On vous explique : les services managés pour entreprise

Historiquement, gérer l’informatique d’une PME revenait à acheter du matériel, l’installer, et résoudre les pannes éventuelles. Le passage au Cloud et l’augmentation de la cybermenace ont rebattu les cartes de la gestion IT. Et amenés les prestataires informatiques à changer leur modèle. Les services managés en entreprise ont alors éclos. On vous explique en quoi ils consistent.

Souvenez-vous, il y a 10 ans ou plus. Renouveler son parc informatique revenait toujours plus ou moins au même : changer les machines, installer les logiciels, les configurer, et mettre en service. Et une fois que tout cela fonctionne ? Rien. Ou pas grand-chose : quelques demandes de support prises sur un carnet d’heures, des mises à jour (parfois). En attendant le renouvellement suivant.

La bonne vieille informatique à papa

Procéder ainsi avait un avantage : une fois passé l‘investissement initial, souvent lourd, il était possible de limiter les frais liés à l’informatique et d’alléger cette ligne comptable pendant quelques années. Jusqu’à la prochaine remise à niveau, si le budget le permettait. Entre temps, les machines vivaient leur vie, tant bien que mal. Et vous, vous viviez dangereusement, sans trop même le savoir.

On peut résumer cela en une formule simple : le syndrome du mal nécessaire. C’est ainsi que la plupart des PME envisagent leur informatique. Alors autant que cela fasse mal un bon coup, et ensuite on l’oublie pour quelques années (en supposant qu’elle tourne comme une horloge). Evidemment, avec cette approche, maintenances, mises à jour et correctifs passent à la trappe. Et c’est ainsi qu’on tombe chez certains clients sur des parcs de PC sous Windows 7 dont plus personne ne prend soin.

Personne ne rechigne à faire le service de sa voiture en fonction des instructions du tableau de bord. Mais en informatique, tout un chacun se réserve le droit de donner son avis sur la nécessité de l’entretien.

La logique d’investissement qui a prévalu jusqu’à il y a peu a amené les PME dans une situation inédite, et propre à notre secteur. Alors qu’il ne viendrait jamais à l’esprit d’un acteur de la micromécanique de ou la micro-industrie de négliger l’entretien de ses machines-outils, il lui arrive de délaisser ses PC et serveurs. Pourvu que cela coûte le moins cher possible. Le mal nécessaire, donc, fait se détourner les petites entreprises de leur devoir d’entretien IT.

L’arbre derrière la forêt…

Mais il y a un « mais ». Et même plusieurs. D’une part, l’informatique s’est complexifiée et multipliée. Les outils sont de plus en plus nombreux, les moyens d’accès aussi. Et ils communiquent les uns avec les autres, accentuant encore le phénomène. Le moindre dysfonctionnement, le moindre incident peut avoir des conséquences importantes sur une chaîne de production de données devenue sensible. Les compétences requises pour maintenir un système IT en état de fonctionnement sont devenues cruciales. Et on ne peut plus se contenter de « laisser aller ».

Par ailleurs, les cybermenaces ont explosé. Et continuent de croitre à vitesse exponentielle tous les ans. Cela requiert a minima de maintenir les systèmes à jour. Et, idéalement, de superviser les niveaux de risque et de menaces qui pèsent sur votre informatique. Un système de surveillance en temps réel est donc plus que recommandé, ainsi qu’une politique de maintenance. Pour tout cela, il vous faudra aussi un pilote dans l’avion. Les compétences, toujours.

Les risques informatiques toujours un peu plus élevés tous les jours requièrent de ne plus rester dans une posture uniquement réactive

Dernier argument en défaveur de cette gestion informatique classique : la bascule dans le Cloud. On associe souvent l’informatique dans les nuages à la simplicité. A l’extrême, il suffit de cliquer pour accéder à ses données et ses services. Certes, mais cette simplicité apparente peut facilement cacher une complexité bien réelle. Si hier il vous suffisait de peser sur un bouton pour redémarrer votre serveur, il n’en va plus de même avec votre machine virtuelle.

Les services managés : l’avènement d’un modèle de gestion professionnelle

En un mot comme en cent : votre informatique est un organisme vivant et complexe. En tant que telle, elle nécessite une attention constante, et des personnes qualifiées pour s’occuper d’elle. C’est là que le modèle des services managés prend le relais. Ils vous permettent de souscrire à un abonnement, couvrant la fourniture de l’infrastructure, et l’entier des services professionnels qui vont avec.

Par services, on entend : le support et l’assistance, la maintenance proactive et les mises à jour, l’analyse des logs, la gestion des modifications, la documentation, le reporting. En bref, toutes les activités qui garantissent le bon fonctionnement de votre informatique, sa sécurité, et son accès sans heurt par les utilisateurs. L’enjeu de cette approche repose sur les activités proactives menées par le prestataire IT. Selon l’adage qui préconise de prévenir plutôt que de guérir.

D’un point de vue pécunier, les services managés sont fournis sous la forme d’abonnement tout compris. Vous sortez donc de la logique de l’investissement. Et vous lissez ainsi vos coûts informatiques. Le contrôle de votre budget est donc total. En particulier, vous n’avez plus à souscrire à des carnets d’heures, sorte de double peine du secteur informatique : non seulement vous les payez à l’avance, mais c’est le prestataire qui décide de leur consommation.

Les services managés vont à l’encontre de cette pratique, dans un rapport gagnant-gagnant : plus le prestataire assure ses tâches proactives, mieux l’informatique se porte. Les utilisateurs ne subissent donc pas de pannes, et le prestataire limite les efforts de support. Rien de nouveau me direz-vous : c’est ainsi dans bien des secteurs. Oui, mais pas en informatique. En tout cas, pas jusqu’à maintenant et pas de manière généralisée. Etonnant non ?

Emmanuel Dardaine

emmanuel dardaine expert cloud

Trop élevées, trop faibles : et si vous estimiez vos dépenses informatiques ?

Les dépenses informatiques des PME restent un objet nébuleux. Entre croyances tenaces, fantasmes et maîtrise relativement moyenne, difficile de les évaluer correctement. D’autant plus que les petites entreprises ont l’habitude de vivre dangereusement. Et de ne pas consacrer suffisamment d’argent à leur informatique. Jusqu’au jour où les choses dérapent. Alors, comment savoir si vous êtes dans le vrai ?

Lorsqu’on demande à un patron de PME quel est son budget IT, on reçoit dans la majeure partie des cas une information très parcellaire. Avec un peu de temps et d’effort, il est possible de regrouper ce qui manque, et de prendre une photographie précise de ce que l’entreprise consacre à son système d’information. Pour autant, s’il s’agit d’un état des lieux, cela ne correspond que rarement au besoin réel.

Des coûts sous-estimés

Premier écueil : évacuer les investissements antérieurs. Si des PC ou des serveurs ont été achetés par le passé, ils disparaissent dès les années suivantes du budget. Sauf à avoir une stratégie de remplacement en place, qui permettra de lisser les achats dans le temps, les dépenses informatiques des PME ressemblent à une courbe en escalier. Ce qui n’est pas correct puisque des provisions devraient être réalisées tous les ans pour procéder au renouvellement au terme de l’amortissement. Y compris pour les licences Windows.

Ce remplacement un-pour-un constitue d’ailleurs le deuxième écueil dans l’estimation du budget des petites entreprises. Avec le recours sans cesse croissant aux outils numériques, les PME se reposent de plus en plus sur leur informatique pour fournir leurs services et leurs produits. Si bien que l’investissement de l’année prochaine n’a rien à voir à celui qui était nécessaire 5 ou 10 ans auparavant. Le budget s’en trouve donc affecté d’autant. Et la digitalisation des PME induit une augmentation importante des dépenses IT.

