Que signifie la continuité des activités pour votre entreprise?

Avec l’essor mondial de la transformation numérique, la technologie est aujourd’hui plus importante que jamais. Cette poussée technologique apporte de nombreux concepts nouveaux que nous ne saisissons pas entièrement. L’un d’entre eux est la continuité des activités.

Que signifie exactement cette notion et comment pouvez-vous tirer profit de son intégration dans votre entreprise?

La continuité des activités peut être définie comme la poursuite de vos activités principales en cas d’interruptions de service imprévues, qu’il s’agisse d’une panne de courant, d’une catastrophe naturelle ou même d’une défaillance d’un système critique.

Entamer les conversations sur la continuité des activités est assez simple mais exige de procéder méthodiquement pour ne rien laisser au hasard. De nombreux paramètres doivent être pris en compte :

  • Liste des actifs : Avez-vous une liste de vos actifs? Lesquels sont les plus critiques pour votre organisation?
  • Exigences de conformité : Devez-vous vous conformer à toute règlementation liée à votre secteur d’activité?
  • Exigences commerciales : Vos clients exigent-ils que vous vous conformiez à une norme pour pouvoir faire des affaires avec votre entreprise?
  • Principales parties prenantes : Qui doit être impliqué dans votre plan de continuité des activités?

À ces paramètres, il vous faut aussi ajouter le plus important de tous : votre pile technologique. La pile technologique s’inscrit dans le cadre de la reprise après sinistre, qui est un effort technique permettant à votre entreprise de poursuivre ses fonctions technologiques.

40 % à 70 % des entreprises risquent la faillite après une perte de données importante

3.7 milliards – valeur estimée du marché DRaaS  d’ici 2021

Voici maintenant quelques questions clés à inclure dans votre approche de la reprise après sinistre :

  • Quels sont les portails technologiques les plus importants pour votre entreprise?
  • Si un jour vous perdez l’alimentation électrique ou un serveur, pouvez-vous encore accéder à vos données?
  • Quelle est votre stratégie de sauvegarde? Au quotidien? Toutes les heures?
  • Combien de temps faut-il à votre équipe informatique pour restaurer vos copies de sauvegarde?
  • Combien de temps pouvez-vous vous permettre d’être en panne ou incapable d’accéder à vos données d’entreprise ?

Cette dernière question est vraiment la raison pour laquelle la continuité des activités est une question de haute direction. À ce stade, nous parlons de perte de revenus parce que l’entreprise est incapable de fournir un service aux clients, qu’ils soient internes ou externes. Lorsque les difficultés commencent à affecter les résultats, le conseil d’administration doit absolument s’impliquer.

La première étape pour adopter la continuité des activités est vraiment de commencer à poser les questions ci-dessus aux responsables des unités d’affaires. À partir de là, vous pouvez maintenant lancer cette démarche avec votre équipe informatique, l’équipe de direction de votre entreprise et, bien sûr, vos partenaires technologiques de confiance.

 

Aziz Touré
Spécialiste en sécurité ESI

ESI lance une toute nouvelle série de capsules d’apprentissage!

Préparez-vous !

 

Dans le cadre de ses prochains événements et activités, ESI est fière d’annoncer le lancement de sa propre série de capsules sur les TI en ligne ! À compter de la mi-septembre, nous vous inviterons à participer à nos capsules qui seront diffusées toutes les deux semaines.

Axées sur des conseils pratiques portant sur des sujets technologiques d’actualité, nos capsules sont conçues dans un format convivial avec une présentation de 30 minutes suivie d’une période de questions et réponses. Ces sessions seront présentées par notre propre équipe de professionnels. Nous profiterons également de la présence de certains des principaux partenaires d’ESI.

ESI_Learning_Capsules

Nous sommes très heureux de partager avec vous, à la mi-octobre, un sujet qui nous tient à cœur, à savoir la mise en œuvre du projet de loi 64. Son objectif est principalement de moderniser la Loi sur la protection des renseignements personnels du Québec. Il s’agit d’un sujet intéressant à discuter, car il touche tous les citoyens. Cette session sera animée par l’un de nos consultants les plus expérimentés en sécurité, Marco Estrela.

C’est l’occasion idéale pour vous d’élargir vos horizons et d’approfondir vos connaissances en TI. Comme on dit, il n’y a pas de meilleur moment que maintenant!

Participez à nos capsules sur les TI en vous inscrivant ici

Protection des renseignements personnels : la fin d’un certain laxisme?

Une nouvelle encourageante a été annoncée le 12 juin dernier (https://www.lapresse.ca/actualites/politique/2020-06-12/donnees-personnelles-des-amendes-pouvant-aller-jusqu-a-25-millions) lorsque la ministre responsable des Institutions démocratiques, de la Réforme électorale et de l’Accès à l’information Sonia LeBel a déposé le projet de loi 64 visant la modernisation de la Loi sur la protection des renseignements personnels. C’est un pas concret dans le domaine de la sécurité de l’Information qui, soyons francs, en avait grandement besoin. Ce sont notamment les sanctions aux contrevenants qui subissent les changements les plus marquants en devenant beaucoup plus mordantes. Des amendes, clairement modelées à celles imposées par le RGPD de l’Union européenne, pouvant aller de 15 000 à 25 millions de dollars (ou 4% du chiffre d’affaires) au pénal, feront réfléchir les gestionnaires TI tant au public qu’au privé désormais.

