Une informatique moderne, ça ressemble à quoi ?

Dans la clientèle des PME, il n’est pas rare de croiser des infrastructures vieillissantes. Ou plutôt, qui exploitent des technologies d’un autre temps. Et ceci, bien qu’elles aient été installées récemment. Par réflexe, par souci de rentabilité ou par retard technologique, les prestataires de ces entreprises ont fait des choix peu pérennes. Au détriment de celles-ci. Mais alors, comment identifier une informatique moderne ? C’est ce que nous allons voir.

Tout d’abord, commençons par éviter de tomber dans le fantasme. Il n’y a ni solution technologique ultime, ni informatique qui serait une panacée. Chaque entreprise voit sa solution IT sous le prisme de ses besoins. Loin de moi l’idée de vous orienter vers tel ou tel fournisseur qui serait un choix évident et inévitable. D’ailleurs, Steel Blue n’est pas revendeur de produits, mais fournisseur de ses propres solutions, dont les composants évoluent au fil du temps.

La preuve ? Notre produit Steel Workgroup est notre fer de lance. Il s’agit d’un service managé, regroupant des outils collaboratifs (messagerie d’entreprise, stockage et partage de fichiers, collaboration d’entreprise) et des services professionnels associés. Ces prestations couvrent le support, la maintenance, les mises à jour, la gestion des modifications, la documentation, le reporting mensuel. Si ce produit se base aujourd’hui sur Microsoft 365, il a longtemps exploité les services d’Amazon Web Services. Avant que ceux-ci ne deviennent moins compétitifs pour nos clients.

Les besoins, et rien d’autre

Non, l’objectif ici consiste plutôt à vous donner les clés pour identifier les choix à éviter. Toujours du point de vue d’une PME/TPE suisse, pour une taille oscillant entre 5 et 50 utilisateurs. La question du fournisseur technologique ou de l’éditeur importe peu en la matière. C’est le principe que nous cherchons à expliquer. Celui-ci peut être influencé en fonction de critères tels que l’évolution du marché, les changements technologiques, le budget ou encore la flexibilité, la fiabilité ou la simplicité.

Pour obtenir une vue d’ensemble assez complète, il convient de définir ce qu’une PME fait de son informatique. Et en quelque sorte, ses besoins. Pour une entreprise de petite taille, c’est assez simple : on parle de bureautique (emails et fichiers), et d’applications de base (métier et/ou support, regroupant devis, facturation, comptabilité). Autrement dit : il s’agit de stocker et partager des documents, d’échanger des messages et de faire tourner quelques programmes spécifiques.

Ces dix dernières années ont vu l’émergence des solutions SaaS (Software-as-a-Service), c’est-à-dire des programmes hébergés en dehors des murs, centralisés et mutualisés, et souscrits « à la demande » via des abonnements annuels ou mensuels. Ceci a particulièrement affecté les applications support de base, au premier rang desquelles se trouvent la comptabilité et la paie, voire la facturation. Il est vrai qu’acquérir un serveur (et le maintenir) pour faire tourner WinBiz et les faibles volumes de données dont il a besoin n’a plus vraiment de sens.

Applications et informatique moderne

Pour les applications métier, c’est une autre histoire. Comme elles sont bien plus spécifiques, leur marché est plus restreint. Ce qui n’incite pas les hébergeurs ou les éditeurs à proposer une solution externalisée, en tout cas à des tarifs raisonnables. Dans ce cas précis, disposer de son propre serveur peut faire du sens. Mais il y a serveur et serveur. C’est le critère budgétaire qui va prendre le pas ici. Car acheter une machine pour la mettre dans ses bureaux et la dorloter ne serait pas raisonnable.

Pourquoi donc ? Les infrastructures Cloud sont devenues hyper-matures. Alors que de votre côté, vous vous échinerez à héberger une machine dans vos locaux, à assurer son alimentation et sa protection électriques, à prendre soin de la température de l’air. Et surtout, à la maintenir en état de marche. Entre achat, mise en service et maintien en conditions opérationnelles, les coûts de possession d’un serveur ne sont pas négligeables. Et surtout, bien plus élevés qu’une machine virtuelle louée via un prestataire d’infogérance. On parle ici de plusieurs dizaines de milliers de francs sur la période d’amortissement de ce matériel.

Côté bureautique, c’est un peu le même constat. L’hébergement sur site de documents et d’emails n’est plus vraiment d’actualité. Et pourtant, il n’est pas rare non plus de croiser des serveurs de fichiers ou Exchange sur des serveurs surpuissants. Maintenir cette machinerie en état est une peine quotidienne coûteuse, qui génère insatisfaction et frustration. Tout en creusant le budget des PME qui s’y accrochent. Et je ne parle pas seulement du matériel, mais également de la configuration logicielle et de la sécurisation. Un serveur de messagerie requiert une exposition à Internet dont les pirates se délectent, au gré d’attaques et d’exploitation de failles de sécurité.

