Comment aller dans le cloud

Valeur du marché mondial du cloud public en 2019 : $ 258 milliards

94% des charges de travail traitées dans des centres de données cloud en 2021

est le premier fournisseur cloud avec 32% de part de marché

L’infonuagique a occupé beaucoup de place dans les pensées, les discussions, voire les actions des entreprises en 2018. Si la tendance se maintient, 2019 sera sans doute aussi une année de transformation numérique pour plusieurs entreprises à des rythmes plus ou moins soutenus. Certaines entreprises sont probablement toujours en réflexion sur ce que l’infonuagique pourrait bien leur apporter. D’autres se demandent peut-être pourquoi tout ce battage médiatique? Mais plusieurs organisations ont probablement pris la décision de l’adopter, sauf qu’elles se demandent comment y arriver? À cette question, comme le dit le dicton : tous les chemins mènent à Rome! Mais avant, revenons à quelques définitions.

Pour les fins de cet article, disons qu’« aller dans le cloud » signifie de manière simplifiée : consommer ou s’abonner à un ou plusieurs services Internet rendus disponibles par un fournisseur dans le but de répondre à un besoin TI plus ou moins large. Les façons de s’abonner ou de consommer ces services s’inscrivent dans trois démarches distinctes que l’on désigne par les acronymes : IaaS, PaaS et SaaS.

IaaS ou Infrastructure as a Service : il s’agit de rendre disponibles des API et des services en faisant abstraction des infrastructures physiques dans le but d’en permettre l’usage et la consommation sur demande : serveurs, espace de stockage, services réseaux (liens, VPN, etc.)

PaaS ou Platform as a service : c’est un regroupement de services ayant pour objectif de permettre le développement, le déploiement et la gestion d’applications sans la complexité inhérente des infrastructures TI sous-jacentes (réseau, traitement, stockage, sécurité, etc.); à titre d’exemple, Pivotal est un PaaS populaire.

SaaS ou Software as a Service : c’est un logiciel (ou une application) géré comme un tout par un tiers sur Internet et livré comme un service consommable et payable sur la base des fonctionnalités utilisées. Office 365 est un bel exemple de SaaS.

L’approche IaaS en d’autres mots repose sur un modus operandi qui est très proche des TI traditionnelles, car on y retrouve les mêmes concepts que dans les centres de données en entreprise : unités de traitement, espaces de stockage, réseau, pare-feu, segmentation, etc. Migrer vers des services IaaS c’est un peu comme faire du « lift & shift » avec le moins de transformations possibles. Cette façon de faire comporte moins de risques, permet de conserver des pratiques TI similaires, permet de passer d’un mode comptable CAPEX à OPEX. Mais la question que l’on peut se poser : est-ce vraiment ça adopter l’infonuagique?

L’approche PaaS pour sa part est ce qui représente l’esprit de l’infonuagique comme approche moderne des TI. Elle suppose une réingénierie totale, sectorielle ou partielle du parc applicatif de l’organisation dans le but de la rendre plus flexible, plus agile en réponse à ses besoins. Ce n’est pas une mince affaire. Elle est donc plus risquée et plus coûteuse à court terme et demande de repenser la vision à long terme des TI au sein de l’entreprise. Aussi, qui dit réécriture d’applications, dit aussi choix de langages de développement, ou encore plus généralement, sur les piles de développement (« development stack ») et les méthodes de livraison. Ce genre d’engagement n’est jamais pour le court terme si l’on souhaite développer son expertise et espérer un retour sur ses investissements. Mais les bénéfices peuvent être immenses et transporter l’entreprise vers de nouveaux horizons.

L’approche SaaS c’est la version 100% Internet du logiciel ou progiciel que l’on achetait à l’époque avec ses CD et ses manuels, mais en mode géré et exploité par le fournisseur de services. Il s’agit ici de remplacer un logiciel par un autre, mais sans devoir déployer d’infrastructure. Se faisant, la question de réapprendre une nouvelle application se pose. De plus, l’adaptabilité de l’application doit être prise en compte et faire partie des critères de sélection. Enfin, choisir une application gérée, c’est un peu comme un mariage, on doit se commettre sur le long terme pour récupérer ses investissements en temps. C’est pour cette raison qu’il est fort pertinent de débuter autant que possible par des applications non critiques ou secondaires pour tester ce mode de migration en infonuagique.

Toutes ces façons de faire vous rapprochent d’une manière ou d’une autre de l’infonuagique et elles ne sont pas exclusives, au contraire, elles peuvent être complémentaires. C’est ce que l’on nomme de plus en plus comme l’infonuagique hybride. Comme plein de choses dans la vie, tout n’est pas noir ou blanc, il y a toujours une zone grise entre les deux. C’est pour cette raison qu’il y a mille et une façons d’aller dans le cloud comme d’aller à Rome.

Le moment est venu d’adopter l’AMF

Si vous avez hésité à adopter l’authentification multifactorielle (AMF) pour votre entreprise parce que vous craignez qu’elle soit trop compliquée à administrer ou peu pratique à utiliser, c’est le moment d’y repenser.

Les atteintes à la protection des données dues au vol de mots de passe font maintenant partie des nouvelles hebdomadaires. Pourtant, malgré des années d’avertissements sur les faiblesses de la sécurité des mots de passe, les gens continuent à s’accrocher à cette forme de contrôle d’accès dangereusement vulnérable sans changer leur comportement.

Une analyse par le National Cyber Security Centre du Royaume-Uni d’un demi-milliard de mots de passe volés  a récemment révélé que la chaine de caractères « 123456 » constituait près de 5% de tous les mots de passe de l’échantillon, suivie de « 123456789 » à 1.4%. Au total, les cinq mots de passe les plus fréquemment utilisés représentaient environ 8% de la base de données. Les résultats concordent avec ceux de douzaines d’études semblables qui ont été menées au fil des ans.

