Flux RSS
Infrastructure serveur
2924 documents trouvés, affichage des résultats 551 à 560.
| < Les 10 documents précédents | Les 10 documents suivants > |
(01/04/2011 14:34:40)
Le rapport X-Force d'IBM alerte sur la sécurité des mobiles et du cloud
Dans ce rapport, il est indiqué que les entreprises doivent notamment avoir à l'esprit que le jailbreak permet d'accéder au root des téléphones mobiles, ce qui pose un certain nombre de problèmes. Alors que de nombreux propriétaires de téléphone choisissent volontairement d'outrepasser les restrictions du constructeur pour installer sur leur mobile des applications initialement non compatibles, les pirates savent aussi tirer parti des outils de jailbreaking à leur disposition. Ainsi, ils peuvent modifier le code à l'intérieur d'un outil pour obtenir un accès root non autorisé, comme l'indique un rapport sur les tendances et les risques «IBM X-Force 2010 Trend et Risk Report» établi par des spécialistes de la sécurité chez IBM.
Une autre préoccupation émise dans ce rapport concerne les menaces que représente la sécurité des réseaux sociaux, généralement très sous-estimées selon eux. Certes, comme le précise le rapport, « les attaques généralisées visant à exploiter ces vulnérabilités ne sont pas légion. » Mais c'est essentiellement parce que « pour ceux qui mettent en place des réseaux de zombies à grande échelle sur Internet, les ressources financières que pourraient générer le piratage des appareils mobiles ne sont pas aussi intéressantes que celles procurées par les machines de bureau. » Néanmoins, chaque téléphone mobile peut contenir suffisamment d'informations précieuses pour justifier une attaque ciblée. « Introduit dans un mobile, un programme malveillant peut être utilisé pour espionner les utilisateurs, accéder à des informations sensibles, et entrer dans les réseaux d'entreprise. Par conséquent, les entreprises devraient prendre au sérieux le risque que représentent ces logiciels malveillants », indique le rapport.
Adapter sa sécurité
IBM X-Force recommande un minimum de mesures de sécurité dont un pare-feu, un anti-malware, des mots de passe forts, le verrouillage et la suppression des données après plusieurs tentatives de connexion, l'utilisation de passerelles entre les dispositifs et les réseaux d'entreprise (VPN), et la configuration du Bluetooth de façon à ce que seuls les appareils sécurisés puissent se connecter entre eux. Les entreprises qui utilisent une flotte mobile devraient également envisager le cryptage des données sensibles. « Toutes les données ne doivent pas être chiffrées, mais les données sensibles de l'entreprise, oui, » préconise le rapport.
Les boutiques légales d'applications en ligne sont également désignées comme source très dangereuse pour la diffusion de malware sur les smartphones. Si elles ne disposent pas des ressources nécessaires pour contrôler toutes les applications soumises, ces plates-formes peuvent en effet vendre des applications qui sont en fait des logiciels malveillants. « Probablement, des applications en apparence dignes de confiance, sont facilement utilisées comme vecteur pour la propagation de malware, » indique le rapport. Les entreprises qui cherchent à sécuriser les smartphones pourraient utiliser à bon escient la technologie d'encapsulage pour séparer les données et les applications professionnelles de tout le reste sur un même téléphone. « Les utilisateurs ne veulent qu'un seul appareil, et le fait d'encapsuler le contenu professionnel permettrait aussi un usage personnel du mobile, tout en protégeant les données sensibles, » indiquent les spécialistes.
Le cloud aussi touché
Le rapport X-Force s'est également intéressé aux services Cloud et à la sécurité des nuages, un aspect qui conditionne grandement leur adoption. Mais de plus en plus d'entreprises s'y mettent, au moins pour héberger certaines de leurs données et applications. La sécurité ne doit pas être infaillible si les risques associés à l'utilisation du Cloud sont acceptables. « Pour les entreprises, la question n'est pas de savoir si le Cloud dans son ensemble est sécurisé, mais si elles-mêmes se sentent à l'aise pour délocaliser une partie de leur charge de travail sur le Cloud, » commente le rapport. Les clients doivent naturellement faire confiance à la sécurité offerte par les fournisseurs de Cloud, et accepter que ceux-ci donnent peu de détails sur leurs mesures de protection pour éviter de révéler leurs méthodes aux attaquants éventuels.
