Archive d’étiquettes pour : sécurité

Pas un jour sans que la presse ne relate un nouveau piratage. Et les institutions publiques ou non-gouvernementales n’y échappent pas. Dernier en date : la fuite de données qui a touché le CICR.  A l’échelle de votre PME, il est peut-être urgent de vous demander dans quelle mesure vous êtes exposés. Pour vous aider, nous avons mis en évidence 3 signaux qui devraient vous alerter. Alors, prêts à vous faire peur ?

C’est à se demander si un système informatique peut réellement être sûr. On vous rassure tout de suite : c’est possible. Pas de manière infaillible – fuyez sans autre celui qui vous promettrait le contraire, mais suffisamment pour couvrir la majeure partie des cas. Et en tout cas dissuader les opportunistes à la recherche d’une occasion facile de vous extorquer un peu d’argent (en cryptant vos fichiers par exemple). Voici donc quelques signes qui peuvent vous mettre la puce à l’oreille.

Vous réutilisez le même mot de passe partout

Gérer ses mots de passe tourne souvent au cauchemar pour la plupart des utilisateurs. La multiplication des outils et applications en ligne requiert de s’y authentifier. Et pour faire face à cette vague d’identifiants, la tentation est grande de réutiliser à l’infini le même mot de passe, votre préféré. Vous savez, celui qui contient le prénom d’un être cher ou une date de naissance.

Cette approche est dangereuse à plus d’un titre. Tout d’abord, il se peut que vous utilisiez non seulement le même mot de passe, mais qu’il soit accolé au même identifiant (votre adresse email par exemple). Et si la plupart des sites que vous utilisez sont sûrs, vous n’aurez jamais de garantie à 100%. Si bien que le maillon faible qui se fera extorquer ces précieuses données offrira un sésame que les pirates s’empresseront de tester sur tout un panel de sites : réseaux sociaux, messagerie d’entreprise, etc.

Si ces tests se feront de manière automatique – nul doute qu’en plus d’être malhonnêtes, nos hackers préférés ne sont pas du genre à s’acharner au travail, vous risquez de subir tout de même une analyse d’ingénierie sociale un peu plus poussée. C’est-à-dire ? Afin de garantir le plus grand succès à son opération, le pirate va regarder de plus près votre activité, votre employeur, et tenter de trouver d’autres portes d’entrée.

Faisons l’hypothèse par exemple que vous utilisez à titre privé un vieux compte Yahoo. Votre mot de passe se fait dérober parce que vous l’avez utilisé avec cette adresse sur un site peu sécurisé, et donc peu recommandable. Nos chers pirates vont tenter de l’exploiter sur toutes les plateformes possibles. Et aussi en profiter pour récupérer vos autres adresses email, et tenter de les exploiter avec le même mot de passe. Par exemple sur la messagerie de votre entreprise. Vous commencez à comprendre ?

Vos systèmes d’entreprise n’utilisent pas d’authentification forte

Si vous n’avez donc pas pris garde d’apporter un peu de diversité dans vos mots de passe – même privés, vous vous retrouvez donc avec un pirate qui frappe à la porte de votre compte professionnel. C’est donc votre entreprise qui est maintenant à risque, et qui doit assumer la responsabilité de ce manque de variété dans vos codes. Par chance, elle aura pris soin de mettre en place une double authentification, aussi appelée MFA (Multi-Factor Authentication). Ou pas.

Dans le cas contraire, le pirate pourra par exemple accéder à votre messagerie d’entreprise. Et ceci d’autant plus simplement qu’elles sont maintenant toutes accessibles depuis Internet : les smartphones, d’abord, puis le télétravail, ont rendu cette exposition nécessaire et incontournable En fonction de vos responsabilités ou du niveau de sensibilité des données que vous traitez, le pirate pourra tenter de rebondir pour initier des paiements ou vous faire chanter en menaçant de les dévoiler. Mais l’histoire ne s’arrête pas là, évidemment.

L’usurpation d’identité via la messagerie devient un grand classique

Accéder à votre messagerie d’entreprise permet de se faire passer pour vous. Et donc d’initier des échanges avec d’autres personnes de votre organisation, mais aussi des clients, des partenaires ou des fournisseurs. Pour tenter d’extorquer d’autres données et, de proche en proche, s’insinuer de plus en plus profondément dans le système d’information de l’entreprise. Parfois silencieusement. Alors que les attaques en force étaient la norme il y a quelques années, elles sont maintenant ciblées et bien plus sophistiquées. Dans ce domaine aussi, hélas, la qualité a remplacé la quantité.

On comprend donc l’intérêt d’un mot de passe propre à chaque site, application ou système. Et de la généralisation de la double authentification, au moins sur les services de votre entreprise. Si vous combinez l‘absence des deux, vous êtes à risque. Et même si votre mot de passe préféré n’est pas volé sur un site un peu faiblard, les pirates risquent de venir vous le demander directement, via un email de phishing par exemple. D’accord, mais dans ce cas, comment faire face à l’avalanche des mots de passe ?

Vous n’utilisez pas de gestionnaire de mot de passe

Le plus simple évidemment consiste à laisser faire un outil bien plus adapté que nos cerveaux à stocker autant de données, parfois vides de sens. C’est donc là qu’intervient le gestionnaire de mots de passe. Il permet de stocker, centraliser, crypter et protéger vos codes de sécurité. De telle sorte que vous n’avez plus à les retenir. Ou presque, puisque le dernier mot de passe que vous devrez apprendre sera celui du gestionnaire justement. Par étonnant qu’une des stars du secteur se nomme LastPass !

Si vous m’avez suivi, vous prendrez bien soin de créer un tout nouveau mot de passe pour votre gestionnaire, et de ne le noter nulle part. Il y a de fortes chances que nous n’ayez pas à l’utiliser souvent, car l’accès aux données dans votre application est protégé par un facteur biométrique (reconnaissance faciale, empreinte digitale). Et en cas de perte, une procédure vous permettra de le remettre à zéro. Idéalement, vous confierez le choix du mot de passe à un générateur, afin de le rendre difficilement prédictible.