Pendant ce temps, les cybercriminels ne sont pas restés les bras croisés. Les logiciels de décodage des mots de passe qui sont maintenant utilisés se servent de technologies comme l’apprentissage machine pour améliorer la précision des déductions basées sur des informations obtenues de sources publiques comme les profils des réseaux sociaux. Lors d’un test, un logiciel de décodage de force brute entre les mains d’un professionnel qualifié était sur le point de compromettre 90% du contenu d’un échantillon de mots de passe en utilisant simplement des combinaisons de caractères couramment utilisées. Et c’était il y a six ans.

Les administrateurs de la sécurité comprennent les limites des mots de passe, mais ils ont de la difficulté à trouver des options raisonnables. Plusieurs entreprises exigent que les utilisateurs changent leur mot de passe tous les 30 à 90 jours. C’est une façon efficace de réduire la tendance dangereuse des gens à réutiliser les mots de passe, mais cela peut en fait introduire de nouvelles vulnérabilités. Par exemple, les chercheurs ont constaté que de nombreux utilisateurs ne font que des modifications mineures aux mots de passe existants plutôt que de les changer entièrement, une pratique qui ne fait rien pour améliorer la sécurité.

Les gestionnaires de mots de passe commerciaux tels que LastPass, Dashlane et Keeper, qui stockent les mots de passe dans un coffre-fort chiffré pour éliminer le besoin de les mémoriser ou de les noter, sont une excellente option, mais seulement 15% des personnes les utilisent. Plusieurs se contentent de demander une réinitialisation du mot de passe, une option qui, selon Gartner, représente de 20% à 50% de tous les appels de centres d’assistance. Forrester Research estime les coûts aux entreprises de 70$ par incident.

%
seulement des utilisateurs se servent d'un gestionnaire de mots de passe

La réinitialisation de mots de passe compte pour 20% à 50% des appels d’assistance

Découvrez les solutions d’authentification multifactorielle d’Okta!

Le temps de l’AMF est venu

Une meilleure approche consiste à utiliser l’authentification multifactorielle. Cette technique combine deux ou plusieurs facteurs d’authentification, tels qu’un mot de passe de concert avec un numéro d’identification personnel, ou un code transmis par message texte ou un balayage biométrique, pour fournir un niveau supplémentaire de vérification. On dit parfois que l’AMF combine quelque chose que vous connaissez, comme un mot de passe, avec quelque chose que vous avez, comme un téléphone cellulaire. Bien qu’aucune technologie de contrôle d’accès ne soit parfaite, il a été démontré que l’AMF élimine presque toutes les vulnérabilités dues au piratage par mots de passe.

Un nombre croissant de sites web et de réseaux sociaux offrent désormais l’AMF comme option, mais son adhésion par les consommateurs a été faible, en raison d’un manque de compréhension et de la perception des inconvénients. Cependant, cela ne devrait pas être le cas pour les entreprises où chacun est responsable de la protection des informations sensibles.

En fait, la combinaison de l’AMF et du service d’authentification unique (SSO) peut être à la fois plus pratique et plus sûre que les solutions traditionnelles basées sur un mot de passe. Par exemple, la gamme de solutions AMF d’Okta offre aux entreprises la flexibilité de choisir comment elles protègent les applications et les données tout en améliorant le côté pratique pour les utilisateurs.

Par exemple, les administrateurs peuvent choisir n’importe quelle combinaison de facteurs d’authentification et les affecter à des groupes ou même à des utilisateurs individuels. Une fois que les utilisateurs s’authentifient dans l’annuaire, ils ont accès à une gamme complète de services sur site ou sur cloud déterminés par les politiques. Il n’est plus jamais nécessaire de se reconnecter et, comme le système repose sur une authentification multifactorielle, ils n’ont plus besoin de se souvenir de mots de passe complexes ou de les changer souvent.

Okta a même appliqué l’apprentissage machine pour rendre le processus d’authentification plus intelligent. Par exemple, un utilisateur qui tente de se connecter à partir d’une adresse IP reconnue ou d’un périphérique connu sur le réseau d’entreprise peut ne pas être tenu de saisir un mot de passe, alors qu’un utilisateur qui tente de s’authentifier à partir d’un appareil inconnu via une connexion non sécurisée peut être soumis à une triple authentification. Le logiciel Okta peut même apprendre à reconnaitre des modèles de comportement, comme les employés qui sont en télétravail tous les mercredis, et à ajuster les facteurs d’authentification en conséquence.

De tels services sont disponibles à un prix d’abonnement qui s’inscrit dans le budget de chaque organisation. La combinaison du coût, de la commodité et de la protection devrait faire de l’AMF une décision facile à prendre pour toute entreprise.

Interpréter les événements avec l’analyse des journaux

Si la performance de votre site web ralentissait soudainement, seriez-vous en mesure d’identifier la cause du problème?

Si un intrus avait pénétré votre réseau et envoyait des données sur vos clients à un serveur en Russie, le sauriez-vous?

Vos administrateurs de sécurité sont-ils tellement submergés d’alertes qu’ils éteignent parfois les moniteurs de détection d’intrusion pour pouvoir faire plus de travail?

Si l’un de ces scénarios vous semblent familier, alors vous devriez utiliser l’analyse de journaux. C’est la discipline qui consiste à capturer et interpréter les événements capturés par les ordinateurs, les réseaux, les systèmes d’exploitation et autres éléments technologiques qui peuvent vous aider à mieux comprendre ce qui se passe dans votre infrastructure.

De nos jours, les données de journaux sont partout, mais de nombreuses entreprises n’ont pas le temps et les compétences nécessaires pour tirer le meilleur parti de cette information. Une partie du problème réside dans le fait que les données sont disponibles dans plusieurs formats différents en fonction des appareils, des composants logiciels et des versions utilisées par chaque entreprise. Et en partie à cause du volume des données, qui peut rapidement submerger les analystes humains. Par conséquent, de nombreuses entreprises ne parviennent pas à tirer parti des connaissances que l’analyse des journaux peut fournir.