 

Nous aimons beaucoup les mesures d’amélioration aux droits des citoyens sur leurs informations personnelles. Nous pourrons tous exiger dorénavant la destruction ou l’anonymisation de nos données (avec un outil comme DataStealth par exemple) lorsque les fins pour lesquelles elles ont été collectées ont été atteintes.

 

Une autre nouveauté qui a retenu notre attention, est que les entreprises assujetties à la loi devront nommer un responsable de la protection des renseignements personnels. Parions que certains gestionnaires hésiteront avant d’accepter de porter ce fardeau sur leurs épaules. Après tout, qui veut être tenu responsable des échecs en matière de protection de l’information?

 

Marco Estrela
Conseiller en sécurité, ESI Technologies

La gestion des correctifs : un processus à ne pas négliger!

La gestion des correctifs joue un rôle essentiel dans la sécurité des systèmes informatiques. Généralement publiés par les éditeurs de logiciels pour corriger des vulnérabilités ou des failles de sécurité dans les systèmes d’exploitation, les correctifs font partie de leurs efforts internes pour résoudre les problèmes avec différentes versions de leurs logiciels. S’ils ne sont pas appliqués en temps opportun, les réseaux informatiques se mettent à risque et peuvent devenir gravement compromis.

Le processus de gestion des correctifs permet de les acquérir, tester et installer sur les applications existantes, afin que les systèmes restent à jour en matière de fonctionnalités ou de correction de failles liées à la sécurité. Un logiciel non corrigé peut faire d’un équipement réseau une cible vulnérable aux attaques informatiques ou aux virus logiciels.

%
des brèches de sécurité sont attribuables aux mises à jour manquantes selon le Ponemon Institute
Pourquoi est-ce important?

 

La gestion des correctifs est un processus nécessaire afin :

  • D’augmenter la sécurité de l’ensemble des équipements informatiques et de prévenir les brèches de sécurité.
  • Réduire les pannes et les bris logiciels.
  • Garder les systèmes à jour afin d’en assurer le bon fonctionnement.
  • Autoriser les appareils mobiles sur le réseau d’entreprise en ayant confiance qu’ils ne sont pas porteurs de logiciel malveillant.
  • Maintenir un état de conformité en tout temps des équipements et systèmes.
  • Avoir une visibilité et une perspective des forces et faiblesses du parc informatique.

Le problème le plus courant associé au processus de gestion des correctifs est l’introduction d’une défaillance qui n’était pas présente à l’origine. Ce problème peut apparaître immédiatement après la mise à jour ou parfois plus tard dans une application logicielle ayant une interdépendance avec un logiciel récemment corrigé. Étant donné que les correctifs peuvent parfois introduire des problèmes dans un système qui fonctionnait auparavant correctement, il est important que les administrateurs testent les correctifs avant de les déployer à l’échelle de l’organisation.

L’autre problème courant associé à la gestion des correctifs est que les systèmes déconnectés peuvent ne pas recevoir de correctifs rapidement. Si un utilisateur mobile ne se connecte que rarement au réseau de l’entreprise, alors l’appareil de cet utilisateur peut fonctionner pendant de longues périodes sans être mis à jour. Dans de tels cas, il peut être préférable de configurer l’appareil pour une gestion autonome des correctifs plutôt que de procéder par une gestion centralisée.

La gestion des correctifs est un des 10 principaux problèmes de sécurité à résoudre. Téléchargez notre livre électronique pour en savoir plus! 
Comment s’y prendre?

 

Mettre en œuvre une gestion des correctifs demande de respecter certaines étapes :

  • Documenter la politique de gestion des correctifs.
  • Obtenir une vision claire de l’état de la situation actuelle en effectuant une découverte des systèmes.
  • Catégoriser les systèmes en fonction de leurs niveaux de risque.
  • Confirmer les systèmes ayant besoin de mises à jour en standardisant et regroupant ceux-ci sous un même thème.
  • Déterminer les outils, pratiques et méthodes de mise à jour des systèmes : tests, configurations, déploiement, rapports d’état
  • Effectuer une surveillance des mises à jour manquantes ou de vulnérabilités sur le réseau.
  • Apprendre des expériences et modifier les politiques, procédures ou directives suite au premier bilan.

La gestion des correctifs logiciels est un processus répétitif qui peut s’avérer fastidieux, mais qui s’avère un outil de plus pour préserver la sécurité de vos actifs.

En l’absence de ressources internes disponibles pour prendre en charge cette gestion, faites appel à un partenaire de confiance, vous en tirerez de nombreux avantages et prolongerez la durée de vie de vos équipements!

