Flux RSS

Inscrivez-vous

Élisabeth Humbert-Bottin arrive à la direction du GIP-MDS

Élisabeth Humbert-Bottin vient d'être nommée troisième directeur général du GIP MDS (groupement d'intérêt public pour la modernisation des données sociales). Elle succède à Bernard Hélie qui avait lui-même remplacé en 2003 Jacques Sauret, le premier patron de l'organisme. Si Bernard Hélie part à la retraite, son prédécesseur avait vagué vers d'autres fonctions, à la tête de l'ADAE puis, avec moins de succès, au GIP DMP. Rappelons que le GIP-MDS regroupe les organismes sociaux et édite Net-entreprises.fr. Ce site a ouvert en 2000 et permet aujourd'hui à presque deux millions d'entreprises de télétransmettre leurs déclarations sociales auprès des organismes percepteurs de cotisations.

Élisabeth Humbert-Bottin n'est une novice ni dans le secteur social ni dans l'informatique. En 1992, elle a été nommée directeur de l'organisation de la Caisse nationale d'assurance vieillesse des travailleurs salariés (Cnav). Devenue secrétaire général de la Cnav en 1999, elle a pris en 2004 la direction d'Armonia, l'association assurant la maîtrise d'ouvrage informatique de la Mutualité sociale agricole (MSA).
(...)

L'Inria se dote d'un laboratoire haute sécurité

Tout le monde parle de la sécurité informatique, mais ils sont peu à réaliser des recherches sur ce domaine. L'Inria (Institut National de la Recherche en Informatique et en Automatique) a inauguré son Laboratoire Haute Sécurité (LHS) au sein de son centre Nancy-Grand Est.

Placé dans un environnement fermé avec un réseau Internet isolé et des locaux protégés accessibles par reconnaissance biométrique, le laboratoire offre un cadre technologique et réglementaire fiable pour mener des expérimentations et manipulations à caractères sensibles. Il est conçu pour garantir la sécurité des données, des expérimentations et des équipements analysés.  Concrètement, 3 locaux sont mis à dispositions des chercheurs. En premier lieu, une salle de travail. Ensuite, un espace de cluster qui comprend 3 éléments. Un télescope virtuel recueillant des codes malveillants, des traces d'attaques. Il permet aussi l'expérimentation de sondes sur l'Internet.  Un réseau fermé dit « éprouvette » permet de mener des expériences sensibles comme l'analyse de ces codes sans risque de contamination. Enfin, une unité de production distribue les outils développés au sein du LHS : anti-virus, outils d'analyses...

Une dernière salle, dite « rouge », non connectée au réseau, concerne le traitement d'informations et de données très sensibles. Cette espace permet d'accueillir les équipements ou matériels à étudier en toute confidentialité dans le cadre de partenariats avec les industriels.

Les axes de travail sont aussi au nombre de 3 : la virologie (reconnaître les virus de demain), la supervision des réseaux (analyse et sécuriser les échanges) et la détection. Le LHS a bénéficié des financements du FEDER, de la Région Lorraine, de la Communauté urbaine du Grand Nancy et du Ministère de l'Enseignement Supérieur et de la Recherche via la Délégation Régionale à la Recherche et à la Technologie. Les recherches entreprises sont menées en partenariat avec les universités lorraines, le CNRS et la Délégation Générale à l'Armement.

Crédit Photo: INRIA / Photo Kaksonen

Réforme de l'Etat, François Baroin promeut une logique de services

L'intelligence économique au menu du Cigref

« Lénine disait que le capitaliste allait vendre la corde pour le pendre mais, en fait, aujourd'hui, les entreprises la donne » a fustigé Olivier Buquen, nouveau délégué interministériel à l'intelligence économique, lors du petit déjeuner organisé pour ses membres par le Cigref. Citer « le petit père des peuples » quand on est directement rattaché à Nicolas Sarkozy est certes une provocation. Mais l'image marque.