Par exemple, l’analyse et la surveillance des journaux peuvent être utilisées pour déboguer les applications en comparant les performances actuelles et passées. Les corrélations statistiques peuvent mettre en évidence des facteurs pertinents qui peuvent avoir un impact sur les performances et permettre une résolution plus rapide.

La sécurité de l’information est un défi majeur qui exige une attention constante de la part de vos équipes TI. Croyez-vous être bien protégés? 

Répondez à ce court questionnaire pour le découvrir!

Dans le domaine de la cybersécurité, l’analyse des journaux peut être une aubaine. Les algorithmes d’apprentissage machine peuvent être formés pour examiner les alertes historiques et identifier celles qui correspondent à des incidents avérés de sécurité. Cela réduit considérablement les fausses alertes et améliore la productivité du personnel dédié à la sécurité.

VMware vient d’annoncer une refonte majeure de NSX qui oppose directement l’entreprise à Cisco. Pouvez-vous évaluer les performances de VMware dans l’utilisation de NSX pour sortir de son créneau de virtualisation de serveurs?

Selon un rapport, VMware est sur le point de s’aligner dans un partenariat avec Microsoft semblable à celui qu’elle a formé avec Amazon Web Services il y a trois ans. Que nous apprend cela sur la confiance de VMware dans son rôle de cloud hybride?

Pensez-vous que VMware réussit bien à diversifier ses activités de virtualisation de serveurs avec des produits tels que la gestion du cloud, l’espace de travail numérique et la virtualisation des postes de travail ?

En novembre, Pat Gelsinger a déclaré : « Nous voulons changer la sécurité d’une manière fondamentale. » Dans quelle mesure pensez-vous que VMware est bien positionnée pour le faire?

Réussir sa transformation numérique par une approche disciplinée

Avec l’émergence de compagnies provenant du Web qui perturbent des industries séculaires, et les technologies telles que l’infonuagique et le big data qui bouleversent la manière dont les entreprises utilisent l’information, la transformation numérique est devenue l’un des sujets les plus en vogue de ces deux dernières années.

Une fausse croyance répandue à propos de la transformation numérique est qu’elle nécessite une restructuration globale. En fait, les entreprises peuvent obtenir des avantages substantiels en automatisant des processus manuels, en rationalisant les décisions et en améliorant la collaboration à l’aide d’outils numériques. Peu d’experts conseillent aux entreprises de tenter des transformations majeures sans d’abord tester les technologies et les idées à petite échelle.

Une approche disciplinée commence par étudier les domaines présentant les opportunités les plus immédiates, exécuter des projets d’essai et ensuite les étendre à l’ensemble de l’entreprise. Rappelez-vous que la transformation numérique peut être perturbatrice; procéder progressivement permet à l’organisation de s’adapter au changement et d’adopter une culture d’amélioration continue.

Commencez par les domaines dans lesquels les nouvelles technologies donnent des résultats tangibles et mesurables, tels que l’amélioration des flux de travail, la réduction des délais et l’amélioration de la productivité des employés. Les avantages de l’automatisation de ces fonctions avec des outils numériques sont souvent immédiats et préparent le terrain pour un déploiement plus ambitieux. Une approche progressive et régulière aide également à convaincre les sceptiques que la transformation numérique ne doit pas nécessairement être effrayante ou perturbatrice. Cela peut simplement être une bonne pratique commerciale.

Ce qui ne veut pas dire que la transformation est facile. Dans de nombreux cas, cela implique de remettre en cause les frontières, conventions et hiérarchies organisationnelles existantes. Les employés attachés aux anciennes façons de faire peuvent constituer un obstacle majeur. La bonne nouvelle est qu’ils peuvent généralement être gagnés avec des résultats démontrés.

Notre livre blanc « 5 étapes pour réussir votre transformation numérique » vous aidera dans votre transition! 

5 attaques d’identité qui exploitent les bris d’authentification

Les méthodes d’authentification traditionnelles qui reposent sur l’intégrité des noms d’utilisateur et des mots de passe sont généralement considérées comme étant brisées. En fait, l’authentification brisée (« broken authentication ») occupe la 2e place du Top 10 de l’OWASP pour les risques de sécurité des applications. Au fur et à mesure que les entreprises commencent à transférer des données plus sensibles vers des applications cloud pour tirer parti des gains de productivité, le périmètre traditionnel s’étend jusqu’à l’endroit à partir duquel l’utilisateur se connecte.

Autrement dit, l’identité devient le périmètre. Les agents de menace ont reconnu qu’il s’agit d’une faille de sécurité et exploitent la propension naturelle des employés à faire confiance à un courriel entrant provenant d’une source familière, ou leur tendance à réutiliser les mots de passe sur des comptes personnels et professionnels. Discutons des attaques d’identité les plus susceptibles d’avoir un impact sur votre organisation.

Attaque #1 : Campagnes d’hameçonnage

Pourquoi les campagnes d’hameçonnage sont-elles une méthode d’attaque si populaire? En termes simples, les chiffres sont en faveur de l’attaquant. Une campagne d’hameçonnage à grande échelle reconnait que les agents de menace n’ont besoin d’avoir accès qu’à quelques comptes ou à un seul compte administrateur pour compromettre l’entreprise. Pourtant, avec juste une légère touche d’ingénierie sociale et une liste d’adresses courriel, les attaques d’hameçonnage peuvent compromettre avec succès 1 employé sur 20, même d’une organisation bien formée. Le vol d’identité par hameçonnage est souvent la première étape d’une chaine de cyberattaques. Selon le rapport Verizon 2017 Data Breach Investigations, 81% des atteintes à la protection des données ont été commises à l’aide d’informations d’identité volées ou faibles.

