L’Agence Nationale de la Sécurité des Systèmes d’Information offre une formation sécurité en ligne

Capture d_écran_2017-05-21_22-34-01

Voilà comment poser de bonnes bases avec une formation à la cyber sécurité, sur le MOOC de l’ANSSI.

C’est gratuit, instructif (ou de bon rappel), et ça vous concerne sur plusieurs plans que vous ne soupçonnez peut être pas. Donc ne vous laissez pas rebuter par le sujet lui même ou le style « Vous avez un email:  E-learning obligatoire, envoyé par le Global HR Training ».

Là personne ne vous oblige à quoi que ce soit, et vous avez tout votre temps. Pas besoin de laisser tourner la vidéo dans un coin de l’écran et de sauter sur le QCM 😉 Profitez d’un moment de calme pour un peu de culture cyber, à votre rythme.

Capture d_écran_2017-05-21_22-45-35

J’ai entamé la formation, de toute évidence c’est bien construit, agréable à suivre et interactif. De plus il est rare d’avoir du contenu de qualité, les e-learning cyber sécurité c’est plutôt quelques centaines d’euros le module et in English habituellement…!

Capture d_écran_2017-05-21_22-36-22

Est-ce que cette formation est pour vous ?

Deux réponses possibles:

  • OUI: Tout professionnel de la donnée, développeur, de la sécurité ou de l’informatique en général se doit de suivre cette formation.
  • OUI: Tout utilisateur d’un Système d’Information, ou de quoi que ce soit qui s’allume avec un tant soit peu d’électronique à l’intérieur.

Ce qui veut dire, vous l’aurez deviné: quasiment tout le monde.

Si vous craignez d’être un peu perdu dans trop de technique, ou d’avoir trop d’informations à la fois, il y a dans chaque module une rubrique « pour en savoir plus », et toujours wikipédia…

Pour commencer la formation c’est ici  https://secnumacademie.gouv.fr/

 

Mastodon fossilise les données, et dynamise le modèle établi des réseaux sociaux

Avant propos: une courte présentation

fluffy-elephant-friend-6b47d8e924332955795ff4b2d8fc446437d26b28bfc67d6be2a4d88995ab2c1fMastodon est une nouvelle tentative de réinventer Twitter et les réseaux sociaux, les sites de micro blogging « commerciaux »,  à base de composants open source construits sur une infrastructure ouverte et décentralisée.

Je vous confie ce billet du blog Framasoft pour une bien meilleure description si vous voulez en savoir plus, car ce n’est pas directement le sujet ici.

Le code est libre, les données le sont un peu moins

La nature distribuée de l’infrastructure constituant le reseau mastodon fait que les données sont éparpillées sur divers serveurs, donc partout sur la planète et avec un administrateur et un hébergeur différent à chaque fois.

Voyons le bon côté des choses en matière de libertés : difficile de censurer ou de faire fermer un tel réseau. Plus d’autorité centrale, pas de de siège social dans la silicon valey qu’elle soit americaine, russe ou chinoise (à chacun ses reseaux sociaux et ses règles du jeu).

De plus côté utilisateur la visibilité des messages et le contrôle du contenu affiché à été plutôt bien pensée par l’auteur.

Ensuite ça se complique un peu… L’intégrité, et j’ajouterai aussi la neutralité du trio administrateur-hébergeur-operateur est critique. Il est commun de considérer que « big brother » vous observe sur les réseaux sociaux majeurs

IMG_20170409_154557

Mais soyons réaliste, big brother, c’est l’automate qui lit, enfin qui parse vos messages, fait du big data pour se rémunérer et offrir un service en apparence gratuit. Jusqu’à présent, beaucoup s’en acomodent n’est-ce pas ?

Dans le cas d’un serveur mastodon, on est généralement face à une instance administrée bénévolement, avec un  panorama de tout ce qui se fait en matière d’hébergement.

C’est bien, très bien même, et je salue le temps et les moyens que les administrateurs y consacrent. D’autant que c’est un peu délicat pour la montée en charge quand le succès arrive par surprise.
Du coup la notion de confidentialité des messages (« toot », ou en français « pouet ») est celle qui correspond à la sensibilité de l’administrateur local, ou aux moyens investis dans l’administration/hébergement/sécurité. Idem pour la sécurité intrinsèque des développements, et la disponibilité du service. L’emploi de chiffrement est prévu (communications, basée de données, webservices), mais pas obligatoire.

