour, la supervision des infrastructures, le traitement des alarmes, ou encore la documentation ou le reporting mensuel des activités.

Les services managés couvrent la gestion complète de l’infrastructure, y compris les incidents

D’autre part, le coût est connu à l’avance. Si bien que, pour une infrastructure donnée, les risques de débordement des frais d’exploitation sont nuls. Et que vous savez au 1er janvier combien vous aura coûté votre informatique au 31 décembre. On est donc loin des budgets à géométrie variables liés aux carnets d’heures, qui ne font que constater le temps passé.

Services managés : infrastructure comprise

Vous en voulez plus ? Si les services managés ont été historiquement délivrés sur des infrastructures informatiques appartenant aux clients, le Cloud a changé la donne. Et il est désormais naturel d’envisager de souscrire un service managé regroupant la location de l’infrastructure et les services y relatifs. Quel intérêt ? Votre fournisseur s’appuie alors sur les technologies qu’il connaît, afin de vous garantir un niveau de service optimal et une certaine excellence opérationnelle.

Louer l’infrastructure et le service managé qui va avec engage encore plus le prestataire IT

Mais, au-delà de la maîtrise des coûts, avantage non négligeable, la vraie force des services managés se trouve ailleurs, dans la vertu même de ce modèle. Le fournisseur est engagé par ses niveaux de services d’une part, et le périmètre des opérations qu’il doit mener. Si certaines tâches sont incompressibles, comme les mises à jour ou la supervision, la part variable du service réside essentiellement dans le support et la gestion des incidents.

L’intérêt du fournisseur de services managés consistera donc à la limiter, en s’assurant en permanence, et de façon proactive, que les infrastructures informatiques fonctionneront sans hoquet. Leur maîtrise complète et leur suivi permanent lui permettent de s’acquitter encore plus efficacement de ces tâches. Et ceci afin de limiter les actions de maintenance curative et de support. Tout cela, au bénéfice du client.

Ce dernier tire en effet avantage de cette façon de procéder, puisque son intérêt converge avec celui de son prestataire informatique. Une infrastructure IT en bonne santé fait gagner du temps. A tout le monde. Et accessoirement permet d’en remonter le niveau de sécurité. Selon l’adage bien connu, qui préconise de prévenir plutôt que de guérir. Même si l’expression a été suremployée, il s’agit réellement d’une relation gagnant-gagnant. Celle qui fait le sel même des services managés.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Pour découvrir notre catalogue complet de services informatiques managés, contactez-nous en un clic !

Le Home Office, et le télétravail plus largement, s’est généralisé ces dernières années. Poussant les PME à composer avec le niveau de souplesse exigé par ce nouveau mode de fonctionnement. Au détriment d’autres facteurs ? Probablement, car travailler à distance ne s’improvise pas. Et impose un savant mélange de 3 qualités dont votre informatique doit faire preuve. Passage en revue.

Le Home Office n’a pas attendu la pandémie de Covid-19 pour se développer. Depuis longtemps – probablement depuis qu’Internet existe – les collaborateurs des PME avaient pris l’habitude de travailler depuis la maison. Mais cette forme de télétravail, en tout cas dans les petites entreprises, se limitait à des choses assez simples : consultation des email, lecture et rédaction de documents bureautiques.

Ces tâches étaient réalisées en général en dehors des heures de bureau. Qui n’avait jusqu’alors jamais comblé un peu de retard en consultant des documents professionnels au fond de son canapé ? Les moyens nécessaires étaient alors simples : un logiciel de messagerie connecté au serveur d’entreprise, ou une simple clé USB contenant les fichiers à valider. Dans le meilleur des cas, l’entreprise avait mis à disposition un ordinateur portable, et les données ne se dispersaient pas trop.

Oui, mais voilà : travailler en débordement pendant quelques heures sur des tâches ciblées n’a rien à voir avec l’exécution d’une journée travail complète à distance. Et encore moins de semaines entières. Dans ce cas, chaque télétravailleur doit accéder à l’entier des ressources informatiques qui sont nécessaires à son quotidien professionnel. Et pas seulement à quelques emails ou fichiers Office extraits tant bien que mal des systèmes de l’entreprise.

Home Office : la flexibilité en priorité

Pour le dire autrement, l’accès aux systèmes informatiques doit être indifférent au lieu de connexion. L’IT doit alors faire preuve d’une flexibilité qui se résume facilement : le bureau ne doit plus être qu’un point d’accès aux données et aux programmes comme un autre. Cela concerne évidemment les fichiers professionnels, mais aussi tous les programmes dont l’accès était jusqu’alors restreint aux murs de l’entreprise.

Pour faire simple, deux solutions s’offrent à vous. Soit vous mettez en place une infrastructure qui permette de vous connecter depuis la maison au réseau du bureau : c’est ce qui était généralement pratiqué jusque dans les années 2000, sous le vocable VPN (Virtual Private Network). Soit vous externalisez données et programmes, si bien que l’expérience de connexion est la même depuis les locaux d’entreprise ou la maison. Avec l’avènement des technologies Cloud, cette seconde tendance a évidemment le vent en poupe.

Pour que le Home Office soit transparent, le bureau ne doit plus être qu’un point d’accès aux données comme un autre

Un exemple ? Les fichiers étaient traditionnellement stockés sur des serveurs centraux, dont l’accès depuis Internet n’était pas possible. Pour y accéder en Home Office, Il fallait tout d’abord se connecter en VPN dans le réseau professionnel, et ensuite se connecter au serveur, en croisant les doigts pour que toutes les conditions soient réunies : identification correcte du serveur ou authentification de l’utilisateur, pour ne citer qu’eux.

Maintenant que les systèmes de stockage de fichiers dans le Cloud sont fiables et efficaces, ces difficultés font partie du passé. Vos fichiers sont toujours à distance, que vous soyez au bureau ou à la maison. Y accéder n’est donc pas différent dans un cas comme dans l’autre. Mieux : alors qu’utiliser un VPN et parcourir un serveur de fichiers depuis un smartphone relevait du défi, ouvrir un fichier Cloud depuis un natel est un jeu d’enfant. Vous pouvez retourner au canapé…

Une sécurité plus complexe à assurer

Evidemment, mettre ses fichiers dans le Cloud peut encore en faire frémir certains. Ceux.-là même qui exposent sans sourciller des données personnelles à longueur de journée sur les réseaux sociaux ? Passons… Le surcroît de sécurité nécessaire à la protection des fichiers hébergés dans les nuages est en tout cas une réalité qu’on ne peut pas ignorer. Mais les progrès réalisés ces dernières années permettent désormais une protection de haute volée. Qui ferait rougir votre bon vieux VPN. De honte.

Si le stockage Cloud, pour reprendre cet exemple, facilite le Home Office, il exige des barrières plus hautes et plus nombreuses. Car les données et les programmes sont accessibles depuis Internet, et donc naturellement plus exposés. Pour remédier à ce risque, différentes technologies ont fait leur apparition. Faisant de la sécurité un sujet majeur. Et complexe à gérer.