  • L’attaquant se procure une liste de courriels ou de numéros de téléphone et conçoit un appel à l’action générique qui est pertinent pour cette liste (comme une fausse page de connexion Google).
  • Le message d’hameçonnage est largement diffusé, et l’attaquant attend de voir quelles informations d’identification sont collectées.
  • L’attaquant utilise les identifiants volés pour accéder aux données qu’il recherche ou adopte cette identité pour une attaque plus ciblée sur un employé de grande valeur.
Attaque #2 : Campagne d’harponnage

L’harponnage est une forme ciblée d’hameçonnage qui comprend souvent plus de recherche dans la conception de la liste cible et du message d’hameçonnage. À l’inverse des campagnes à grande échelle, l’harponnage se concentre généralement sur un petit nombre d’employés pour éviter les filtres automatisés. Le degré d’ingénierie sociale est également plus sophistiqué, les messages plus personnels et l’appel à l’action malveillant utilise des émotions comme la curiosité, la peur ou les récompenses.

  • L’attaquant choisit ses cibles avec soin, en faisant des recherches approfondies sur les ressources disponibles telles que les médias sociaux ou la présence sur le Web.
  • L’attaquant rédige un message d’hameçonnage conçu pour paraitre légitime, comme faire semblant d’être un collègue et faire référence à une situation d’actualité, comme une fête d’entreprise récente dont l’attaquant a appris l’existence en ligne.
  • La victime est amenée à entrer ses identifiants en faisant appel à ses émotions, comme la curiosité de voir les photos derrière une fausse page de connexion.
  • L’attaquant utilise les informations d’identification de la cible de grande valeur pour accéder à des données sensibles ou exécuter l’étape suivante de son attaque.
Attaque #3 : Bourrage d’identifiants

Le bourrage d’identifiants (credential stuffing) est une forme d’attaque par force brute qui tire parti de notre lutte pour sélectionner des mots de passe uniques sur nos différents comptes. Cela n’est guère surprenant si l’on considère que l’internaute américain moyen dispose de 150 comptes en ligne nécessitant un mot de passe. Pourtant, bon nombre d’entre nous ont vu leurs identifiants de compte compromis dans le cadre d’une atteinte à la protection des données (avez-vous vérifié les vôtres récemment?) Les attaquants utilisant le bourrage d’identifiants se servent de ces identifiants compromis sur plusieurs autres sites web pour vérifier si les détails de connexion sont réutilisés. Et ils le sont souvent : 73% des mots de passe sont des doublons, selon le rapport TeleSign 2016 sur la sécurité des comptes de consommateurs. Ces types d’attaques peuvent être perpétrées à grande échelle par des robots, ce qui augmente la probabilité que ces attaques affectent votre entreprise. Selon un rapport récent d’Akamai, « plus de 40% des tentatives de connexion mondiales sont malveillantes grâce aux attaques de bourrage d’identifiants pilotées par des robots. »

  • L’attaquant acquiert des informations d’identification à partir d’un site de violation de site web ou d’un site de vidage de mots de passe.
  • Des outils automatisés sont utilisés pour tester les identifiants sur un grand nombre de sites différents.
  • Lorsqu’une connexion réussie se produit, l’attaquant récupère les données sensibles ou exécute l’étape suivante de son attaque.
Attaque #4 : Pulvérisation de mots de passe

La pulvérisation de mots de passe est une autre forme d’attaque par force brute par laquelle un attaquant profite de notre tendance à se fier à des mots de passe courants comme « password1 » – qui, selon Pwned Passwords, est apparu dans plus de 2,3 millions de fors dans une violation de données!

  • L’attaquant utilise une courte liste de mots de passe fréquemment utilisés qui correspondent à la politique de complexité du domaine.
  • Au lieu d’essayer plusieurs mots de passe pour un même utilisateur, l’attaquant utilise le même mot de passe fréquent dans plusieurs comptes, permettant d’éviter la détection.
  • Une fois que l’attaquant a réussi à se connecter, il récupère les données sensibles ou exécute l’étape suivante de son attaque.
Attaque #5 : Man-in-the-Middle (MitM)

Une attaque MitM contre une organisation est une attaque très ciblée qui peut donner lieu à une prise complète des informations d’identification et des données en transit si elle est exécutée correctement. Après avoir intercepté une connexion réseau, un attaquant peut également profiter d’un « détournement de session » qui compromet la session Web en volant le jeton de session.

  • L’attaquant intercepte une connexion réseau, souvent en tirant parti d’outils pour imiter un point d’accès sans fil légitime (comme celui qu’on trouve dans un café).
  • Si les données sont chiffrées, l’attaquant peut tenter de déchiffrer les données en incitant l’utilisateur à installer un certificat malveillant ou une autre technique.
  • Si l’attaque réussit avant l’authentification initiale, les informations d’identification peuvent être volées car l’attaquant surveille toutes les entrées utilisateur.
  • Alternativement, l’attaquant vole le jeton de session et parvient à s’authentifier dans le compte et d’exécuter l’étape suivante de son attaque.

Compte tenu de ces risques identitaires, le NIST recommande aux entreprises de mettre en place l’AMF dans le cadre de leurs directives sur l’identité numérique. Découvrez comment Okta peut aider à prévenir les attaques d’identité sur votre entreprise.