« Donc, les clients doivent faire confiance à leurs fournisseurs, mais ceux-ci ne peuvent garantir une sécurisation infaillible, » résume le rapport X-Force. Il est possible que les fournisseurs de nuage soient en mesure d'offrir une meilleure sécurité à leurs clients. « La protection que procure le nuage pourrait contribuer à mieux défendre les réseaux d'entreprise qu'ils ne le font eux-mêmes, » dit encore le rapport. « Au moins à court terme, les clients doivent évaluer leur degré de tolérance par rapport aux risques associés à l'utilisation de services Cloud et agir en conséquence, » indique le rapport.
Crédit Photo: D.R
(...)(31/03/2011 11:16:29)Pelikan mise sur un cloud privé chez Interoute
Pelikan est un papetier et fabricant d'instruments d'écriture de haut de gamme. La société veut accélérer le délai de mise sur le marché de ses produits de papeterie en améliorant la collaboration en temps réel entre ses équipes de ventes installées en Allemagne et les départements Production et Recherche & Développement basés en Suisse. Pelikan est une marque de papeterie allemande âgée de 172 ans qui possède un réseau de distribution mondial et des usines réparties dans huit pays.
La société a centralisé son infrastructure informatique et ses services d'hébergement en les plaçant dans un Cloud privé chez Interoute. L'entretprise permet ainsi à ses collaborateurs de partager des accès sur les applications essentielles et des informations critiques en temps réel. Jusqu'à présent, Pelikan gérait un ensemble de systèmes informatiques disparates, coûteux et offrant peu de flexibilité face aux changements du marché.
Flexibilité et simplicité
« Pelikan est une société qui évolue et nous avons besoin de flexibilité. Nous souhaitions une solution simple à mettre en oeuvre et nous apportant des temps de réponse exceptionnels,» explique Arturo Ianniciello, responsable de l'Infrastructure à la DSI Production et R&D chez Pelikan Hardcopy Production AG. Grâce à la solution de Cloud privé retenue, il devient possible « de déplacer un bureau ou un département en toute simplicité, grâce à une infrastructure souple. Côté coûts, nous avons déjà constaté des économies dans plusieurs pays et nous espérons réduire nos dépenses de 30% au total, l'année prochaine » ajoute-t-il.
Les projets en cours concernent désormais un réseau de voix sur IP mondial, l'extension des services MPLS aux autres sites européens et la mise en place d'une solution de stockage afin de réaliser la réplication, la récupération et l'archivage des données.
Joyent choisit Neurones IT pour intégrer son offre Paas en Europe
Neurones IT est l'entité chargée de l'infogérance des infrastructures dans le groupe Neurones. Elle est donc directement préparée au Paas (platform as a service). « Nous travaillons depuis un an sur le sujet », nous explique Rémy Dumenil, en charge de l'offre cloud computing pour Neurones-IT. Les choix sont aujourd'hui très avancés.
Neurones IT vient d'opter en faveur de la société californienne Joyent comme partenaire technologique pour, d'une part, vendre les solutions de celle-ci, distribuées totalement en indirect, et, d'autre part, élaborer ses propres offres cloud de type Paas. Au préalable, la SSII a procédé à une étude technique et commerciale. Le choix de Joyent s'est imposé car leur produit est apparu plus mature que les autres. « Nous aurons moins d'efforts à fournir sur les offres Joyent que sur les autres qui ont encore des retards en matière d'interfaces, de suivi de la consommation en temps réel, d'auto-administration », souligne Rémy Dumenil.