Côté pratique, le gestionnaire de mot de passe tient dans votre poche, sur votre smartphone. Il s’intègre aussi parfaitement à votre navigateur, de sorte que vous pouvez automatiser la saisie des codes une fois dans votre session. Celle-ci doit donc aussi être protégée par un mot de passe fort. Et si une activité suspecte est détectée (utilisation de votre gestionnaire depuis un appareil inconnu), elle vous sera signalée. Pour encore plus de sécurité, vous pouvez programmer la désactivation automatique de votre gestionnaire au bout de quelques minutes d’inactivité. Et forcer ainsi la saisie de votre mot de passe maître à intervalles réguliers.

Avec ces quelques piliers sécuritaires en place, vous vous donnez les meilleures chances d’échapper aux attaques classiques. Et de ne pas faire la une des journaux. Dans le cas contraire, vous pouvez toujours continuer à noter vos mots de passe sur un tableau Excel et vivre dangereusement. Peut-être échapperez-vous tout de même au piratage. Mais qui souhaite vraiment prendre ce risque aujourd’hui ?

Emmanuel Dardaine

emmanuel dardaine expert cloud

Le phishing, vous connaissez ? Cette technique, aussi appelée hameçonnage en bon français, est utilisée par les pirates pour voler vos identifiants. Basée sur l’envoi d’email, elle tente de vous mettre en confiance en présentant un environnement connu. Et vous invite à saisir identifiant et mot de passe. Pourtant, identifier ces courriels pirates n’est pas si compliqué. Voici comment procéder.

L’hameçonnage est une technique de piratage qui a malheureusement fait ses preuves. Tout commence généralement par un email que vous recevez un beau matin. S’il arrive là, c’est que votre système de filtrage a été floué (vous en avez un, au fait ?) : c’est rare, mais pas impossible. Et ça n’est pas le propos : le courriel est là, et vous devez décider quoi en faire. Voici quelques clés pour identifier s’il est frauduleux.

La peur et la confiance : les deux leviers du phishing

Pour que vous soyez incité à agir, cet email utilise généralement la peur. Un des meilleurs moyens consiste à agiter un chiffon rouge, comme l’expiration de votre mot de passe et tous les cataclysmes qui vont avec : perte de l’accès à vos données, perte de temps, journée gâchée…

La deuxième phase consiste donc à vous proposer une solution rapide et simple pour éviter tout inconvénient : connectez-vous et validez votre mot de passe. En cliquant sur le lien qui vous est gentiment proposé, vous ouvrez une page qui ne vous est pas méconnue, avec une zone de saisie du nom d’utilisateur et du mot de passe.

Pas de panique, cliquer n’est pas forcément rédhibitoire

Jusqu’à cet instant précis, vous n’êtes pas en danger, mais vous avez simplement réagi à la sollicitation. Ni vos données ni votre ordinateur n’ont été compromis à ce stade. En revanche, si la confiance est telle que vous livrez ces deux informations, le cataclysme – le vrai – pourrait bien se réaliser. Voyons donc comment éviter d’en arriver là.

Encore une fois, je me place dans le cas où l’email n’a pas été filtré par votre service de messagerie. Les services d’email modernes disposent de moyens d’analyse qui leur permettent de trier le bon grain de l’ivraie. Elles ne sont pour autant pas infaillibles, et peuvent présenter soit des faux positifs, soit des faux négatifs. Dans ce dernier cas, vous avez encore quelques cartes en main.

Toute incitation à agir est suspecte

Tout d’abord, un tel email doit attirer votre attention. Comment ? En appliquant un principe simple : toute injonction à agir est suspecte. Que ce soit pour cliquer sur un lien ou ouvrir un attachement. Un « Cliquez ici » devrait vous alerter immédiatement. Et vous amener à supprimer l’email en question ? Pas si vite, si vous avez encore le moindre doute, il s’agit maintenant de valider cette première impression.

Le bouton qui est vous est présenté fièrement en plein milieu d’email est somme toute inoffensif. Il tente de vous emmener sur un site Web, celui qui vous mettra en confiance, afin d’activer la 2nde étape du processus. Mais en le survolant, sans cliquer dessus, il révèlera tous ses secrets. L’adresse de destination apparaît, et vous indique clairement si on essaie de vous duper.

Même si certains font des efforts, de nombreux pirates continuent d’utiliser des liens suspects

Soyons clairs : si l’email semble émis par Microsoft ou Google, le lien vous emmènera vers un nom de domaine exotique, sans aucun lien avec l’émetteur qu’il prétend être. Un exemple ? Voici une adresse dans un email incitant à vous connecter chez Facebook : http://activate.facebook.fblogins.net/88adbao798283o8298398?login.asp

Vous aurez remarqué que l’adresse de ce site, bien que comprenant le mot clé « Facebook », vous emmène sur le nom de domaine fblogins.net. Si la première phase vous a mis en alerte, cette lecture attentive finira de vous convaincre que vous pouvez classer ce courriel verticalement.

Et si malgré tout vous cliquez…

Malgré ces précautions, si vous suivez le lien, on vous demandera alors de vous authentifier. Et si vous allez jusqu’à cette extrémité, évidemment vous ne serez pas connecté au moindre service. Le but ici est de récupérer votre mot de passe, et de le tester sur d’autres services : stockage en ligne, messagerie, etc. Les utilisateurs ont malheureusement tendance à utiliser toujours le même mot de passe un peu partout.

A terme, les pirates cherchent à s’introduire dans votre système informatique ou bloquer vos moyens informatiques. Dans le premier cas, les hackers rechercheront des informations sensibles dans vos données, comme des numéros de carte de crédit. Dans le second, ils tenteront de vous extorquer de l’argent, en cryptant vos fichiers par exemple.

Pour ceux qui sont équipés de double authentification, cette deuxième barrière les protègera. Partiellement en tout cas. Car si votre mot de passe est utilisé dans différents systèmes, et que certains d’entre eux n’ont pas cette double protection, alors la porte sera ouverte. D’où l’importance de garder l’œil ouvert, de faire tourner ses mots de passe, et de les diversifier. A bon entendeur.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les images ne vous auront pas échappé : OVH, leader européen de l’hébergement informatique, a perdu un de ses centres d’hébergement Cloud dans un incendie. Avec des conséquences dramatiques pour certains clients, qui y ont laissé serveur et données. Alors, pas si sûr que ça le Cloud ? La conclusion pourrait s’avérer un peu hâtive.