Le recours au stockage cloud d’Amazon S3 est recommandé, à moins de vouloir gérer soi même la pérennité des données… Même chose pour l’envoi des e-mails aux abonnés.  C’est un peu déroutant tout ça, ce réseau social vise à éviter les réseaux commerciaux, tout en conseillant aux administrateurs un stockage et une messagerie dans le cloud commercial ? J’imagine que c’est pour faciliter les choses, mais heureusement les administrateurs restent plutôt concentrés sur les ressources dont ils disposent localement… Et oui, S3 ce n’est pas gratuit.

Au passage, merci pour la transparence avec le up/down et taux de disponibilité des instances visibles ici https://instances.mastodon.xyz.

Dura lex, sed lex

Pour le moment, la réglementation en matière de protection des données, le droit à l’oubli, la CNIL, la portabilié… C’est un peu le désert. Comme dans tout bon concept lancé avec les méthodes d’ingénierie logicielle à la mode, on se concentre sur ce qui fait le succès, les contraintes et le reste on verra après. En général une fois arrivé à maturité, ça s’améliore, et il y à déjà pas mal de questions et requêtes qui remontent de la communauté.

En fait je me demande un peu si tous les administrateurs d’instances sont bien conscient des responsabilités (au moins morales) associées à ce réseau social. Car c’est bien à eux que sont déléguées ces contraintes et ces risques.

eraser-1427670-640x480

Autre point, techniquement il n’est pas prévu, donc pas possible simplement d’effacer soi même un compte utilisateur ou ses données.

Espérons que l’ordre 109 sera bientôt exécuté pour y remédier.

La nature même du réseau maillé d’instances sous une autorité indépendante ne facilite pas la tache : effacer en local, ok c’est un minimum, et envoyer une commande d’effacement à distance sur les centaines d’autres instances ? Il faudrait  un mécanisme de relations d’approbation, une administration fédérale… Entre entités étrangères, c’est un challenge intéressant, ou plutôt un non sens.

Ce type de difficulté ne peux se résoudre que si c’est l’utilisateur et lui seul qui contrôle son compte et ses données. Chiffrement, PKI, blockchain… Il y a des pistes, mais ce n’est pas facile à implémenter dans un réseau social qui se met à jour, diffuse et synchronise en temps réel.

Donc en attendant, ce qui est publié est conservé, fossilisé dans les strates d’une infrastructure décentralisée. L’utilisateur lui aussi participe à ce phénomène à chaque changement d’instance. Ce qui ferait le bonheur d’un archéologue numérique.

Peut-on vraiment le reprocher ? Quand c’est publié sur internet…

L’identité n’est pas un concept fixe

Là aussi de part la conception distribuée de mastodon, l’unicité d’un compte, et donc l’identité d’un utilisateur n’est vraie que localement au sein d’une instance.

 

driving licenseIl n’y a pas de solution native pour authentifier un compte (comme les comptes officiels, validés sur les réseaux sociaux majeurs).

Donc soit vous bricolez (un tweet pour confirmer un toot, un référencement croisé entre réseaux sociaux ou site web), soit vous créez votre propre instance (mauvaise réponse à une bonne question). Autre piste : https://keybase.io.

Au final

Un réseau social et les données de centaines de milliers d’utilisateurs, c’est compliqué. Surprenant ? Non pas vraiment puisque ça fait partie du jeu. Simplement mastodon propose un autre mode de fonctionnement, alternatif, de peu comme l’internet à ses débuts pour ceux qui l’ont connu avant les GAFAs.

A ce stade rien n’est vraiment garanti, c’est une somme de bonnes volontés plus un soupçon d’idéalisme qui le font fonctionner, pourvu que ça dure.

Enfin à lui seul le principe même de mastodon est une invitation à l’essayer… Vous avez toute liberté sur ce réseau, y compris ne de pas le rejoindre, c’est bien ça l’essentiel.