 

Patrick Boucher
CISSP, CEH, CGEIT, CISA
Chef de la sécurité de l’information
ESI Technologies

Infonuagique : Sommes-nous en train de perdre une occasion?

Ces extraits de conversation vous semblent familiers? Si oui, ce n’est pas étonnant car on entend parler du « cloud » partout, tout le temps! On dirait qu’aucune entreprise n’y échappe. Comme nous l’avons publié dans un article précédent, il y a plusieurs façons d’aller dans le cloud. Et pourtant, on commence depuis quelque temps à entendre d’autres sons de cloche.

« L’infonuagique a gagné en popularité grâce à sa facilité de déploiement et à sa souplesse de consommation des ressources, et bien que cela fonctionne pour de nombreuses applications critiques, ce n’est pas la panacée pour toutes les applications prises en charge par une entreprise. C’est pourquoi, alors que l’adoption du cloud continue à augmenter, certaines compagnies choisissent de rapatrier les charges de travail sur site dans certains scénarios. »
NetworkWorld – 11 juin 2019

« Selon l’enquête menée auprès de 2 650 décideurs informatiques, 73% ont déclaré qu’ils déplacent certaines applications hors du cloud public pour les remettre sur site, et près d’un utilisateur sur cinq (22%) déplace cinq applications ou plus. »
ComputerWeekly – 15 novembre 2019

Selon Michael Dell, fondateur et PDG de Dell Technologies, les services définis par logiciel et l’industrialisation des TI constituent des offres très attrayantes certes, mais qui ne sont pas réservées qu’à l’infonuagique publique. La tendance de fond est à la virtualisation et à l’automatisation de tout et ce sur l’ensemble du spectre des TI, dans des environnements publics comme privés. (CRN – 13 août 2018).

Retour du balancier?

Que faut-il en penser? Est-ce le début d’un retour du balancier? Sommes-nous en train de manquer le bateau avec cette fixation sur le cloud? Méfiez-vous de ceux qui vous parlent d’infonuagique sans même vous demander en quoi consistent vos besoins d’affaires. En TI, on a souvent tendance à mettre la technologie au premier plan. Ce faisant, on commet une erreur stratégique importante. Pour les dirigeants d’entreprises ou d’organismes publics, c’est le besoin d’affaires ou la mission qui prime et qui devrait toujours être au cœur de nos préoccupations. En d’autres mots, une décision d’aller en infonuagique (ou non) doit reposer sur des bases solides.

Le point de départ : les besoins d’affaires

Les besoins d’affaires changent évidemment selon les entreprises, les contextes de règlementation, la compétition, etc. Par exemple : augmenter des parts de marché de 10% en ouvrant des bureaux en Europe d’ici 18 mois, obtenir une certification ISO 27001 d’ici la fin de l’année, déployer une solution de collaboration pour accélérer la mise en place de nouveaux services d’ici la fin du trimestre, etc.

Ces différents besoins ont en commun d’être quantifiables et vérifiables avec un échéancier.

Se concentrer sur la cible plutôt que sur les moyens

Connaître et comprendre les besoins d’affaires est essentiel à toute démarche de modernisation des services TI ou de transformation numérique.

Depuis plusieurs années, le succès d’entreprises numériques comme Uber ou Shopify, ont pour point commun de reposer sur l’infonuagique. Mais ce n’est qu’une partie de l’explication. L’infonuagique n’est venue qu’en appui à une mission qui avait des objectifs d’affaires clairs et concrets dès leurs débuts. Mais, pour beaucoup d’entreprises traditionnelles, augmenter la vélocité de livraison de nouveaux services client par exemple est peut-être tout ce qui compte. Dans certains cas, la réponse à cet objectif peut être l’infonuagique, mais pas nécessairement. Bref, il n’y a pas de bonnes ou de mauvaises réponses, tout dépend des besoins d’affaires qu’il faut mettre en contexte dans un plan d’accompagnement et d’évolution qui s’échelonnera sur quelques mois ou années selon les changements requis.

Ce plan inclura les éléments suivants :

  • Le résumé des besoins de l’entreprise selon son plan stratégique
  • L’ajustement ou la mise en place de nouveaux processus d’affaires
  • Le plan de gestion du changement
  • L’architecture des éléments technologiques nécessaires à la réalisation du projet
  • L’évaluation budgétaire de réalisation : éléments technologiques, efforts des équipes d’affaires et TI, efforts de firmes externes si nécessaire
  • L’échéancier provisoire
Cinq étapes pour réussir votre transformation numérique

Patrimoine d’applications

Il ne faut pas négliger les besoins des entreprises dites « traditionnelles ». En effet, ces dernières peuvent dépendre d’un patrimoine d’applications. Ces applications, construites et écrites à une autre époque, peuvent être un frein à l’adoption de l’infonuagique sur le plan tactique. Pour ces entreprises, la modernisation de leurs services TI passe peut-être par autre chose qu’une migration en infonuagique. Bref, il faut une vue d’ensemble de l’entreprise et ses besoins d’affaires.