Les chiffres peuvent donner le tournis aux néophytes : 12’000 serveurs, et 3.6 millions de site Web affectés. En quelques heures, le feu spectaculaire qui a ravagé un centre de données d’OVH à Strasbourg (FR) a fait des dégâts considérables. Et laissé pas mal de clients sur le carreau. Car en plus d’avoir subi une interruption de leurs services, certains ne les verront tout simplement pas redémarrer. Alors, la faute à qui ?

L’incendie du 9 mars 2021 dans les faits

Commençons par déminer le terrain : OVH dispose de sauvegardes des données et services qu’il héberge. Ce service de copie fait même parfois partie de la prestation fournie, ce qui donne 2 niveaux de protection : les backups gérés par le client, et la sauvegarde générale de ses infrastructures par OVH. L’hébergeur a d’ailleurs publié dans un communiqué quelles données étaient récupérables, sur chacun de ces deux niveaux, service par service.

Mais c’est la localisation des données de sauvegarde qui a constitué le facteur de risque. Car certains services localisés à Strasbourg voyaient leurs données recopiées… dans la salle d’à-côté ! En cas d’incident majeur – dégât des eaux ou incendie, ce type d’approche amène à ce que les données soient détruites en même temps que les backups. Et c’est ce qu’il s’est passé.

Avec données et sauvegardes côte-à-côte, le moindre incident pouvait se transformer en catastrophe

Difficile de savoir dans quelle mesure OVH est fautif. Car si les services sont fournis tels quels, sans garantie de disponibilité ou de pérennité, c’est au client de réaliser ses backups. Mais la liste de services affectés évoquée plus haut mentionne aussi des prestations haut de gamme, dont OVH assure la protection, et dont les données de backup étaient pourtant situées sur le même site. OVH n’est donc pas exempt de reproche, et s’est fendu des sempiternelles excuses.

Le client reste maître des besoins et des risques

Sur le papier, est-ce que cela remet en cause le modèle Cloud ? Les plus réticents diront qu’avec une infrastructure sur site, un client n’aurait pas subi ces dégâts. Et les pro Cloud objecteront. Car il faut prendre soin de comparer ce qui est comparable. Un incendie d’une infrastructure locale aurait au moins autant de répercussions sur la disponibilité des données. A moins d’avoir externalisé les backups… dans le Cloud !

Jeter le bébé avec l’eau du bain est inutile : c’est son usage qui doit être revu, pas le Cloud lui-même

Comme toujours, il faut faire preuve d’un peu de bon sens. Est-ce que les stockage Cloud sont plus sécurisés que les infrastructures sur site ? Oui, sans aucun conteste, à coût égal en tout cas. Pour autant, les mettre dans le Cloud ne vous exempte pas de prendre des précautions. Dans le monde automobile, l’invention de l’Airbag n’a dispensé personne du port de la ceinture, que je sache.

Cloud ou pas, vous restez donc maître de la protection de vos données, et de la stratégie que vous souhaitez appliquer. Car si un backup minimal est appliqué par l’hébergeur, sans même que cela ne fasse officiellement partie du service, vous ne devrez pas compter dessus. La fréquence et la destination des sauvegardes restent donc une prérogative du client.

Hébergement de serveur Cloud : évidences et bonnes pratiques

Alors, quelles bonnes pratiques mettre en œuvre ? Tout d’abord, définissez vos besoins et vos contraintes. Si votre site Web ou votre application sont critiques (par exemple, un site de vente en ligne), vous n’adopterez pas le même plan de sauvegarde que pour un petit site institutionnel de quelques pages. Il faut donc définir le temps d’indisponibilité qui reste acceptable pour chaque brique de votre infrastructure.

Ensuite, vérifiez les garanties de service qui vous sont proposées. Est-ce que la sauvegarde est incluse ? A quelle fréquence ? Cette fréquence est-elle compatible avec vos besoins ? Pour un hébergement low-cost, il y a fort à parier qu’on ne vous garantira pas grand-chose. Vous devrez donc procédez vous-mêmes aux sauvegardes. Et votre « pas cher » ne le sera plus vraiment.

Si vous n’avez pas de contrôle sur les sauvegardes, faites-les vous-mêmes

Dernière recommandation, et probablement la plus importante : assurez-vous toujours que données primaires et sauvegardes sont séparées géographiquement. S’il y a le moindre doute en la matière, prenez les devants et souscrivez un service de sauvegarde géo-redondé. Les services Cloud dignes de ce nom vous garantissent une réplication des fichiers dans une région donnée, à plusieurs dizaines de kilomètres de distance, à moindre coût.

La fiabilité extrême des services Cloud donne l’illusion d’une sécurité garantie à 100%. Alors que ces services restent soumis aux bonnes pratiques de gestion d’une infrastructure informatique, Cloud ou pas. Leur densification intense dans les datacenters a des conséquences tout aussi extrêmes en cas d’incident, et les met à la une des journaux. Ils vous apporteront pourtant des bénéfices immenses, pour autant qu’ils soient utilisés avec bon sens. Et gérés avec sérieux.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Selon une étude récente, la sécurité informatique sera l’une des deux priorités des PME en 2021. Sujet récurrent, et mal nécessaire, la protection des infrastructures IT est le parent pauvre des petites entreprises. Est-ce que cette année marquera un tournant en la matière ? Probablement, et voici pourquoi.

Si la sécurité informatique est mal aimée des PME, les derniers mois auront au moins permis de montrer leur défaut en la matière. Les hackers de tout poil ne s’y sont pas trompés, multipliant les attaques, vers les grands groupes, ou encore les institutions publiques comme les plus petites des entreprises. La mise en place – parfois anarchique – du télétravail ou de l’accès à distance aux réseaux des entreprises a ouvert quelques brèches, rapidement exploitées.

Alors oui, la sécurité est contraignante. Et oui, il est assez pratique de noter ses mots de passe sur un Post-It ou de mettre en place des outils de partage d’écran grand public pour retrouver son PC professionnel depuis la maison en quelques clics. Mais à quel prix ? Les conséquences peuvent être dramatiques. Les dernières statistiques montrent qu’une entreprise sur trois dans le monde à subi une attaque d’hameçonnage de mot de passe.

Il aura donc fallu une pandémie – rien que ça – pour donner un coup de projecteur sur les trous béants laissés par plusieurs années, voire décennies, de disette dans le domaine de la protection informatique. 2021 marquera donc un virage dans le bon sens, et pour trois bonnes raisons.