Les fichiers, le pilier de l’IT des PME

Quant aux fichiers, le COVID a mis en évidence la difficulté d’y accéder à distance lorsqu’ils se trouvent sur des disques sur site. Le VPN peut contrebalancer cela, mais c’est évidemment ajouter une couche de service, qu’il faut, là encore, entretenir et sécuriser. Et ceci sans compter avec les difficultés d’accès depuis la maison. Les solutions de stockage et d’hébergement Cloud se sont progressivement imposées, car plus flexibles, plus sécurisées, et plus simples à mettre en œuvre pour des PME qui doivent, de facto, externaliser la gestion de leur informatique par manque de compétences et de connaissances.

Au premier rang de celles-ci se trouve Microsoft 365, qui a le bon goût d’intégrer tous les outils dans une seule suite. Mais d’autre acteurs, tels que Dropbox pour les fichiers ou Slack pour la collaboration, ont aussi fait leur trou. Toutes sont accessibles depuis une simple connexion Internet, si bien que le bureau n’est plus un endroit privilégié pour les exploiter, mais un point d’accès aux données comme un autre. Tout en apportant un niveau de sécurité inaccessible pour une PME avec des ressources hébergées en son sein. Cryptage au repos comme en transit, double authentification, redondance locale et géographique : autant de propriétés qui viennent de facto avec les outils d’une informatique moderne.

Ces tendances sont celles du moment. Et peut-être pas celles de demain. Car l’évolution permanente de l’informatique rebat les cartes des choix possibles à intervalles réguliers. La modernité n’est donc qu’un concept, qui évolue au fil du temps et qui doit être remis en question en permanence. Ce qui implique de devoir se maintenir à niveau. Reste à savoir dans quel état se trouve votre informatique et si elle coche déjà quelques critères de modernité actuels. Histoire de garder une longueur d’avance en termes de flexibilité, de contrôle des budgets et de mobilité.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Et si on inspectait votre informatique pour savoir si elle coche les cases de la modernité ?

Continuité d’activité IT : avez-vous un plan B ?

Peignons le diable sur la muraille : votre système d’information est attaqué, et tout s’arrête. Les plus téméraires s’en remettront à leur chance, en croisant les doigts. Mais les plus prévenants auront anticipé les choses. En mettant en place un plan de continuité d’activité informatique, qui leur permettra de vivre cet événement plus sereinement. Voire de survivre. Voyons comment.

Notre esprit est ainsi fait : il éloigne inconsciemment les événements qui nous effraient, en nous évitant de les préparer comme il le faut. Les cyberattaques d’entreprise n’échappent pas à cette règle. Vous savez, celles qui risquent de paralyser votre activité, et de mettre à mal votre PME. Les raisons de mettre en place un plan de continuité sont pourtant nombreuses, et bien réelles.

Alors, même si votre cerveau vous incite à remettre ce dossier à plus tard, voici quelques éléments pour vous montrer que les choses ne sont pas insurmontables. Et que quelques initiatives bien senties pourraient vous épargner bien du tracas. Exemples à la clé.

Etape 1 : évaluer les risques

Votre PME reste une petite entreprise. Cela signifie qu’elle doit garder de la flexibilité dans son activité de tous les jours. Et qu’elle ne dispose pas de moyens illimités (mais si c’est le cas, tant mieux). La phase d’évaluation est donc essentielle : elle vise à déterminer vos besoins informatiques vitaux pour continuer à travailler, même en mode dégradé.

Cette étape a pour objectif de cartographier l’ensemble de vos ressources IT, et à leur donner un poids. Cette identification des ressources suffisantes et nécessaires pour reprendre une activité – presque – normale est vitale pour la suite des opérations, car elle définira les axes de priorité pour mettre en place des contre-mesures en cas d’attaque informatique.

Un exemple ? Votre réseau d’entreprise n’est probablement pas une ressource critique. S’il était attaqué, il vous suffirait de l’arrêter – pour contrer tout propagation – et de renvoyer tous les collaborateurs à la maison pour qu’ils retrouvent une connexion Internet. Cela implique évidemment qu’ils soient capables de télétravailler. En revanche, votre application métier ou votre messagerie trouveront difficilement un remplaçant. Vous ne voulez pas basculer tout le monde sur des comptes Gmail gratuits tout de même ?

