mercredi 22 octobre 2008

L'informatique en nuages s'envole

Un article relativement intéressant du Monde, avec quelques mois de...retard ! ;-) Au-delà des aspects techniques, écologiques et de sécurité, déjà traités dans mes posts précédents, ce sont forcément les enjeux financiers qui aiguisent la convoitise des prétendants : "Selon les prévisions de Merrill Lynch, le marché du cloud computing s'élèvera à plus de 100 milliards de dollars dans les trois prochaines années. D'ici à 2011, 12 % du marché des logiciels devrait ainsi migrer vers le "nuage"."

L'article peut être lu ici.

jeudi 26 juin 2008

Antivirus dans les nuages


L’intérêt stratégique du web 3.0 prend de plus en plus corps. Dernière société à y « succomber », l’éditeur d’antivirus Trend Micro qui vient d’annoncer la sortie, pour la fin 2008, d’un outil baptisé Smart Protection Network. Cet antivirus repose sur une architecture « nuage-client » (« cloud-client ») et pour ce faire, l’éditeur Californien a déployé un réseau de serveurs sur l’ensemble de la planète.

Trend Micro annonce une diminution de 70% de la taille de l’application installée sur le poste client, la base des signatures étant décentralisée et mise à jour 1 à 2 fois par heure, le réseau devant être couplé à l’ensemble des centres de veille scrutant la Toile afin de détecter toute survenance de (nouveau) code malveillant.

Au-delà de la tendance forte et de l’engouement que commence à susciter le web 3.0, les premières critiques sont entrain d’apparaître. Pourtant nul doute que cette direction va continuer à se renforcer, Panda Security (ex Panda Software) ayant également annoncé travailler sur un projet d’antivirus « nuage-client ».

mardi 10 juin 2008

Référentiel Général de Sécurité : appel à commentaires


Une fois n'est pas coutume, je relaie l'appel à commentaires fait par l'administration française à travers son portail "Synergies". Cette revue et les éventuels commentaires portent sur le document de travail RGS (Référentiel Général de Sécurité), élaboré conjointement par la DCSSI et la DGME.
J'apprécie ce mode de fonctionnement qui permet de démontrer que l'administration confirme ses "prétentions" numériques et comble, au passage, le retard avéré (Top 5 européen en 2006) au début de la décennie sur certains de nos voisins européens.

Après avoir retenu du Linux comme système d'exploitation pour la Gendarmerie, déployé la télédéclaration des Impôts, lancé de nombreux chantiers TIC en réalité, l'administration sollicite la communauté des internautes. A quand les portails et interfaces web 2.0 / web 3.0 de l'
e-administration, développés sur le même principe ?

mardi 20 mai 2008

Web 2.0 : jeûne ou surcharge pondérale ?

Il y a une dizaine d'années maintenant, Google révolutionnait l'explosion d'Internet et faisait entrer l'humanité dans l'ère du Web...1.0 ! Alors que nous tendons vers la version 3.0* (voire 4.0**) , la 1ère mue connue sous le nom de Web 2.0 a comme première caractéristique d'avoir augmenté la complexité des interactions informationnelles tout en en démultipliant la masse.

Alors que Google s'est montré à la pointe de l'innovation depuis sa création, il faut déjà se placer dans la perspective de l'après puisqu'il me semble à la traîne sur les aspects filtrage / individualisation / automatisation de l'information (= qui a une valeur réelle à un instant donné pour un individu unique).

L'accès simplifié aux réseaux, l'intuitivité des outils de production, l'émergence de nouveaux média (blog, podcast, IM), l'agrégation des contenus ont multiplié follement la création de données. Il devient de plus en plus difficile pour un internaute moyen d'accéder aux seules informations qui l'intéressent, l'obésité informationnelle le guettant à chaque minute !

Bien-sûr, nombreux sont les chercheurs, les entreprises ou plus simplement les amateurs éclairés (communautés de type Open Source) à essayer de résoudre les innombrables paramètres, parfois antagonistes, de l'équation. On peut d'ores et déjà penser que les années qui viennent seront celles d'une nouvelle convergence qui verra s'associer de nombreuses disciplines : médicales (neurosciences, cybernétique***) , sociales (sociologie, anthropologie, psychanalyse) et réseaux-centrés.

Au final, la prochaine décennie pourrait voir l'émergence des premiers individus "infocentrés", bardé de capteurs organiques & nanotechnologiques où l'information qui leur sera destinée tiendra compte du l'activité récente (heures, jours, semaines) ou à venir (minutes, heures), des capacités instantanées d'attention (mode travail, déplacements, week-end, vacances) et de leur état physique et mental (gai, triste, déprimé, etc.).

De fait, la pollution informationnelle et ses excès seront pratiquement réduits à néant. Mais l'IMC de l'information est encore loin !