Je ne reviendrai pas sur la double authentification (MFA, Multi Factor Authentication) qui fait partie de notre quotidien. D’autre techniques sont venues renforcer l’arsenal de protection nécessaire au Home Office. Citons l’accès conditionnel, qui évalue au moment de chaque connexion un ensemble de critères que tout appareil ou compte doit remplir pour que l’accès soit autorisé, tels que la présence d’un antivirus ou l’utilisation obligatoire du MFA justement.

L’accès conditionnel a un impact direct sur la sécurité lorsqu’on parle de Home Office

Ce renforcement sécuritaire est d’autant plus nécessaire que les appareils qui se connectent ne sont plus tout sous le contrôle de l’entreprise. Pour des raisons pratiques ou budgétaires, il faut pouvoir laisser les collaborateurs se connecter avec leurs appareils privés. Et gérer cette exception, qui n’en est plus une. Dans les faits, données privées et d’entreprise cohabitent sur la même machine. Et doivent être ségréguées et isolées les unes des autres. Avec à la clé une complexité accrue, il faut l’admettre.

Usage des appareils et des réseaux privés, extension du réseau d’entreprise, Isolation et ségrégation des données. Accès des données en ligne signifie exposition sur Internet. Fuite des données. Les données viennent à vous et plus l’inverse. Gestion des identités. Conformité. Ne pas laisser de traces gestion des arrivées et des départs). Prouver qui ont est, d’où on se connecte, avec quel appareil.

La simplicité en ligne de mire

Sécurité et simplicité ne font malheureusement pas souvent bon ménage. Et pourtant, assurer un environnement de Home Office efficace requiert de faciliter l’accès aux systèmes informatiques. Sous peine de décourager les utilisateurs. Ou de les voir contourner vos systèmes, et la sécurité qui va avec.

Heureusement, les solutions Cloud ont là aussi assuré un rôle majeur dans la simplification des accès à distance. On l‘a vu, il est dont de moins en moins nécessaire de disposer d’un VPN pour faire du télétravail. Ceux qui en ont déjà configurés savent de quoi on parle. Surtout, il est devenu presqu’inutile d’installer le moindre programme.

Le Home Office en mode Cloud signe la fin du VPN, en faisant venir les données à vous, et plus l’inverse

Applications et données sont maintenant accessibles depuis n’importe quel navigateur. Et avec une expérience d’utilisation qui est un peu plus proche chaque jour de l’accès natif via une application dédiée. Un exemple ? Si Word ou Excel en ligne n’étaient pas des solutions recommandables il y a encore 3 ou 4 années en arrière, leur utilisation dans un navigateur comme Edge est aujourd’hui assez bluffante. Et permet d’envisager une journée de travail sans souci.

Les applications, support ou métier, se déplacent aussi progressivement vers le Cloud et en ligne. On parle alors de mode SaaS – Software as a Service : l’accès se fait au travers d’un navigateur, rendant le déploiement simplissime et l’accès uniforme, que ce soit au bureau ou à la maison. Surtout, ces programmes sont peu intrusifs, et ne requièrent donc pas la sécurisation outre mesure d’un PC personnel par exemple, puisque tout reste en ligne.

Reste maintenant à savoir comment ça se passe chez vous. Le plus simple est de représenter ces trois axes d’évaluation de votre environnement de Home Office – simplicité, sécurité, flexibilité – sous la forme d’un triangle. Et de les évaluer afin d’y placer votre propre curseur. Et si jamais vous n’y arrivez pas, ou que vous vous faites peur, vous pouvez évidemment compter sur nous.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Vous souhaitez mettre en place le Home Office en tout sécurité et simplicité ? Contactez-nous en un clic !

Le 25 janvier dernier, une panne a affecté les services Cloud de Microsoft. Tous les services Cloud. Les clients de Microsoft 365 – ils sont nombreux en Suisse – ont pris conscience de leur dépendance au géant américain. Au point de remettre en cause le choix de ce fournisseur ? Rien n’est moins sûr. Décryptage d’une panne qui ne reste qu’une panne.

Il en va ainsi de notre dépendance au numérique : le moindre couac fait la une des journaux. Nous étions plus habitués à des interruptions de service sur les réseaux sociaux, comme cela est arrivé il y a encore quelques mois chez Meta. Mais Microsoft ne fait donc pas exception à la règle non plus, et la coupure de service du mois de janvier 2023 fera date.

Concrètement, un problème de réseau a mené à l’indisponibilité, plus ou moins complète, des services en ligne Microsoft 365. Cette gamme comprend notamment les produits de base exploités maintenant par des millions d’entreprise à travers le monde : la messagerie d’entreprise Exchange Online, mais aussi l’outil de collaboration Teams. Ou encore la suite Office en ligne. Les services d’infrastructure Cloud de Microsoft, dénommés Azure, ont également été impactés.

Une erreur humaine en cause

A l’origine de cette panne, une modification du routage sur le réseau mondial de Microsoft. Le routage détermine l’acheminement des flux de données sur Internet, depuis et vers le réseau de Microsoft. C’est donc une simple erreur humaine qui a conduit à cette interruption de service notable. La panne a finalement été résolue en annulant les modifications effectuées sur le réseau.

Cette coupure a révélé, si c’était encore nécessaire, l’ampleur de la pénétration de Microsoft sur les services en ligne pour les entreprises. Depuis le lancement d’Office 365 en 2011, devenu Microsoft 365 entretemps, le géant de Redmond n’a cessé de gagner des parts de marché. Son omniprésence dans les PME, et l’absence cruelle de concurrence dans le secteur de la bureautique, l’ont aidé dans l’établissement de cette domination sans partage.

Microsoft 365 ne laisse que des miettes aux concurrents dans le secteur de la bureautique. Et ceux-ci ne semblent pas très affamés.

Le moindre dérapage est donc d’autant plus visible que le marché a basculé en quelques années sur les services proposés par Microsoft. Non seulement les licences Office sont louées mensuellement par les entreprises. Mais surtout, Microsoft est passé du statut d’éditeur à celui de fournisseur de services en ligne, en exploitant ses propres logiciels sur ses infrastructures pour le compte de ses clients.

Dans les faits, les PME qui exploitent encore leur propre serveur de messagerie sont un peu moins nombreuses à mesure que le temps passe. Idem pour le stockage de leurs fichiers. Elles confient donc un peu plus chaque jour leurs données à Microsoft, en s’appuyant sur les licences et les services du leader mondial de la bureautique. A tort ? Pas forcément.

Microsoft 365 sans concurrence

Si l‘effet de volume rend la moindre panne visible, c’est aussi parce que cela reste exceptionnel. La combinaison du nombre croissant de clients d’une part, et de la stabilité des services d’autre part, donne à chaque épiphénomène une ampleur retentissante. Pourtant, à y regarder de plus près, les interruptions restent bien plus limitées que lorsqu’une PME exploite ses propres systèmes pour aboutir au même niveau de service.

Les concurrents et les sceptiques n’auront pas manqué de tirer à boulet rouge sur le leader du marché Cloud. A raison, si l’on considère que cette panne était liée à une erreur humaine. Et que Microsoft affirme haut et fort son statut de leader. C’est de bonne guerre et finalement assez sain : on entend parler à longueur de journée d’intelligence artificielle, et une simple mauvaise manipulation aura eu raison d’un des plus gros réseaux mondiaux. Mais la remise en cause a fait long feu.