Comment l’authentification multifactorielle (AMF) peut prévenir ces attaques d’identité

Au fur et à mesure que l’identité devient le nouveau périmètre de sécurité, les entreprises qui adoptent une approche de la sécurité basée sur l’identité constatent que ces attaques peuvent être évitées sans affecter l’expérience utilisateur. Bien qu’il soit certainement important d’informer les employés de ces attaques d’identité et de mettre en œuvre les meilleures pratiques de sécurité comme le chiffrement des données et l’étiquetage des certificats, la mise en œuvre de l’AMF dans vos applications réduira considérablement les risques d’attaques réussies. L’AMF prévient les attaques d’hameçonnage en exigeant un deuxième facteur pour accéder aux données d’entreprise sensibles, comme une confirmation vers l’appareil mobile de l’utilisateur pour authentification, et empêchant du même coup l’attaquant de s’authentifier dans l’application. Par conséquent, l’AMF empêche également le bourrage d’identifiants et la pulvérisation de mots de passe, car des identifiants volés ou faibles ne sont pas suffisants pour y accéder. Si l’AMF est associée à des solutions d’identification modernes, les entreprises peuvent également établir des politiques contre l’utilisation de mots de passe communs ou compromis qui rendent les employés vulnérables à ces attaques. La minimisation des messages  incitatifs d’AMF devrait également être une considération clé, et en mettant en œuvre l’AMF adaptative moderne, les défis du deuxième facteur ne sont relevés que dans des scénarios plus risqués, par exemple lorsque la connexion se fait hors du réseau de l’entreprise. De plus, les entreprises peuvent appliquer des politiques d’AMF particulièrement strictes pour les applications critiques ou les utilisateurs privilégiés, offrant ainsi une couche de défense efficace contre les attaques d’harponnage (spear-phishing). Enfin, l’AMF peut prévenir les attaques de MitM en s’assurant qu’en cas de vol de justificatifs d’identité en transit, un deuxième facteur est toujours nécessaire pour accéder au compte. Les attaques encore plus sophistiquées qui tentent de voler un mot de passe unique dans le cadre de l’attaque peuvent être évitées en utilisant des authentificateurs plus sûrs comme une clé de sécurité U2F.

Après un demi-siècle d’évolution, les données sont enfin libérées!

%
des entreprises sont sur le cloud
%
des charges de travail d'entreprises sont sur cloud public
%
des entreprises utilisent SaaS

Depuis 50 ans, une bonne partie de l’attention des dirigeants informatiques était consacrée au développement d’applications s’exécutant dans des centres de données, en d’autres mots, dans des contenants physiques. Ces centres ont évidemment évolué au fil des décennies et des nouvelles pratiques. La miniaturisation des ordinateurs, l’augmentation de la performance des réseaux et leur étalement (Internet) ont été des moteurs de changement et d’évolution. Un moment décisif au début des années 2000 a été le début de la virtualisation à grande échelle. Bien qu’inventée au début des années 60, c’est la compagnie américaine VMware qui a vraiment propulsé cette technologie. Depuis, les TI ne sont plus les mêmes. Le produit de cette mini révolution est le passage d’un monde TI de contenants physiques à celui de contenants logiques, virtuels. Ce n’est plus l’emplacement physique des serveurs qui compte, mais leur mobilité.

La mobilité des serveurs, la facilité de leur déploiement, la maturation d’Internet, l’arrivée de compagnies comme Google et Facebook et plusieurs autres facteurs ont permis la naissance de ce qui est maintenant appelé l’infonuagique. Cet univers numérique, élastique, en mouvance constante, composé de serveurs virtuels interconnectés par des réseaux virtuels sécurisés est devenu la nouvelle frontière, une forme de contenant planétaire où s’exécutent les applications en mode éclaté. Cette transformation a évidemment nécessité de nouvelles pratiques TI dans une foule de domaines pour faire face à cet univers changeant.

Pendant quelques années, cet univers numérique a été le nouveau modèle de centre de données vers lequel tous devaient s’orienter; il fallait « aller dans le cloud ». Plusieurs affirmaient que c’était une question de se réinventer afin de rester concurrentiel. Cependant, il a fallu se rendre à l’évidence que ce modèle n’était pas pour tous, et par conséquent en créer un nouveau, une variante, que l’on nomme l’infonuagique hybride. Cette variation emprunte les mêmes caractéristiques, mais l’échelle de son adoption est davantage ciblée pour des besoins précis de l’entreprise. Elle représente un pont entre l’infonuagique publique et privée. C’est le nouvel équilibre, le nouveau modèle qui repose sur l’agilité renouvelée des TI.

La grande mobilité des contenants, la nouvelle agilité des TI font que les barrières technologiques traditionnelles semblent s’être dissipées pour de bon. Si les préoccupations pour le domaine physique des TI ne sont plus à l’ordre du jour, que reste-t-il? Les données.

Les données sont enfin libérées, et ce à un moment crucial. En effet, la production de données ne cesse de s’accélérer. Les modes de consommation de ces données se multiplient (mégadonnées, apprentissage machine, apprentissage profond, intelligence artificielle, etc.) Les contextes commercial, économique et même politique augmentent notre dépendance sur ces quantités massives de données. Les TI doivent adopter une nouvelle vision centrée sur les données comme seul actif à grande valeur. Et c’est ici que le message commercial des entreprises TI devient important.

Nous croyons que vos partenaires fournisseurs doivent avoir une stratégie qui s’articule sur la mobilité des données. Les choix technologiques doivent viser à diminuer sinon éliminer toutes les contraintes empêchant cette mobilité, c’est une question essentielle pour rester agile et opportuniste. Les technologies vont et viennent, mais d’une vague à l’autre, d’une mode à l’autre, ce qui reste, ce sont les données. Le reste n’est qu’éphémère.

Les défis de la gestion des identités et des accès avec les applications SaaS

Le plus grandes entreprises au monde dotées d’équipes TI sophistiquées commencent à adopter les applications SaaS. Elles constatent maintenant que le SaaS est plus qu’un nouveau modèle de déploiement. Avec des cycles d’innovation plus rapides et tous les clients utilisant la même version, les applications SaaS deviennent rapidement les meilleures applications dans toutes les catégories informatiques.