Penser que le recours de plus en plus important aux outils numériques n’a pas d’impact sur le budget serait une erreur

Enfin, les coûts de main d’œuvre restent une variable insaisissable dans le budget. Avant l’avènement des services managés, les PME étaient réduites à souscrire à des carnets d’heures. Payés à l’avance au prestataire, ils sont consommés au bon vouloir de celui-ci. Qui n’est alors plus très enclin à régler rapidement les soucis liés à son propre défaut de maintenance proactive. Si tout se passe bien, les dépenses informatiques sont réduites au minimum. Et le dirigeant de PME aura tendance à compter là-dessus. Mais tout se passe rarement comme on l’espère, surtout en matière d’informatique, non ?

Les éléments dimensionnants de dépenses informatiques sous contrôle

Maintenant que nous avons vu où le bât blesse, voyons comment estimer correctement votre budget. Commençons par les achats : en fonction de votre plan comptable, vous les amortirez sur 36, 48 ou 60 mois. Avec la virtualisation des infrastructures, les équipements seront réduits au réseau (firewall, switches, WiFi) et aux appareils d’accès (PC/Mac, smartphones). Peu importe la façon dont sont répartis vos achats dans le temps, c’est leur valeur sur 12 mois qui vous intéressera. Et qui servira de base de comparaison, nous verrons cela plus loin.

Viennent ensuite les dépenses de main d’œuvre. Elles peuvent couvrir les projets d’une part, et les efforts de maintenance (proactive ou corrective) et le support d’autre part. Si votre prestataire n’intervient que lors d’une panne ou d’un dysfonctionnement, vous devrez aussi considérer le temps consacré en amont de ces pannes. Et si vous n’avez aucune idée de ce que cela peut représenter, adoptez une règle simple : comptez autant d’effort proactif que de temps passé en support et réparation. Autrement dit, doublez votre carnet d’heure pour considérer que le travail est bien fait.

Dernier chapitre, les coûts récurrents. Si vous disposez encore de serveurs chez vous, vous me direz que le coût est nul. Pas complètement faux, mais pas tout à fait juste non plus. Les clients oublient souvent l’électricité qui sert à abreuver leurs machines, et celle utilisée pour les refroidir. Pour un serveur digne de ce nom, comptez pas loin de CHF 100.- par mois pour les deux, par serveur. Sur 36 mois, ça commence à faire une somme. Pour ceux qui sont déjà passés au Cloud et à la location, le calcul est plus rapidement fait, car il se résume à une règle de trois sur leur facture mensuelle. A mois que vous soyez déjà passé aux services tout inclus. Il est donc temps de comparer.

Estimer la cohérence de votre budget informatique nécessite quelques points de repère. Les services managés en sont un bon.

Résumons. Vous avez une idée plus précise des achats faits sur les dernières années, et vous êtes capables de les lisser dans le temps. Vous savez aussi estimer le coût de la main d’œuvre nécessaire au bon fonctionnement de votre informatique et à sa protection. Pour les coûts récurrents – les licences Office par exemple, ou d’autres logiciels en ligne – c’est assez simple. En alignant ces dépenses, les choses se dessinent plus clairement. Mais tout ça ne vous dit pas si vous dépensez trop ou pas assez.

Alors, serré ce budget informatique, ou pas ?

Pour le savoir, fiez-vous à ce que vous aurait coûté un service managé équivalent. Par ce terme, on entend la fourniture d’une infrastructure, et sa gestion proactive et réactive, tout compris. Par exemple : un serveur Cloud entièrement géré pour vous, ou des postes virtuels, mais aussi un réseau d’entreprise en location (matériel compris) et supervisé par des professionnels. Ces services sont loués à prix fixe, forfaitaire, mensuellement.

A ce stade, j’imagine que vous auriez besoin de points de repère plus précis. Pour un serveur basique (2 processeurs virtuels, 4GB de mémoire, un peu de disque rapide SSD), comptez dans les CHF 400.- par mois. Et pour un poste virtuel ? Avec les mêmes ressources, comptez dans les CHF 100.- par mois. Ces deux chiffres permettent d’ailleurs de comprendre qu’un serveur requiert un peu plus d’attention que de simples postes.

Chose amusante, si vous optez pour un poste physique au lieu d’un poste Cloud, la différence de coût de revient sera comblée sur 36 mois par l’achat d’un matériel plus onéreux et d’une consommation électrique supérieure. Sur une telle période, estimez que le coût total de possession d’un poste utilisateur, quel qu’il soit, tournera autour des CHF 4’000.-, hors licences. Ajoutez un peu de réseau et les souscriptions à vos logiciels et vous serez dans le vrai.

Si vous êtes en deçà de ces chiffres, vous devez clairement vous interroger sur le bien-fondé de votre budget informatique. Les plus pessimistes argueront même du fait que vous devriez appliquer un ratio 1.5, histoire d’être à l’abri. Mais sans aller jusque-là, vous ne devriez pas vous sentir à l’aise avec un budget trop faible. Certes, les choses fonctionnent certainement sans encombre. Mais comme une bonne assurance, la question n’est pas de savoir ce que vous avez, mais pour quel niveau de protection vous payez. Chose certes intangible, j’en conviens, mais qui définit la vraie valeur de votre informatique.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les 3 signaux d’un piratage imminent dans votre PME

Pas un jour sans que la presse ne relate un nouveau piratage. Et les institutions publiques ou non-gouvernementales n’y échappent pas. Dernier en date : la fuite de données qui a touché le CICR.  A l’échelle de votre PME, il est peut-être urgent de vous demander dans quelle mesure vous êtes exposés. Pour vous aider, nous avons mis en évidence 3 signaux qui devraient vous alerter. Alors, prêts à vous faire peur ?

C’est à se demander si un système informatique peut réellement être sûr. On vous rassure tout de suite : c’est possible. Pas de manière infaillible – fuyez sans autre celui qui vous promettrait le contraire, mais suffisamment pour couvrir la majeure partie des cas. Et en tout cas dissuader les opportunistes à la recherche d’une occasion facile de vous extorquer un peu d’argent (en cryptant vos fichiers par exemple). Voici donc quelques signes qui peuvent vous mettre la puce à l’oreille.

Vous réutilisez le même mot de passe partout

Gérer ses mots de passe tourne souvent au cauchemar pour la plupart des utilisateurs. La multiplication des outils et applications en ligne requiert de s’y authentifier. Et pour faire face à cette vague d’identifiants, la tentation est grande de réutiliser à l’infini le même mot de passe, votre préféré. Vous savez, celui qui contient le prénom d’un être cher ou une date de naissance.

Cette approche est dangereuse à plus d’un titre. Tout d’abord, il se peut que vous utilisiez non seulement le même mot de passe, mais qu’il soit accolé au même identifiant (votre adresse email par exemple). Et si la plupart des sites que vous utilisez sont sûrs, vous n’aurez jamais de garantie à 100%. Si bien que le maillon faible qui se fera extorquer ces précieuses données offrira un sésame que les pirates s’empresseront de tester sur tout un panel de sites : réseaux sociaux, messagerie d’entreprise, etc.

Si ces tests se feront de manière automatique – nul doute qu’en plus d’être malhonnêtes, nos hackers préférés ne sont pas du genre à s’acharner au travail, vous risquez de subir tout de même une analyse d’ingénierie sociale un peu plus poussée. C’est-à-dire ? Afin de garantir le plus grand succès à son opération, le pirate va regarder de plus près votre activité, votre employeur, et tenter de trouver d’autres portes d’entrée.

