2019-02-01 L Informaticien PDF
2019-02-01 L Informaticien PDF
2019-02-01 L Informaticien PDF
DEV
LES LANGAGES LES PLUS BUGGÉS
TENDANCES 2019
● EDGE ● SD-WAN
● CLOUD HYBRIDE
5G ● COLLABORATIF
ENJEUX SÉCURITÉ ● IA/DEEP LEARNING
● BLOCKCHAIN
● SAAS
CLOUD
CHEZ SOI
IDÉE GÉNIALE
OU IDIOTE ?
MAINFRAMES
LE CLOUD VA-T-IL LES TUER ?
CYBER-RÉSILIENCE
Une question
France : 5,40 € / Bel. : 6,00 € / CH : 10,50 FS / Canada : 10,50 $CAN
d’anticipation !
Identification – Détection – Protection
Résolution – Récupération
L’œil de Cointe
Un magazine du groupe ,
Rencontre
Bastien Legras, directeur technique DOSSIER
en charge du Cloud et de l’accompagnement CYBER-RÉSILIENCE
des clients, Google France : « Chez Google
nous défendons un Cloud avec deux caractéristiques :
Sécurité et Confiance » p. 24 . . . . . . . . . . . . . . . . .
p. 30
Bullet Point
Le Cloud est le véritable moteur
de la transformation . . . . . . . . . . . . . . . . . . . p. 27
DOSSIER CYBER-RÉSILIENCE Solutions cloud
Une question d’anticipation ! p. 30
on-premise
. . . . . . . . . . .
DEV
Des langages de programmation buggés . . p. 66
ACTIV’IT
Véhicules autonomes : quels débouchés
pour les informaticiens ? . . . . . . . . . . . . . . p. 73 Microsoft Surface
Lifespan TR1200 DT : Book 2
le bureau Start-up d’ActivUP . . . . . . . . . . . . . p. 76 Le pur-sang Windows
EXIT
Tests du mois : Microsoft Surface Book 2 : le
pur-sang Windows p. 81 . . . . . . . . . . . . . . . . . . .
p. 81
Offre spéciale d’abonnement . . . . . . . . . . . . . p. 79
L’ESSENTIEL
En 2018, toute l’Europe a abandonné
l’idée d’une taxe Gafam. Toute ? Non !
Sur la façade ouest du continent, un pays
d’irréductibles Gaulois (réfractaires de
surcroît) résiste encore et toujours. Bruno
Le Maire l’avait promis : si les négocia-
tions avec les partenaires européens
échouaient, la France taxerait les géants
du numérique « dès 2019 au niveau natio-
nal ». Aucun terrain d’entente n’a finale-
ment été trouvé entre les ministres des
L'iPhone est devenu finances de l’UE. Après une première
le point faible d'Apple reculade, Paris ayant accepté une version
plus douce du projet, à discuter entre
Le géant à la pomme a passé de très mauvaises Etats d’ici à mars 2019 pour une entrée
fêtes. Après avoir atteint des sommets pendant en vigueur en 2021, Bruno Le Maire est
l'été, sa valorisation boursière franchissant la repassé à l’offensive. Si les copains ne
barre des 1000 dollars, la fin de l'année écou- veulent pas venir, nous irons seuls. Ainsi,
lée a tourné à la soupe à la grimace pour Apple. la « taxe GAFAM made in France » « s'ap-
Car les rumeurs persistantes quant aux baisses pliquera en tout état de cause au 1er jan-
répétées de la production d'iPhone, rimant avec vier 2019 et elle portera donc sur l'en-
la baisse de ses ventes ne sont pas pour rassu- semble de l'année 2019 pour un montant
rer les marchés. Et lorsque l'entreprise annonce que nous évaluons à 500 millions d'eu-
qu'elle ne publiera plus les chiffres de ses smart- ros » explique le ministre. Il ajoute néan-
phones, les investisseurs suent à grosses gouttes. moins ne pas perdre espoir quant à un
Bilan, la capitalisation boursière d'Apple décroit accord européen, à condition que l’Ir-
et les 1000 milliards n'étaient plus, début 2019, lande, le Danemark et la Suède, ainsi que
qu'un lointain souvenir. la très tiède Allemagne, n’acceptent le
La dernière lettre de Tim Cook aux investisseurs compromis. Mais dans l’hexagone, on va
n'a pas arrangé les choses. Le patron de la marque plus loin encore, puisqu’il est envisagé
à la pomme y a en effet annoncé revoir ses prévi- que la taxe ne se limite pas au chiffre d’af-
sions de revenus à la baisse pour son premier tri- faires des géants, comme prévu dans la
mestre fiscal 2019. Alors que l’entreprise tablait directive, mais aussi « aux revenus publi-
initialement sur des revenus compris entre 89 et citaires, aux plateformes et à la revente
93 milliards de dollars, elle ne vise plus que 84 de données personnelles ». Le tout étant
milliards, contre 88 milliards au premier trimestre susceptible d’être intégré à la loi PACTE,