Parce que le télétravail a ouvert des failles

Lorsque la Confédération a décidé le semi-confinement du pays, elle a pris tout le monde au dépourvu. Y compris les PME. Cette décision instituait indirectement le home office comme une nouvelle règle, qui s’imposait alors aux petits patrons. Tous ont dû s’y mettre, y compris les plus récalcitrants. Pour ces derniers, qui n’avaient pas envisagé ce mode de travail, le chantier était vaste. Et le temps à disposition inversement proportionnel.

Il a donc fallu faire, au mieux, des compromis, et au pire des compromissions. Evidemment, la sécurité des données s’est retrouvée sacrifiée sur l’autel de la réactivité. Et le bricolage est devenu la norme dans les PME qui ne disposaient pas déjà des outils adéquats. Les comptes de messagerie se sont donc retrouvés configurés sans contrôle sur des appareils personnels, et les données se sont échangées à grands coups de clés USB, de WeTransfer et de copies locales.

Avec la généralisation du télétravail, le volume des échanges sur le Cloud a explosé. Certains acteurs en ont tiré profit pour capter des données à moindre coût.

Quel problème me direz-vous ? Si l’infrastructure IT d’une PME dispose d’un minimum de contrôle, il n’en va pas de même des appareils privés. Qui s’assure à la maison que votre antivirus est bien à jour, ou même que vous en disposiez d’un ? Ou encore que vos mots de passe sont changés régulièrement ? La récente divulgation d’une liste de plusieurs milliards de mots de passe compromis montre à quel point les appareils personnels sont vulnérables, et dans quelle mesure les connecter au bureau revient à faire entrer le loup dans la bergerie. Les pirates l’ont bien compris.

Parce que les pirates sont sur la brèche

Ceux-ci se sont naturellement glissés dans la faille pour profiter de l’aubaine. Imaginez donc : des millions de PME, bien plus concernées par leur survie que par la mise en place académique d’outils de travail à distance, représentaient autant de proies faciles. L’occasion était trop belle. Et on a donc vu dans la presse des exemples quasi-quotidiens d’entreprises piratées, qui avaient vu leurs données cryptées ou leurs comptes dérobés. Au premier rang desquels les organismes de santé.

Si des cas de piratage – ou de négligence, au choix – remontent régulièrement à la surface, leur multiplication pendant la pandémie était significative. Et les utilisateurs déjà sous pression, comme ceux des services hospitaliers par exemple, se sont retrouvés évidemment dans l’œil du cyclone du hacking informatique. Quoi de plus attractif en effet qu’une organisation débordée, qui ne pourra pas se passer longtemps de son système informatique ?

Payer la rançon pour retrouver ses données est équivalent à un coup dés : il n’y a aucune garantie que cela aboutisse

Beaucoup ont payé les rançons demandées pour libérer leurs précieux fichiers. Mais tous n’ont pas pu les récupérer. Car en la matière, la règle ne change pas : seule une minorité des données dérobées est rendue à son propriétaire. La règle qui prévaut en la matière est simple : ne pas compter sur une telle récupération. Et donc mettre en place des mécanismes qui permettront plutôt de faire face au vol de données, quitte à perdre quelques jours de travail.

Parce que le Cloud s’est généralisé

Facteur aggravant, l’adoption massive du Cloud dans les PME a agi comme un effet cumulatif sur les risques que les PME font porter à leurs données. Là encore, une mise en place anarchique et sans préparation de ces outils aboutit fatalement à une exposition forte de ses données. Un bon exemple ? DropBox bien sûr. Cet outil bien pratique permet de stocker dans le Cloud des fichiers en pagaille, et de les partager avec collègues et partenaires.

Les plus attentifs d’entre vous auront parcouru les petites lignes des conditions générales de la version gratuite de l’outil. Et ils auront remarqué que le gratuit a bel et bien un coût. En l’occurrence, celui de la propriété de vos données. Vous avez bien lu : l’usage de la version à zéro franc de DropBox vous engage à céder le droit de propriété des tous les fichiers que vous y déposerez. Même après suppression. Une vraie manne pour ce service qui, à n’en pas douter, a pu capter depuis 12 mois des masses de données, dont certaines sont confidentielles.

Le Cloud en tant que tel n’est pas dangereux. Au contraire, il offre un niveau de sécurité informatique bien plus important que ce que la PME lambda ne pourra jamais s’offrir sur ses propres serveurs. Mais une exploitation hasardeuse vous mènera immanquablement dans le mur. Ces outils ne sont pas miraculeux, ils sont tout simplement puissants. Et requièrent encore plus d’expertise pour en tirer le meilleur profit. Pandémie ou pas.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Active depuis 25 ans, HPI Entreprise est une entreprise de nettoyage et de conciergerie. Résolument tournée vers l’avenir, elle a décidé de moderniser son concept, et de renouveler son informatique, pour faire face à ce nouveau défi. Récit d’une transformation réussie.

HPI Entreprise s’adresse aussi bien aux entreprises qu’aux particuliers. Elle est à même de fournir des prestations de conciergerie, de nettoyage de bureaux, de villas, et d’appartements, mais aussi d’assurer les interventions de fin de chantier ou la préparation et le nettoyage d’événements. Rebaptisée en 2019 après avoir repris l‘ancienne Putz-Tout, HPI Entreprise a aussi donné un coup de balai sur son activité, en privilégiant une approche écoresponsable. Sa directrice, Cadige Azzeddine nous en dit plus.

Comme dans le reste de l’économie, notre activité doit assurer une part croissante de responsabilité sociale et environnementale. Peut-être même plus que dans d’autres secteurs, car nos prestations sont basées sur de la main d’œuvre d’une part, et requièrent d’autre part d’utiliser des produits qui peuvent avoir un impact sur l’environnement. Lorsque nous avons créé HPI Entreprise, notre volonté consistait à nous inscrire dans une forme de modernité et d’assumer cette responsabilité.
Cadige Azzeddine, Directrice de HPI Entreprise

Cette mise au goût du jour s’est étendue jusqu’à son informatique, qu’il a aussi fallu revoir. HPI Entreprise exerce une activité de terrain, qui nécessite naturellement de la mobilité. L’accès aux données et aux applications doit donc être possible en tout lieu et en tout moment, depuis n’importe quel appareil. Tout en assurant une protection des données sans faille. Cadige Azzeddine nous explique cette quadrature du cercle.