Faisons l’hypothèse par exemple que vous utilisez à titre privé un vieux compte Yahoo. Votre mot de passe se fait dérober parce que vous l’avez utilisé avec cette adresse sur un site peu sécurisé, et donc peu recommandable. Nos chers pirates vont tenter de l’exploiter sur toutes les plateformes possibles. Et aussi en profiter pour récupérer vos autres adresses email, et tenter de les exploiter avec le même mot de passe. Par exemple sur la messagerie de votre entreprise. Vous commencez à comprendre ?

Vos systèmes d’entreprise n’utilisent pas d’authentification forte

Si vous n’avez donc pas pris garde d’apporter un peu de diversité dans vos mots de passe – même privés, vous vous retrouvez donc avec un pirate qui frappe à la porte de votre compte professionnel. C’est donc votre entreprise qui est maintenant à risque, et qui doit assumer la responsabilité de ce manque de variété dans vos codes. Par chance, elle aura pris soin de mettre en place une double authentification, aussi appelée MFA (Multi-Factor Authentication). Ou pas.

Dans le cas contraire, le pirate pourra par exemple accéder à votre messagerie d’entreprise. Et ceci d’autant plus simplement qu’elles sont maintenant toutes accessibles depuis Internet : les smartphones, d’abord, puis le télétravail, ont rendu cette exposition nécessaire et incontournable En fonction de vos responsabilités ou du niveau de sensibilité des données que vous traitez, le pirate pourra tenter de rebondir pour initier des paiements ou vous faire chanter en menaçant de les dévoiler. Mais l’histoire ne s’arrête pas là, évidemment.

L’usurpation d’identité via la messagerie devient un grand classique

Accéder à votre messagerie d’entreprise permet de se faire passer pour vous. Et donc d’initier des échanges avec d’autres personnes de votre organisation, mais aussi des clients, des partenaires ou des fournisseurs. Pour tenter d’extorquer d’autres données et, de proche en proche, s’insinuer de plus en plus profondément dans le système d’information de l’entreprise. Parfois silencieusement. Alors que les attaques en force étaient la norme il y a quelques années, elles sont maintenant ciblées et bien plus sophistiquées. Dans ce domaine aussi, hélas, la qualité a remplacé la quantité.

On comprend donc l’intérêt d’un mot de passe propre à chaque site, application ou système. Et de la généralisation de la double authentification, au moins sur les services de votre entreprise. Si vous combinez l‘absence des deux, vous êtes à risque. Et même si votre mot de passe préféré n’est pas volé sur un site un peu faiblard, les pirates risquent de venir vous le demander directement, via un email de phishing par exemple. D’accord, mais dans ce cas, comment faire face à l’avalanche des mots de passe ?

Vous n’utilisez pas de gestionnaire de mot de passe

Le plus simple évidemment consiste à laisser faire un outil bien plus adapté que nos cerveaux à stocker autant de données, parfois vides de sens. C’est donc là qu’intervient le gestionnaire de mots de passe. Il permet de stocker, centraliser, crypter et protéger vos codes de sécurité. De telle sorte que vous n’avez plus à les retenir. Ou presque, puisque le dernier mot de passe que vous devrez apprendre sera celui du gestionnaire justement. Par étonnant qu’une des stars du secteur se nomme LastPass !

Si vous m’avez suivi, vous prendrez bien soin de créer un tout nouveau mot de passe pour votre gestionnaire, et de ne le noter nulle part. Il y a de fortes chances que nous n’ayez pas à l’utiliser souvent, car l’accès aux données dans votre application est protégé par un facteur biométrique (reconnaissance faciale, empreinte digitale). Et en cas de perte, une procédure vous permettra de le remettre à zéro. Idéalement, vous confierez le choix du mot de passe à un générateur, afin de le rendre difficilement prédictible.

Côté pratique, le gestionnaire de mot de passe tient dans votre poche, sur votre smartphone. Il s’intègre aussi parfaitement à votre navigateur, de sorte que vous pouvez automatiser la saisie des codes une fois dans votre session. Celle-ci doit donc aussi être protégée par un mot de passe fort. Et si une activité suspecte est détectée (utilisation de votre gestionnaire depuis un appareil inconnu), elle vous sera signalée. Pour encore plus de sécurité, vous pouvez programmer la désactivation automatique de votre gestionnaire au bout de quelques minutes d’inactivité. Et forcer ainsi la saisie de votre mot de passe maître à intervalles réguliers.

Avec ces quelques piliers sécuritaires en place, vous vous donnez les meilleures chances d’échapper aux attaques classiques. Et de ne pas faire la une des journaux. Dans le cas contraire, vous pouvez toujours continuer à noter vos mots de passe sur un tableau Excel et vivre dangereusement. Peut-être échapperez-vous tout de même au piratage. Mais qui souhaite vraiment prendre ce risque aujourd’hui ?

Emmanuel Dardaine

emmanuel dardaine expert cloud

On vous explique : l’informatique hybride gérée dans le Cloud

L’informatique dans les nuages a profondément modifié la façon dont les entreprises envisagent leur système IT. Pour autant, les appareils physiques – smartphones, laptops – sont toujours nécessaires dans certains cas d’usage. Pour éviter de devoir gérer deux infrastructures au lieu d’une, l’informatique hybride  gérée dans le Cloud vient à votre secours. On vous explique comment.

Dans ce premier article d’une nouvelle série à caractère didactique, nous allons vous expliquer pourquoi basculer dans le Cloud n’est pas incompatible avec la conservation de certains appareils. Et surtout, comment l’évolution des technologies permet désormais de concilier les deux mondes sans devoir démultiplier les efforts. Car l’informatique hybride combine l’informatique dématérialisée à la demande et les appareils bien réels, en capitalisant sur des technologies et des outils communs.

Le Cloud vs. le monde physique

Mais commençons par le commencement. Vous connaissez notre attachement aux technologies Cloud que nous défendons et promouvons auprès de nos clients depuis maintenant plus de 6 années. Et ceci n’est pas près d’être remis en cause, car passé le phénomène de mode, le Cloud est là, et pour longtemps. La dématérialisation des infrastructures touche tous les secteurs informatiques, des serveurs les plus puissants aux postes de travail, et aux applications.

Pourtant, du côté des utilisateurs, il est toujours nécessaire de disposer d’appareils pour se connecter à sa session et exploiter ses données. Si les clients légers, tels que les thin clients ou encore les Chromebooks permettent de se connecter à un bureau distant, de nombreux cas d’usage nécessitent de disposer d’appareils lourds permettant de faire tourner des applications localement et d’accéder à ses données – fichiers, emails – sans se connecter à un bureau virtuel. Et la sécurisation d’une session virtuelle n’a rien à voir avec celle d’un laptop capable de stocker des données sur son disque dur : ce dernier est bien plus exposé.

Il est donc nécessaire que les services informatiques d’une entreprise soient accessibles aussi bien dans un environnement Cloud que sur des appareils physiques. Tout en garantissant un niveau de sécurité adéquat dans les deux cas, et en bénéficiant d’outils capables de gérer les différents scenarii d’usage. Car c’est là exactement que se trouve l’enjeu : même pour accéder à un bureau virtuel ou des données Cloud, il est nécessaire de disposer d’un appareil sous contrôle. Et ceci sans multiplier les plateformes de gestion, et les coûts qui vont avec.

Informatique hybride gérée dans le Cloud : une vision unique

L’informatique hybride gérée dans le Cloud consiste donc à disposer d’outils qui fédèrent aussi bien les ressources dématérialisées du Cloud que les ressources physiques, et à les exploiter de manière indifférenciée. Elle permet de catégoriser les appareils, réels ou virtuels, d’en assurer le suivi et de les contrôler à distance, d’en définir l’exposition aux risques, et d’adapter les stratégies de protection en conséquence.