Conseiller et accompagner une entreprise dans un cheminement de modernisation ou de transformation est un grand privilège. C’est l’occasion de passer en mode écoute et de confirmer, avec les dirigeants, leurs objectifs d’affaires et leur raison d’être.

Ce n’est qu’après que la discussion pourra prendre une tournure davantage axée sur la technologie, en collaboration avec toutes les parties prenantes de l’organisation. Plus on retarde les discussions techniques, plus la démarche sera optimale. Les discussions techniques nous font dévier trop rapidement des objectifs d’affaires et nous place prématurément en mode solution.

Le rôle des TI est de soutenir l’atteinte des objectifs d’affaires. Par exemple, pour l’entreprise désireuse de protéger sa réputation, des investissements en sécurité de l’information pourraient fournir une bonne partie des moyens technologiques pour atteindre cette cible.

Par où commencer alors?

Pour les experts d’ESI, les défis et les besoins d’affaires des clients sont la motivation principale des solutions proposées. Avec plus de 25 ans d’expérience en technologies de centres de données, ESI a l’expérience et l’expertise pour vous proposer les ingrédients technologiques requis pour vous aider dans vos démarches de modernisation de vos services TI.

Pour bien comprendre le contexte des entreprises canadiennes et leurs défis numériques, visionnez cette vidéo de 18 minutes (https://vimeo.com/382466224) et contactez-nous pour nous parler de vos défis et besoins!

 

Jean-François Martin
Conseiller principal, architecture et technologies

Conseils pour améliorer la vidéoconférence en télétravail

Le monde vit une crise sans précédent, mettant ainsi nos vies professionnelles comme personnelles en pause. Les entreprises doivent réagir. Le monde du travail doit s’adapter. Plus que jamais, les technologies viennent aider les entreprises à faire face à cette situation unique. Les services et les applications de collaboration gagnent en popularité. Les entreprises qui déploient et apprennent à utiliser ces services rapidement sont celles qui vont le mieux s’en tirer tout en minimisant l’impact sur leurs activités.

La culture du télétravail est une nouveauté pour plusieurs entreprises. De nouvelles habitudes de travail sont nécessaires, autant pour les employeurs qui doivent procurer à leurs équipes des outils de collaboration tels que Zoom, Skype, Microsoft Teams, que pour les employés qui doivent apprendre à bien utiliser. Voici quelques conseils basés sur une expérience pratique acquise dans les dernières semaines où le télétravail est devenu la norme.

Préparez-vous!

Avant de vous joindre à une rencontre virtuelle ou une conférence web, pensez à :

  • Bien saisir vos coordonnées (nom et prénom et pas seulement vos initiales) afin que les autres participants soient en mesure de vous identifier clairement.
  • Pensez à configurer votre avatar avec une photo plutôt que laisser l’application inscrire vos initiales. Il est toujours plus agréable de voir un visage!
  • Pour des réunions à plus de six participants, nommez un modérateur avant la rencontre. Ce dernier gardera un oeil ouvert sur ceux qui lèvent la main pour poser des questions afin d’éviter la cacophonie.
  • Le modérateur pourra enregistrer la rencontre pour ceux qui ne peuvent être présents. Annoncez dès le début de la rencontre que cette dernière sera enregistrée, par égard pour vos participants. Pour certains, se savoir enregistré change leur comportement pour le mieux.
  • Si vous êtes plusieurs à partager la même session, indiquez-le aux autres. Cela évite une attente inutile des autres participants.
  • Si vous utilisez une caméra, sachez que ceci consomme davantage de bande passante sur votre lien Internet à la maison. Pensez-y avant de joindre la rencontre car certains participants aux moyens technologiques moindres pourraient en souffrir avec des images et du son saccadé.
%
des télétravailleurs veulent continuer à travailler à distance
%
de diminution du taux de roulement pour les entreprises qui offrent le télétravail
Protégez la confidentialité

La confidentialité des informations est primordiale, en tout temps. Voici quelques conseils et rappels pour éviter que des yeux trop curieux voient des choses qu’ils ne devraient pas voir.

  • Avant d’entrer dans une conférence web, surtout si vous avez l’intention de partager votre écran, assurez-vous qu’aucun document confidentiel n’est ouvert sur votre poste (photos, diagrammes, documents internes, courriels, etc.) Si vous négligez de le faire, non seulement vous vous exposez à des situations délicates, mais en plus vous ferez perdre du temps aux autres pendant que vous corrigez la situation sous les regards indiscrets.
  • N’oubliez-pas de mettre sous silence vos notifications de courriels et de messagerie sur votre poste de travail. Vous ne savez jamais qui va se pointer au beau milieu de votre rencontre virtuelle!
  • Si d’autres personnes partagent la pièce avec vous, mettez votre casque d’écoute pour éviter qu’ils entendent vos échanges durant la rencontre.
  • Utilisez un fond d’écran virtuel flou, si l’application le permet, pour cacher l’arrière scène. Microsoft Teams offre cette fonctionnalité.
Ayez de bonnes manières

Les bonnes manières sont toujours d’actualité. Elles sont au centre d’une expérience de collaboration agréable pour tous!