Nous avions besoin de pouvoir travailler au bureau comme sur le terrain, avec nos ordinateurs portables et nos mobiles. Ce qui exposait fatalement plus nos données. Au plus de cette flexibilité, nous avions donc besoin d’une sécurité accrue, notamment pour parer aux risques de vol. Steel Blue nous a proposé de migrer sur Microsoft 365. En plus de disposer des données – emails, fichiers – de manière transparente sur tous nos appareils, cette solution nous garantit une protection optimale. Ainsi tout appareil qui n’est pas considéré comme digne de confiance ne peut pas accéder à notre Cloud.
Cadige Azzeddine, Directrice de HPI Entreprise

MFA (Multi-Factor Authentication) a été généralisé sur les comptes individuels des utilisateurs, ce qui les prémunit d’un accès délictueux aux données. Celles-ci ont été migrées dans le Cloud pour en faciliter l’accès sur le terrain. Et évidemment, tous les appareils ont été enregistrés dans le système MDM de Microsoft, afin de faciliter le déploiement des programmes et surtout d’en garder le contrôle, avec notamment un cryptage intégral des données d’entreprise ou encore la possibilité d’effacement à distance en cas de perte ou de vol.

Steel Blue nous a clairement expliqué les avantages de cette solution, qui nous ont séduits. En plus d’avoir accès à nos fichiers et nos emails partout où nous nous trouvions, nous avons pu bénéficier de nouveaux outils qui s’inscrivaient dans notre démarche de modernisation. Ainsi, nous avons commencé à utiliser Teams pour nos visio-conférences. L’absence d’un tel outil nous faisait défaut, et sa mise en service s’est avérée précieuse en pleine pandémie. Grâce à la formation délivrée par Steel Blue, et leur maîtrise de ces outils, la prise en main a été rapide et facile.
Cadige Azzeddine, Directrice de HPI Entreprise

Et maintenant ? Avec la mise en place de ce nouvel environnement informatique, ajouter des comptes et des appareils est à la fois rapide et simple. Ce qui a permis à HPI Entreprise d’intégrer de nouveaux collaborateurs de manière sécurisée et efficace. A tel point que déployer des utilisateurs ne nécessite plus d’intervention chez le client : le matériel est livré directement sur place, et après quelques étapes nécessaires à la connexion initiale des comptes, tout le paramétrage est effectué en ligne, automatiquement.

HPI Entreprise, avec sa nouvelle informatique, est désormais équipée pour affronter sereinement la transformation de son marché. Et si vous vous demandez si un tel modèle est applicable à votre PME, rien de plus simple : il suffit de nous le faire savoir et nous venons vous faire courte démonstration de nos outils. Même à distance évidemment, modernité oblige.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les 12 derniers mois auront été difficiles pour les petites entreprises. Mais ils auront aussi agi comme un révélateur. Beaucoup d’entre elles n’étaient pas prêtes à une digitalisation à marche forcée. Entre défaut d’équipement et risques, elles ont fait face comme elles pouvaient. 2021 sera donc une année charnière pour consolider ces acquis. Petit tour d’horizon des technologies Cloud inévitables ces 12 prochains mois.

La crise du Covid-19 aura tout de même eu quelques avantages. Elle aura en particulier confronté les PME à leur retard technologique. Que ce soit en termes de sécurité informatique, de capacité de travail à distance ou de partage des données. A force de quelques bricolages, elles ont pu faire face, avec beaucoup d’agilité. Mais cela ne sera pas suffisant. A toute chose malheur est bon : la crise sanitaire qui se poursuit va inscrire ces nouveaux outils et méthodes de travail dans le long terme. Avec quelques incontournables.

Le télétravail devient roi

Longtemps décrié, accusé d’être complexe à mettre en place et de faire chuter la productivité, le télétravail s’est imposé aux PME, même les plus petites. Le Conseil Fédéral l’a même rendu obligatoire ce mois de janvier. Sa mise en place en urgence a pris des formes aussi variées que dangereuses. Utilisation des ordinateurs personnels, transfert de données sur des supports peu fiables, téléphonie d’entreprise à la maison, accès à distance aux ressources de l’entreprise ont été autant de défis qui se sont imposés aux petites entreprises. Avec bien souvent un confort d’utilisation moindre, car l’informatique du bureau n’était pas conçue pour un usage massif à distance.

Tout l’enjeu en 2021 sera donc de rendre l’usage des moyens technologiques de l’entreprise transparents à leur lieu d’utilisation. Autrement dit : faire en sorte que le bureau ne soit plus qu’un point d’accès à l’informatique et aux données comme un autre. Et que l’on distingue finalement de moins en moins télétravail et travail. Comment ? La solution passera par un transfert systématique des moyens informatiques dans le Cloud : non seulement les données, mais aussi leur traitement (postes de travail, applications). Tout en conservant un niveau de sécurité optimal, grâce à une protection des données avancée.

VDI et postes de travail virtuels

Le premier levier de ce transfert passera par une généralisation des postes de travail virtuels. Le paradigme VDI (Virtual Desktop Infrastructure) qui consiste à fournir un bureau informatique distant risque de s’imposer comme la norme. Tout simplement parce qu’il offre à l’utilisateur une expérience cohérente dans le temps, que ce soit en termes de performances ou de fonctionnalités. Dans les faits, si vous bougez, votre ordinateur reste où il est, et vous y accédez toujours de la même façon et avec le même confort. Et ceci sans que les données ne soient compromises, puisqu’elles ne sortent plus de votre réseau d’entreprise : c’est vous qui vous rapprochez d’elles.

Avec la centralisation des données dans le Cloud, leur protection devient vitale

Concrètement, le VDI peut prendre plusieurs formes. Si les grandes entreprises choisiront (pour combien de temps encore ?) de construire leur propre infrastructure dans un centre de données, les plus petites n’auront pas ces moyens. Elles se tourneront vers des fournisseurs de service qui leur proposeront des prestations clé en main : fourniture de bureaux virtuels à la demande et à l’unité, incluant support et maintenance, en location mensuelle. Ainsi, plutôt que de déployer et d’exploiter à nouveau du matériel, votre MPE tirera avantage à devenir un consommateur de services informatiques à la demande, avec tous les bénéfices que cela représente (souplesse, agilité, flexibilité).