Pour les PME, déployer une informatique hybride nécessitait des investissements peu en rapport avec leur budget informatique, pour autant qu’elles en aient un. Et si des solutions existaient, elles nécessitaient encore de mettre en place des passerelles entre deux mondes encore cloisonnés. Un exemple ? Si vous disposiez d’une session virtuelle Citrix ou Amazon Workspaces, vous deviez synchroniser vos comptes et vos mots de passe chez Microsoft pour accéder à vos services et vos logiciels Office avec un semblant de compte unique.

Le géant de Redmond, présent dans tous les secteurs, était le mieux placé pour boucler la boucle

Oui mais voilà, Microsoft – encore lui ! – vient de jeter un pavé dans la marre avec Windows 365. Nous vous en avions parlé récemment, ce système de Cloud PC démocratise les bureaux virtuels en les rendant accessibles par le biais d’une simple souscription de licence mensuelle. Mais si ce service n’est pas réellement une innovation du point de vue de ses fonctionnalités – accès à distance d’un bureau, expérience Windows équivalente à un poste physique – il boucle la boucle de l’informatique hybride. Et c’est là toute sa force.

Le tour de force de Microsoft

En effet, Windows 365 est le seul poste virtuel à être autorisé à exécuter Windows 10 – et même Windows 11 depuis peu – dans le Cloud, là où d’autres (Amazon ou Citrix) doivent se contenter de systèmes d’exploitation basés sur des technologies serveur. Microsoft, en tant qu’éditeur de Windows, se réserve le droit de définir les règles du jeu quant aux conditions d’utilisation de ses produits. Si cela peut paraître abusif, il n’a jamais été interdit aux concurrents de créer leur propre système et de définir à leur tour leurs propres règles. Sans trop de surprise, ils ont préféré éviter de s’y casser les dents.

Quelle différence au final ? Elle est simple : le Cloud PC de Microsoft, et lui seul, exploite exactement les mêmes outils que les machines physiques, portables ou fixes. Que ce soit la liste des applications installées, les paramètres de sécurité des machines, le compte d’accès, les restrictions de sécurité, la couleur des boutons ou le fond d’écran, vous ne faites alors plus de différence entre Cloud et virtuel. Et comme ce principe s’appliquait déjà aussi aux postes fixes et aux smartphones Android ou Apple, son extension au Cloud PC constitue la dernière brique de l’édifice.

Pour les PME, les avantages sont multiples. Elles peuvent exploiter l’informatiques hybride, sans se soucier des éventuelles restrictions à utiliser un poste physique versus un poste virtuel. Elles peuvent donc choisir l’infrastructure qui s’adaptera le mieux à chaque usage, pour chacun de leurs employés. Mieux, le choix qu’elles effectuent ne remet pas en cause le niveau de sécurité de leurs données, puisque leur protection est globale et s’applique à tous les appareils, de manière homogène, et dans les deux mondes. Le tout pour une licence unique au coût modéré.

Ces efforts sont le résultat de développements importants consentis ces dernières années par Microsoft. Soyons clairs, ils ont été rendus possible par leur positionnement quasi-monopolistique sur le marché de l’informatique d’entreprise. Et par les bénéfices engrangés grâce au Cloud. Mais pour être honnête, le résultat est assez bluffant. Et peut justifier à lui seul les augmentations de tarifs du géant Américain, annoncées pour le 1er mars prochain. Si tout travail mérite salaire, celui-ci en particulier respecte l’adage.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Piratage informatique : les institutions publiques dans le viseur des hackers

Ces derniers mois ont vu le piratage d’institutions publiques se multiplier. Entre autres, ceux de l’EMS de Vessy et de la commune de Rolle ont fait grand bruit. Et généré un vent de panique dans les établissements de santé similaires ou dans d’autres communes. Car les pirates risquent de ne pas en rester là. Et voici pourquoi.

Nombreuses sont les institutions publiques à avoir fait les frais du piratage informatique cette année. Au-delà des exemples mentionnés plus haut, citons aussi le gymnase intercantonal de La Broye. Et ceci malgré les avertissements répétés de la Confédération au travers du Centre National de Cyber-Sécurité (NCSC) pour inciter les organisations de toutes tailles à se protéger. Mais pourquoi les organismes publics semblent plus exposés ?

On peut tout d’abord y voir une certaine naïveté, doublée d’un sentiment de protection naturelle. En effet, de par leur nature, les services publics n’ont pas vocation à avoir une activité lucrative. Il n’y a donc pas réellement de manque à gagner en cas d’interruption informatique, même si l’usage des deniers publics n’est alors pas optimal. Les moyens de pression sont donc moindres. Et ces organismes se sentent, au plus, à l’abri, et en tout cas, pas naturellement dans le radar des hackers de tout poil.

L’exposition publique, nouveau levier du piratage informatique

C’était sans compter sur le changement de stratégie de ces derniers. Alors qu’il y a encore peu, le chantage portait sur la restitution des données, et le manque à gagner qui résultait de leur indisponibilité, il est maintenant coutumier qu’il se base sur l’exposition des données sur le DarkNet. Et pour une institution publique, cela change évidemment la donne. Non seulement parce qu’elles peuvent avoir à stocker et manipuler des données sensibles et/ou personnelles. Mais aussi parce qu’elles sont comptables de la protection de celles-ci.

Les institutions publiques manipulent des données qui peuvent s’avérer plus sensibles que celles d’une entreprise

En filigrane, c’est la pression publique que les pirates souhaitent utiliser comme levier pour arriver à leurs fins. Dans le cas de la commune de Rolle, les données dérobées ont été récupérées grâce à des sauvegardes récentes. Mais l’incident ne s’est pas arrêté là, puisque ces mêmes données ont été mise en vente sur le DarkNet. C’est d’ailleurs par ce biais que l’ampleur de la fuite a été découverte. Les pirates jouent donc en parallèle sur deux des caractéristiques de la sécurité informatique : l’intégrité des données, et leur confidentialité.

Ce chantage à la fuite des données est fatalement devenu prédominant ces derniers mois. Et il est « bien » adapté à l’attaque d’institutions publiques. Si la divulgation des salaires d’une entreprise n’est certes pas un événement très réjouissant, il n’affecte finalement que celle-ci. Dans le cas d’une commune ou d’un établissement d’enseignement, ce sont les données d’autrui qui sont exposées, avec des conséquences désastreuses dont l’étendue peut s’avérer immense.

Changer de stratégie pour parer les nouvelles attaques

A terme, c’est la stratégie de protection des données qui doit donc être revue. Car le seul maintien de leur intégrité ne suffit plus. Il est nécessaire de travailler en amont pour garantir leur confidentialité. Et même si le risque zéro ne peut évidemment pas être garanti, les moyens existent désormais pour assurer un niveau de protection décent sans mettre les budgets dans le rouge. L’important étant de rester au-dessus de la mêlée, et donc de la moyenne. Car ce sont naturellement les infrastructures les plus faibles qui seront visées en premier.

La sécurisation des accès aux données semble être la première pierre de l’édifice. La généralisation de MFA – Multi Factor Authentication – constitue une réponse devenue maintenant classique. Pour rappel, ce deuxième facteur d’authentification permet de se prémunir de la perte ou du vol d’un mot de passe. Si cette technique est maintenant généralisée sur les services Cloud classiques, elle tarde encore à s’imposer dans le monde des petites organisations, car elle requiert soit des moyens importants, soit de transférer ses services dans le Cloud justement. Ce que les institutions publiques peuvent encore avoir de la peine à accepter.