  • Demandez aux autres s’ils vous entendent bien au début de la rencontre. Ensuite, désactivez votre microphone si vous ne prenez pas la parole tout de suite.
  • Quand vous intervenez dans la rencontre, comme personne ne vous voit, sauf si vous utilisez votre caméra, nommez-vous avant de prendre la parole.
  • Plus que jamais, le respect du droit de parole s’impose. Ralentissez votre débit quand vous parlez. Prenez des pauses fréquemment. Pourquoi est-ce si important? Il y a un délai de transmission entre les participants. Ce délai est causé par le temps de traitement de la voix et de la vidéo, la vitesse de votre lien internet, le niveau de congestion, etc. C’est ainsi que l’on minimise la cacophonie quand tout le monde parle en même temps à cause de ces délais.
  • Le non-verbal n’est pas accessible à tous car très peu de gens activent leur caméra durant les rencontres virtuelles (pour toutes sortes de raisons comme la peur d’être enregistré à leur insu, par insécurité, etc.) Pensez à demander aux gens d’activer leur caméra si vous croyez être dans une rencontre où la lecture du non verbal pourrait faire une différence dans l’issue de la rencontre.
Assurez-vous d’une bonne qualité sonore et visuelle

« Quoi, qu’est-ce que tu viens de dire? Pas certain d’avoir compris, le son a coupé! » Vous avez déjà vécu cette situation?

  • Si vous n’avez pas à parler, désactivez votre micro, afin d’éviter les bruits d’arrière-plan qui dérangent les autres.
  • Si vous assistez à une conférence alors que vous êtes en déplacement, si vous marchez, arrêtez-vous avant de parler, c’est plus facile pour vous et c’est mieux pour les autres qui vous écoutent. Vous aurez l’air moins essoufflé.
  • Vous placez votre téléphone en mode vibration avant la rencontre, c’est bien, mais attention de ne pas le laisser sur la table! Quand il va vibrer lors d’un appel entrant et si votre micro est ouvert, tout le monde va entendre votre appel entrant.
  • Si vous êtes plusieurs dans une même pièce à assister à la même rencontre mais chacun sur sa propre session, sachez qu’un effet d’écho sera entendu par tous et que c’est vraiment désagréable à entendre. Un micro à la fois règle le problème. Pensez à mettre votre micro en mode muet si vous ne parlez pas.
  • Portez attention à votre apparence. Dirigez la caméra en votre direction pour éviter de ne voir que la moitié de votre visage.
  • Si votre vidéo est trop saccadée, réduisez la résolution de votre caméra si votre logiciel le permet. Ainsi, vous consommerez moins de bande passante et la vidéo sera plus fluide pour tous. Le 1080p n’est pas vraiment requis, sauf si vous utilisez un tableau blanc pour présenter.
  • Quand votre caméra est activée, évitez de vous déplacer inutilement ou de bouger trop rapidement, surtout si vous utilisez votre téléphone intelligent. L’instabilité des images est désagréable pour les autres et peut même donner la nausée. Déposez votre téléphone sur une surface stable au besoin pour la durée de votre rencontre.
  • Les caméras intégrées dans les portables ne sont pas toujours de très bonne qualité. Pensez à vous munir d’une caméra USB externe si vous utilisez souvent la vidéo dans vos conférences web. De plus, ces caméras viennent souvent avec un micro de meilleure qualité.
  • Si vous utilisez votre clavier pour prendre des notes durant la rencontre, désactivez votre micro car on entendra les touches de votre clavier, ce qui est agaçant.
  • Enfin, en cette période de crise où les jeunes enfants sont partout dans la maison, rappelez-leur que vous travaillez et que vous avez besoin de silence, surtout pendant une réunion virtuelle! Rappelez-vous que si vos enfants jouent à un jeu ou écoutent un film en ligne, ceci pourrait diminuer la qualité de votre présence en ligne à moins que ayez un lien Internet très performant.
Des outils en évolution rapide

Il est clair que plusieurs de ces conseils découlent d’outils qui ne sont pas encore tout à fait au point. Ces derniers vont gagner en maturité, surtout en cette période de crise. Les fonctions ne sont pas toutes les mêmes d’une application à l’autre. Par exemple, Microsoft Teams permet d’avoir un arrière-plan flou pour cacher ce qui se trouve derrière vous mais Cisco Webex ne le permet pas encore. Soyez patient, les outils vont tous converger vers un ensemble de fonctions qui vont se ressembler. D’ici là, bonnes rencontres virtuelles!