Plusieurs clients sont en maquette
D'autres éléments ont fait pencher la balance. Joyent présente des retours d'expérience probants en Amérique du nord. Son offre est basée sur des web services et sur une consommation réelle. Joyent est certes encore peu présent en Europe, mais ce n'est visiblement pas un frein pour Neurones. L'intégrateur va bénéficier en Amérique du nord du support de Joyent qui lui enverra des clients. Plusieurs d'entre eux sont en maquette. Neurones-IT met d'ailleurs en place un centre de démonstration autour des solutions Joyent.
« Pour nous c'est d'abord une reconnaissance par un grand acteur du marché et une reconnaissance technique de nos solutions », nous explique Philippe Weppe, directeur général EMEA de Joyent qui recherche une quinzaine de partenaires, deux pour chacun des grands pays européens et quelques transnationaux.
Par ailleurs, Joyent Corp va revendre son activité d'hébergement, ses partenaires seront directement positionnés pour l'exercer. De grands clients américains de la société californienne -on parle d'un grand spécialiste mondial du e-commerce- souhaitent trouver en Europe des structures pour leur hébergement. Les partenaires intégrateurs européens de Joyent seront très bien placés.
Source illustration : Joyent (...)
CIO.PDF 34 : le nuage privé et les grandes organisations
On n'est jamais mieux servi que par soi-même. A l'heure où le Cloud public est promu par de très nombreux fournisseurs, de grandes entreprises préfèrent bâtir leur propre Cloud privé. De par leur taille importante, ces entreprises bénéficient ainsi d'économies d'échelle et conservent la maîtrise de leur système d'information. Reste que bâtir un Cloud privé est un chantier de grande ampleur.
Il impose de rationaliser à la fois les tâches des informaticiens et les demandes des métiers. Au bout du compte les deux mondes - IT d'un côté, fonctionnels de l'autre - devraient mieux dialoguer mais cela va prendre du temps.
(...)(30/03/2011 16:11:48)Cisco veut acquérir NewScale, fournisseur de cloud à la demande
Cisco a annoncé son intention d'acquérir NewScale, un fournisseur de logiciels qui propose un portail self-service pour les entreprises. Elles peuvent ainsi sélectionner et déployer des services de cloud computing. Les termes financiers du contrat n'ont pas été divulgués.
Basée à San Mateo, en Californie, les produits NewScale donnent aux entreprises, mais également à des partenaires commerciaux le moyen de fournir des allocations de ressources de manière ponctuelle selon les besoins. Cisco explique que les solutions de NewScale vont compléter et élargir son offre de services cloud notamment sur la partie management et automatisation.
L'acquisition devrait être finalisée au second semestre de l'exercice 2011 de Cisco.
L'EPITA se penche sur la sécurité du cloud
Le cloud computing est-il un renoncement à la confidentialité ? La question mérite d'être régulièrement posée et c'est ce qu'a fait l'école d'ingénieurs Epita au cours d'un colloque le 24 mars 2011. Une table ronde réunissait ainsi (de gauche à droite sur la photo) : Sylvain Thiry (RSSI de la SNCF), Patrick Langrand (directeur de la gestion des risques IT de La Poste), Nicolas Arpajian (journaliste animateur), l'Amiral Michel Benedittini (directeur général adjoint de l'ANSSI) et Sébastien Bombal (RSSI d'Areva, enseignant à l'Epita).
« Quand on ne maîtrise pas son système d'information, en cas d'externalisation notamment, il est difficile de savoir si l'hygiène informatique, cet ensemble de règles et de bonnes pratiques pour se prémunir des risques, est bien respecté » a souligné l'Amiral Michel Benedittini. Il a dénoncé l'opacité des contrats de la plupart des fournisseurs de prestations de type cloud et la régulière absence de clauses de niveau de service et de sécurité. Si certains très grands comptes peuvent négocier ces clauses, c'est absolument exclu pour les PME. « Même des dizaines de milliers d'utilisateurs ne permettent pas toujours de négocier » s'est offusqué Sébastien Bombal.
Où sont les nuages ?