Voilà c’est toot: https://mamot.fr/@mathieu_lubrano

250 millions de comptes iCloud mis en doute, le cyber chantage a de l’avenir 

La bourse ou la vie…

Quand ce n’est pas un ransomware qui chiffre vos fichiers, ou récemment des bases de données en échange d’une rançon, quand ce n’est ni votre compte mail ou votre webcam qui sont détournées, c’est encore mieux : les pirates se servent de vous et moi comme de vrais otages, et s’adressent à ceux qui on beaucoup à perdre (l’argent et le pouvoir)…

white-male-1856203_640Car c’est finalement ce que fait le groupe Turkish Crime Family en demandant directement à Apple une rançon en échange de votre vie numérique (iCloud = iPhone, photothèque, contacts, notes où vous stockez peut-être vos autres mots de passe ? … etc).

Au lieu de réclamer 1 Bitcoin à chacun, pour un paiement hypothétique au bout d’un long travail fastidieux, mieux vaut braquer la banque et faire un seul gros coup.

Bluff ou un coup de génie ?

Un échantillon de comptes à été fourni comme on libère un otage pendant la négociation. Donc le scénario est en place, on le saura bientôt après l’ultimatum, le 7 avril.

Si il est assez peu probable que ce soit Apple qui ait été visé directement pour le détournement des comptes, les fuites massives des données ces derniers temps peuvent effectivement permettre de remonter d’un service de messagerie par exemple Yahoo! Mail, jusqu’à iCloud, via la réutilisation du mot de passe. Notez que si c’est vrai pour iCloud, c’est aussi applicable à GMail/Google, la banque en ligne, Linkedin, Facebook & cie.

Pour éviter que ce soit vous qui serviez d’exemple pour prouver la détermination et la réalité de l’attaque… Rdv sur iCloud pour renouveler votre mot de passe, ou mieux activer l’authentification en deux étapes…

(au fait, à quand remonte votre dernier changement déjà ? Et profitez-en pour changer le mot de passe des autres comptes importants)

OLYMPUS DIGITAL CAMERA

Triple exploit au Pwn2Own 2017 pour s’échapper d’une machine virtuelle et atteindre l’hyperviseur

VM escape … oui, mais encore ?

Le groupe chinois Qihoo 360, coutumier des exploits (bien préparés) dans les concours de sécurité, à touché 105.000 dollars pour un triple exploit… chapeau !

Le scénario: un poste de travail virtualisé innocent visite un site internet au contenu malveillant (en javascript).

En trois coups, l’équipe de Qihoo à réussi à traverser les mécanismes d’isolement du navigateur, du système d’exploitation et à remonter jusqu’à l’hyperviseur.

Pourtant, tout avait l’air OK et ressemble à ce qui se fait couramment en entreprise, avec toutes les garanties apportées par les éditeurs sur la robustesse des produits…

shield-1412482-639x426

Les mesures mises en place

  Contre les sites internet malveillants ou possédés : bac à sable et navigateur moderne

  Contre les menaces: des solutions professionnelles et un système d’exploitation récent

  Pour optimiser les ressources / réduire les coûts / aller dans le cloud : virtualisation


Les failles exploitéeserreur fatale

  Bac à sable (Edge) : KO via un débordement de la pile

  Système d’exploitation (Windows 10) : KO via une faille noyau (UAF)

  Virtualisation (VMWare) : KO via une faille exploitant un buffer non initialisé

Donc, quand un internaute se promène sur un site malveillant, la ballade peut se terminer par une prise de contrôle de l’hyperviseur, puis de là potentiellement le cœur de l’infrastructure (les autres VM de cet hyperviseur et comme par exemple la VM firewall).

Cette démonstration de force, ou plutôt d’habileté à mettre en déroute la sécurité de toute la pile d’un datacenter virtuel,  rappelle que tout est piratable…

Inévitable, alors que faire ?

woman-hand-desk-office

Pour éviter l’effet domino et une telle escalade, dans la mesure du possible il faut résister à la facilité, à la tentation de suivre la mode du tout virtualisé (y compris le réseau, la sécurité).