Protection des données

Les données suivront le même mouvement vers le Cloud, pour les mêmes raisons. Par données, on entend évidemment les fichiers de l’entreprise, mais aussi les emails, et toute information manipulée par vos différents programmes et bases de données. Et si vous y accédez dorénavant grâce à un poste virtuel, vous ne voudrez probablement pas en rester là. La configuration des boîtes emails d’entreprise est désormais généralisée sur les smartphones, même personnels. Et comme il n’y a pas encore de moyen efficace de virtualiser nos chers appareils mobiles, on revient à la case départ. Le risque est donc le même que de transférer des fichiers d’entreprise sur le PC de la maison (en cas de vol ou de piratage notamment).

C’est là que les systèmes de protection des données entrent en jeu. Dans les grandes lignes, il s’agit d’évaluer le niveau de confiance accordé à chaque appareil, et de ne l’autoriser à accéder aux données que lorsque tous les signaux sont au vert. Sur quels critères ? Par exemple, la mise en place d’un mot de passe complexe et le cryptage des données. Ou encore, l’activation d’une double authentification. Mieux, la centralisation des données dans le Cloud permet aux entreprises, même les plus petites, d’accéder à des moyens jusque-là inédits : la redondance des données est assurée de facto, évitant des sauvegardes complexes, et le traçage des actions des utilisateurs est activé par défaut.

La cybersécurité entre (enfin) dans les PME

Corollaire de l’exode désordonné et forcé des utilisateurs en télétravail : les PME sont devenues des proies faciles. Les cyberattaques se sont multipliées pendant les premiers mois de la crise sanitaire, comme le relatait notre partenaire en cybersécurité ZenData. Le Covid-19 a largement exposé les petites entreprises, les condamnant à une double peine : réduire leur activité tout en mettant leurs données à risque. Là encore, la crise a mis en évidence les failles de sécurité auxquelles elles font face. A commencer par la première d’entre elles : l’utilisateur. Car l’humain reste encore le maillon faible dans la chaîne de protection des données d’entreprise.

Nul doute donc que 2021 sera l’année de la sécurisation informatique. La double authentification (MFA) va se généraliser. Elle n’est d’ailleurs plus une option sur les applications les plus populaires telles que Microsoft 365. Les gestionnaires de mot de passe comme Lastpass vont se multiplier. Et surtout, les systèmes évolués de détection des menaces, à base d’intelligence artificielle et de Machine Learning vont pullulerPour le dirigeant d’entreprise, le maître-mot sera “simplicité”. Car ces technologies complexes, pour rester bénéfiques au commun des mortels, doivent savoir se faire oublier tout en restant efficaces.

Et pour vous, on commence par quoi ? Au-delà de la provocation, il a fort à parier que la crise sanitaire n’aura pas épargné votre informatique. Et que maintenant que le voile est levé, vous aurez à cœur de vous mettre à niveau. Reste à savoir par quel bout prendre les choses. Pour ça, on vous épargnera le poncif “nous sommes à vos côtés”. Nous nous contenterons de vous proposer une courte séance en ligne pour en savoir plus sur vos projets et l’état de votre infrastructure. Et vous aider à partir du bon pied en 2021.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Fid’Armonia est une fiduciaire à Genève spécialisée dans les PME. En quête de mobilité, elle a revu son informatique de fond en comble. Et l’a drastiquement dématérialisée. Avec à la clé, une transition Cloud accélérée, bénéfique aussi pour ses processus métier. Et en point de mire, le zéro papier. Récit d’une modernisation ambitieuse.

Fid’Armonia s’était reposée historiquement sur des solutions informatiques standard. PC fixe au bureau, et un laptop pour les visites clients et le travail à domicile. Des boîtes email chez un hébergeur de renom. Et un NAS Synology pour le stockage des fichiers. Bref, le triptyque classique. L’accès aux données en mobilité nécessitait de déplacer le NAS, ce qui leur faisait courir un risque important (perte, vol, casse du matériel).

La volonté de Fid’Armonia de revoir son organisation, notamment de mettre en place une Gestion Electronique des Documents (GED) et de viser le tout numérique, nécessitait une refonte profonde de son informatique. La fiabilité et la mobilité devaient désormais être les maître-mots. Maurice Barbaresco, directeur de Fid’Armonia, nous explique ses ambitions en la matière.

Je suis très régulièrement en déplacement, et je travaille aussi depuis la maison ou le chalet. J’avais pris l’habitude de me déplacer avec mon stockage de fichiers, mais ça n’était pas des plus pratiques. Notamment lorsque les données devaient être accédées par plusieurs personnes en même temps, au bureau ou ailleurs. Transporter son NAS n’est pas beaucoup plus commode que déplacer des dossiers papier. Surtout dans l’optique de mettre en place une GED. Au final, cela s’avère assez risqué.

La solution était donc toute trouvée, et consistait à déplacer les fichiers de la fiduciaire dans le Cloud, pour en assurer l’accès en tout lieu et en tout temps. Et garantir aussi leur partage entre les utilisateurs. Pour cela, Microsoft 365 a été mis en place, et les fichiers ont été migrés sur SharePoint. Mais vous nous connaissez, nous ne nous sommes pas arrêtés en si bon chemin. Sécuriser ces données était tout aussi important. C’est pourquoi tous les appareils ont été protégés, avec cryptage des données, et double authentification MFA. Enfin la messagerie a été transférée sur Exchange pour plus de fonctionnalités.

Steel Blue ne s’est pas contenté de mettre les données dans le Cloud, poursuit M. Barbaresco. lls ont mis en place tout un environnement à même de les sécuriser et de les exploiter en toute confiance. Ainsi, tous nos appareils sont sous gestion, se configurent seuls et profitent d’une sécurisation extrême. Ils peuvent être effacés à distance en cas de perte ou de vol. Nous bénéficions aussi de services performants qui améliorent la collaboration et le partage des informations, tels que Teams ou Exchange. Le tout en conservant l’entier de nos données sur Suisse.

Une fois l’environnent Microsoft en place et les migrations effectuées, la sécurité est active une bonne fois pour toutes, comme gravée dans le marbre. L’ajout et la suppression d’utilisateur se font selon un processus unique, qui gère d’un seul tenant les permissions et l’accès aux services. Idem pour les appareils enregistrés dans le système de gestion : inscription et désinscription se font en respectant toujours les règles définies initialement. Et pour ceux qui ne s’y conforment pas, aucune échappatoire possible : ils n’accèdent tout simplement pas aux données.