Or l'une des questions posée par le militaire a aussi des répercutions en terme de conformité légale aux dispositions dites « informatique et liberté » : selon l'endroit où seront les données « cloudifiées », le gouvernement local ou ses services peuvent-ils accéder aux données et le cas échéant, comme cela s'est déjà vu, les transmettre à ses propres industriels nationaux ? L'Etat compte, pour répondre à cette problématique sans se priver des avantages du cloud, fabriquer un « cloud de confiance », avant tout pour ses propres usages.
Comme il est impossible de dire systématiquement « non » au cloud, le recours à des clouds privés ou soigneusement sélectionnés parmi des opérateurs strictement nationaux peut être aussi une solution. Enfin, il est aussi possible de ne mettre dans le cloud que des traitements et des données non-sensibles sur le plan stratégique et de conserver sur des plate-formes traditionnelles ce qui doit être strictement contrôlé.
Les métiers dans les nuages et le brouillard
Pour Sylvain Thiry, l'émergence du cloud a radicalement modifié la perception de la sécurité pour trois raisons principales. Tout d'abord, les prestations de type cloud et notamment SaaS sont de plus en plus souvent gérées directement par les directions métier utilisatrices et plus par la DSI. Or les DSI sont habituées à gérer les questions de sécurité, pas les métiers. Le RSSI doit donc de nouveau prendre son bâton de pèlerin.
Ensuite, le cloud est très attractif et l'interdire ou le limiter est compliqué car le recours à ce modèle implique une absence de rigidité : la direction métier peut tester, utiliser ou arrêter quand elle veut le recours à un tel service sans le moindre investissement. C'est le triomphe de l'Opex sur le Capex. Enfin, le cloud étant par définition une vaste ressource mutualisée très souple, la traçabilité de ce qui s'y passe est quasiment nulle.
Face à la pression des utilisateurs qui peuvent être du comité exécutif, trois attitudes sont possibles pour le RSSI selon Sylvain Thiry. « Dire non systématiquement parce que le cloud est trop risqué, c'est dangereux pour sa carrière » reconnaît-il. Mais, comme il l'indique aussitôt, « le oui mais, plus confortable a priori, est souvent en fait un non déguisé : l'analyse de risque par le RSSI, le CIL, le service juridique, les acheteurs, etc. va prendre du temps et coûter cher. Les éventuelles économies et les gains attendus de souplesse seront alors rapidement anéantis. »
[[page]]
Il reste donc au RSSI à anticiper les demandes nouvelles en termes de cloud. Les données non-sensibles sur le plan stratégique peuvent bien être hébergées sur le cloud, ce qui inclut pour Patrick Langrand des données sensibles psychologiquement comme la paye, externalisée dans bien des entreprises depuis des années. Une solution peut aussi être de chiffrer ce qui est cloudifié mais ce n'est pas forcément une solution satisfaisante ou toujours possible.
« Le plus grand risque, c'est que les directions métiers utilisent le cloud sans même avertir le RSSI ou le DSI » soupire Sylvain Thiry tout en reconnaissant qu'un « serveur local n'est pas nécessairement plus sécurisé qu'un cloud confié à une armée de spécialistes ». Mais, après tout, comme il en convient, « le risque est associé au processus et a donc le même propriétaire : le métier. Le RSSI est un sensibilisateur et un informateur, pas un décideur. »
Une ouverture de plus
Pour Patrick Langrand, la question de départ est presque sans pertinence : « si on s'oppose au cloud, le métier vous mettra dehors. » C'est d'autant plus vrai que le discours du DSI sera incompréhensible tandis que les prestataires de cloud ont fabriqué un discours marketing destiné aux décideurs métier.