Externaliser ses données peut donner un sentiment de moindre protection contre lequel les institutions publiques doivent lutter

Autre point à considérer : l’accès au réseau où se trouvent les données. Le NCSC conseille à ce titre de renforcer l’accès à distance par réseau privé virtuel (VPN, Virtual Private Network) et de protéger les accès à des bureaux distants (notamment via le protocole RDP, Remote Desktop Protocol, de Microsoft). Comme nous l’avions expliqué il y a quelques mois, la pandémie de Covid-19 a amené les petites organisations à s’adapter, notamment pour faire face au besoin de travail à distance. Et ce sont ces deux technologies qui ont été sollicitées pour y arriver. Avec parfois des trous dans la raquette, que les pirates informatiques exploitent sans hésiter.

Les cyber-attaques de des derniers mois montrent donc que les hackers n’hésitent maintenant plus à s’attaquer à des organisations qui se croyaient protégées. Car la nature même de leurs cibles vont rendre ces attaques d’autant plus efficaces. Si les moyens de protection existent, leur mise en œuvre est, parfois, encore balbutiante. Ce qui laisse le champ libre, probablement pour quelques temps encore, à de nouvelles menaces. Et des gros titres dans la presse.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Voici à quoi ressemble la dématérialisation informatique dans une PME

Avec la diffusion massive du Cloud, les PME ont accès à la dématérialisation de leur informatique. Et ne doivent finalement plus disposer que d’un accès Internet fiable et performant. Mais dans les faits, et sur site, comment cela se traduit-il ? Et pour quels avantages ? C’est ce que nous allons voir avec un cas client : Les Dépendances.

Pour les lecteurs assidus du blog Steel Blue, le nom des Dépendances n’est pas inconnu : il a fait l’objet d’articles précédents. Ce client est une sorte de porte-drapeau chez Steel Blue, à l’avant-garde de la dématérialisation informatique. Depuis 5 ans, cet importateur de fromages fins est engagé dans une démarche de réduction de l’empreinte de son informatique. A tel point qu’il n’héberge plus sur site que des équipements réseau et des terminaux passifs. Et voici comment il est en est arrivé là.

La dématérialisation : une histoire de choix

Tout a commencé lors du renouvellement de son parc de serveurs : les machines arrivées en fin de vie devaient être remplacées. La question de l’achat physique de machines s’est rapidement opposée à l’option de serveurs Cloud. Et c’est finalement cette dernière alternative qui s’est imposée. Pour Les Dépendances, il s’agissait du premier pas dans la voie de l’informatique à la demande. Celle qui permet de consommer des ressources IT en fonction des besoins et de l’activité. En bon anglais, on parle d’informatique « pay-as-you-go ».

Parmi les avantages principaux, le client est débarrassé des investissements informatiques massifs, aussi bien pour le matériel que les licences. Il ne paie plus que mensuellement, en fonction des ressources réellement utilisées. Au niveau des coûts, la connexion Internet et les frais d’hébergement sont également inclus. Pour un serveur consommant quelques centaines de watts en continu, cela peut représenter des frais non-négligeables sur le coût total de possession de la machine.

Outre l’alimentation des machines, les coûts d’exploitation sont bien moindres dans un Cloud public

Une fois passée cette première étape, qui a aussi eu le mérite de dispenser le client de pannes matérielles, Les Dépendances s’est attaqué aux postes clients. Dans ce secteur aussi, la virtualisation et la dématérialisation ont fait des progrès fulgurants. A tel point que même les entreprises de taille moyenne à grande ont délaissé leurs propres serveurs de sessions virtuelles pour se tourner vers des services en ligne, opérés et gérés par d’autres. Le modèle Desktop-as-a-Service les à conquises.

Pour Les Dépendances, la virtualisation des postes s’est appuyée sur Amazon Web Services, et le service de poste virtuel Workspaces. Fiable et flexible, cette solution a permis d’industrialiser la configuration des ordinateurs sans avoir à déployer une usine à gaz digne d’une multinationale. Et, chose importante, sans devoir sacrifier l’intégration dans des environnements complexes. Car un importateur de fromage doit pouvoir gérer balances et étiquettes avec des appareils externes qui sortent parfois de l’ordinaire. Là encore, rien d’impossible malgré la virtualisation.

La minimum matériel pour travailler

Reste que les utilisateurs doivent se connecter sur ces postes virtuels distants grâce à appareils, bien physiques, eux. Il reste donc un peu de matériel à acquérir. Cet investissement peut être limité si le client fait le choix de terminaux légers (thin clients), peu énergivores, particulièrement fiables et ne nécessitant quasiment pas d’entretien. Les Dépendances s’est tourné vers la gamme de terminaux Dell Wyse : avec une consommation de 9W et une durée de vie moyenne de 7 ans, leur amortissement revient à CHF 5.- par mois et par appareil. Quant aux écrans, la virtualisation ou pas du parc n’y change rien : il s’agit d’un poste de dépense incompressible.

Alors que reste-t-il une fois que tout est parti dans le Cloud ? Pas grand-chose à vrai dire. Evidemment, quelques appareils réseau : firewall, switches, antennes WiFi. Finalement, tout ce qui touche à la connexion au réseau et à Internet. On n’échappera pas non plus aux imprimantes. Autrement dit, vous devrez garder tout ce qui ne peut pas être dématérialisé. Visuellement, l’effet est assez saisissant, puisqu’une armoire informatique initialement bien remplie finit par ne plus contenir que quelques éléments d’infrastructure. Pour les Dépendances, cela ressemble concrètement à ça :

rack-vide-les-dependances

Les plus perspicaces auront remarqué que les câbles et les prises réseau prennent finalement le plus de place. Le succès d’une opération de dématérialisation peut probablement se mesurer aussi à ce critère : l’infrastructure passive prend rapidement le pas sur les éléments actifs. Le réseau des Dépendances sert ici une quinzaine d’utilisateurs informatiques, et se repose sur 8 serveurs, que vous ne verrez donc pas à l’image. Et personne ne s’en plaint, en tout cas pas chez le client.

La dématérialisation n’est donc plus réservée aux mastodontes. Bien au contraire, les PME peuvent aussi bénéficier de ses avantages, via un Cloud public digne de ce nom. Avec à la clé : performance, fiabilité, flexibilité, et coûts contrôlés. Et le choix est maintenant plus vaste, puisque Microsoft est entrée dans la danse il y a quelques mois. Renforçant la concurrence et donc les alternatives pour vos PME. Il ne vous reste donc plus qu’à dire gentiment au revoir à vos bonnes vieilles machines. Pas évident de prime abord, mais probablement inévitable dans les années à venir.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Windows 365 : le premier Cloud PC, vraiment ?

Lancé en catimini en plein été, le dernier produit phare de Microsoft est une évolution de Windows Virtual Desktop. Il se veut être le premier Cloud PC. Si Microsoft est habitué à inventer des catégories pour s’autoproclamer leader en la matière, il faut reconnaître à ce produit bien des qualités. Même s’il n’est pas vraiment le premier du genre.

Drôle d’idée que de lancer un produit si marquant et structurant pour Microsoft dans la torpeur estivale. S’il était attendu par le monde IT, il fallait tout de même être attentif pour ne pas le rater. Le hasard du calendrier – ou pas – a fait que la concurrence (Amazon Web Services en l’occurrence) a lancé une nouvelle version de son propre produit à quelques jours d’intervalles. Ceci expliquant peut-être cela.

Un premier de la classe qui n’est l’est pas vraiment

Car non, malgré les affirmations de Microsoft, ils ne sont pas les premiers sur ce marché. Et ça n’est, pour tout dire, pas vraiment inhabituel. Dans bien des secteurs, le géant de Redmond est abonné aux retards à l’allumage. Passons sur la révolution Internet que Bill Gates avait sous-estimée dans les années 90. Plus proche de nous, l’émergence récente du Cloud n’a été prise au sérieux que tardivement, amenant Microsoft à accuser un retard conséquent sur les Google et autres AWS.