Non seulement l’installation et la configuration des appareils sont automatiques, mais les règles de sécurisation y sont forcées. On est alors sûr que l’accès aux données n’est rendu possible qu’une fois tous les feux au vert. C’est extrêmement rassurant. Et tout se passe à distance, depuis le Cloud. La récente mise en service d’un nouvel ordinateur portable et d’un smartphone n’a pris qu’une heure pour les deux, tout en garantissant la sécurité des données et des accès aux services. C’est diablement efficace et sûr.

Fid’Armonia est l’exemple type de la société qui tire avantage du Cloud. Elle bénéficie de services et d’un niveau de sécurité réservés jusqu’alors aux grandes entreprises. Et elle en profite pour pousser le curseur de la modernisation un peu plus loin que prévu. Avec la mise en place prochaine d’une GED et le partage systématisé des documents en ligne (plutôt que l’envoi par email par exemple), elle entre dans une nouvelle ère de collaboration efficace et rapide. De quoi transformer aussi son activité et ses processus métier pour les années à venir.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Novostia est une jeune société suisse qui développe des valves cardiaques, en particulier pour les jeunes patients. Créée en 2017, elle a construit son informatique au fur et à mesure de son développement. Après 3 ans d’exploitation, le temps de la consolidation et de la sécurisation était venu pour son système d’information. Elle a pris la direction des nuages, sur le Cloud Microsoft et avec l’expertise de Steel Blue. Récit.

Novostia développe des valves artificielles, spécialement dédiées aux plus jeunes souffrant de pathologies cardiaques. Basées sur les travaux de sommités scientifiques, ces prothèses sont protégées par des brevets internationaux. La sécurité des données tout autant que la protection des échanges entre les collaborateurs et les partenaires de Novostia devenaient cruciales pour assurer la pérennité de l’entreprise. Son directeur, Geoffroy Lapeyre, nous explique pourquoi.

Nous avions placé nos données sur Dropbox, et nous utilisions historiquement un système de messagerie classique basé sur IMAP. Nous souhaitions obtenir de meilleures garanties de nos outils : cryptage des données, échange sécurisé des emails, partage de fichiers protégés. Nous étions aussi à la recherche d’outils de collaboration avancés. Et la localisation des données sur le sol Helvète était primordiale pour conserver un for juridique en Suisse.

Fort de ce cahier des charges et de son expertise Cloud, Steel Blue a orienté Novostia vers Microsoft 365 Business Premium. En plus de fournir licences Office et services en ligne – messagerie Exchange, stockage CLoud OneDrive et Sharepoint, conférences audio et vidéo Teams, cette version ajoute des fonctions de sécurisation avancées des données. G. Lapeyre nous explique comment.

Tous nos comptes sont protégés par Multi Factor Authentication, ce qui nous prémunit d’éventuels vols de nos comptes. Toutes les données sont cryptées, emails comme messagerie, au repos dans le Cloud comme lors des transferts. Mieux, les données stockées sur nos postes de travail sont également cryptées, et ceci de manière automatique. Il n’y a donc aucun risque que les données confidentielles que nous traitons soient exposées si un de nos ordinateurs venait à être volé. Enfin, les restrictions d’accès sur les partages de fichiers en ligne assurent que tous les intervenants sur nos projets soumis au même niveau de protection des données.

Afin d’opérer une transition la plus efficace possible, tous les éléments de la nouvelle infrastructure de Novostia ont été préparés à l’avance. Les comptes ont évidemment été créés et attribués aux utilisateurs, et les boîtes de messagerie synchronisées plusieurs semaines avant la migration. Mais surtout, toutes les règles de sécurité ont été définies avec Novostia, ainsi que les applications et leur protection. G. Lapeyre nous en dit plus sur le processus de transition.

Nos boîtes aux lettres étaient synchronisées avec Microsoft 365 plusieurs jours à l’avance. Steel Blue nous a proposé pour la migration de faire un reset complet de nos postes Windows 10 Pro. Et c’est là que la magie a opéré : après cette remise à zéro, les postes ont été configurés automatiquement, sans intervention de notre part, et les applications bureautiques se sont installées seules. Idem pour nos smartphones. En l’espace de 6 heures, toute notre informatique était migrée. Le tout avec un niveau de sécurité sans commune mesure avec ce que nous avions auparavant. Il ne restait plus qu’à transférer nos fichiers. L’exercice était d’autant plus périlleux qu’il a eu lieu en plein confinement dû au Covid-19, et que nous n’avions pas pu organiser la moindre séance avant la migration. Cela signifie aussi que si nous devons remplacer ou ajouter de nouvelles machines, tout se passe automatiquement.

Une fois la migration terminée, les données de Novostia étaient donc protégées comme jamais. Mais l’histoire ne s’arrête pas là, puisque les collaborateurs disposaient de nouveaux outils pour faciliter leur travail au quotidien tout en respectant un cadre strict de sécurisation des données. De quoi révolutionner les habitudes de travail en douceur. G. Lapeyre nous explique comment.

Nous étions habitués au stockage Cloud avec Dropbox. Mais Sharepoint et OneDrive nous permettent d’aller plus loin, avec une grande finesse dans la gestion des droits. Mieux, l’accès Invités de Microsoft 365 nous permet d’étendre nous outils à des intervenant extérieurs, en leur appliquant les mêmes règles de sécurité. Ils sont par exemple forcés d’utiliser la double authentification. Enfin, l’introduction de Teams fluidifie nos échanges, en interne comme en externe. Le recours de plus en plus fréquent aux conférences vidéo est un atout en ces temps de pandémie. Et comme Teams nous permet d’organiser tout le travail collaboratif, nous avons aussi mandaté Steel Blue pour nous aider à structurer nos données en mode projet.

L’aventure de Novostia a montré, s’il en était besoin, l’atout que représente le Cloud en période de pandémie. Les outils, tout comme les facilités de migration sans quasi aucune intervention physique, donnent aux entreprises utilisatrices un avantage compétitif indéniable. Elles peuvent collaborer plus, plus vite, et plus efficacement, tout en franchissant une marche importante dans la sécurisation et le contrôle de leurs données. Et même si votre entreprise ne gère pas de brevets comme Novostia, vos données ont tout à gagner à bénéficier d’outils Cloud de dernière génération. On se voit pour une démo ?