Le véritable problème, selon lui, n'est pas le cloud en lui-même mais le quasi-monopole des Etats-Unis en la matière : « les Etats-Unis n'hésitent pas à pratiquer le protectionnisme des données mais pas l'Europe. Il est essentiel de développer des acteurs locaux de cloud. » Sébastien Bombal se veut, lui, plus rassurant : « l'entreprise étendue est un fait depuis des années et tout projet se fait avec des partenaires extérieurs. Le cloud n'est finalement qu'une ouverture de plus. »
Il y a cependant des pièges. L'économie affichée par certains prestataires n'est pas toujours aussi évidente. Ainsi, aucune entreprise ne peut entretenir une boîte mail pour deux euros par mois mais un tel coût proposé par des prestataires dans le cloud n'inclut pas l'assistance utilisateurs qui reste en interne. Surtout, comme toute externalisation, entrer dans le cloud est facile, perdre de la maîtrise plus encore, et revenir en arrière (même pour changer de prestataire) loin d'être simple, les équipes internes pour procéder à la manoeuvre ayant été supprimées.
Du matériel dédié et localisé désormais disponible dans le cloud d'Amazon
Elastic Compute Cloud (EC2) d'Amazon utilise la virtualisation, basée sur une version personnalisée de l'hyperviseur Xen, pour faire tourner plusieurs OS et des applications clients sur une seule machine physique. Mais, ce mode de gestion de l'infrastructure informatique ne convient pas à tous les utilisateurs, notamment ceux qui doivent respecter des restrictions réglementaires ou autres nécessitant un isolement physique, comme le fait remarquer le communiqué publié sur le blog d'Amazon. Celui-ci indique par ailleurs que la mise à disposition d'instances dédiées ou Dedicated instances vise à répondre à ces besoins.
Les instances feront partie du service Cloud Privé Virtuel (VPC) d'Amazon, récemment mis à jour pour bénéficier de meilleures fonctions réseau. Au moment de la configuration du VPC, les administrateurs peuvent mettre en place soit un cloud privé composé uniquement d'instances dédiés ou bien un cloud comprenant un mélange d'instances classiques et dédiées, selon les exigences de l'application, indique Amazon. Les utilisateurs n'ont aucun contrôle sur la manière dont sont gérées les instances dédiées, à savoir si elles tourneront sur un même matériel ou si elles seront réparties sur plusieurs machines. Mais Amazon a déclaré faire en sorte de privilégier la répartition afin de réduire les effets que pourrait entraîner une éventuelle défaillance matérielle.
Un léger surcoût
Le prix pour bénéficier d'instances dédiées comprend deux types de frais : un tarif horaire « par instance » et une « taxe par région ». Les frais liés à la localisation sont de 10 dollars de l'heure quel que soit le nombre d'instances en cours d'exécution par une entreprise dans la dite région. Les frais d'utilisation dépendent de la région où l'instance est en cours d'utilisation, son niveau de performance et le système d'exploitation impliqué. Par exemple, une instance de grande taille pour faire tourner Suse Enterprise Linux en Caroline du Nord coûte 0,54 dollar de l'heure.
Les utilisateurs d'AWS peuvent également choisir un règlement unique pour chaque instance, en contractant un abonnement sur un ou trois ans. En retour, ils peuvent bénéficier d'une réduction sur le taux horaire. Les entreprises qui ont besoin d'instances régulières ne payent alors que les frais d'usage, ce qui est légèrement moins onéreux que le tarif payé par les utilisateurs d'instances dédiées. Ces derniers ont également plus de liberté pour choisir les instances et la région dans laquelle ils souhaitent opérer. Selon le blog d'Amazon, les frais liés à la localisation se justifient par le fait que l'entreprise ne sera pas en mesure d'utiliser le matériel dédié de manière aussi rationnelle.
Selon Niklas Zandelin, PDG de la société de recherche en marketing Exido, le fait de permettre aux entreprises de faire tourner des applications sur du matériel dédié peut aller à l'encontre de l'idée que l'on se fait des services cloud et de la virtualisation. « Pour Amazon cependant, c'est un moyen de mettre ses services à la portée d'un plus grand nombre d'entreprises, » a t-il expliqué. Pour la plupart des entreprises, le déplacement d'une activité vers le cloud est toujours un processus évolutif. En leur permettant d'utiliser un matériel dédié, Amazon pourrait attirer et engager les clients plus tôt dans ce processus.
| < Les 10 documents précédents | Les 10 documents suivants > |