* Web 3.0 sur Wikipedia (En)
** Web 3.0 and beyond: the next 20 years of the internet
*** dans le sens SF (Science-Fiction, qui ne l'est parfois plus quelques années ou décennies plus tard !)

jeudi 15 mai 2008

Le FBI, Cisco et le "péril jaune"

De l'art de présenter l'information pour l'orienter d'un côté...comme de l'autre ! Telle pourrait être la morale de cette vraie-fausse histoire de risque "majeur" sur les infrastructures critiques avec atteinte à la sécurité nationale des États-Unis !

C'est en quelque sorte ce que retient le lecteur peu ou pas averti en parcourant l'une des nombreuses dépêches de la semaine. L'affaire, puisqu'elle est présentée ainsi, est la communication officielle du FBI sur une enquête commencée il y a 2 ans.

Nom de code : "Operation Cisco Raider".
Objet : la contrefaçon de routeurs Cisco.
Lieux : l'U.S. Naval Academy, l'U.S. Naval Air Warfare Center, l'U.S. Naval Undersea Warfare Center, la General Services Administration et la base aérienne US de Spangdahlem en Allemagne.

Waouh, ça sent le scoop avec des vrais morceaux d'OSS 117 dedans ! Voire le bon vieux scénario hollywoodien du futur blockbuster de l'été. Dit comme cela, on dirait une plaisanterie mais l'information est très sérieuse.

L'attention (la tension ?) monte subitement de plusieurs crans puisque la provenance de ces matériels reste floue, on parle de "fabricants tiers". Et puis, la fumée se dissipe complètement et on se retrouve téléporté en Asie, du côté de l'empire du Milieu !

Contrefaçons, équipements réseaux, guerre de l'information, Chine, USA, ça y est, le scénario est planté, la machine à mythes et à fantasmes peut fonctionner à plein. Sauf que...

Sauf qu'après enquête du FBI et de ses homologues canadiens, aucun troyen ni code malicieux n'a été trouvé dans ces équipements mais qu'ils "étaient susceptibles de s'y trouver portant potentiellement atteinte à l'infrastructure nationale". Et là, merci à l'article de NewsFeed qui évite le comportement moutonnier de certains de ses camarades !

Dans l'état de tensions géopolitiques et économiques actuelles, d'évènement controversé proche à venir (JO Pékin), de désinformation qui pullule, il est important d'éclairer correctement ce type d'information "sensationnelle". Même s'il faut admettre que la contrefaçon est une plaie, que les équipements électroniques contrefaits peuvent être truffés de troyens, backdoors et autres joyeusetés, il y a comme un parfum de malhonnêteté à orienter suffisamment des possibles pour en faire de l'avéré !

dimanche 20 avril 2008

Net Focus 2008 (Lyon, France)

Quelques jours après la fin de Net Focus France (Lyon, 9 & 10 avril 2008), l'heure est au bilan. Sans rentrer dans les détails puisque cette conférence a l'originalité, entre autre, d'être off, un énorme bravo tout d'abord à l'organisation !
Baptie & Co, qui organisait l'événement, a tout mis en œuvre pour que ces rencontres se fassent dans les meilleurs conditions : logés à l'hôtel Radisson, tout en haut du "Crayon", petits déjeuners et déjeuners en rapport, sans compter un dîner le mercredi soir dans l'un des restaurants Bocuse. Bref, rien à dire sur la partie logistique, totalement impeccable.

Ensuite, le contenu : une majorité de RSSI des principales entreprises françaises, des intervenants traitant (bien) de sujets variés, des forums dont certains thèmes étaient originaux et enrichissants, de nombreuses discussions informelles et croisées, une parole plutôt libre et de nombreux constats communs.

Respectant l'originalité d'un tel évènement qui est de réunir les principaux acteurs opérationnels de la SSI en France pour partager leurs points de vue et un retour pratique de leurs expériences, je pense que Net Focus France est devenu l'une des meilleures rencontres du genre.

PS : un billet sur le même sujet sur le blog de Bruno Kerouanton

mercredi 26 mars 2008

Sectéra Edge, le Blackberry à la sauce NSA



Joli coup de pub pour
General Dynamics C4 Systems, "petite PME" américaine de 11 000 personnes, qui sort un PDA un peu spécial puisqu'à l'usage exclusif de la NSA ! L'intérêt de l'information ne me semble pas résider dans l'association forcément détonante entre de la technologie d'essence militaire (MIL-STD-810F) et le client final, tellement controversé !

Non, l'important est de prouver que l'on peut vraiment disposer d'un système léger de communication mobile et performant mais surtout réellement sécurisé. On peut faire confiance aux chercheurs de la NSA pour avoir blindé le système à base de Windows CE un peu spécial !

Trois petites remarques innocentes au passage :

1) quels risques prendra un employé à utiliser le Sectéra Edge pour des usages autres que professionnels ?
2) pourquoi la France et l'Europe (universités, labos publics, R&D entreprises, etc.) semblent une fois encore à la traîne, n'y dispose-t-on pas de budgets conséquents et de chercheurs mondialement reconnus ?
3) n'existe-t-il pas des solutions dans l'OpenSource aussi brillantes et facilement transposables dans des entreprises désireuses de s'affranchir des failles techniques involontaires ou volontairement implantées ?