La faute à l’absence d’alternative. Amazon Web Services, la division Cloud du géant du eCommerce, dispose bien de quelques services concurrents, Workmail et Workdocs pour ne pas les citer, mais ces produits efficaces n’ont pas su évoluer et se sont fait rattraper. Du côté de Google, les outils en ligne existent depuis longtemps, mais restent malgré tout confidentiels ou cantonnés à quelques secteurs de prédilection – les startups ou les agences de communication par exemple.

En 30 années d’existence, Office n’a jamais rencontré de concurrence sérieuse

Microsoft a su capitaliser sur son omniprésence sur le marché des entreprises pour basculer ses clients sur ses outils en ligne. Et leur faire se passer de leurs serveurs tout en étouffant toute concurrence. Difficile maintenant de revenir en arrière. Tout autant que d’aller voir ailleurs. Et ceci d’autant plus que les services sont globalement fiables.

Une fiabilité remarquable, malgré tout

Car la panne du début d’année, pour autant notable qu’elle soit, ne doit pas cacher la réalité : les services Cloud sont (très) stables et (très) fiables. Ceux de Microsoft comme ceux des concurrents. Les petites entreprises ont bien compris l’intérêt de ces services qui leur apportent flexibilité, mobilité et solidité. Mais, Microsoft tire son avantage concurrentiel de l’intégration de ses services avec tous les outils bureautiques. Et de son monopole en la matière dans le secteur professionnel.

Si d’autres pannes se produiront probablement dans le futur, chez Microsoft comme ailleurs, elles ne remettront donc pas en cause la marche forcé du bébé de Bill Gates vers sa capture du marché. Car à moins que la concurrence ne se réveille pour aller chercher le numéro 1 sur son terrain de prédilection, les quelques hoquets à venir n’auront pas de quoi ébranler la satisfaction de la clientèle. Qui reste et restera élevée.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Envie de découvrir pourquoi et comment Microsoft 365 est si efficace ? Contactez-nous en un clic !

Le coût de l’informatique est une question récurrente dans les PME. Bien souvent, elle se cantonne aux prix d’achat et à l’exploitation. L’électricité est souvent laissée de côté, car marginale. Avec le renchérissement de l’énergie, la donne a changé. Alors on vous propose une petite comparaison entre hébergement Cloud et machine à l’ancienne.

La Confédération a publié fin 2022 les prévisions des coûts de l’énergie électrique en 2023 en Suisse. Les augmentations envisagées varient entre 24% et 27%. Avec un coût du kWh qui s’établit aux alentours de 27 centimes, pour un usage standard, tout compris (énergie, transport, redevances). Evidemment, d’un canton à l’autre, des disparités existent, en fonction des opérateurs. Et les grosses industries bénéficient de meilleurs tarifs, mais leur usage est loin de celui des PME, pour lesquelles la valeur de 27 centimes fera office de référence ici.

Cette augmentation, justifiée par les tensions géopolitiques, fait suite à une augmentation plus modeste en 2022 d’environ 3%. Dans le même temps, les grands acteurs des infrastructures Cloud – Amazon, Google, Microsoft – ou les acteurs locaux – Exoscale – n’ont pas augmenté leurs tarifs. Pour les GAFAM, cette stabilité est rendue possible en partie par la production de leur propre énergie. Rendant ainsi leurs offres encore plus compétitives. De combien ? C’est ce que nous allons tenter de calculer.

Quelques points de repère

Posons tout d’abord les bases de notre comparaison. Les infrastructures Cloud sont louées à la demande, pour un tarif fixe et unique. Ce tarif ne détaille évidemment pas la part de l’énergie sur le coût total. Plutôt que de tenter de comparer ce qui l’est difficilement, nous allons plutôt évaluer les conséquences de l’envolée des prix de l’énergie sur le coût de possession d’une machine physique.

Tout est affaire de point de repère. Les serveurs sont des machines qui fonctionnent 24/7, de manière assez régulière (les pointes d’utilisation sont plus faibles, et la consommation de base plus élevée qu’un simple PC). Une fois intégré ce fonctionnement 24 heures sur 24, il suffit de considérer le prix du kilowatts/heure. Pour cela, nous utilisons un moyen mnémotechnique simple : au tarif de x centimes par kW/h, une consommation de 150W sur un mois aboutira à environ x francs.

Au coût d’alimentation du serveur physique, il faudra ajouter celui de refroidissement. Et ça n’est pas négligeable.

Des exemples ? Reprenons notre valeur de 27 centimes, et appliquons quelques règles de trois. Pour 150W en moyenne, le coût mensuel sera donc de 27 francs environ. Pour 300W, cela monte à 54 francs. Et ainsi de suite : 450W nécessiteront de dépenser 81 francs, et 600W se traduiront par un coût de 108 francs. Mais ça n’est pas tout.

A cela vous devrez ajouter le refroidissement de la machine. Soit vous disposez de climatisation, soit la machine devra se débrouiller seule (comprendre : faire tourner ses ventilateurs plus vite). Dans un cas comme dans l’autre, comptez assez simplement sur le doublement de la consommation. Si nous reprenons notre exemple de 600W, on parle de 108 francs supplémentaires.

Equivalence de puissance de l’hébergement Cloud

Définissons maintenant les caractéristiques techniques de notre machine étalon. Nous partirons sur un serveur tout ce qu’il y a de plus standard : 4 processeurs virtuels dans le Cloud, 16GB de mémoire, et quelques centaines de giga-octets de disque rapide SSD. L’équivalent de cette machine chez Dell sera par exemple le serveur T350, avec un processeur à 4 cœurs, autant de mémoire que dans le Cloud, 480GB de disque SSD, une alimentation redondante de 600W et Windows Server 2022.

Nous estimerons que l’alimentation en continu de cette machine aboutit à 300W de consommation moyenne sur 24 heures. Soit 54 francs, auxquels viennent s’ajouter 54 francs supplémentaires pour le refroidissement. En 2022, cela n’aurait coûté que 87 francs par mois, soit un delta de 21.- /mois. Anecdotique ? Pas tant que ça : sur 3 ans d’exploitation, nous parlons de 756 francs de surcoût, sur 5 ans 1’260 francs. Pour un serveur Dell qui vous aura coûté environ 3’000.- HT.

Mieux, si l’on rapporte cela à l’amortissement, vous dépensez tout simplement plus pour l’électricité que pour le serveur qui la consomme. Sur 36 mois, cela se traduit par 83 francs côté Dell et 108 francs du côté des électrons. Cette prépondérance est évidemment encore plus marquée avec un amortissement sur 60 mois, où l’achat du serveur ne vous coûtera que 50 francs par mois.

Si avoir un serveur sur site peut paraître une solution économique, les chiffres disent donc autre chose. En proportion, la consommation électrique que vous aviez décidé d’ignorer pèse donc plus que la machine elle-même. Reste maintenant à savoir si un serveur Cloud serait plus économique.

On sort la calculette

Première constatation : les tarifs dans le Cloud sont stables, depuis des années. Ceci est d’autant plus notable sur les 18 derniers mois. La tendance n’est donc pas à l’avantage du serveur physique. Reste à savoir si l’on part de loin, autrement dit si votre machine sur site était très économique, et ne l’est juste qu’un peu moins.