 

Jean-François Martin
Conseiller senior, architecture et technologies

COVID-19… Les solutions pour faciliter le travail à distance

Le coronavirus a des répercussions dans toutes les sphères d’activité à l’échelle internationale. L’une des plus inattendues a été la suspension de tous les événements sportifs, culturels et d’affaires partout dans le monde et au chapitre de la productivité des entreprises, la nécessité d’encourager le travail à domicile.  Pour ceux d’entre vous qui ont des espaces de travail numériques déjà bien implantés, votre proactivité vous sert bien… pour les autres, vous devez prendre action et surtout ne pas implanter des solutions en urgence au détriment des principes de base en cybersécurité.

 ESI Technologies vous propose deux approches :

La rapide et la moins coûteuse :  

La mise en place d’une solution VPN de bonne capacité et bien encadrée selon les politiques de sécurité de votre organisation tout en ayant en tête que les cybercriminels sont toujours actifs dans un monde en changement. Certaines solutions peuvent être mise en place en moins de 48 heures.

La durable qui exige de prendre des actions à moyen et long terme :

La virtualisation des postes de travail et des applications ainsi que la mise en place d’outils de collaboration de grande valeur pour vos collaborateurs internes et externes.

ESI Technologies a mis en place des politiques et des mesures internes afin de répondre aux recommandations de nos gouvernements en termes de gestion des risques de propagation du COVID-19 pour ses employés, clients et partenaires d’affaires. Au niveau technologique, nous voulons contribuer aux efforts de notre communauté… Nous sommes prêts à vous aider!

141 Prédictions en cybersécurité : un aperçu

Tout juste avant les fêtes, le site Web Forbes.com a publié une compilation de 141 prédictions en cybersécurité fort intéressantes. Si cet article vous a échappé, voici un aperçu des réponses d’environ 70 professionnels du domaine, notamment sur deux questions :

  • Quel rôle les technologies émergentes (IA, apprentissage machine, 5G, informatique quantique) et les technologies en évolution (IoT, mobile – y compris les véhicules autonomes, cloud) joueront-elles pour améliorer l’efficacité, l’ampleur et la profondeur des cyberattaques en 2020?
  • Dans un paysage technique où les cybermenaces sont toujours en constante évolution, d’où proviendront les attaques? Quels seront les nouveaux objectifs et types d’attaques?

Qui sont les gens qui ont répondu? Les 68 personnes sondées (dont seulement 3 femmes, un maigre 4% des répondants) occupent des postes variés en sécurité de l’information, la majorité représentant la haute direction de leurs organisations.

Bien sûr, le plus intéressant ce sont les prédictions faites par ces professionnels. Afin de compiler les réponses, nous avons créé des catégories de prédiction classées selon les commentaires reçus par les répondants. Une douzaine de sujets se sont démarqués et parmi ceux-ci, deux en particulier étaient mentionnés de manière plus notable : l’intelligence artificielle/l’apprentissage machine et les rançongiciels, qui a eux seuls, comptent pour plus de 35% des prédictions! Voici les résultats de notre compilation :

Predictions 2020

Certaines personnes interviewées n’ont clairement pas hésité à partager ce qu’elles ont vu dans leurs boules de cristal. Voici quelques-unes des prédictions les plus intéressantes :

« Les attaques envers les courriels d’affaires (BEC) seront un thème majeur en 2020. Les aspects d’ingénierie sociale de ces attaques sont de plus en plus sophistiqués et difficiles à détecter, et peuvent être facilement exploités […]. Plus important encore, ils ne peuvent pas être bloqués par la sécurité des terminaux (endpoint detection) – seules les solutions de sécurité de messagerie combinées à la formation des utilisateurs pourront lutter avec succès contre ces attaques. »
Yoram Salinger, CEO, Perception Point

« 2019 a été une grande année pour les cybercriminels qui ont réussi à cibler les municipalités, les écoles et les universités du monde entier avec des attaques de rançongiciels et de harponnage. Comme ces organisations se sont avérées des cibles faciles, une augmentation des campagnes est attendue en 2020. La santé sera également un secteur attractif pour les pirates en raison de ses gains potentiels élevés. »
Eyal Aharoni, vice-président succès client, Cymulate

« En 2020 et au-delà, nous prévoyons qu’un nombre accru de violations de données résultera du fait que les entreprises supposent à tort que les fournisseurs de services cloud offrent une protection complète, ce qui n’est tout simplement pas vrai dans le modèle de responsabilité partagée. »
Balaji Parimi, CEO, CloudKnox

« En 2020, nous verrons la première banque capituler face à un rançongiciel. »
Yaniv Valik, vice-président produit, Continuity Software

« Avec l’évolution des cybermenaces, nous serons contraints de combattre l’intelligence artificielle avec l’intelligence artificielle »
Brian Foster, SVP, MobileIron

Souvenons-nous qu’aucune de ces prédictions n’est une certitude, mais que tout est possible ou du moins, plausible. Il est donc de notre devoir de continuer à mettre en lumière ces possibilités afin que les entreprises canadiennes puissent d’ores et déjà se préparer à toute éventualité. En attendant, si vous faites partie du groupe de gestionnaires prévoyant les risques qui planeront sur votre entreprise et que cet article vous met quelque peu sur les dents, sachez qu’il est toujours temps de mettre en œuvre des actions simples et concrètes. Pourquoi ne pas prévoir un audit de sécurité ce printemps par exemple? Si vous souhaitez quelque chose de plus robuste, peut-être que les bonnes pratiques ISO 27001 vous intéresseront. Peu importe votre choix, l’important c’est de poser le geste. Après tout, particulièrement lorsqu’il s’agit de cybersécurité, mieux vaut prévenir que guérir.