Sans se laisser entraîner dans le buzz, le produit quasi idéal répondant à un vrai besoin semble exister (États, multinationales, PME innovantes). Seul problème : si l'habit et les caractéristiques font briller les yeux du technoïde qui jongle quotidiennement avec le patrimoine informationnel qui lui est confié, l'aspect "boîte noire" des labos-de-l'armée-américaine-et-de-la-NSA (Diverse Customer Base) doit orienter un choix vers une troisième voix possible (OpenSource / Mashups*) .

* pas à propos, je le sais, juste le plaisir de participer à un autre buzz, celui-là beaucoup plus fort en ce moment ! ;)

jeudi 14 février 2008

Monkeys in an endless digital forest of mediocrity



Je participe bientôt à Net Focus 2008 à Lyon en tant qu'intervenant sur le thème particulier des entreprises face au web 2.0, en particulier sur les problématiques décideurs en terme de sécurité et, forcément, aux défis que représentent le prochain saut vers, par exemple, le
cloud computing et le web 3.0.
Je reviendrai sur tous ces sujets en temps utile mais, depuis quelques heures, les réflexions d'Andrew Keen m'interpellent suffisamment pour en faire l'objet de ce billet.

Ce pamphlet réapparaît bien à propos puisqu'il n'était déjà pas passé inaperçu lors de sa parution en juin 2007. Sous le titre mystérieux du "Culte de l'amateur", l'auteur y explique pourquoi Internet est entrain de tuer notre culture et de partir à l'assaut de l'économie ("The Cult of the Amateur: How Today's Internet is Killing our Culture").

Ancien de la Silicon Valley et de la première génération d'entrepreneurs sur le web, l'auteur constate un appauvrissement du niveau général des connaissances, le pouvoir pris par les blogs et les sites à succès (de MySpace en passant par Wikipedia).

Sans en rajouter au débat et aux nombreux échanges qu'il y a eu sur le sujet, j'ai ma petite idée sur l'intérêt de ce qu'a posé Andrew Keen. Seul l'angle d'attaque est discutable mais il me semble que l'internet s'est totalement éloigné, peut-être définitivement, du fondamental : trop de bruit, plus d'éthique, un appauvrissement des usages (Miroir, mon beau miroir !), une belle idée devenue une machine à cracher les billets.

Là où je reste optimiste c'est que l'on peut presque comparer la toile à un organisme vivant et que comme tel, il s'autorégulera à terme. Ou mourra !

jeudi 17 janvier 2008

Le risque humain illustré


En faisant ma veille quotidienne, je suis tombé sur un court entrefilet de Zataz. On y apprend mi-amusé, mi-incrédule qu'un ingénieux pirate s'est fait passer pour le patron de la Barclays, l'une des cinq principales banques britanniques. Son subterfuge a si bien réussi qu'il s'est fait envoyer une carte de crédit avec laquelle il a réussi à soutirer plus de 13500 euros.

Cette semaine, j'ai déjeuné avec l'une de mes connaissances professionnelles proches, RSSI de son état. Discutant de choses et d'autres, il me raconte que son entreprise a probablement perdu plus d'1 million d'euros (véridique !) fin 2007, une
paille si l'on compare cette perte au CA de ce groupe. Un des concurrents a récupéré des infos confidentielles et, connaissant le secteur d'activités et la façon qu'ont les responsables concernés de ne pas avoir confiance dans l'informatique pour y stocker les informations concernées, mon collègue RSSI a une forte présomption d'un vol physique des documents concernés, en semaine et en journée de surcroît.

En apparence, il n'y a pas de lien direct entre ses deux anecdotes, hors préjudice financier ?! En réalité, le lecteur averti que vous êtes, a tout de suite compris que les deux délinquants se sont appuyé sur une faille identifiée préalablement. Cette faille dans les deux cas était d'origine humaine. Individuelle dans un cas, collective dans l'autre.
Les moyens de réduire drastiquement les risques qui sont liés à la problématique humaine sont connus, ont fait et continueront de faire la preuve de leur efficacité : une bonne analyse de risques, l'organisation adéquate ou la réorganisation au besoin, de la formation et de la sensibilisation pour l'ensemble du personnel. Avec bien-sûr en point d'orgue les moyens et la systématisation des contrôles, réguliers et aléatoires (revues, audits) des dispositifs mis en oeuvre. A choisir, il vaut mieux hausser le niveau de paranoïa des employés que de conforter leur laxisme (et celui de la direction) !

Pour terminer ce premier billet de l'année 2008, permettez-moi, cher lecteur ou lectrice échoué ou non par hasard sur ce blog, de vous présenter tous mes voeux de santé, de bonheur et de prospérité.