Pour cela, nous devrons comparer le coût total de possession de votre machine. Pour simplifier, vous avez fait – ou ferez – face à des coûts uniques (investissement initial, installation, configuration, mise en service) et des coûts récurrents (électricité donc, mais aussi maintenance et support). Evacuons tout de suite les frais récurrents : l’électricité augmentera dans un cas et pas dans l’autre, et la maintenance (mises à jour, surveillance) revient au même dans les deux cas.

Sur 5 ans, le coût de possession d’un serveur physique peut être jusqu’à 16% plus élevé que celui d’un serveur Cloud, du fait du renchérissement de l’électricité

Les frais uniques, eux, sont bien différents. En plus du matériel, vous devrez acquérir un système de sauvegarde, faire installer physiquement la machine, ou encore activer un contrat de maintenance matérielle qui vous assurera l’accès aux techniciens de la marque et aux pièces de rechange. Et connecter votre serveur au réseau : pare-feu, connexion Interne et switches sont nécessaires. Toutes choses que vous éviterez avec l’hébergement Cloud.

Sans trop entrer dans le détail, nos calculs, hors renchérissement de l’électricité, montrent un écart qui se creuse avec le temps. Soit 5% au bout de 3 ans, et 12% au bout de 5 ans, en faveur du serveur Cloud. L’augmentation du coût de l’énergie ne fait qu’accentuer cette différence, puisqu’elle ne pèse que sur le serveur physique. Avec nos hypothèses de départ, on passe à 10% sur 3 ans, et 16% sur 5 ans.

Les plus grincheux – ils sont peu nombreux parmi nos lecteurs – argueront du fait que ces chiffres restent faibles dans l’absolu. D’autant plus si leur facture d’électricité mensuelle est à quatre chiffres, ou plus. Ça n’est pas faux. Mais le but ici n’est que de comparer ce qui est comparable : des coûts informatiques et rien d’autre. Pour les gros consommateurs d’énergie, les sources d’économie seront ailleurs. Pour un petit bureau actif dans le tertiaire, l’argument aura en revanche son intérêt.

Quoi qu’il en soit, chacun pourra aligner ses propres chiffres pour se faire une idée. Et si vous n’êtes pas plus à l’aise avec l’arithmétique qu’avec l’informatique, nous viendrons vous aider à faire vos calculs. N’hésitez pas à nous solliciter en saisissant votre adresse email ci-dessous. A moins que vous ne soyez déjà convaincu. Mais ça c’est une autre histoire.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Avec un boulier ou à la main, faisons quelques calculs ensemble ! Contactez-nous en saisissant votre adresse email.

Nous vantons régulièrement les mérites du poste de travail virtuel Cloud. Mais peut-être avez-vous aussi entendu parler de bureau virtuel. Ou d’autres termes approchants qui ont semé la confusion dans votre esprit. Quelles sont les différences ? Quel est le meilleur choix pour votre PME ? C’est ce que nous allons mettre en lumière dans cet article.

Pour commencer, posons quelques bases. Quelle que soit la technologie – poste ou bureau virtuel, nous parlons ici de la virtualisation de l’environnement de travail de l’utilisateur. Cela consiste à se connecter, à distance, sur un ordinateur qui n’est plus physiquement dans les locaux de votre société. Mais tourne dans un Cloud, public ou privé. Dans cet espace de travail virtuel, vos programmes s’exécutent. Et c’est de là que vous accédez à vos données.

Valse informatique à trois temps

Pour aider nos clients à appréhender ce type de solution, nous la représentons selon 3 niveaux : l’appareil, l’espace de travail, et les services et données. L’appareil est le dispositif physique qui vous permet de travailler : il dispose des périphériques le cas échéant – écran, clavier, souris, casque. Il s’agit classiquement d’un PC ou d’un Mac, mais peut tout aussi bien être une tablette ou un smartphone. La mobilité est passée par là.

L’espace de travail est l’ensemble des ressources informatiques qui font tourner vos programmes, et d’où vous accédez à vos services et données. Ca peut être votre appareil physique, mais ça peut être aussi un autre PC, qui tourne lui dans le Cloud. On parle alors de poste ou de bureau virtuel. Votre appareil physique n’est alors utilisé que pour vous connecter à ce deuxième espace, virtuel. Il s’agit généralement d’un environnement Windows, avec son menu Démarrer et ses icônes bien connues.

Le poste de travail virtuel et le bureau virtuel jouent les intermédiaires entre vos appareils, et les données et services d’entreprise

Ces trois niveaux sont isolés entre eux : l’appareil, l’espace de travail, et les services et données. Cette segmentation permet d’assurer une part de la sécurité, en restreignant les accès d’un niveau à l’autre. Le plus perspicaces auront remarqué qu’on peut se passer d’un poste virtuel, si l’appareil physique peut aussi servir d’espace de travail. L’intérêt réside justement dans le fait d’isoler l’espace de travail dans le Cloud et de ne pas avoir à gérer la sécurité de l’appareil.

Résumons. Vous utilisez un appareil pour vous connecter à un espace de travail, depuis lequel vous accédez aux données et aux services. Pour passer d’une couche à l’autre, vous devez franchir des sas de sécurité. L’espace de travail peut être un ordinateur virtuel qui tourne dans le Cloud, comme le résume le schéma ci-dessous. Maintenant que les présentations sont faites, regardons de plus près les caractéristiques de l’espace de travail virtualisé.

Poste de travail virtuel

Le poste de travail virtuel dans l’informatique hybride

Des ressources, dédiées ou pas

Un poste de travail virtuel est l’équivalent d’un PC physique complet, mais dans le Cloud. Vous pourriez imaginer prendre votre ordinateur et le placer dans un datacenter protégé. Et vous y connecter à distance depuis votre appareil physique grâce à une technologie de prise de main à distance – Citrix ou Remote Desktop par exemple. Ce qu’il faut retenir, c’est que cet ordinateur virtuel est monolithique, comme votre PC physique : il dispose de son disque dur, de son processeur, et de sa mémoire. Ces ressources vous sont dédiées, et ne peuvent être utilisées que par vous. Que vous soyez connecté ou pas d’ailleurs.

A contrario, un bureau virtuel est un sous-ensemble de ressources d’une machine, plus puissante que votre seul PC, qui est exploitée de manière partagée. Processeur, mémoire et disque sont disponibles en quantité pour plusieurs espaces de travail, répartis entre les utilisateurs. Vous ne disposez pas, sur un bureau virtuel, de ressources dédiées. Et tout le monde se connecte sur la même machine.

Le poste de travail virtuel est dédié, quand le bureau virtuel fonctionne sur une infrastructure partagée

Osons une analogie. Le poste de travail virtuel est un bureau individuel, quand le bureau virtuel est un espace de coworking. Dans le premier cas, mobilier et surface sont mobilisés pour vous, que vous soyez sur place ou en télétravail. Dans le second cas, les places de travail sont partagées, et elles ne vous sont pas attribuées nominativement.