Sur le marché du poste virtuel Cloud à la demande, ou DaaSDesktop as a Service, Amazon Web Services tient la corde depuis plusieurs années avec AWS Workspaces. Fiable, facile à mettre en œuvre, gérable comme une machine physique, ce service a l’avantage de disposer de ressources dédiées et de ne pas déstabiliser les services informatiques habitués à gérer de larges parcs. A tel point que les quelques 8’000 sous-traitants de Google fonctionnent sur le Cloud PC d’Amazon, avec des machines reconstruites automatiquement toutes les 48 heures.

Microsoft n’est pas toujours le premier à se lancer. Mais sait rattraper son retard.

Microsoft, fidèle à ses habitudes, avait donc lancé un premier produit sans trop y croire. C’était en 2019, avec Windows Virtual Desktop. Cette solution permettait par défaut de déployer des pools de serveurs pour connecter à distance des utilisateurs sur des bureaux virtuels. Si les ressources étaient partagées, il était possible d’opter pour une option « dédiée », comme avec un ordinateur physique. Mais la déploiement – long, compliqué et hasardeux – avait eu raison des premiers utilisateurs téméraires. Et avait donné du grain à moudre aux détracteurs de Microsoft, qui pouvaient affirmer encore une fois qu’il fallait éviter une version sur deux des produits de l’éditeur.

Deux Cloud PC pour le prix d’un

Mais quand Microsoft se rate, il ne faut pas oublier qu’il s’agit du leader mondial du logiciel. Qu’on l’aime ou qu’on le déteste, on ne peut pas ignorer ses capacités technique et marketing à corriger ses erreurs et prendre pied sur un marché s’il y met les moyens. Windows Virtual Desktop n’a pas fait exception, et à peine lancé, Windows 365 déjà était dans les tuyaux. Le résultat est à l’opposé de la première mouture, et pour tout dire, c’est tout simplement bluffant.

Depuis Office 365, renommé entre temps Microsoft 365 au gré d’améliorations substantielles, Microsoft n’a cessé de s’implanter sur le Cloud public. Et de se perfectionner. Au point de faire du suffixe « 365 » une vraie marque de fabrique – une marque tout court, synonyme de fonctions avancées, de sécurité hors pair et de mise en œuvre simplissime. Windows 365 ne déroge donc pas à cette règle, et la renforce même.

L’accès au service passe par la souscription de licences mensuelles, attribuées aux utilisateurs. La connexion est alors on ne peut plus simple : il suffit de vous rendre sur windows365.microsoft.com. La sécurité est celle de votre compte Microsoft 365, et la double authentification est donc aussi de mise. Sans surcoût ni complexité supplémentaire. Vous tombez alors sur un bureau Windows classique et bien connu. Mais l’intérêt réel du produit est ailleurs.

Homogénéiser la gestion de parc, physique ou virtuel, est crucial, notamment pour garantir la sécurité des données.

Microsoft, qui édite aussi Windows 10, est le seul à être autorisé à faire fonctionner ce système sur des infrastructures Cloud partagées. Le Cloud PC Microsoft exploite donc Windows 10 Enterprise. Cela permet de supporter les outils de gestion des appareils intégrés à Microsoft 365. Et donc, d’installer, de configurer, de sécuriser, en un mot de gérer leur poste virtuel comme un autre appareil, avec les mêmes règles de sécurité, les mêmes applications.

Une expérience bluffante

A l’usage, vous ne faites donc absolument pas de distinction entre un PC physique et un Cloud PC. Et c’est là que se situe tout l’enjeu de l’adoption de cette technologie, et de son succès sur le marché. Si les utilisateurs ne font pas la différence, et que les administrateurs n’ont pas à changer leurs outils, la transition sera fluide et transparente. Le gain en sécurité et en mobilité, ainsi que la souplesse infinie fournie par ce type de solution, finiront probablement par séduire les plus sceptiques.

Reste à voir la fiabilité sur le long terme, et l’adéquation des tarifs avec ce marché. Sur ce dernier point, Microsoft s’est aligné sur la concurrence. Ce qui nous permettra de proposer un poste virtuel standard au tarif habituel de CHF 99.- /mois, service tout compris. Avec l’annonce récente de l’augmentation massive -10% ! – des tarifs de Microsoft 365, on les imaginait mal se tirer une seconde balle dans le pied.

Microsoft, qui avait longtemps rechigné à investir ce marché, a donc fait sa révolution culturelle. Car lancer son service de poste virtuel signifie à terme des ventes moindres de licences sur des postes physiques. Mais des parts de marché en hausse dans le secteur du Cloud. Et c’est bien ce que vise le numéro un mondial. Sans être partisan, on peut se laisser aller à dire que, cette fois-ci, c’est mérité.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Ingénieurs, architectes : il y a du nouveau pour vous dans le Cloud

Les ingénieurs et les architectes ne sont pas les professionnels les plus adeptes du Cloud. En cause : leur exploitation de fichiers volumineux qui n’apprécient pas l’utilisation à distance. La généralisation du télétravail les a pourtant éloignés de leurs données. Heureusement, les évolutions technologiques récentes les ont aidés dans cette démarche. Et la donne a fini par changer.

Si les ingénieurs et les architectes sont peu enclins à utiliser le Cloud, c’est pour une raison bien différente de celles qui sont classiquement mises en avant par le reste des professionnels – sécurité ou contrôle des données. Non, ces professions techniques mettent en général plutôt en avant le manque de confort dans l’exploitation de leurs fichiers.

Il faut dire qu’ils utilisent des programmes gourmands, procédant à des calculs intensifs et utilisant largement la 3D. Les fichiers générés par ces programmes – plans, modélisations et rendus 3D – sont par nature très volumineux. On ne parle pas de PDF ou de fichiers Word de quelques centaines de kilo-octets, mais bien de fichiers techniques pesant plusieurs centaines de mégaoctets, voire plus. Soit un facteur 1’000.

Ingénieurs, architectes : même combat

L’exploitation de ces fichiers repose donc généralement sur un serveur local, au plus proche des stations de dessin censées les utiliser. En n’utilisant qu’un réseau local et une distance la plus courte possible entre stockage et poste de travail, la latence pour ouvrir ou enregistrer ces fichiers mastodontes est réduite au minimum et le confort est préservé. Ce mode de fonctionnement permet aussi de conserver une fonction essentielle : le verrouillage des fichiers en écriture, qui évite la modification concurrente des fichiers.

Jusqu’à maintenant, ce principe de travail était donc le plus répandu, et peu de choses ne semblaient pouvoir le remettre en question. C’était évidemment sans compter sur la pandémie, qui a renvoyé tout le monde à la maison, et amené les collaborateurs à se connecter à distance aux ressources de l’entreprise. Avec plus ou moins de bonheur et de confort. Les ingénieurs et les architectes se sont donc retrouvés éloignés de facto de leur chères (et lourdes) données.

Avec la pandémie, il a fallu improviser pour accéder à distance aux volumineux fichiers de dessin et de conception

Ils se sont donc connectés au réseau de l’entreprise, via un VPN, et ont tenté d’ouvrir leurs fichiers comme ils le faisaient habituellement : un double clic dans Windows Explorer ou depuis le Finder Mac. Mais les couches venues se rajouter entre leur ordinateur et les fichiers – la connexion Internet de la maison, le VPN et le firewall, le trajet aller-retour via Internet – les ont vite fait déchanter. Il était tout simplement impossible de travailler “comme au bureau”.