En conséquence, le rôle des TI évolue et le besoin d’administration, de gestion et de sécurité des applications nécessite de nouveaux modèles. Nous avons défini les 8 principaux problèmes de gestion des identités et des accès (Identity and Access Management ou IAM) que vous rencontrerez lorsque vous commencerez à utiliser des applications SaaS :

1) La gestion des mots de passe utilisateur

2) Le processus d’approvisionnement manuel sujet aux pannes

3) Visibilité de la conformité : qui a accès à quoi?

4) Les instructions utilisateurs en silo pour chaque application

5) La gestion de l’accès avec l’explosion des navigateurs et des périphériques

6) La mise à jour des intégrations d’applications

7) Les différents modèles d’administration pour différentes applications

8) L’utilisation sous optimale et le manque de compréhension des meilleures façons de faire

Comme vous pouvez le constater, l’augmentation de l’adoption du SaaS par les entreprises qui, sinon, sont totalement concentrées sur des technologies sur site, n’est pas sans défis. Okta se concentre sur la résolution de ce problème depuis plus de cinq ans et dispose des outils nécessaires pour aider les administrateurs TI à garantir que les investissements SaaS fonctionnent de manière transparente avec leur infrastructure informatique sur site. Bien que les services à la demande offrent sans conteste un retour sur investissement considérable, ils posent également de sérieux enjeux en matière de gestion de l’identité aux directeurs TI et à leurs équipes. Le nombre croissant de répertoires d’utilisateurs mis en silo signifie que les bibliothèques de mots de passe des utilisateurs se développement avec chaque nouvelle application. De plus, les administrateurs peuvent rapidement perdre le contrôle de qui a accès à quoi.

Si vous souhaitez en savoir plus sur les défis en matière de gestion des identités et des accès, connaitre les meilleures façons d’y remédier et en savoir plus sur l’intégration d’Okta dans Active Directory, consultez leur dernier livre blanc (en anglais).

Okta whitepaper

IA : notre meilleur espoir pour la cybersécurité

En 2018, 90% des attaques d’exécution de code à distance étaient associées au cryptomining

Les attaques d’hameçonnage ciblées sont la principale menace selon 56% des décideurs

Utilisez Splunk pour soutenir vos activités de détection

Commençons par les mauvaises nouvelles : le consensus des experts est que nous perdons la bataille contre les cybercriminels. La croissance de la surface d’attaque dépasse la capacité des organisations de colmater les brèches potentielles, et les criminels n’ont qu’à pénétrer le réseau une seule fois pour infliger de sérieux dégâts.

Maintenant, les bonnes nouvelles : l’aide est peut-être à portée de main. L’apprentissage machine offre une occasion inédite de renverser la vapeur contre les attaquants et – à défaut d’empêcher les intrusions – au moins, limiter les dégâts qu’ils peuvent faire.

Le plus gros problème auquel est confrontée la communauté de sécurité aujourd’hui est le manque de personnel qualifié. La pénurie mondiale de professionnels de la cybersécurité devrait atteindre 3,5 millions de postes disponibles d’ici 2021. Cette crise survient au milieu d’une explosion de données qui voit les volumes d’information dans de nombreuses organisations doubler chaque année. Au fur et à mesure que les volumes de données augmentent, la tâche de surveillance pour détecter les menaces ou le vol augmente également. L’humain étant beaucoup moins évolutif que les machines, l’intelligence artificielle devient notre meilleur moyen de défense.

Les centres d’opérations de sécurité sont déjà submergés par les données, et le volume ne fera que s’accélérer, car l’Internet des objets contribue à cette croissance. Nous avons plusieurs façons de capturer et de stocker les informations, mais jusqu’à récemment, il y avait peu de moyens d’en tirer des connaissances, en particulier lorsque le volume augmente. Les organisations informatiques ont recours à plus d’outils – l’entreprise moyenne dispose désormais de 75 produits de sécurité différents –, mais une mauvaise intégration les empêche d’avoir une vision unifiée de tout ce qui se passe dans leur infrastructure.

La différence : l’apprentissage machine

Les algorithmes d’apprentissage machine excellent dans le traitement de grandes quantités de données. Les percées récentes dans la conception de serveur les ont rendus encore plus puissants. Les supercalculateurs alimentés par des unités de traitement graphique (GPU) de sociétés comme Nvidia permettent de paralléliser des algorithmes et de les appliquer à d’énormes bases de données. Alors que les GPU ne sont pas aussi flexibles que les CPU à usage général, elles sont extrêmement rapides et conçues pour fonctionner en parallèle pour atteindre une évolutivité quasi illimitée. Nvidia conçoit des technologies telles que NVLink Fabric pour rendre l’alimentation de type supercalculateur accessible au plus grand nombre.

Ces progrès surviennent au moment où la communauté de la sécurité se concentre davantage sur la détection et le confinement plutôt que sur la prévention. L’hypothèse est que la plupart des principaux systèmes ont déjà été victimes d’intrusion, donc le défi consiste à isoler les attaquants avant qu’ils ne puissent faire beaucoup de dégâts.

Cela nécessite une analyse de modèle sophistiquée appliquée à la consignation des données pour repérer les anomalies. Les administrateurs de sécurité établissent une base d’activité « normale » et les systèmes de détection d’intrusion parcourent les journaux de réseau et de bases de données pour identifier les modèles inhabituels qui pourraient indiquer une intrusion.

Le problème avec la détection d’intrusion conventionnelle est que les humains doivent définir ce qui est « normal », ce qui est extrêmement difficile à faire parce que le trafic est intrinsèquement imprévisible. Le résultat est un déluge de fausses alertes sur les administrateurs de sécurité. Par conséquent, de nombreuses alertes sont ignorées, ce qui va à l’encontre du but de la détection d’intrusion.