 

Marco Estrela

Conseiller en sécurité, ESI Technologies

Sécurisez vos données

Période de réjouissances? Restez vigilant!

Une autre année tire à sa fin. Il semble que nous n’ayons jamais assez de 24 heures dans une journée pour tout faire : les fêtes de bureau, le magasinage et les célébrations en famille ne font qu’ajouter à nos horaires toujours plus taxés d’une année à l’autre. Dans ce tourbillon, il est facile d’oublier certaines bonnes pratiques en matière de sécurité de l’information. Par souci de vous savoir en sécurité, voici donc quelques conseils, faciles à mettre en pratique, qui assureront que vous passerez une heureuse période des fêtes avec vos proches plutôt qu’au téléphone avec votre banque!

1

Magasinez en paix : Avant d’effectuer un achat sur un nouveau site Web, assurez-vous qu’il est légitime. Lire les commentaires et les avis des autres utilisateurs peuvent vous donner des indices à ce sujet. Vous voudrez être particulièrement prudent si le prix du produit semble trop beau pour être vrai.

2

Protégez-vous de la sollicitation : Avant de commencer votre magasinage en ligne, créez-vous un compte courriel temporaire. De cette manière, votre compte courriel régulier ne sera pas assailli par des centaines de pourriels après les fêtes.

3

Attention aux réseaux sans fil publics : Évitez la tentation de vous connecter à des réseaux WiFi publics. Ces derniers constituent une cible de choix pour les cybercriminels. Il est préférable d’utiliser les réseaux sans fil sécurisés pour effectuer des achats ou accéder à des informations bancaires.

Assurez votre sécurité plus efficacement

4

Désactivez vos vieux comptes : Pourquoi ne pas profiter du temps des fêtes pour fermer tous les vieux comptes que vous n’utilisez plus? Ces derniers sont parfois connectés à des parties tierces dont vous ne connaissez même pas l’existence et qui ne font que collecter, et surtout revendre, vos informations.

Prenez connaissance des 10 principales erreurs de sécurité commises par les entreprises et apprenez à les éviter.

5

Faites le ménage de vos médias sociaux : Pendant que vous faites le ménage, pensez aussi à revoir vos préférences de vie privée sur tous vos médias sociaux. Il arrive que les règles ou les fonctionnalités changent en cours d’année, rendant vos données plus exposées parfois à votre insu.

eBook - 10 erreurs de sécurité

6

Utilisez une meilleure authentification : Parlant d’applications et de médias sociaux, si vous avez la possibilité d’activer une authentification multifactorielle (MFA), faites-le! C’est une excellente protection pour un minimum d’effort.

7

Offrez-vous un beau cadeau: Pourquoi ne pas vous offrir un superbe cadeau qui ne coûte presque rien : un gestionnaire de mots de passe! Ces logiciels sont super pratiques, ils créeront des mots de passe robustes pour vous que vous n’aurez pas à retenir. Lorsque vous arriverez sur un site web où vous devrez vous identifier, le logiciel le fera pour vous. Vous n’aurez donc à vous souvenir que d’un seul mot de passe, soit celui pour accéder au logiciel lui-même. En même temps, un gestionnaire de mots de passe vous évitera d’utiliser le même identifiant sur différents comptes, une très mauvaise pratique qui est malheureusement trop répandue.

8

Méfiez-vous de l’aide non-sollicitée : Une grande société vous appelle? Votre banque vous envoie un texto? Une agence gouvernementale vous doit de l’argent? Méfiez-vous de toute cette aide spontanée que vous n’avez pas demandée. Posez des questions et ne vous laissez pas convaincre d’agir sans avoir validé le tout avant.

9

Vérifiez avant de cliquer : Il y a une quantité énorme de pourriels véhiculés par Internet. Faites attention aux liens sur lesquels vous cliquez. Connaissez-vous la personne qui vous envoie le courriel? Si vous passez le curseur sur le lien dans le courriel, est-ce que le lien qui apparaît au bas de l’écran est le même? Est-ce qu’il y a des fautes d’orthographe dans l’adresse courriel de votre interlocuteur? Ne cliquez pas trop vite!

En respectant ces quelques règles de sécurité, vous augmenterez votre protection et atténuerez  les risques d’usurpation d’identité et de fraude. De cette façon, vous passerez une très belle période des fêtes en toute sécurité.