2018. A qui revient la faute ? Aux marchés émer- qui devrait passer très bientôt au Sénat.
gents, la Chine en tête, dont la croissance se tasse
et dont la guerre commerciale avec les Etats-Unis
commence à se ressentir du côté des consom-
mateurs. Mais aussi à un dollar fort, ainsi qu'à un
taux de remplacement des iPhone moins élevé
que prévu. Ce que Tim Cook impute à la ristourne
accordée pour le remplacement des batteries de
ses smartphones en magasin... ristourne consentie
après les accusations portées à l'encontre d'Apple
d'obsolescence programmée. Heureusement tout
ce qui ne touche pas aux iPhone affiche une crois-
sance à deux chiffres, notamment les services.
BIG DATA
La 8ème édition de l’événement 34% L'an 1 du RGPD
qui réunit l’écosystème du Big Data
se tient les 11 ET 12 MARS à Paris
(Palais des Congrès). 31% Montée continuelle des cyber menaces
IT PARTNERS
Événement du « channel » IT, 30% Taxation des GAFA au niveau européen
télécoms et audiovisuel,
la 13ème édition d'IT Partners
a lieu les 13 ET 14 MARS
28% Entrée de l'IA dans notre quotidien
à Disneyland Paris (Disney Events
Arena-Ventury 1).
DOCUMATION
Congrès et exposition 12% Apple dépasse les 1000 milliards de dollars de capitalisation boursière
sur le management de l’information
et des processus documentaires
du 19 AU 21 MARS à Paris
8% Déploiement des expérimentations 5G
(Porte de Versailles).
En ce début d'année, le site linformaticien.com a mené auprès de ses
CLOUD COMPUTING lecteurs une enquête. Son thème : les évènements marquants de 2018.
Force est de constater que, en dépit de l'absence de véritable bond tech-
WORLD EXPO nologique, l'année écoulée a été particulièrement chargée.
10ème édition sur le thème A commencer par l'effondrement du cours des crypto-actifs, ces « mon-
« Le Cloud : nouvel écrin de vos naies » fondées sur un blockchain. En décembre 2017, Bitcoins, Ethers
données ? » les 20 ET 21 MARS et autres s'envolaient, affolant marchés, observateurs, adeptes et pro-
fanes. Le Bitcoin allait jusqu'à frôler les 20 000 dollars. Un an plus tard,
à Paris, Paris Expo la courbe a une toute autre allure. Au cours de l'année, les crypto-actifs
Porte de Versailles (Hall 5). ont pris des claques successives, la confiance envers ces valeurs fondant
comme neige au soleil à grands coups de piratages de places d'échange
IOT WORLD et de portefeuilles et d'affaires d'escroquerie. Désormais, le Bitcoin ne
vaut « plus que » 3600 dollars.
En parallèle de Cloud Computing Cette chute fut, pour la majorité des répondants, l'évènement mar-
World Expo et de Solutions quant de 2018. Mais d'autres mésaventures lui collent au train : celles
Datacenter Management, de Facebook. En mars éclatait l'affaire Cambridge Analytica, remettant
en question l'utilisation que le réseau social faisait des données per-
les 20 ET 21 MARS à Paris, sonnelles de ses membres et l'accès que des tiers pouvaient y avoir.
Porte de Versailles (Hall 5.2). Les mois suivants ont eu des airs de descente aux enfers pour le géant
et sa direction, attaqués de toutes parts, convoqués par les justices
LAVAL VIRTUAL et les Parlements de tous pays. Et les révélations ne s'arrêtèrent pas à
Cambridge Analytica : jusqu'aux derniers jours de 2018, les mauvaises
Le salon des nouvelles technologies pratiques du réseau social ont fait les gros titres.
et usages du virtuel Preuve s'il en est que les questions de protection des données et de
(réalité virtuelle et augmentée), sécurité informatiques prennent une place de plus en plus importante, le
du 20 AU 24 MARS à Laval RGPD, entré en vigueur cette année, et la montée en puissance perma-
nente des cybermenaces arrivent respectivement en troisième et qua-
(salle polyvalente, place de Hercé). trième places de vos réponses. Des préoccupations bien plus prégnantes
que la mode aux assistants vocaux ou les premières expérimentations
Toutes les dates à retenir sur 5G, qui occupent le fond du classement. Mais gageons que la 5G gagnera
www.linformaticien.com/agendait des places à mesure qu'elle se concrétisera. Rendez-vous début 2020.