Le bureau virtuel, ou le coworking informatique

C’est là que réside la plus grosse différence entre ces deux modèles. Dans votre bureau individuel, personne d’autre que vous ne s’assied. Si bien que vous ne vous retrouverez jamais à l’étroit. Dans l’espace de coworking, vous serez amené à changer de place de travail. Et surtout, à vous serrer avec les voisins les jours de grosse affluence. Il faudra partager les ressources – bureaux, chaises, etc.

Vous l’aurez compris, le poste de travail virtuel vous assure d’avoir suffisamment de puissance en permanence pour vos tâches du quotidien. Sans que personne d’autre ne puisse les préempter. Il mobilise en revanche une machine unique pour vous, dont on sait qu’elle ne sera utilisée que partiellement dans la journée.

Les bureaux virtuels, eux, sont plus vertueux, en ce sens qu’il permettent de mutualiser les ressources. Et de jouer avec l’élasticité : ils sont déployés sur une batterie de serveurs, dont l’envergure varie en fonction de la demande des utilisateurs. Pendant les congés d’été, on utilisera moins de serveurs puisqu’une partie des employés ne travaille pas. Le prix à payer est de ne pas pouvoir garantir un niveau de puissance aux utilisateurs, même si des mécanismes de protection existent.

Complémentarité

Quel modèle choisir alors ? Il n’y a évidemment pas de réponse universelle. Sinon les deux modèles n’existeraient pas en parallèle. C’est le client qui dicte ses besoins. Et peut même décider de panacher les solutions. Les utilisateurs avancés recevront un poste de travail virtuel afin de ne pas être pénalisés par des baisses de puissance sporadiques. Les utilisateurs bureautiques simples profiteront, eux, d’un bureau virtuel qui permettra d’abaisser le coût par utilisateur.

Ce panachage peut même considérer une troisième voie : l’utilisation de vos appareils physiques comme espace de travail. C’est typiquement le cas des utilisateurs nomades, dotés de laptops. Ils accèdent aux données directement depuis leur ordinateur portable, sans passer par un espace de travail virtualisé. Le portable assure alors les deux fonctions : appareil et espace de travail. C’est typiquement ce que nous mettons en œuvre dans nos déploiements d’informatique hybride. Avec des contraintes supplémentaires en termes de sécurité. Mais ça, c’est une autre histoire.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Besoin d’une démo pour mieux vous rendre compte ? Faites-le nous savoir !

Malgré toutes vos précautions, un intrus s’est glissé dans votre système informatique. C’est la panique à tous les étages. Pourtant, comme pour les premiers secours, les toutes premières actions sont cruciales. Et les gestes répétés à l’avance et exécutés machinalement le jour J sauveront le principal. Anatomie d’un plan d’urgence informatique.

En temps de crise, il est vital de ne pas réfléchir. De ne plus réfléchir. Mais d’agir selon un plan établi à l’avance. C’est tout aussi vrai pour votre informatique, lorsque celle-ci se trouve compromise. Si vous êtes préparé à une telle éventualité, vous saurez quoi sauver en premier, et quelles branches couper en priorité. Le ver est peut-être dans le fruit, mais une approche chirurgicale vous évitera d’abattre tout l’arbre. Et de préserver l’essentiel. Voyons comment.

Vision à 360°

Circonscrire un incendie réclame d’en connaître toute l’étendue. Et là où il se propage le plus rapidement. Vous commencerez donc par prendre soin d’inventorier tous les systèmes informatiques mis en œuvre dans votre PME. De la messagerie aux serveurs applicatifs, en passant par le stockage des fichiers, et les impressions.

L’exercice n’est pas évident, car au fil du temps, les services se sont accumulé tel un millefeuille. Et plus personne chez vous n’a de vision globale de la situation. Mais vous pourrez vous reposer sur votre prestataire informatique, non ?

Sans inventaire clair, vous risquez tout simplement de passer à côté d’éléments essentiels et particulièrement exposés

Une fois le périmètre défini, vous devrez définir le risque associé à chaque élément de votre infrastructure. Ce risque consiste en une combinaison de plusieurs facteurs. Tel que l’exposition d’une part, et la surface de cette exposition. La boîte mail d’un collaborateur, accessible depuis Internet, est finalement plus exposée que votre système de gestion des RH et de la finance, accessible uniquement depuis votre réseau.

En plus de ces deux facteurs, vous devrez combiner aussi le niveau de protection de vos services. Finalement, cette boîte email n’est pas si à risque que cela, car elle est protégée par une double authentification MFA, renforcée récemment. Alors que votre système RH interne est accessible avec un simple mot de passe. Ou pire, via un compte générique.

Dernier critère à prendre en compte : la menace. Si votre système de messagerie contient peu ou pas de données critiques, on peut envisager en revanche que votre entreprise gagnerait à ne pas voir le contenu de son système de gestion financière exposé sur le Net.

Une affaire de priorité

Bien. Maintenant que vous avez défini le quoi, le comment, le et le pourquoi, vous avez tout en main pour définir des priorités. Comment ? En bâtissant quelques scénarios qui vous permettront de vous projeter. Votre plan d’urgence informatique prend forme. L’idée consiste à définir les services dont vous êtes prêts à vous passer temporairement, et l’impact de leur absence sur votre activité.

Si l’impact d’une coupure est trop fort, vous pourrez toujours opter pour l’abaissement des facteurs de risque

Un poste utilisateur a été infecté par un virus ? Isolez-le et coupez tous les accès Internet : vous pourrez travailler quelques heures en 4G/5G avec les mails sur les natels. Une boîte email a été infectée après une attaque de phishing ? Désactivez-le compte avant de la nettoyer, voire de la supprimer si vous n’êtes pas sûr de l’efficacité du nettoyage.

Vous l’aurez compris, pour chaque élément pris individuellement, vous devrez imaginer vous en passer. Et définir l’impact, en cas de, coupure sur votre exploitation. Cet impact sera ensuite modéré par le risque encouru. Le jeu consistera alors à s’assurer que les systèmes les plus critiques sont ceux qui sont le moins à risque. Et à comprendre les conséquences de leur arrêt, si vous devez en arriver à cette décision.

Vos services sous un autre angle

Car l’objectif final est bien là. Avec un plan clair sous les yeux, vous appréhenderez à l’avance les conséquences de la coupure volontaire d’un ou plusieurs de vos services. Et vous serez prêt à appuyer sur le bouton on/off. Sans vous poser de question. Nous avons récemment réalisé l’exercice pour l’entier du portefeuille de services managés Steel Blue, soit 34 produits. Qui vont du compte Microsoft 365 au serveur Cloud. Et les résultats peuvent être surprenants.

Car des services que nous exploitons depuis des années et qui nous semblent aussi exposés les uns que les autres aboutissent à des niveaux de risque différents. Le diable se cache en effet dans les détails. En réalisant cette évaluation de façon granulaire – où, quoi, comment, pourquoi – et avec le plus d’objectivité possible, nous avons obtenu une vision nouvelle sur nos services.