Une fonction en évolution

Olivier Buquen a une position différente de son « prédécesseur » Alain Juillet. Ce dernier était en effet rattaché au SGDN (Secrétariat Général à la Défense Nationale). Il a certes défriché le sujet de l'intelligence économique et bien évangélisé mais était trop connoté « militaire » pour réellement séduire le secteur privé. Olivier Buquen indique : « Claude Guéant et Nicolas Sarkozy s'intéressent à ce sujet depuis des années et, en 2009, ont voulu faire évoluer le dispositif. » La fonction d'Alain Juillet avait été créée suite au rapport du député Bernard Carayon en 2003, neuf ans après le rapport de Henri Marte. Celle d'Olivier Buquen est, selon ses mots, un « gros projet transversal qui « s'appuie sur les business units (les ministères) mais est rattachée à la holding de tête (la Présidence de la République) ».

Un complément des cabinets privés

Le travail du délégué interministériel à l'intelligence économique concerne autant l'Etat pour son propre compte que les entreprises dont les intérêts doivent être défendus dans le cadre d'une défense des intérêts économiques du pays. Mais en aucun cas il ne remplace les cabinets privés : son intervention ne se fait que dans le cadre de la protection de la cause publique. Il pourrait être amené à soutenir de grands contrats à l'exportation mais sous l'expresse condition qu'ils mettent en jeu une puissance publique étrangère. Intervenir dans des affaires franco-françaises n'est pas son rôle, et dans des contrats privés internationaux risquerait d'être contre-productif.

Crédit Photo: D.R


[[page]]

« Beaucoup font de l'intelligence économique comme Monsieur Jourdain faisait de la prose, sans le savoir, mais il faut savoir formaliser et professionnaliser la démarche, ce qui n'est pas si naturel que cela » concède Olivier Buquen. Le rôle de l'Etat, comme il l'a martelé, n'est certainement pas de faire tout le travail à la place des entreprises mais par contre il doit savoir initier et accompagner.

Comprendre l'importance de l'IE

L'intelligence économique a encore parfois une image « barbouzarde ».Or elle consiste à collecter les informations stratégiques, analyser celles-ci, diffuser les bonnes informations aux bonnes personnes et enfin protéger les informations stratégiques des personnes qui ne doivent pas en prendre connaissance (comme les concurrents par exemple). Mais pourquoi le Cigref s'intéresse-t-il au sujet ? Et, au-delà, pourquoi les DSI devraient-ils s'en préoccuper ? Une anecdote rapportée par Olivier Buquen vaut sans doute plus qu'un long discours : « un PDG du CAC 40 a dû se séparer d'un collaborateur direct membre du comité exécutif parce que, dans ses états Facebook, il racontait sa journée quasiment en direct en révélant dans quel pays son patron se rendait et quelles personnes il rencontrait. »

De la sécurité informatique à la sécurité numérique

Celle-ci illustre bien le discours introductif de Bruno Ménard, président du Cigref et Vice-président systèmes d'information de Sanofi-Aventis : « le sujet n'est pas nouveau (le premier rapport du Cigref sur la veille stratégique date de 1998) mais prend de l'ampleur car, avec le développement de la société numérique vient celui des usages et donc des risques. Si le citoyen déclare désormais ses impôts en ligne, va à la banque sur Internet et accèdera demain à son dossier médical via le DMP, il en est de même pour les entreprises. De ce fait, leur valeur repose de plus en plus sur leur capital numérique qui peut être mis en danger par des usages inappropriés. Nous passons d'une problématique de sécurité technique informatique -aujourd'hui bien traitée par les RSSI- à une problématique de sécurité numérique, orientée vers les usages. C'est dans cet esprit que le Cigref et l'INHESJ ont collaboré pour créer une formation dédiée. » Olivier Buquen s'est félicitée de cette « excellente collaboration entre le public et le privé au service du pays ».

[[page]]


Outre son action générale de sensibilisation et d'action défensive à l'égard des entreprises, la DIIE (délégation interministérielle à l'intelligence économique) va mener trois chantiers dont deux en collaboration avec le Cigref.