Les principes type KISS et de la séparation des fonctions ne sont pas incompatibles avec une infrastructure moderne et économique (cher ≠ meilleur), du moins pour le moment. Car les efforts des constructeurs-éditeurs pour du « software defined » (SDN, SDS, SDDC) conduiront bien à terme à l’effacement des limites.

Le problème de fond étant la maturité de l’offre -qui ne sera par définition jamais atteinte- et donc l’empilage des couches logicielles qui rendent possible un triple exploit comme celui ci.

Il reste donc les bonnes pratiques, déjà connues mais toujours valides. L’état de l’art et le bon sens lors de la conception de solutions, ensuite les tests, mises à jour, contrôles et corrections. Pour tout cela, il faut du temps, des compétences des ressources.

Comment ont ils fait ? Mes serveurs sont ils en risque ? Que faire pour éviter que ça se reproduise, est-ce vraiment inévitable…? Et si finalement la vraie question était : quels moyens accordez vous réellement à la sécurité ?

Prenons un peu de recul pour analyser les offres cloud

En préambule dans cet article, pas de comparaison de modèle (cloud public / privé / hybride), mais plutôt une lecture qualitative des offres qui semblent toutes identiques au premier abord…

cloud-space

Tout le monde vend du cloud… pour tout faire et à tous les prix, pourquoi ?

Tout simplement parce que chaque solution avec son rapport qualité/prix est définie d’abord par la stratégie commerciale de l’hébergeur, le marché visé, et que derrière le terme « cloud » se cachent plusieurs offres combinant technologie, qualité de service et savoir faire.

De la technologie, il en faut car après tout, le cloud n’est que le matériel et le logiciel de quelqu’un d’autre pour accueillir votre charge de travail, et vos précieuses données.

La qualité de service détermine les règles du jeu (performance, volumes, consommations), les marges de manœuvre de l’hébergeur pour sa maintenance, les évolutions, et les résolutions d’incident qui surviennent.

Et il y a du savoir faire, que vous allez chercher, c’est donc une véritable valeur facturable.

 

La hiérarchie technique des offreschess-nb

Un point essentiel avant de commencer : plus le service que vous prenez dans le cloud est simple ou de haut niveau, plus l’hébergeur doit construire et opérer une solution complète pour le proposer.

Classons donc hiérarchiquement les offres de cloud, qui pour certaines selon moi ne méritent pas vraiment cette appellation.

A. Serveur:

Au minimum donc, le cloud, c’est un serveur. Sur ce matériel, vous pouvez installer votre pile logicielle. Mais attention, pour « faire du cloud » sur un serveur loué, il faut vous même déployer ce qui crée le cloud, à savoir la virtualisation de machine, de stockage, de réseau sans oublier de quoi orchestrer l’ensemble. Autrement dit la suite complète des composants d’OpenStack ou de VMWare. A moins qu’il s’agisse de déployer « simplement » owncloud.
Paradoxalement, c’est à cette toute première étape qu’il faut s’arrêter pour construire un cloud souverain. Qui vous appartient « autant que possible » c.a.d. sans avoir à investir dans le matériel, sa maintenance et son environnement (datacenter, bande passante, énergie, froid, sûreté physique etc).

La cible typique: une entreprise voulant limiter ses investissements et les ressources allouées à la production informatique, avec un fort besoin de performance et d’exclusivité, ou des contraintes réglementaires difficiles à satisfaire en fonds propres.

B. Machine Virtuelle:

Ici vont toutes les offres virtualisées de près ou de loin, nommées serveur privé virtuel (VPS). Malheureusement certains hébergeurs entretiennent un flou artistique autour des serveurs privés virtuels, car plusieurs technologies sont proposées avec les mêmes argumentaires commerciaux et des prix identiques, pour un résultat pourtant très différent en qualité de service et en savoir faire.

Les VM virtualisées à la XEN, KVM, VMWare côtoient les environnements virtuels (VE) type OpenVZ, ou même des containers LXC… mixant allègrement Windows et Linux pour faire bonne mesure.

Le client type: une PME qui propose à ses client un logiciel ou service web déclaré être dans le cloud en SAAS. Exemple l’agence web tout près de chez vous, qui met votre site internet dédié et sur mesure « dans le cloud ».