Alors certes, l’arrêt d’un serveur compromis aura fatalement des répercussions importantes. Mais si des moyens de reconstruction rapide ou de secours existent – un plan de reprise d’activité ou DRP, par exemple, on arrivera à modérer l’impact. Peut-être plus que la perte irréversible de la boîte email du Directeur Général, où toute son activité est concentrée depuis des années. C’est la subtilité du plan d’urgence informatique. Là encore, tout n’est qu’affaire de priorité. Et se prépare à l’avance.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Envie de construire votre propre plan ? Faites-le nous savoir !

Pour beaucoup de responsables de PME, gérer un parc IT est simple. Cela consiste à acheter des ordinateurs, y installer un antivirus, et les mettre en service. Et recommencer au bout de quelques années. Dans un monde peu connecté et sans cyber-risque, la protection des appareils informatiques aurait pu se résumer à cela. Mais ce temps est révolu.

Il est loin le temps, en effet, où la majeure partie de l’effort passé à gérer un parc informatique était dédiée au matériel. Les ordinateurs étaient relégués au rang de consommables : on installe, on utilise, et on remplace. La maintenance se focalisait sur la réparation, notamment le remplacement de composants. Au premier rang desquels, le disque dur : quand ils étaient encore mécaniques, ces périphériques de stockage constituaient le maillon faible des ordinateurs personnels.

Révolution mobile

Puis Internet est arrivé. L’interconnexion des appareils a fait exploser les risques d’attaque et de contamination. Risques encore aggravés par la multiplication des appareils, et notamment l’arrivée des smartphones. L’utilisateur informatique est devenu la cible privilégiée des pirates, exploité comme vecteur de propagation de menaces en tous genres dans la multitude de ses appareils.

Si vous êtes patron de PME, vous pouvez adopter différentes postures. Soit vous êtes conscient du danger, sans pour autant le maîtriser, et vous transformez votre informatique, au sens large, pour vous adapter. Soit vous l’ignorez tout simplement. Après tout, vous n’avez jamais eu le moindre problème. Et prêter un peu plus d’attention risque bien de faire exploser votre budget.

L’absence d’incident pourrait inciter, à tort, à l’immobilisme

Mais les chiffres sont têtus. En 2022, le nombre d’attaques informatiques en Suisse a bondi de 61% dans les entreprises. Cette statistique dénote deux choses. Tout d’abord, les attaques informatiques restent faciles et rentables. Ensuite, la multiplication des terminaux constitue autant de portes d’entrées supplémentaires dans votre réseau et vos applications. Ignorer la protection des appareils informatiques et se contenter de les mettre en ligne risque de vous jouer des tours. Rapidement.

Partir sur de bonnes bases

Alors, comment agir ? Tout se passe en 3 actes : configuration, évaluation, autorisation. Dans un premier temps, il est nécessaire de s’assurer que l’appareil que vous allez utiliser pour accéder aux ressources d’entreprise est sous contrôle. Adopter une base minimale de prérequis est un must : par exemple, un antivirus installé et à jour, ou la présence d’un mot de passe – un vrai. Et ceci aussi bien pour les appareils d’entreprise que les privés. En automobile, on pourrait comparer cela à l’homologation.

Une fois cette configuration initiale passée, démarre la vie de l’appareil. On entre dans le domaine de la surveillance. L’enjeu consiste à évaluer en temps réel que sa conformité est préservée au long de sa vie. Car toute configuration peut évoluer au fil de l’eau, et sa dégradation peut rendre l’appareil moins fiable, voire dangereux. L’analyse de la conformité assigne un niveau de fiabilité à l’appareil, qui autorisera un accès plus ou moins large.

Au temps du Covid, on aurait pu comparer la conformité d’un appareil à son pass informatique

Reste alors à autoriser l’accès aux données, ou pas. Là encore, l’analogie avec les véhicules est simple : il s’agit de l’expertise automobile. Cette phase revient donc à décider si votre appareil est apte à se connecter aux services et aux données. Tout comme au service des automobiles, il y a des exceptions : un appareil qui n’est pas conforme pourra se connecter aux services, mais de manière limitée. La reconnexion complète nécessitera d’avoir montré à nouveau patte blanche. On parle ici d’accès conditionnel.

Protection des appareils informatiques grâce à Microsoft inTune

Conformité et protection des appareils informatiques avec Microsoft inTune

Le prétexte de la complexité

A priori, on pourrait trouver ces mécanismes contraignants. Et ils le sont. Mais c’est le lot de la sécurité informatique, qui doit trouver le juste équilibre entre la protection des données et des appareils , et la facilité d’utilisation. L’erreur consisterait à tout balayer d’un revers de la main, au prétexte justement que la gestion de ces pauvres machines n’a jamais rien demandé de complexe jusqu’à maintenant. Le syndrome du « jusqu’ici, tout va bien ».

Il faut simplement l’admettre : l’informatique est devenue terriblement complexe

Cela reviendrait à assimiler l’environnement informatique des années 2000 à celui d’aujourd’hui, ou inversement. Alors que tout a changé. Les machines se mettent à jour en permanence, suivant le rythme effréné de la découverte de failles de sécurité. Et pas une semaine ne se passe sans qu’une institution de renom ne se fasse rançonner. Si autrefois le piratage de son informatique pouvait relever du manque de chance, l’excès de simplification peut en être une cause plus probable aujourd’hui.

Car les outils existent pour assurer la protection des appareils informatiques. Et ils sont plutôt efficaces. Pas infaillibles, mais efficaces. Et complexes, c’est certain. Au point qu’un pirate pourra être dissuadé de tenter de rentrer dans un réseau protégé comme il faut. Ou en tout cas, son travail ne sera pas facilité, et l’intrusion aura pu générer quelques alarmes. Pour autant que le gestionnaire du parc maîtrise justement toute la complexité de ces nouveaux outils. Et de l’informatique des années 2020.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Dès fin février, Microsoft 365 consolidera l’authentification à ses services. Ce renforcement permettra de sécuriser encore plus les applications Cloud du géant. Mais derrière cette mesure de sécurité se cache un but plus radical. Microsoft vise tout simplement à faire d’une pierre deux coups. Et vous permettre de vous passer (enfin) de mots de passe. Explications.

La double authentification nous est maintenant familière. En plus de saisir notre mot de passe, nous sommes amenés à valider notre identité par un second moyen. Il peut s’agir d’un code généré par une application mobile, ou d’une validation de connexion, toujours via le smartphone. Mieux, on peut aussi vous demander de fournir un paramètre biométrique, tel qu’une empreinte digitale, ou de reconnaître votre visage ou l’iris de vos yeux.

Microsoft résume très bien la combinaison de ces facteurs. Votre authentification nécessitera d’une part de fournir quelque chose que vous savez – votre mot passe. Et de la compléter par un autre facteur : quelque chose que vous possédez comme votre smartphone ou votre ordinateur, ou quelque chose qui vous est propre – un paramètre biométrique par exemple.

Microsoft 365 change la donne

En y regardant de plus près, la double authentification pourrait tout simplement se cantonner à combiner ces deux dernières catégories. Et oublier la première : votre mot de passe. Vous avez bien lu : l’objectif ici est de tout simplement ne plus avoir à utiliser de code secret pour s’authentifier. A terme, une identification consistera uniquement à fournir quelque chose qui vous est propre et quelque chose qui vous appartient.