Deux chantiers communs entre la DIIE et le Cigref

Ces deux derniers concernent d'une part la conception d'une grille d'auto-évaluation de la maturité des entreprises et des établissements en terme d'intelligence économique (idéalement prête pour la fin 2010) et d'autre part le renforcement de la protection des informations stratégiques. Si l'innovation (la R&D au sens large) est en général bien protégée par  la propriété intellectuelle, il n'en est pas du tout de même des plans stratégiques à moyen/long terme ou des informations commerciales alors que l'entreprise connaitrait de grave soucis si ces informations tombaient dans des mains hostiles concurrentes. Il y a peut-être une adaptation du cadre juridique à mener selon les dires d'Olivier Buquen, notamment pour sanctionner les atteintes au secret interne des entreprises voire pour limiter les publications obligatoires, y compris en terme de détail des comptes au greffe du tribunal de commerce. « Beaucoup d'entreprises préfèrent payer une amende pour se protéger plutôt que de respecter l'obligation légale, ce qui n'est pas une situation satisfaisante » soupire Olivier Buquen.


Catégoriser les informations

Sur le plan de la sécurité du SI (au sens plein du mot, au-delà de la seule informatique), cela passe par une formalisation. Une piste avancée par Olivier Buquen est d'adopter en interne un mécanisme comme celui adopté au sein de la Défense Nationale : catégoriser clairement les informations en « public », « confidentiel », « secret », etc. et gérer des habilitations individuelles explicites.

Le troisième chantier de la DIIE concernera la recherche scientifique. Par nature, celle-ci est collaborative et s'appuie sur la publication. Mais un vrai travail sur la protection des travaux doit être mené afin que celle-ci intervienne avant la publication. Pour Olivier Buquen, « les bonnes attitudes ne sont pas encore acquises au point d'être naturelles ».

L'Etat se dotera-t-il d'un directeur des achats informatiques

Outre un objectif de meilleure maîtrise des projets informatiques au Ministère de la Justice, la page 45 du compte-rendu officiel mentionne : « Installer un directeur chargé de coordonner les dépenses informatiques de l'État. » Ce point est indiqué pour le compte propre du ministère du budget, autorité de tutelle de la DGME (délégation générale pour la modernisation de l'Etat), au même niveau que des améliorations fonctionnelles (un « mon-service-public » pour les entreprises par exemple).

Malgré la création de la DGME, qui succédait à une série d'agences et de services consacrés à l'informatique d'Etat depuis une quinzaine d'années, chaque administration et chaque ministère continue de posséder sa propre politique informatique. Au point de parfois faire des choix contraires aux recommandations de Bercy (comme au Ministère de la Défense par exemple).

Les agences liées à des projets informatiques interministériels se sont également multipliées : SCN AIFE (Agence pour l'informatique financière de l'Etat) pour le projet Chorus, ONP (Office nationale de paye), etc. Les relations entre ces organismes et les autres administrations jalouses de leurs prérogatives sont parfois tendues, entrainant des retards importants voire des plantages dans les projets (Chorus est un bon exemple à ce sujet).

Pas de DSI « France » pour l'instant

Le gouvernement français ne semble donc toujours pas décidé à créer une véritable DSI unique gouvernementale, sorte de « DSI groupe » de l'Etat, capable d'imposer ses choix, donc de standardiser les architectures et d'industrialiser les SI publics.

Les Etats-Unis ont leur CIO fédéral, la France aura peut-être au mieux un responsable achat cherchant à obtenir des ristournes sur volume une fois les choix de fournisseurs faits.

L'enseignement secondaire se met au cloud

La mise en place d'un cahier de textes électronique Scolastance, hébergé sur le cloud Microsoft, possède, d'après l'éditeur Infostance, des avantages indéniables pour l'ensemble de la chaîne. Déjà, pour les établissements, dont les budgets sont parfois limité, cela apporte de la flexibilité, puisqu'il ne s'agit plus d'un ENT complet disponible sur des hébergements Internet classiques (SaaS par serveur) mais d'un module indépendant et multi-tenant (Saas par cloud), offrant uniquement le cahier de textes. « On peut potentiellement ajuster les services selon les besoins, mais le dépôt de cours et la documentation ne sont pas mis à disposition sur le cloud. Ils sont seulement accessibles par serveur », indique Eric Deckert, responsable commercial Infostance.