Il a donc fallu improviser pour retrouver du confort. Au détriment de certains processus métiers, fatalement, ou même de la sécurité la plus élémentaire. Ainsi, les fichiers ont été copiés localement afin de travailler à nouveau dans des conditions acceptables. Corollaire de cette nouvelle façon de procéder : le verrouillage des fichiers avait disparu, et les risques de créer des versions de fichiers divergentes étaient grands, si les équipes ne prenaient pas le soin de mettre en place quelques garde-fous.

La technologie au secours des métiers techniques

Une fois décrit ce paysage, il serait logique de penser que les solutions manquent, et que cet état de fait est là pour durer. A moins de faire maigrir drastiquement les fichiers, ce qui n’est pas envisageable. Ce serait sans compter sur les avancées technologiques des éditeurs de logiciels, qui ont parié depuis longtemps sur le Cloud et qui se doivent d’adresser aussi ce marché. Comment ?

Prenons le cas d’Autodesk, un des leaders des logiciels de dessin technique en entreprise. Si ses produits supportent naturellement le stockage des fichiers sur un serveur local, ils permettent maintenant également l’utilisation du stockage Cloud. Par exemple, grâce à un partenariat avec Microsoft depuis 2019, il est possible d’utiliser OneDrive ou SharePoint pour enregistrer plans et modèles Autodesk, directement depuis les logiciels de l’éditeur.

Ces rapprochements entre leaders technologiques ne sont pas anodins, et démontrent les efforts consentis pour adresser les cas d’usage les plus complexes et les plus exigeants. Autrement dit, ils dénotent la tendance prise par le marché informatique, à savoir une généralisation du Cloud dans tous les secteurs.  Même s’il reste encore bien du chemin : tout d’abord parce que le verrouillage de fichiers n’est pas supporté nativement chez Microsoft, et que des corruptions de fichiers peuvent survenir.

Les outils Cloud standard ne suffisent pas forcément, alors Autodesk a pris les choses en main

Dans cette démarche de délocalisation des fichiers, Autodesk, encore lui, explore une seconde voie : la mise à disposition de son propre stockage Cloud. Cette alternative permet de passer outre les limitations liées à l’utilisation d’un Cloud tiers. Tout d’abord, la maîtrise de la chaîne de bout en bout permet de conserver l’intégrité des fichiers : quoi de mieux qu’un stockage Autodesk pour conserver des fichiers produits et sauvegardés par un logiciel Autodesk ?

Surtout, le développement de composants logiciels spécifiques permet de contourner l’absence de verrouillage de fichiers dans le Cloud. Ainsi, Autodesk Connector est un petit programme qui s’interface entre le logiciel de dessin et le stockage Cloud de l’éditeur pour s’assurer qu’un fichier ouvert, même à distance, ne sera pas modifié en parallèle par un autre utilisateur.

Un stockage Cloud illimité pour 0.-

Reste à évoquer le coût de ce stockage. Conscient que l’adoption de sa solution nécessite quelques incitations, et que la concurrence se renforce un peu plus chaque jour, Autodesk a tout simplement décidé depuis quelques mois de la rendre gratuite, ou plutôt de l’intégrer aux licences AEC (Architecture, Engineering & Construction) déjà souscrites par ses clients. Et ceci sans limite de stockage. En donnant d’un côté le confort que les utilisateurs attendaient, et en n’ajoutant pas de surcoût, Autodesk met toutes les chances de son côté pour capter la clientèle.

Mieux, le stockage documentaire en ligne d’Autodesk est également celui utilisé pour stocker les données de sa solution BIM360. BIM (Building Information Modeling) est un ensemble d’outils de modélisation des bâtiments, qui permet notamment le travail collaboratif sur un même projet (plusieurs utilisateurs, de plusieurs corps de métier). Ce modèle nécessite de centraliser les données de représentation des bâtiments, et là encore le stockage Cloud prend tout son sens.

Pour les ingénieurs et les architectes, nous sommes donc à l’aube d’une révolution. Ce secteur, qui avait été épargné par la transition Cloud qui sévit dans d’autres, moins exigeants, est désormais dans le radar des fournisseurs de solutions en ligne. La maturité des outils combinée au besoin grandissant de travail collaboratif dans ces métiers techniques en font désormais des candidats idéaux pour démontrer la puissance des outils Cloud.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Failles Microsoft Exchange : chronique d’un changement annoncé

Le 16 mars 2021, Microsoft annonçait 4 failles de sécurité majeures affectant son logiciel de messagerie phare Exchange. Et publiait dans la foulée un patch de sécurité pour les corriger. Exploitées au moins depuis janvier de la même année, ces brèches permettraient de prendre le contrôle total d’un serveur hébergé en propre. Rien moins que ça.

Microsoft publie habituellement les correctifs de ses logiciels le 2ème mardi du mois. Mais pas uniquement. Si les professionnels de l’informatique sont désormais habitués à ce rituel mensuel, les patches des failles critiques, eux, peuvent être fournis à n’importe quel moment, pour une application immédiate. Dans le cas qui nous intéresse, ils corrigeaient des failles dites zero-day, c’est-à-dire inconnues jusqu’alors de l’éditeur même. Retour sur cet épisode significatif.

Pour tous les clients exploitant un serveur Exchange, ou les prestataires en charge de la maintenance de ces machines, le 16 mars ne fut donc pas une journée comme les autres. La publication par Microsoft de ces correctifs sonna le branle-bas de combat pour tous les techniciens informatiques. Il fallait mettre à jour tous les logiciels affectés, et sans tarder, puisque ces failles étaient exploitables, et probablement exploitées, sur un très large spectre.

Exchange Online, le service Cloud équivalent de Microsoft a été épargné. En théorie en tout cas.

Quasiment toutes les versions du logiciel Exchange, de 2013 à 2019, eurent droit à leur correctif, y compris la version 2010 qui ne semblait pourtant pas affectée. Et pour cause : ces failles, une fois utilisées par des pirates, permettaient de prendre la main à distance sur un serveur, afin notamment d’y voler des données. Un groupe de hackers chinois, prénommé “Hafnium”, était visiblement très actif dans leur utilisation.

Microsoft Exchange Online épargné… en théorie

Et pour Exchange Online, le service Cloud équivalent, opéré directement par Microsoft ? Rien. Les patches ne concernaient que les versions des logiciels hébergés par les clients eux-mêmes. Cela signifie-t-il que le service de Microsoft n’était pas affecté par ces failles ? On peut en douter, puisque la technologie est la même. Pour autant, pour arriver à leurs fins, les pirates devaient utiliser tout un ensemble de vecteurs, qui sont par nature sous haute surveillance chez Microsoft.

Ce différentiel de traitement illustre à merveille l’avantage que les clients peuvent tirer d’un service hébergé et managé par l’éditeur. En concentrant leurs efforts sur une infrastructure unique, mais à large échelle, l’efficacité est bien meilleure qu’en devant assurer protection et maintenance de multiples systèmes individuels.

Alors, évidemment, toute médaille a son revers. Car le service en ligne de Microsoft, aussi efficace soit-il, n’est pas infaillible. Et si, demain, il devait subir des déboires, les aficionados de l’hébergement sur site profiteraient de l’occasion pour défendre leur modèle. Ils n’auraient évidemment pas tort. En tout cas sur le moment. Car, comme la pandémie récente nous l’a rappelé, il convient toujours de mesurer la balance bénéfice-risque. Et elle penche, un peu plus chaque jour, en faveur du service Cloud Microsoft. Et le retour en arrière ne sera certainement pas possible.