Les systèmes d’apprentissage machine commencent avec la même base de référence, mais s’améliorent en continuant à parcourir les données. Avec un peu d’aide des administrateurs de sécurité, ils apprennent à identifier les modèles qui caractérisent les comportements malveillants et éliminent les anomalies bénignes. Leur analyse s’améliore au fil du temps, entrainant beaucoup moins de fausses alertes et donnant aux administrateurs des cibles plus précises.

La détection d’intrusion intelligente n’est qu’une façon dont l’IA modifie l’équation de sécurité. Les systèmes cognitifs peuvent surveiller des sources externes comme des alertes de menaces et des blogues de sécurité pour trouver des informations utiles pour le personnel de sécurité et les alerter de nouvelles menaces. Les filtres intelligents peuvent analyser les messages courriel à la recherche de signes d’hameçonnage, de la même manière que l’apprentissage machine est déjà appliqué à la détection de pourriel.

Le jeu du chat et de la souris

Aussi prometteurs que soient ces développements, nous ne pouvons nous permettre de nous reposer sur nos lauriers. Les mauvais joueurs auront accès à la même technologie et pourront l’utiliser contre nous. Prenez l’exemple des systèmes de réponse vocale. L’an dernier, un groupe de chercheurs chinois a montré des moyens de tromper les assistants vocaux dans l’exécution de commandes malveillantes cachées dans le discours humain ordinaire et même dans la musique. La manipulation de l’image et du son peut être utilisée pour tromper les systèmes d’authentification biométriques. L’IA peut être appliquée aux algorithmes de devinette de mots de passe pour les rendre plus précis. Et la même technologie cognitive qui surveille les sources externes pour les alertes de menace peut également être utilisée pour recueillir des données pour le vol d’identité.

Le risque est que l’intelligence artificielle pourrait créer un jeu du chat et de la souris dans lequel les entreprises et les attaquants se battent dans une impasse en utilisant un nouvel ensemble d’outils.

Notre plus grand atout dans la lutte contre la cybercriminalité avec l’intelligence artificielle est la coopération. Les systèmes d’apprentissage machine peuvent faire des choses extraordinaires par eux-mêmes, mais lorsqu’ils sont fédérés avec d’autres systèmes, ils tirent parti de leurs connaissances collectives à un point que les criminels trouveront difficile à égaler. Le Qradar Advisor with Watson d’IBM n’est qu’un exemple de la manière dont la collaboration est intégrée dans les produits de sécurité. Vous pouvez vous attendre à voir beaucoup plus d’activité dans ce domaine alors que l’immense potentiel de l’apprentissage machine se concrétise.

L’infrastructure hyperconvergée, incontournable?

La vague de l’informatique hyperconvergée est enclenchée depuis un bon moment déjà. Suite logique de l’informatique convergée, elle reprend les mêmes éléments mais avec une plus grande symbiose de ses composants avec la  virtualisation du traitement, stockage et du réseau. Plusieurs parlent même de l’hyperconvergé comme d’un centre de données en boîte (« data center in a box »). Qu’est-ce qui a donné naissance à l’hyperconvergence et pourquoi faut-il en tenir compte dans la conception des centres de données modernes ou dans l’élaboration d’une stratégie de déploiement d’un nouveau service TI?

Au cours des dernières années, le discours des dirigeants d’entreprise a basculé. Il n’est plus axé sur comment les choses doivent fonctionner, mais bien comment livrer les services plus rapidement et de manière plus agile. Pour l’entreprise, c’est une question de demeurer compétitif ou même d’aller chercher un élément pour se démarquer de la concurrence. Ce discours n’est pas sans remettre en question la place des TI traditionnelles.

Les éléments clés des plateformes hyperconvergées sont : la rapidité de la mise en service, une croissance flexible de ses capacités et des coûts d’exploitation moindres à long terme. Ces facteurs contribuent à l’agilité de la fonction TI en permettant le déploiement rapide de l’infrastructure nécessaire pour les applications et services de l’entreprise. Plus besoin d’attendre la mise en place par les équipes TI responsables des serveurs, du stockage et des éléments de réseautique, puisqu’une plateforme hyperconvergée se déploie comme un tout au moyen d’un assistant intelligent de déploiement.

Au delà des aspects séduisants des plateformes hyperconvergées, il y a lieu de se questionner sur plusieurs défis qu’elles engendrent. En effet, il faut connaître les cas d’utilisation typiques de ces plateformes. Les premiers cas de déploiement ont été pour les infrastructures de bureau virtuel (VDI). Le VDI est bien desservi par l’hyperconvergé car il offre un ensemble relativement homogène et une croissance potentiellement constante et prévisible. Le VDI exige des infrastructures de stockage performantes. Toutefois, les applications de tableaux de bord, de BI ou même d’intelligence artificielle ne sont pas destinées pour l’hyperconvergence car elles ont des charges difficilement prévisibles et leur croissance est erratique ou exponentielle. Il est essentiel de réfléchir sur les cas potentiellement gagnants pour l’hyperconvergence avant de se lancer et encore mieux, demander conseil à des experts.

Finalement, au delà de la technologie, il y aura toujours le défi humain. Les plateformes hyperconvergées sont nombreuses et ont toutes leurs caractéristiques propres. Mais toutes sont assujetties au même problème potentiel : dans les grandes organisations, ces plateformes, pour être bien déployées et bien utilisées, demandent des efforts concertés des différents groupes TI qui n’ont pas toujours l’habitude de travailler main dans la main. Peu importe le projet TI, sans la collaboration de ces équipes responsables des serveurs, du stockage et de la réseautique, tout déploiement d’une plateforme hyperconvergée est vouée à l’échec.

L’infrastructure hyperconvergée est-elle une option pour votre entreprise?

 

Votre organisation fait-elle partie de celles qui ont un fort potentiel pour une plateforme hyperconvergée? Répondez à notre court questionnaire pour en savoir plus!