Plus qu’un renforcement, c’est un changement de modèle d’authentification

Pour préparer le terrain, Microsoft imposera donc dès la fin du mois la saisie d’un code à usage unique en complément d’une approbation dans son application Microsoft Authenticator. Mais il y a mieux encore : vous pourrez décider de sélectionner cette approbation dans Authenticator comme premier facteur d’authentification, pour peu que vous activiez la reconnaissance biométrique – faciale ou digitale.

Concrètement, vous ouvrez une des applications Microsoft 365. Celle-ci vous affiche un code à deux chiffres généré aléatoirement. Votre smartphone vous lance alors une demande d’authentification, que vous ne pourrez approuver qu’en saisissant le code affiché. L’approbation est alors complétée par une reconnaissance faciale par exemple. Vous avez bien combiné deux facteurs d’authentification. Mais vous n’avez pas saisi le moindre mot de passe. Génial, non ?

Authentification sans mot de passe grâce à Microsoft 365

Authentification sans mot de passe grâce à Microsoft 365

L’histoire se répète

Comme souvent, Microsoft a fait preuve d’une habilité et d’une réactivité incroyables pour prendre le lead dans un domaine où l’éditeur était malmené. Et ça n’est pas une nouveauté dans l’histoire de l’informatique. Dans les années 90, Bill Gates ne croyait pas dans l’Internet. Il avait dû prendre un virage à 180 degrés, et Windows 95 était né, avec le succès qu’on lui connaît. Idem pour Internet Explorer : longtemps le navigateur Microsoft était à la traîne face à Netscape et Firefox. Mais à force d’investissement, il les a surclassés.

En matière de sécurité, Microsoft a longtemps fait office de mauvais élève. Windows était réputé pour être mal protégé et truffé de vulnérabilités. Evidemment, quand on produit le système d’exploitation le plus répandu au monde, on est plus exposé que les autres. Quant à la faible protection, les mauvaises langues – ou les plus clairvoyants – diront qu’elle faisait partie du plan pour inonder le marché.

Microsoft a longtemps eu mauvaise réputation en termes de sécurité

Mais depuis les années 2010, Microsoft, à grands coups de R&D et de marketing, a complètement renversé la tendance. Windows Defender est devenu un des antivirus leaders du marché, si bien qu’acquérir un produit tiers n’est plus nécessaire. Et la transition de Microsoft d’un statut d’éditeur à celui de fournisseur de services en ligne, l’a forcé à revoir sa posture sécuritaire. Avec un certain succès. A tel point que l’éditeur devient un leader en la matière et trace la route pour le reste de l’industrie.

Objectif zéro mot de passe

Avec quels objectifs ? La feuille de route concernant les mots de passe est assez claire. Elle repose sur un autre triptyque. Dans un premier temps, ne plus avoir à saisir nos mots de passe. Nous y sommes donc déjà. Dans un second temps, ne plus avoir à changer nos mots de passe. S’ils ne sont plus utilisés, ils ne sont naturellement plus exposés. Et enfin, ne plus savoir nos mots de passe du tout. On ne pourra plus vous dérober ce que vous ne savez pas.

Le vol d’identifiants repose aujourd’hui sur deux axes : soit le piratage de sites peu fiables contenant un mot de passe réutilisé ailleurs, soit l’ingénierie sociale qui permet de « deviner » vos codes secrets. Ne plus être contraint de connaître son mot de passe ouvre la porte à la génération aléatoire et systématique de codes complexes et différents sur tous les sites et services que vous utilisez.

Les mots de passe peuvent alors être stockés dans un gestionnaire de clés, car ils ne sont plus utilisés comme premier facteur d’authentification. Un peu comme une clé que vous iriez déposer dans un coffre à la banque, et qui ne serait accessible qu’en dernier recours. La pression se déplacera donc probablement vers ces outils de stockage en ligne, qui seront, encore un peu plus, dans le radar des hackers. Mais ça, c’est une autre histoire.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Avec le lancement d’Office 365, Microsoft avait progressivement généralisé l’authentification forte. Notamment grâce à son application mobile Authenticator. Mais une nouvelle menace a forcé l’éditeur à revoir sa copie. Changements en vue dès la fin février 2023.

L’authentification forte, ou MFA (Mutli Factor Authentication), n’est plus une nouveauté pour vous. Ni pour personne d’ailleurs. Tous les éditeurs d’applications en ligne, de Google à LinkedIn en passant par les réseaux sociaux grand public, ont adopté cette procédure d’identification. Elle consiste à ajouter à votre mot de passe une seconde protection, la combinaison seule des deux vous laissant accéder au service.

Il faut dire que la protection de nos comptes en avait bien besoin. Malgré, ou à cause de, la digitalisation de nos activités, la protection de nos comptes et de notre vie numérique est devenue un enjeu majeur. Surtout si l’on considère que, année après année, le grand gagnant du palmarès des mots de passe les plus utilisés reste l’indéboulonnable « 123456 ».

Office 365 dope l’authentification MFA

Microsoft n’a pas échappé à la règle. La commercialisation massive de ses services en ligne, initiée en 2011 avec Office 365, à imposé à l’éditeur de continuellement renforcer la protection des comptes de ses utilisateurs. Cet effort s’est matérialisé par l’application Authenticator, devenue un standard du marché. Elle permet de compléter votre mot de passe – quelque chose que vous savez – avec un autre facteur d’authentification – quelque chose que vous possédez, comme votre smartphone par exemple.

Dans les faits, votre compte est associé à votre smartphone, et chaque demande d’authentification MFA relaie une demande d’approbation sur celui-ci par le biais de l’application Authenticator. D’autres facteurs supplémentaires peuvent venir s’ajouter pour approuver la demande, comme un facteur biométrique (quelque chose qui n’appartient qu’à vous, comme une reconnaissance faciale ou une empreinte digitale).

Il est important de noter que d’autres formes d’approbation sont aussi permises par Microsoft, en dehors d’Authenticator, telles que l’appel téléphonique ou l’envoi d’un code par SMS. Elles utilisent toutes le même médium – votre smartphone – mais des méthodes différentes. Dans le cas de l’appel téléphonique, Microsoft vous contacte sur votre mobile et la validation passe par l’appui sur la touche « # ».

Attaques de fatigue vs. MFA renforcé

C’est justement ce type d’approbation sans saisie – appui sur le bouton d’approbation d’Authenticator ou sur la touche « # » du téléphone – qui pose souci. En effet, en cas de vol de votre mot de passe, un pirate potentiel va utiliser ces méthodes, si elles sont permises par votre organisation, pour vous amener à valider le deuxième facteur d’authentification.

Le risque d’une approbation malencontreuse n’est pas nul une fois la barrière de votre code secret franchie

Ce genre d’attaque, dite « de fatigue », repose sur une certaine forme d’exaspération digitale, qui nous amène à repousser rapidement et sans y prêter attention les sollicitations qui détournent notre attention. Comme les notifications du téléphone que nous faisons glisser machinalement vers le haut de l’écran, ou les conditions générales que nous balayons pour accéder rapidement à un service en ligne.