Maintenir un serveur Exchange n’est plus d’actualité

Pour commencer, l’application des correctifs sous-entend que le serveur d’un client soit maintenu et géré. Et que l’organisation en charge de cette maintenance soit au courant des failles, et de leurs correctifs. Bien après leur publication, Microsoft constatait que les brèches que ces derniers devaient combler étaient encore exploitées. Preuve que certains systèmes étaient tout simplement laissés à l’abandon, et propices à être piratés.

Ensuite, le client du service Exchange Online n’a plus à se soucier de la mise à jour de ces systèmes. Celle-ci fait partie du service, et comme on n’est jamais mieux servi que par soi-même, Microsoft est évidemment le mieux placé pour mettre à niveau ses propres logiciels. En un temps record et de manière transparente. C’est un gage de sécurité accrue. Mais pas à 100%, puisqu’il y aura toujours des failles et des bugs dans les logiciels. Tous les logiciels, mais dans le Cloud.

Aucune solution n’est parfaite. Mais en pesant soigneusement le pour et le contre, posséder son propre serveur est de moins en moins justifiable.

Enfin, et surtout, utiliser le service en ligne de Microsoft, c’est ne plus avoir à se soucier des changements de version et de l’achat de licences qui va avec. Les plus technophiles, ou les plus perspicaces, auront noté que les versions antérieures à 2010 n’ont pas été mises à jour. Tout simplement parce que ces versions hors d’âge ne sont plus supportées par Microsoft. Y en a-t-il encore en service ? Bien sûr ! On peut imaginer facilement que de telles machines sont tout simplement laissées à l’abandon. Faisant courir un risque encore plus important à leur propriétaire. Passer par un service Cloud permet de contourner ces contingences.

Pour être parfaitement impartial, il faut constater que le modèle de mise à jour en continu des services Cloud, Exchange ou autre, n’a pas que des avantages. Il contraint notamment les utilisateurs à subir parfois des changements déployés au fil du temps, et à un rythme effréné, par des éditeurs obnubilés par la concurrence. Cette fuite en avant a des conséquences pénibles, puisque notamment l’interface des logiciels évolue en permanence. Et les utilisateurs comme pour les exploitants ont du mal à suivre.

Pour autant, le confort des clients, s’il est mesuré de manière globale, sort grand gagnant de l’utilisation de ces services Cloud. Car en plus d’assurer un maintien permanent en conditions opérationnelles et une protection la plus stricte possible, elle évite un investissement massif et offre aux clients un modèle de coût en adéquation continue avec leurs besoins. Les propriétaires de versions anciennes d’Exchange sur site le comprendront aisément : ils ont été doublement punis en mars dernier, avec un serveur ouvert aux quatre vents et des licences qu’ils devront mettre à niveau rapidement. A moins de passer sur Exchange Online, bien entendu.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Sécurité : comment identifier un email de phishing ?

Le phishing, vous connaissez ? Cette technique, aussi appelée hameçonnage en bon français, est utilisée par les pirates pour voler vos identifiants. Basée sur l’envoi d’email, elle tente de vous mettre en confiance en présentant un environnement connu. Et vous invite à saisir identifiant et mot de passe. Pourtant, identifier ces courriels pirates n’est pas si compliqué. Voici comment procéder.

L’hameçonnage est une technique de piratage qui a malheureusement fait ses preuves. Tout commence généralement par un email que vous recevez un beau matin. S’il arrive là, c’est que votre système de filtrage a été floué (vous en avez un, au fait ?) : c’est rare, mais pas impossible. Et ça n’est pas le propos : le courriel est là, et vous devez décider quoi en faire. Voici quelques clés pour identifier s’il est frauduleux.

La peur et la confiance : les deux leviers du phishing

Pour que vous soyez incité à agir, cet email utilise généralement la peur. Un des meilleurs moyens consiste à agiter un chiffon rouge, comme l’expiration de votre mot de passe et tous les cataclysmes qui vont avec : perte de l’accès à vos données, perte de temps, journée gâchée…

La deuxième phase consiste donc à vous proposer une solution rapide et simple pour éviter tout inconvénient : connectez-vous et validez votre mot de passe. En cliquant sur le lien qui vous est gentiment proposé, vous ouvrez une page qui ne vous est pas méconnue, avec une zone de saisie du nom d’utilisateur et du mot de passe.

Pas de panique, cliquer n’est pas forcément rédhibitoire

Jusqu’à cet instant précis, vous n’êtes pas en danger, mais vous avez simplement réagi à la sollicitation. Ni vos données ni votre ordinateur n’ont été compromis à ce stade. En revanche, si la confiance est telle que vous livrez ces deux informations, le cataclysme – le vrai – pourrait bien se réaliser. Voyons donc comment éviter d’en arriver là.

Encore une fois, je me place dans le cas où l’email n’a pas été filtré par votre service de messagerie. Les services d’email modernes disposent de moyens d’analyse qui leur permettent de trier le bon grain de l’ivraie. Elles ne sont pour autant pas infaillibles, et peuvent présenter soit des faux positifs, soit des faux négatifs. Dans ce dernier cas, vous avez encore quelques cartes en main.

Toute incitation à agir est suspecte

Tout d’abord, un tel email doit attirer votre attention. Comment ? En appliquant un principe simple : toute injonction à agir est suspecte. Que ce soit pour cliquer sur un lien ou ouvrir un attachement. Un « Cliquez ici » devrait vous alerter immédiatement. Et vous amener à supprimer l’email en question ? Pas si vite, si vous avez encore le moindre doute, il s’agit maintenant de valider cette première impression.

Le bouton qui est vous est présenté fièrement en plein milieu d’email est somme toute inoffensif. Il tente de vous emmener sur un site Web, celui qui vous mettra en confiance, afin d’activer la 2nde étape du processus. Mais en le survolant, sans cliquer dessus, il révèlera tous ses secrets. L’adresse de destination apparaît, et vous indique clairement si on essaie de vous duper.

Même si certains font des efforts, de nombreux pirates continuent d’utiliser des liens suspects

Soyons clairs : si l’email semble émis par Microsoft ou Google, le lien vous emmènera vers un nom de domaine exotique, sans aucun lien avec l’émetteur qu’il prétend être. Un exemple ? Voici une adresse dans un email incitant à vous connecter chez Facebook : http://activate.facebook.fblogins.net/88adbao798283o8298398?login.asp

Vous aurez remarqué que l’adresse de ce site, bien que comprenant le mot clé « Facebook », vous emmène sur le nom de domaine fblogins.net. Si la première phase vous a mis en alerte, cette lecture attentive finira de vous convaincre que vous pouvez classer ce courriel verticalement.

Et si malgré tout vous cliquez…

Malgré ces précautions, si vous suivez le lien, on vous demandera alors de vous authentifier. Et si vous allez jusqu’à cette extrémité, évidemment vous ne serez pas connecté au moindre service. Le but ici est de récupérer votre mot de passe, et de le tester sur d’autres services : stockage en ligne, messagerie, etc. Les utilisateurs ont malheureusement tendance à utiliser toujours le même mot de passe un peu partout.

A terme, les pirates cherchent à s’introduire dans votre système informatique ou bloquer vos moyens informatiques. Dans le premier cas, les hackers rechercheront des informations sensibles dans vos données, comme des numéros de carte de crédit. Dans le second, ils tenteront de vous extorquer de l’argent, en cryptant vos fichiers par exemple.

Pour ceux qui sont équipés de double authentification, cette deuxième barrière les protègera. Partiellement en tout cas. Car si votre mot de passe est utilisé dans différents systèmes, et que certains d’entre eux n’ont pas cette double protection, alors la porte sera ouverte. D’où l’importance de garder l’œil ouvert, de faire tourner ses mots de passe, et de les diversifier. A bon entendeur.

Emmanuel Dardaine

emmanuel dardaine expert cloud