On peut noter que le cahier de texte collaboratif est full web : l'enseignant et l'élève passent par un navigateur, et se connectent à l'aide d'un identifiant et d'un mot de passe. Pour consulter ou insérer les devoirs dans le cahier numérique, il n'y aura donc pas besoin d'installer un logiciel. Des économies de papier considérables seront réalisées si le dispositif venait à se généraliser.

Une évolution, pas une révolution

Scolastance n'en est cependant pas à son coup d'essai concernant l'implémentation d'ENT dans les établissements en question. Près de 600 lycées et collèges sont déjà équipés de l'offre de l'éditeur. Cette évolution de la dématérialisation des ressources informatiques et d'une uniformisation de l'offre est en accord avec les recommandations du Ministère de l'Education Nationale qui souhaite généraliser le dispositif d'ici 2011. Cela ne devrait cependant pas bouleverser les habitudes des enseignants utilisant déjà le dispositif Scolastance, assure l'entreprise, puisque le cahier de texte y était déjà inclus.


Crédit Photo: Infostance

[[page]]

Pour les établissements amenés à adopter le système par la suite, et ne s'étant pas dotés de l'ENT Scolastance par serveur, les enseignants disposeront d'une formation à l'utilisation de celui-ci. « Cette offre permettra aux établissements de sélectionner, s'ils le souhaitent, une offre réduite pour se familiariser au dispositif et d'éventuellement ajouter d'autres options par la suite », souligne Eric Deckert.

Pour les élèves, il n'y aura pas de formation puisqu'il ne s'agira que de consulter en ligne un cahier de texte numérique. Pour Camille Reibel, professeur et administrateur ENTEA au Lycée Henri Meck de Molsheim, équipé de l'ENT, « le cahier de textes numérique Scolastance est beaucoup plus pratique que la version papier car il permet, pour les élèves et les parents, un gain de temps dans l'accès aux informations. L'enseignant peut le remplir de chez soi. » Il affirme enfin que « les élèves changent radicalement de comportement avec la version numérique du cahier de textes qui est consultée régulièrement par plus d'un quart des élèves, tandis que la version papier ne l'était presque jamais ».

Enfin, pour l'éditeur, le choix de la plate-forme Azure semblait être une évidence. L'ENT d'origine était déjà développé pour la plateforme Windows Server, et Infostance souhaitait déployer son cahier de textes le plus rapidement possible dans un cloud. Pour ce marché, aucun appel d'offres n'a été émis car cette solution a été intégrée au partenariat entre Microsoft et Infostance. Celui-ci s'étend déjà sur toute leur offre d'ENT Scolastance, à destination des établissements primaires, des universités ou des institutions.

Sécurité informatique : bonne perception, application laborieuse selon le Clusif

Le Club de la Sécurité de l'Information Français a publié son enquête, réalisée tous les deux ans, sur les menaces informatiques et les pratiques de sécurité (MIPS). Cette étude a interrogé 350 entreprises, 151 hôpitaux et 1000 internautes résidentiels. Ce spectre large permet au CLUSIF d'avoir une vision globale de l'appréhension des questions de sécurité aussi bien dans le monde professionnel, que dans la vie quotidienne.

Problèmes budgétaires pour les entreprises.

Si la prise de conscience des problématiques de sécurité au sein des entreprises ne fait aucun doute, le passage à l'acte relève d'un exercice plus difficile. En effet, 73% des sociétés interrogées disposent d'une PSSI (politique de sécurité des systèmes d'information), soit une progression de 14% par rapport à l'étude de 2008. Bon point également sur l'existence de charte SSI (67% en hausse de 17% par rapport à 2008). Le nombre de responsables affectés aux questions de sécurité est en croissance, mais le Club constate une réduction des budgets qui leurs sont allouées. Ces derniers sont d'ailleurs prioritairement orientés vers la mise en place de moyens techniques, plus que sur la sensibilisation des utilisateurs.