C. L’Infrastructure (IAAS):

A partir d’ici, je considère que le concept de cloud prend forme… Louer une infrastructure managée donc le matériel, le stockage, le réseau, permet de se concentrer sur la partie logicielle des serveurs virtuels. Créer une instance reviens à demander l’allocation de ressources pour installer votre système d’exploitation, vos programmes et données, sans trop se soucier du reste.

structure-acierA ce niveau d’abstraction, d’énormes différences se creusent entre les hébergeurs selon les moyens et le savoir faire mis en oeuvre pour construire l’infrastructure, et l’opérer. Nous y reviendrons un peu plus tard.

C’est aussi en virtualisant l’infrastructure qu’on rencontre le concept de data center virtualisé (software designed datacenter), et que les bénéfices de l’automatisation et de l’exploitation de nombreuses ressources apparaissent. A tel point qu’on peut en oublier les regles du jeu, et par exemple laisser flotter (et donc être facturé) des instances qui ne servent plus, ou pas vraiment essentielles.

L’IAAS est donc plutôt pour les gros consommateurs, les grands projets, les entreprises réalisant un plan de reprise d’activité, ou définissant leur(s) datacenter(s) à travers le monde en conservant une réelle expertise et un haut niveau de maîtrise sur leur système d’information.

D. La Plateforme (PAAS):

C’est probablement ce modèle qui représente le mieux le cloud dans l’imaginaire collectif. L’hébergeur met à disposition un environnement complet donc matériel, stockage, réseau, système d’exploitation, base de donnée et éventuellement serveur d’application (middleware), pour que ses clients y déposent les données et y développent leurs applications.

Le prototypage, le développement ou finalement l’exécution d’applications en mode PAAS offrent de l’élasticité : la capacité à monter en charge verticalement en allouant plus de puissance de traitement, plus de stockage à votre application, ou la possibilité de monter en charge horizontalement si votre application est réellement conçue pour tirer partie de ce mode, et se distribue en autant d’instances que nécessaire pour faire face à la demande.

Au passage, voilà un des pièges rencontrés dans ce mode: verticalement, la puissance disponible qui paraît infinie puisque on ne parle plus de serveur mais de cloud, est pourtant limitée aux ressources de l’infrastructure, donc de l’hyperviseur, donc du serveur qui porte l’instance applicative.  Une application monolithique n’ira donc pas mieux ou plus vite que ce sur quoi elle repose réellement. Autre écueil possible : l’élasticité facture au consommé les ressources qui ont été allouées automatiquement, un pic d’activité (ou une attaque pour déni de service) reviens un peu à faire un chèque en blanc et constater éventuellement après coup le montant.

La cible du PAAS : les éditeurs logiciels qui mettent à disposition leurs solutions sans s’embarrasser des couches inférieures de la plate-forme, pour rester strictement sur leur cœur de métier (concevoir un logiciel ou un service, pas l’opérer).

E. Le dvd-1242726-639x852.jpgLogiciel (SAAS):

Stop, surprise, ce n’est pas du cloud, c’est du service. Puisqu’en souscrivant une offre de logiciel servi à la demande c’est le produit fini que vous consommez, pas sont cloud-support (qui peut avoir toutes les formes citées précédemment).

F. Les Containers :

Que ce soit du Docker ou Kubernetes, les containers sont un moyen de raccourcir la chaîne entre les développeurs et la mise en production d’applications ou de web services. Si on regarde comment sont construits et opérés les containers, c’est un peu l’aboutissement de la virtualisation légère et agile, ou la recherche de l’efficacité maximum. Ce qui n’est pas sans contre partie, donc cette forme particulièrement aboutie d’abstraction en mode cloud n’est pas « La » solution bonne à tout faire. D’autant que ce mode de distribution d’applications s’écarte légèrement des bonnes pratiques, avec une tendance à packager tous les composants nécessaires au fonctionnement de l’application et s’en tenir la puisque « ça fonctionne », ce n’est ni KISS ni très secure (tout est à jour et bien paramétré+protégé dans le container ?).