Selon Microsoft, 1% des utilisateurs attaqués de cette façon approuvent dès la première tentative une demande de connexion dont ils ne sont pas l’auteur. Si ce chiffre peut paraître faible, il faut le mettre en regard du nombre de comptes Microsoft (cela se compte en dizaines de millions) et sur la relative faiblesse générale des mots de passe (ou plutôt, leur réutilisation à l’infini sur plusieurs comptes).

Microsoft a donc décidé de réagir, fidèle aux efforts de sécurisation dont la société américaine fait preuve depuis maintenant plusieurs années. Et réagir rapidement, puisque des changements ont été annoncés en octobre 2022 pour une mise en place seulement 4 mois plus tard à l’échelle mondiale. Compte tenu de l’ampleur de ces modifications, il s’agit d’un défi de taille.

Activation à marche forcée

Concrètement, Microsoft activera progressivement par défaut dans ses comptes dès le 27 février 2023 une fonction appelée number matching – correspondance numérique. A chaque demande de connexion, l’application à laquelle vous vous connectez présentera un nombre de 10 à 99, généré aléatoirement. Vous devrez donc saisir ce nombre dans Authenticator pour pouvoir approuver la demande de connexion.

Si vous n’êtes pas à l’origine de cette demande de connexion, vous n’aurez pas de nombre en face de vous. L’approbation par dépit ne sera donc plus possible. Autre avantage : Authenticator affichera des informations complémentaires au moment de la connexion. Il s’agira du service à l’origine de la demande d’approbation, de l’appareil sur lequel elle a été réalisée ou encore de sa localisation géographique.

Cette nouvelle mouture d’Authenticator identifie plus clairement l’origine des demandes d’authentification, pour peu qu’on soit attentif

Cette méthode présente plusieurs avantages. A l’usage, la saisie du nombre à deux chiffres n’est pas contraignante, la taille limitée du code évitant les erreurs et ne ralentissant quasiment pas le processus d’authentification. Surtout, tout en empêchant un pirate de se connecter, elle vous fait prendre conscience que votre compte est à risque, puisque la première étape, celle du mot de passe justement, a été franchie à votre insu.

Comment profiter de cette mise à niveau ? Il n’y a rien de particulier à faire, puisque la fonction sera activée par Microsoft, si ce n’est informer vos utilisateurs. Et leur demander de mettre à jour Authenticator : seules les versions récentes seront supportées pour saisir le code à deux chiffres. Profitez-en évidemment pour leur demander de mettre à jour leur mot de passe, avec un code unique et propre à leur compte Microsoft, histoire de renforcer (aussi) cette première barrière.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Ces dernières années ont montré comment les attaques informatiques se sont sophistiquées. De larges et aveugles, elles sont devenues précises et ciblées. Avec dans le viseur, les utilisateurs. Mais pas n’importe lesquels : ceux qui disposent d’accès élargis, et de dérogations à la protection informatique. Suivez mon regard…

Il y a une dizaine d’année, réaliser une attaque informatique était relativement simple : vous achetiez sur le Darknet l’accès à un réseau de machines « zombies », auxquelles vous faisiez exécuter des programmes malveillants en masse. Que ce soit pour envoyer des SPAM par millions, ou pour se connecter simultanément au service en ligne que vous souhaitiez faire « tomber » – le principe des attaques dites de « déni de service ».

Dans l’intervalle, hébergeurs et éditeurs ont progressivement amélioré leurs outils pour se prémunir de ces comportements. Pas au point de les rendre inefficaces, mais suffisamment pour qu’ils soient moins rentables. Et demandent plus d’efforts. A n’en pas douter, les hackers n’avaient aucune envie de voir leurs revenus chuter. Alors, ils se sont adaptés.

On donc vu apparaître plus récemment des attaques plus complexes, telles que les ransomwares. Celles-ci consistent à affecter une organisation en particulier, en bloquant tout ou partie de son système d’information. Si diffuser un rançongiciel à large échelle peut encore avoir des chances d’aboutir, cibler l’attaque s’avère bien plus payant. Car, on l’a vu, les outils de sécurité informatique se sont renforcés. Et surtout, adapter sa tactique à son adversaire est toujours plus efficace.

Des attaques informatiques ciblées

Les pirates informatiques se sont donc attachés à se donner le maximum de chance de réussite. Comment ? En faisant en sorte de rendre l’attaque la plus discrète possible. Et en s’attaquant, comme le ferait tout prédateur, à la proie la plus fragile. Il s’agit fatalement d’un utilisateur, maillon faible par excellence, présentant des caractéristiques toujours identiques : permissions plus larges que la moyenne, et exceptions plus nombreuses que la moyenne.

Il faut admettre que ce profil correspond en général, mais pas uniquement, aux postes les plus élevés dans l’organisation. Pourquoi : parce qu’un directeur devra pouvoir accéder à tous les fichiers de l’entreprise. Et exigera souvent de pouvoir travailler avec un matériel plus exotique que le reste des collaborateurs, ou contourner les règles générales de sécurité informatiques imposées à tous par ces satanés informaticiens…

En matière de sécurité, imposer des exceptions n’est pas raisonnable.

En bon hacker qui se respecte, l’attaquant commencera donc logiquement par identifier ce type de profil pour initier son attaque. La multiplication des cyberattaques par ransomware s’est donc accompagnée de ce qu’on appelle l’ingénierie sociale. Notre présence sur les réseaux sociaux est en effet une manne d’informations inespérée pour cybercriminels. En quelques clics, il est en effet possible de savoir qui dirige telle entreprise, et quels sont ses collègues.

Il est également possible de glaner des informations concrètes comme le prénom et de date de naissance d’un(e) conjoint(e). Et de faire des premières tentatives d’intrusion à l’aide de mots de passe basés sur ces informations. Mais aussi de cibler en premier lieu des collaborateurs qui pourraient, par rebond, laisser accéder aux personnes finalement visées.

La protection informatique commence par soi-même

Une fois le responsable d’entreprise piraté, c’est le bingo. Il a accès aux informations d’entreprise les plus sensibles, et peut aussi faire exécuter des ordres à la majeure partie des employés. Une fois le ver dans le fruit, les possibilités sont donc nombreuses : usurpation d’identité, lancement d’ordres bancaires, cryptage des données de l’entreprise à large échelle, ou encore chantage à la révélation de documents sensibles.

Plus le profil piraté est élevé, plus les chances d’aboutir de l’attaque sont fortes.

On comprend donc aisément que leur position même dans leur entreprise fait porter aux dirigeants une responsabilité accrue quant à la protection des données informatiques. Même sans être plus faillibles que d’autres employés, ils représentent une cible de choix, une sorte de boîte de Pandore que les hackers viseront plus naturellement parce qu’elle sera plus prometteuse si elle vient à s’ouvrir.

Contrairement aux habitudes solidement ancrées dans le PME, les restrictions et les protections devraient donc s’aligner sur le niveau hiérarchique dans l’entreprise. Et imposer l’utilisation d’outils et de bonnes pratiques tels les gestionnaires de mots de passe, le contrôle d’accès basé sur les rôles ou l’emploi de comptes différents à moindres privilèges. Parce qu’un dirigeant est bien plus exposé qu’un employé lambda. D’autant plus s’il n’est pas exemplaire dans l’utilisation de son informatique.

Emmanuel Dardaine

emmanuel dardaine expert cloud