Etape 2 : décider des moyens à mettre en place

A l’issue de cette première phase, vous aurez pu déterminer vos prérequis a minima pour poursuivre votre activité. Ce qui n’est pas essentiel sera tout simplement ignoré. Afin que vous vous concentriez sur les éléments critiques pour votre survie informatique. A ce stade, vous progresserez sur deux axes distincts : les améliorations d’une part, et la remédiation d’autre part.

Comme il sera toujours plus simple de prévenir que de guérir, attelez vous à vérifier si vos services essentiels disposent du meilleur niveau de protection possible. Si ça n’est pas le cas, assurez-vous de mettre en œuvre les mises à niveau nécessaires. Prenons un exemple : si votre messagerie d’entreprise n’est pas protégée par une double authentification MFA, mettez la en place, tout en garantissant que tout nouveau compte n’échappera pas à cette règle. Cela permettra probablement d’éviter le pire dans certains cas.

En parallèle, décidez quelles alternatives vous mettrez en place pour vos services critiques. Là encore, vous procéderez en deux phases : identification des scénarios, et couverture des risques de chacun d’entre eux. Et avant même que vous le demandiez, voici un nouvel exemple : si vous perdez le contrôle de votre messagerie, il conviendra d’en préparer une de secours, prête à accueillir d’éventuelles sauvegardes de vos boîtes email. Autre cas : la perte de votre nom de domaine. Si votre outil de gestion de DNS est piraté, vos emails pourront être détournés. Vous devrez donc vous rabattre sur votre messagerie de secours, mais avec un nom de domaine alternatif.

Etape 3 : déployer votre plan de continuité d’activité

Bien, maintenant que vous savez quoi faire, il n’y a plus qu’à mettre les mains dans le cambouis. Et déployer les différents éléments de votre plan de continuité d’activité. Mais pas n’importe comment. Si cette étape paraît simple, elle ne doit cependant pas être prise à la légère. Il vous revient en effet de ne pas déplacer les risques et donc de bien séparer les différents environnements, production et plan de continuité respectivement.

Cela passe donc par une mixité de fournisseurs et de solutions techniques, le but étant de ne pas se faire pirater aussi votre environnement de continuité. Imaginons que Microsoft 365 soit attaqué demain, et que votre messagerie soit chez le géant du logiciel. Si vous avez opté pour une sauvegarde Cloud de vos boîtes chez le même fournisseur et que celui-ci se trouve sous le feu d’une attaque, vous risquez de tout perdre en une fois, boîtes et sauvegardes.

C’est un peu comme si vous disposiez d’une connexion Internet de secours mais que celle-ci passe par le même chemin que la connexion primaire : la pelleteuse, au moment de tout sectionner, ne fera pas la différence. Vous prendrez donc de soin de bien évaluer les solutions de secours avant de les mettre en œuvre.

Etape 4 : tester, encore et toujours

Maintenant que tout est prêt et opérationnel, vous pouvez dormir sur vos deux oreilles, pensez-vous. Pas tout à fait, en fait… Une bonne solution de secours est une solution que vous testez régulièrement. Faute de quoi elle pourrait s’avérer inutile ou inopérante le jour J. Nous avons pour habitude de dire que ce jour-là, vous ne pourrez plus être dans la réflexion, mais bel et bien dans l’action.

Cela implique de savoir exactement quoi faire pour traiter les scénarios que vous avez préalablement définis. Mais aussi de connaître le résultat exact de la mise en œuvre de vos outils de secours. Parce vous les avez expérimentés à blanc par le passé.

Une des techniques classiques consiste à mettre en place des éléments témoins dans votre infrastructure, qui ne sont pas utilisés au quotidien par les collaborateurs mais dont vous connaissez l’état. Ils vous permettront de juger par exemple de l’efficacité de votre plan de backup d’email : puis-je récupérer le message témoin reçu il y a deux jours ? puis-je revenir suffisamment en arrière dans l’historique de mes fichiers pour contrer un ransomware actif depuis 3 jours ?

Ces tests devront être planifiés à intervalles réguliers, ce qui garantira la fiabilité de votre plan de continuité d’activité. Il ne vous restera alors plus qu’à organiser les choses. Car basculer sur un plan de continuité d’activité est une décision lourde, que seuls les responsables de l’entreprise pourront prendre. En évaluant le bénéfice et le risque, sur la base d‘indicateurs factuels et non pas sur des critères émotionnels. Ils n’auront pas leur place dans ce moment particulièrement critique.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les plans B ne sont pas réservés aux grandes entreprises. Contactez-nous pour définir le vôtre… et dormir tranquille.