La cible: les Devops et éditeurs, pour des paquets  système+logiciels+base de donnée prêt à l’emploi pour du maquettage, des démos ou une nouvelle forme de self-service informatique.  

pexels-photo-90807G. GOTO 10 :

Pourquoi s’embarrasser de serveurs, de systèmes, de base de données, serveurs d’application, ou de containers quand on peut directement programmer et exécuter une application ? C’est ce que propose Amazon avec Lambda, et d’autres comme Webtask. Ou encore Iron.io qui permet de faire tourner vos containers sur plusieurs clouds. Je suis assez tenté de classer node.js dans cette catégorie aussi.

La cible technologique de ce concept: toute charge de travail qui n’est pas réalisable localement (ex: sur un smartphone, une app sollicite la plate-forme de calcul distante pour un traitement lourd), ou qui nécessite d’être modélisé autrement qu’avec les outils traditionnels.

 

Le hiérarchie qualitative des cloudsone-size-fits-all-1238039-640x480.jpg

Comme sur tout marché, on peut diviser en segments les offres et même découvrir quels acteurs, grands ou petits, sont présents sur ces marchés

1. Le bas de gamme c’est le cloud « taille S »

Vous achetez du prix, donc que ce soit pour un logiciel en SAAS, une machine virtuelle, ou du cloud les hébergeurs en font le minimum. Ça se voit au niveau de l’offre de service: les opérations de maintenance, les évolutions vous seront facturées à l’acte ou on vous invite à souscrire une offre supérieure. Pas de GTR, ou des délais et des engagements flous. Dans cette catégorie, vous trouverez de nombreux offreurs, généralement pour des VPS, des serveurs virtualisés ou des offres mutualisées.

Bon pour: débuter une activité avant de commercialiser, héberger un site ou un service dont vous pouvez vous passer quelques heures à quelques jours en cas de problème.

Qui propose ces offres ? Tous les hébergeurs qui font du volume, du gros volume, car c’est un produit très concurrentiel mais qui leur permet de financer de grosses infrastructures, voire de développer des technologies maison pour l’hébergement, la virtualisation, le stockage, la sécurité… et qui apportent une valeur ajoutée indispensable à leur haut de gamme. Ainsi que les hébergeurs plus modestes, ne disposant que d’offres low cost (il en faut pour tout le monde et c’est bien ainsi). 

2. Le milieu de gamme: taille unique, ça ne va jamais bien au final

Là l’hébergeur vous parle le langage de l’entreprise, avec les mots clés sauvegarde (à faire soi-même dans un espace de stockage « offert » avec la plate-forme), GTR et monitoring de votre xAAS, l’accès à un support technique soumis à quelques règles de bases en matière de qualité de service. Il est aussi prévu de base une protection en général basique contre les DDoS (dénis de service). Concrètement les offres xAAS de milieu de gamme peuvent réellement subir des arrêts de services, ou des dégradations (de performance, latence réseau etc) sans que vous puissiez agir de façon significative pour améliorer les choses, ou réclamer à l’hébergeur de pénalités.

La plupart des solutions cloud utilisée en mode PAAS et SAAS se trouvent ici, pour l’avantageux rapport qualité/prix, quitte à faire quelques concessions. C’est le segment à éviter selon moi, car soit on peut se contenter du bas de gamme, soit on compose avec deux hébergeurs au lieu d’un seul pour assurer réellement la continuité et la qualité de service. Ceci dit, dans ce segment on trouve de vraies pépites, par exemple quand un hébergeur « à taille humaine » sait gérer ses ressources et sa croissance pour maintenir un niveau de service quasi haut de gamme, et qui sait créer de la valeur ajoutée afin de se différencier des poids lourds.

hand-of-god-1383050-640x4803. Le haut de gamme, du S au XXL

Disponible, ininterruptible, sans limite perceptible car il peut s’étendre en volume de stockage et puissance de calcul. C’est celui qui correspond le mieux à la métaphore de l’informatique dans les nuages que suggère la publicité.

Malgré tout il est construit sur terre, donc pour un prix juste, pas forcément excessif pour qui sait choisir les bons partenaires et optimiser, votre logiciel, l’infrastructure ou vos big datas bénéficient de l’expertise et du savoir faire de spécialistes (plusieurs métiers d’informaticiens), de l’infrastructure et de la connectivité que seul un grand groupe peut mettre en oeuvre. Donc les offres de cloud haut de gamme ajoutent la garantie de disponibilité et d’intégrité au programme : multi-site et pas que multi-hyperviseur, avec sauvegarde managée, stockage redondant et un plan de continuité d’activité pour respecter vraiment les cinq neufs de la plaquette commerciale.