Emmanuel Dardaine

emmanuel dardaine expert cloud

Les fiduciaires suisses sont à cheval sur la protection de leurs données et de leur informatique. Leurs clients, et leur métier, leur imposent un niveau de sécurisation plus élevé qu’ailleurs. Traditionnellement, elles étaient réticentes à mettre leurs données dans le Cloud. Mais le vent tourne, notamment avec l’arrivée de Microsoft sur le sol helvète.

Traiter des données sensibles, telles que salaires, comptes de résultat ou informations fiscales, incite à la prudence. Et mettre de telles informations dans un grand Cloud public peut apparaître comme un risque supplémentaire aux yeux des plus réticents. Surtout si ce Cloud n’est pas hébergé sur le sol suisse. Mais depuis maintenant quelques années, les choses bougent. Très rapidement même.

Si certains secteurs ont passé le cap de l’inquiétude, fondée ou pas, d’autre métiers ne semblent pas pressés de s’engouffrer dans la brèche du Cloud public. C’est souvent le cas des fiduciaires, qui préfèrent encore avoir leurs données sous la main. Les besoins en mobilité, ou même la récente crise de la Covid-19, ont mis à jour les limites de cette approche. Et remis sur la table la question de la transition Cloud.

Le signal de la FINMA

Petit retour en arrière. Mars 2018 : la FINMA donne le feu vert à l’utilisation du Cloud public pour les organismes dépendants d’elle. Même hors de Suisse. Il s’agissait du coup d’envoi d’un mouvement massif vers le Cloud de l’informatique de ces structures institutionnelles. Depuis, des géants comme PostFinance ou UBS ont annoncé y avoir recours massivement, pour stocker des données ou y effectuer des traitements. Il s’agissait d’un signe encourageant : l’informatique en nuage, loin d’être un facteur de risque, était au contraire un levier puissant de développement.

Plus tard, à l’orée de l’année 2020, Microsoft annonçait l’ouverture publique de ces centres serveurs Cloud suisses, et leur disponibilité immédiate (non sans y avoir installé de manière privilégiée quelques entreprises de renom, UBS en tête). Avec deux centres, suffisamment éloignés pour se mettre à l’abri de risques sismiques, cette annonce marquait une étape supplémentaire dans le cycle de transition entamé par la FINMA deux années plus tôt.

Et l’informatique des fiduciaires dans tout ça ?

Mais quid des structures plus petites, et notamment de l’écosystème des fiduciaires ? Elles peuvent désormais elles aussi s’appuyer sur un grand Cloud public pour stocker leurs emails, sauvegarder leurs fichiers, et bénéficier de services Cloud hors-pair. Sans que rien ne sorte de Suisse. Avec à la clé, des taux de disponibilité et de durabilité des données inégalés. Et en prime, la législation et le droit local en cas de litige ou d’enquête.

Non seulement Microsoft permet de stocker vos données en Suisse. Mais les services Microsoft 365 donnent un coup d’accélérateur à votre activité.

Par exemple, Microsoft annonce dans le cadre de son offre Microsoft 365 une disponibilité mensuelle des services de messagerie et de stockage Cloud de 99.9% au moins. Soit grosso modo moins de 3/4 d’heure d’indisponibilité par mois. Pour ce qui est de la résistance des données dans le temps, l’objectif est tout simplement de 100%. Qui peut avoir l’illusion d’obtenir de tels résultats avec son serveur sur site ? Et à quel coût ?

La mobilité comme critère numéro 1

Passé le constat concernant l’écart de niveau de service, c’est surtout du côté fonctionnel que les choses sont les plus évidentes. Car en plus de fournir un cryptage des données de bout en bout, c’est sur le terrain de la mobilité que la différence Cloud se fait finalement le plus sentir. Stocker ses emails et ses fichiers dans le Cloud donne un réel avantage pour qui souhaite travailler loin du bureau. L’épidémie de coronavirus aura permis aux entreprises qui avaient fait ce choix d’en prendre conscience quotidiennement.

Et les choses vont même un peu plus loin, puisque Microsoft 365 fournit en standard les outils de collaboration tels que Teams pour mettre en place, en quelques clics, conférences audio ou vidéo. Mieux : le système de protection des appareils d’entreprise proposé en option permet de contrôler les flux des données, et prévenir les risques de fuite – intentionnelle ou pas. Tout en se protégeant du vol ou de la perte d’un ordinateur – en l’effaçant à distance par exemple.

Les fiduciaires en tête de pont, telles que Fiduciaire Lucimo ou Fid’Armonia, l’ont bien compris. Elles bénéficient non seulement d’une protection sans équivalent de leurs données, mais aussi d’une mobilité qui leur permet de faire face à toutes les situations. Et tout cela, sans que rien ne sorte de Suisse.

Que vous soyez directeur(trice) ou client(e) d’une fiduciaire, il n’est pas trop tard pour vous demander si la protection de vos données est encore au goût du jour. Et en tout cas, si des alternatives ne s’offrent pas à vous pour remettre en cause les choix effectués il y a quelques années. Les récents changements technologiques pourraient bien faire tomber quelques certitudes.

Emmanuel Dardaine

emmanuel dardaine expert cloud

Avec la généralisation du travail à distance, les PME se sont retrouvées avec des fichiers éparpillés sur des ordinateurs portables ou même des appareils personnels, mettant ainsi en danger la protection de ces données. Dans cette vidéo, je vais vous montrer comment la suite Microsoft 365 permet de garder le contrôle sur vos données tout en laissant les collaborateurs travailler à distance en tout sécurité.

Microsoft 365 se compose de licences Office 365, d’une mise à niveau vers Windows 10 Pro, et d’Enterprise Mobility Security (EMS), la gestion des appareils et de la sécurité dans le Cloud. En plus d’automatiser la configuration des appareils et l’installation des programmes, EMS fixe des règles de sécurité et de protection des données, isolant les applications d’entreprise et en limitant le transfert des données. Et ceci même sur les appareils personnels. Voyez comment en vidéo.

Et EMS peut encore bien plus ! N’hésitez pas à revenir vers nous par email par avoir une démonstration plus complète en live, même à distance. Confinement oblige.

Emmanuel Dardaine

emmanuel dardaine expert cloud