Comment aller dans le cloud

Valeur du marché mondial du cloud public en 2019 : $ 258 milliards

94% des charges de travail traitées dans des centres de données cloud en 2021

est le premier fournisseur cloud avec 32% de part de marché

L’infonuagique a occupé beaucoup de place dans les pensées, les discussions, voire les actions des entreprises en 2018. Si la tendance se maintient, 2019 sera sans doute aussi une année de transformation numérique pour plusieurs entreprises à des rythmes plus ou moins soutenus. Certaines entreprises sont probablement toujours en réflexion sur ce que l’infonuagique pourrait bien leur apporter. D’autres se demandent peut-être pourquoi tout ce battage médiatique? Mais plusieurs organisations ont probablement pris la décision de l’adopter, sauf qu’elles se demandent comment y arriver? À cette question, comme le dit le dicton : tous les chemins mènent à Rome! Mais avant, revenons à quelques définitions.

Pour les fins de cet article, disons qu’« aller dans le cloud » signifie de manière simplifiée : consommer ou s’abonner à un ou plusieurs services Internet rendus disponibles par un fournisseur dans le but de répondre à un besoin TI plus ou moins large. Les façons de s’abonner ou de consommer ces services s’inscrivent dans trois démarches distinctes que l’on désigne par les acronymes : IaaS, PaaS et SaaS.

IaaS ou Infrastructure as a Service : il s’agit de rendre disponibles des API et des services en faisant abstraction des infrastructures physiques dans le but d’en permettre l’usage et la consommation sur demande : serveurs, espace de stockage, services réseaux (liens, VPN, etc.)

PaaS ou Platform as a service : c’est un regroupement de services ayant pour objectif de permettre le développement, le déploiement et la gestion d’applications sans la complexité inhérente des infrastructures TI sous-jacentes (réseau, traitement, stockage, sécurité, etc.); à titre d’exemple, Pivotal est un PaaS populaire.

SaaS ou Software as a Service : c’est un logiciel (ou une application) géré comme un tout par un tiers sur Internet et livré comme un service consommable et payable sur la base des fonctionnalités utilisées. Office 365 est un bel exemple de SaaS.

L’approche IaaS en d’autres mots repose sur un modus operandi qui est très proche des TI traditionnelles, car on y retrouve les mêmes concepts que dans les centres de données en entreprise : unités de traitement, espaces de stockage, réseau, pare-feu, segmentation, etc. Migrer vers des services IaaS c’est un peu comme faire du « lift & shift » avec le moins de transformations possibles. Cette façon de faire comporte moins de risques, permet de conserver des pratiques TI similaires, permet de passer d’un mode comptable CAPEX à OPEX. Mais la question que l’on peut se poser : est-ce vraiment ça adopter l’infonuagique?

L’approche PaaS pour sa part est ce qui représente l’esprit de l’infonuagique comme approche moderne des TI. Elle suppose une réingénierie totale, sectorielle ou partielle du parc applicatif de l’organisation dans le but de la rendre plus flexible, plus agile en réponse à ses besoins. Ce n’est pas une mince affaire. Elle est donc plus risquée et plus coûteuse à court terme et demande de repenser la vision à long terme des TI au sein de l’entreprise. Aussi, qui dit réécriture d’applications, dit aussi choix de langages de développement, ou encore plus généralement, sur les piles de développement (« development stack ») et les méthodes de livraison. Ce genre d’engagement n’est jamais pour le court terme si l’on souhaite développer son expertise et espérer un retour sur ses investissements. Mais les bénéfices peuvent être immenses et transporter l’entreprise vers de nouveaux horizons.

L’approche SaaS c’est la version 100% Internet du logiciel ou progiciel que l’on achetait à l’époque avec ses CD et ses manuels, mais en mode géré et exploité par le fournisseur de services. Il s’agit ici de remplacer un logiciel par un autre, mais sans devoir déployer d’infrastructure. Se faisant, la question de réapprendre une nouvelle application se pose. De plus, l’adaptabilité de l’application doit être prise en compte et faire partie des critères de sélection. Enfin, choisir une application gérée, c’est un peu comme un mariage, on doit se commettre sur le long terme pour récupérer ses investissements en temps. C’est pour cette raison qu’il est fort pertinent de débuter autant que possible par des applications non critiques ou secondaires pour tester ce mode de migration en infonuagique.

Toutes ces façons de faire vous rapprochent d’une manière ou d’une autre de l’infonuagique et elles ne sont pas exclusives, au contraire, elles peuvent être complémentaires. C’est ce que l’on nomme de plus en plus comme l’infonuagique hybride. Comme plein de choses dans la vie, tout n’est pas noir ou blanc, il y a toujours une zone grise entre les deux. C’est pour cette raison qu’il y a mille et une façons d’aller dans le cloud comme d’aller à Rome.

 

Jean-François Martin

Conseiller principal, architecture et technologies