Chez les pure players, seul les très gros hébergeurs (nationaux ou internationaux) disposent vraiment de l’ensemble des ressources pour proposer des offres haut de gamme, et couvrir les pires scénarios concernant leur propre fonctionnement. Les opérateurs commercialisent eux aussi des offres haut de gamme, en s’appuyant sur leurs nombreux datacenters historiques, et la connectivité réseau inter-opérateurs dont ils disposent (en bonus: la proximité avec vos clients : les internautes abonnés adsl chez eux). Et chez les « historiques », éditeurs ou constructeurs informatiques du premier monde, on travaille d’arrache pied pour une place dans le nouveau monde digital. 

 

Finalement, qu’est-ce qui fait réellement un bon cloud ?

Toutes ces offres d’hébergement sont autant de modèles de cloud, et peuvent servir à en créer un qui correspond vraiment à votre stratégie d’entreprise (note au passage : ne pas oublier que le système d’information, y compris ses transformations, doit rester aligné avec l’entreprise).

Donc le plus difficile est probablement de ne pas se perdre en route, de savoir quel est votre objectif qualitatif, à court ou moyen terme, avant de choisir un prix, une plate-forme (xAAS) ou un fournisseur.

A ce jour, il semble au moins nécessaire d’atteindre le niveau de qualité, de performance et de fonctionnalités qui sont imprimés dans la conscience collective, à savoir un mode de fonctionnement où tout est fiable et quasi illimité. Il faut donc prévoir un budget en rapport avec ses enjeux , et valoriser les ressources humaines en les faisant évoluer sur la durée. Car même dans le cloud, un système d’information n’est toujours que le résultat de compétences informatiques.

L’étude sur mesure d’une combinaison de performance et d’élasticité vous permettra de faire les bons choix en matière d’architecture cloud. De son côté l’exigence de qualité de service vous guidera vers les prestataires-hébergeurs capable d’accompagner vos informaticiens et vos projets.

people-office-group-team

Pour améliorer votre communication, voilà un Bullshit Bingo Cyber Sécurité

« La seule façon de gagner est de ne pas jouer »

Oui, car pour ne pas perdre votre auditoire pendant vos présentations des risques,  reporting, vos échanges avec le Product Owner, ou un compte rendu d’incident…

Surtout appliquez vous à cocher le strict minimum de cases, et ne pas gagner ce Bingo que je vous ai concocté ce matin.

Parlez Français, illustrez, usez de métaphores sans en abuser. Même entre experts un buzzword peut être confusant (comme ce mot là par exemple).

Ou parlez comme Yoda : pour réussir, perdre ce jeu, vous devez.

Ouvrir la grille du Bullshit Bingo Cyber Sécurité

cyber-security-bingo

 

PS: le jeu est en Anglais, parce que c’est tellement mieux le jargon en Anglais. Une suggestion de buzzword ? Déposez moi un message je l’ajouterai à la carte, merci.

Et remerciements à http://www.bullshitbingo.net/ pour le concept et  l’hébergement de ces cartes.

AWS : bonne nouvelle les datacenters d’Amazon bientôt en France

C’est une bonne nouvelle d’un point de vue utilisateurs, car le rapprochement en région parisienne plutôt que Dublin ou Francfort signifie moins de temps de transit, moins d’interconnexions d’opérateurs.
D’autant que de nombreuses offres et sites Web sont hébergés dans les datacenters historiques Américains. 

Ceci dit, le cloud d’Amazon, AWS, appartient toujours à une société Américaine, donc patriot act et access possible pour les autorités US.

Reste à voir à quel tarif Amazon placera les datacenters Français (plus ou moins cher que l’Irlande ?)

Ça fait quand même d’AWS, leader du cloud public, une option de plus dans le portefeuille de solutions.
Et, c’est aussi un plus car il sera alors possible d’exiger de vos fournisseurs hébergeant leur plate-forme dans AWS de localiser votre instance en France…