En matière technologique, l'anti-virus, le pare-feu et l'anti-spam restent largement en tête. Les systèmes de détection d'intrusion arrivent à maturité avec une intégration dans 34% des entreprises (+11%). Les mécanismes de chiffrement, le NAC (contrôle d'accès au réseau), ainsi que le DLP (récupération des pertes de données) peinent à se déployer. Si plusieurs éléments sont positifs comme la gestion des mots de passe (SSO et Web SSO) ou la mise à jour des correctifs des éditeurs, le CLUSIF souligne que 33% des entreprises ne disposent pas d'un plan de continuité d'activité en cas de crise.

L'Hôpital est un bon élève

L'association a également réalisé un focus sur le secteur de la santé. Après plusieurs évolutions réglementaires et de changement de structure, comme l'Agence des Systèmes d'Information Partagés de santé (ASIP), les directions informatiques des hôpitaux sont de plus en plus  convaincues que la sécurité est une valeur à partager lors de la mise en place d'un projet de ce type avec le personnel médical.

[[page]]

La sécurité s'est personnalisée à travers les responsables sécurités des systèmes d'information (RSSI), qui cumulent souvent leur fonction avec celle de Correspondant Informatique et Libertés (CIL).

En 2009, une quinzaine de RSSI hospitaliers existaient et travaillaient sur deux problématiques : l'identifiant patient (dans le cadre du Dossier Medical Personnel) et la gestion des appareils biomédicaux. Si la plupart des établissements de santé ont adopté des politiques de sécurité et des chartes restreignant ainsi certains accès, ils succombent aux besoins de nomadisme (PDA ou smartphone allant de chambres en chambres, besoin de WiFi). Sur le plan de l'équipement anti-viral, les hôpitaux sont mieux lotis que les entreprises, mais demeurent vulnérables. En effet, l'année 2010 a été marquée, notamment, par l'infection massive du vers « Confiker ». Ce malware a infecté près de la moitié des CHU de France avec parfois des interruptions de service quasi-totales pendant des durées pouvant aller jusqu'à 3 semaines.

L'Internaute inquiet de ses données personnelles

La perception de la menace (spam, phishing, intrusion, virus, etc.) est en très lègère diminution. Est-ce que cela implique une baisse de la vigilance ? Non, il y a eu un transfert vers une autre menace, la protection de la vie privée, pour 73% des sondés contre 60% en 2008. On constate aussi que la peur du paiement en ligne diminue. En effet, 90% des Internautes acceptent de le faire, 68% sont attentifs à certaines conditions (https, notoriété du site, label de confiance).

Par contre, des efforts sont encore à réaliser sur les comportements personnels. Seuls 5% d'entre nous protègent leur ordinateur avec un mot de passe. Ils sont en revanche 90% à déployer les mises à jour de sécurité de manière automatique ou manuelle.

Crédit Photo: D.R

Contrat Microsoft/Défense : les réponses du ministère

Voilà un contrat pour le moins étonnant et qui demande quatre mois pour être éclairci d'une façon qui reste contestable. Le tout avec les deniers publics. En février dernier, on apprenait que le Ministère de la Défense avait signé un accord cadre très complet avec Microsoft Irlande permettant à celui-ci d'équiper à un tarif très préférentiel (100 euros par poste) tous les postes de travail du ministère avec la plupart des logiciels bureautiques courants de l'éditeur. Un tel accord, passé sans appel d'offres, coupe l'herbe sous le pied à toutes les offres concurrentes, à commencer par les offres open-source.

L'AFUL (association française des utilisateurs de logiciels libres) s'étaient bien sûr offusqué et fendu d'une lettre ouverte. Le député de la majorité présidentielle et parlementaire Bernard Carayon a alors posé une question écrite au gouvernement le 6 avril 2010. La réponse était très attendue. Elle a finalement été publiée discrètement le 1er juin 2010, soit quatre mois après les protestations et deux mois après la question du parlementaire, sans publicité excessive. La réponse est censée concerner l'absence de mise en concurrence et l'engagement à long terme du Ministère avec des solutions propriétaires dans un secteur pour le moins sensible en terme de sécurité des données.

Le premier argument est classique lorsqu'un acteur public refuse la mise en concurrence au profit d'un fournisseur déjà archi-dominant : le marché passé n'est pas indépendant mais est une simple mise à jour d'un parc existant. Cet argument a beau être souvent utilisé, il n'en demeure pas moins contestable : le remplacement du parc existant de logiciels par une version plus récente n'a rien de différent qu'un remplacement de voitures par des modèles plus récents. Et nul n'envisage qu'un acteur public renouvelle son parc automobile sans appel d'offres...