Téléchargez notre livre électronique pour en savoir plus

L’IoT plante les graines de la transformation numérique pour les services publics

%
de croissance annuelle de l'énergie solaire
%
de réduction de la demande énergétique d'ici 2050

L’Internet des objets est à la fois une bénédiction et une malédiction pour les entreprises de services publics. La malédiction vient du fait que les appareils intelligents donnent aux clients un contrôle accru sur leurs propres besoins de production et de distribution d’énergie. La bénédiction est la chance pour les services publics d’améliorer nettement l’efficacité, de réduire les coûts et d’étendre leurs activités dans de nouvelles directions. Les gagnants choisiront de voir ce changement comme une opportunité.

L’IoT prend forme à mesure que les services publics se retrouvent à la croisée des chemins. Leur industrie est hautement réglementée, et la plupart des fournisseurs détiennent des monopoles ou des semi-monopoles sur leurs zones de service. Mais la technologie de l’énergie alternative érode leur contrôle du marché. Le marché de l’énergie solaire devrait atteindre 422 milliards de dollars d’ici 2022, en croissance de près de 25% annuellement. En Europe, des complexes immobiliers entiers ont quitté le réseau public car ils répondent à leurs propres besoins énergétiques grâce à une combinaison de sources d’énergie solaire, éolienne, géothermique et autres. Cetaines communautés résidentielles commencent à mettre en place des échanges d’énergie pour acheter et vendre l’énergie que les propriétaires individuels génèrent, supprimant complètement le service public.

Dans la plupart des industries, ces tendances seraient inquiétantes, mais les services publics ne sont pas comme les autres secteurs. La plupart sont dans la position inhabituelle de vouloir réellement que les clients utilisent moins de leurs produits, et IoT pourrait être leur meilleur allié pour atteindre cet objectif.

La raison en est que les services publics veulent éviter les investissements énormes et les procédures réglementaires qui sont impliqués dans la construction de nouvelles centrales. Encourager les clients à réduire leur consommation d’énergie leur coûte moins cher en capital. C’est pourquoi les sociétés gazières et électriques canadiennes et américaines ont investi 8,8 milliards de dollars en 2017 pour aider les clients à devenir plus efficaces.

Les appareils connectés pourraient contribuer à des réductions importantes de la consommation. Certains services publics utilisent déjà des thermostats télécommandés pour ajuster les températures dans les maisons et les entreprises de leurs clients afin de réduire la pression sur le réseau électrique et profiter des périodes de faible utilisation, économisant ainsi les coûts des deux côtés. À mesure que de nouveaux appareils deviennent instrumentés, ces opportunités vont croitre.

Par exemple, les capteurs allumeront et éteindront les lumières ou ajusteront les températures aux réglages optimaux en fonction du nombre de personnes présentes dans une pièce. L’apprentissage machine rendra ces ajustements de plus en plus précis au fil du temps. Les appareils tels que les imprimantes et les moniteurs peuvent être mis hors tension lorsqu’ils sont inutilisés, ou la température du réfrigérateur réduite en fonction du contenu. La gestion de la consommation d’énergie peut même être un nouveau service lucratif que les services publics peuvent vendre à des clients qui ne veulent pas gérer eux-mêmes leur flotte d’appareils intelligents.

De la place pour l’épargne

Il y a beaucoup d’efficacité à retirer du système. L’Agence internationale de l’énergie estime que le Canada pourrait réduire ses coûts énergétiques d’environ 2% par année grâce à des investissements dans l’efficacité, réduisant ainsi la demande globale d’environ un tiers d’ici 2050.

Les appareils intelligents peuvent également être les meilleurs alliés des services publics pour rendre leurs propres opérations plus efficaces. Les capteurs installés dans les centrales de production et de stockage d’énergie peuvent équilibrer les charges des équipements pour une efficacité maximale avec une usure minimale. Les analyses prédictives permettent de trier les historiques de maintenance afin d’aider les propriétaires à résoudre les problèmes avant qu’ils ne se produisent et à éviter d’envoyer les travailleurs dans des environnements éloignés et souvent dangereux pour les réparations d’urgence. McKinsey s’attend à ce que cette forme de technologie d’apprentissage machine aide les entreprises à économiser 630 milliards de dollars par année d’ici 2025.

Sur le terrain, les drones émergent comme une ressource précieuse pour les services publics pour inspecter les équipements situés au-dessus de la cime des arbres ou à des kilomètres de la route la plus proche. Ce scénario IoT apparait comme un choix naturel pour les entreprises de services publics, dont les actifs sont souvent situés loin des zones habitées par leur conception. Les premiers utilisateurs rapportent des économies de coûts spectaculaires et une meilleure qualité d’inspection, car les drones peuvent atteindre des endroits inaccessibles aux  humains.

Ces scénarios sont le fruit de l’IoT pour les services publics. De nouveaux modèles d’affaires créatifs vont aussi émerger. Par exemple, les services publics pourraient gérer les « microréseaux » communautaires décrits précédemment afin d’optimiser la production d’électricité et d’éviter aux clients les inconvénients de la tenue de livres et de la facturation. Ils peuvent fournir des services à la population croissante de véhicules électriques. Il y aura églaement de nouvelles façons de tirer parti de l’énorme quantité de données que les services publics pourront collecter à partir des appareils connectés pour mieux comprendre les habitudes d’utilisation des consommateurs et recommander les produits en conséquence.

Les services publics qui prospéreront dans ce nouvel environnement seront ceux qui appliquent le mieux la créativité et l’innovation à leurs entreprises. Ce secteur hautement réglementé n’est pas traditionnellement un terrain fertile pour l’innovation, mais l’environnement changeant récompensera les entreprises qui font le meilleur travail de sortir des sentiers battus… ou du réseau.