[[page]]

La réponse est, de plus, en total décalage avec la réalité technique dès son second argument. En effet, il est indiqué que le choix opéré (un contrat de type software assurance) vise à permettre des mises à jour rapides. Or aucune organisation ne déploie automatiquement des versions de logiciels. On peut espérer qu'il en est de même au sein de la Défense Nationale. L'option d'achat en fin de contrat de location permet de revenir, le cas échéant, à l'achat de licences pour les évolutions futures, bien considérées comme de nouveaux achats. Un autre marché cadre est cité en exemple pour indiquer qu'une telle procédure n'est pas unique. Bizarrement, cela concerne aussi le logiciel, avec des licences Business Object.

La forfaitisation effectuée au poste de travail se défend, selon la réponse ministérielle, par un soucis de simplicité dans la gestion des licences. C'est un choix rationnel : il évite en effet de devoir gérer les licences avec sérieux et avec, surtout, un considérable travail de suivi. La réponse énonce ensuite que cet accord cadre n'est pas exclusif : d'autres acteurs peuvent donc toujours être dans la course. Cet argument réfute donc la suppression de la mise en concurrence. Pourtant, il semble difficile de voir d'autres acteurs pouvoir se positionner avec des tarifs aussi bas pour autant de produits différents.

Enfin, d'ailleurs, la réponse ministérielle indique qu'une autre solution, Open Source mais non-précisée, sera déployée en parallèle à la solution Microsoft afin de tester les deux.

Cloud et secteur public, IBM creuse son sillon

Lors d'une journée spéciale cloud et secteur public à la Maison de la Chimie à Paris, de nombreux responsables informatiques travaillant pour des universités, des collectivités territoriales, des établissements publics et des administrations d'Etat se sont frottés aux solutions proposées par Big Blue pour évoluer vers le cloud. Lors d'un déjeuner, quelques journalistes ont pu discuter de ces questions avec Philippe Jarre, directeur général IBM Global Technology Services qui a succédé à Nicolas Sekkaki, et Éric Cabos, directeur de l'activité secteur public chez IBM. Une discussion informelle, l'occasion d'échanger librement sur ce sujet d'actualité.

Première étape, le secteur public doit savoir pourquoi elle veut aller vers le cloud nous explique Philippe Jarre. Souplesse à l'usage bien sûr mais également réduction des coûts de déploiement applicatif et meilleur partage des ressources. « Si l'état français n'est pas prêt de devenir, comme en Chine, un fournisseur d'infrastructure pour les start-ups, le cloud est un des domaines qui pourrait muscler la France. Notamment au niveau des collectivités territoriales pour redonner un coup de fouet à un bassin d'emplois. » Au coeur de ce dispositif, on trouve bien sûr des infrastructures informatiques, Philippe Jarre n'était pas pour rien auparavant responsable de l'activité datacenter monde chez IBM.

Pour Éric Cabos, les services publics ont déjà réalisé un grand nombre de choses pour améliorer leurs relations avec les usagers. « Des restructurations sont encore nécessaires pour améliorer les systèmes, mais le mouvement est engagé vers une meilleure optimisation des ressources. Deux à trois années sont encore nécessaires pour passer au cloud. Il  s'agit d'un investissement majeur en terme d'infrastructures. »


En illustration, Philippe Jarre, directeur général Global Technology Services, IBM France 


[[page]]

Il y a trois à quatre ans, IBM commençait à répondre aux demandes des entreprises privées pour le cloud et a mis à disposition ses capacités et ses solutions pour accompagner l'évolution. Mais aujourd'hui les datacenters publics n'offrent pas encore les conditions d'accès nécessaires pour assurer la résilience propre aux infrastructures clouds. En effet grâce à sa résilience, une infrastructure cloud peut être utilisée de manière préemptive pour transférer des fichiers en cas d'incident informatique, ce qui permet d'éviter toute perte de données et d'accélérer le processus de reprise.