TENDANCES
2019
ENTRE CONFIRMATIONS
ET NOUVEAUTÉS
Comme chaque année INFORMATIQUE DISTRIBUÉE :
L’Informaticien prend le retour . . . . . . . . . . . . . . . . . . . . . . . p. 14
des paris sur certaines SD-WAN :
technologies qui enfin le décollage . . . . . . . . . . . . . p. 15
devraient tenir le haut
du pavé durant cette CLOUD HYBRIDE :
année qui commence. une étape nécessaire . . . . . . . . . p. 16
Peu de surprises, COLLABORATIF :
des confirmations les workflows s’invitent
certainement et quelques sur les plateformes . . . . . . . . . . . p. 18
nouveautés comme
l’Internet des Objets ou IA – DEEP LEARNING :
la Blockchain qui sortent vers le cognitif ! . . . . . . . . . . . . . . . p. 20
des périodes de tests BLOCKCHAIN : d’émergente
ou d’essais pour arriver à omniprésente . . . . . . . . . . . . . . . p. 21
en production dans les
entreprises. SAAS : en majesté ! . . . . . . . . . . p. 22
Si l’hybride n’est pas le choix fonctionnalités dans le Cloud n’emporte Des frontières
stratégique, la migration vers plus vraiment les suffrages du fait de qui s’estompent
le cloud de l’ensemble d’un sys- la conservation de silos qui se cristal- La plupart des offreurs de clouds
tème informatique ne se réa- lisent. La tendance tourne plutôt autour publics proposent maintenant la
lise pas en un claquement de de la création de ponts entre les deux possibilité d’installer leur plate-
doigts ou en sortant juste une carte environnements pour éviter justement forme sur les clouds privés ou dans
de crédit. C’est un véritable projet pas le silotage des environnements. On les centres de données des entre-
forcément sans risque. En attendant, parle ainsi d’économie des API pour prises (lire notre article par ailleurs
les entreprises se retrouvent avec distinguer le moyen de lier les deux sur le sujet dans ce numéro). Le
deux environnements différents à environnements et leur apporter une Cloud hybride est devenu d’ailleurs
gérer, l’ancien toujours sur site et le connectivité et une agilité plus grandes. un marché qui aiguise les appétits
nouveau dans le Cloud qu’il soit privé et les convoitises. Le rachat spec-
ou public. taculaire de Red Hat par IBM en est
une illustration. Big Blue mise sur le
En finir avec les silos ? fait que les entreprises en ont encore
Théorisé par le Gartner, le mode pour des années à réaliser leur totale
bimodal qui consiste à industriali- mue vers le Cloud public, et même
ser un backend legacy et développer que certains ne feront pas ce choix
toutes les nouvelles applications ou et garderont des applications et des
données en interne. De nombreuses
start-ups comme Igneous ou Minio
proposent ainsi des possibilités
similaires sur les services de stoc-
kage en autorisant d’utiliser l’inter-
face de stockage d’AWS S3 dans le
Cloud privé.
Vu l’ampleur de ce que représente
une migration vers le Cloud public et
les questions persistantes autour de la
sécurité et du respect de la vie privée,
le mode hybride semble devoir être
présent pour encore quelques années
même si avec la maturité du Cloud
public ces problèmes vont devenir
moins importants dans la réflexion
des entreprises qui visent aujourd’hui
L'ARCHITECTURE à plus d’agilité et de réactivité pour
s’adapter aux conditions du mar-
DU CLOUD HYBRIDE ché. ❍ B. G.
BLOCKCHAIN :
D’ÉMERGENTE À OMNIPRÉSENTE
Encore jeune la technologie de la blockchain intégré la possibilité d’utiliser la tech-
a fait une entrée remarquée sur de nombreux nologie de registre distribué sur leur
cas d’utilisation, en particulier dans la traçabilité plate-forme. Pré-packagée, la plate-
forme devient plus facile à utiliser. On
des produits, ou tout ensemble devant valider peut donc parier sur une démocrati-
une chaîne de confiance. sation de l’utilisation des systèmes de
blockchain par les entreprises.
A l’avenir les débats devraient se
déplacer sur les algorithmes de
consensus avec l’apparition de nou-
veaux algorithmes comme HashGraph
qui semble de plus améliorer les per-
formances sur la chaîne de blocs tout
en respectant l’ordre des transactions.
Encore jeune, la technologie va peu à
Une étude du risque de règlement peu atteindre la maturité. Cela n’em-
cabinet IDC des opérations de pêche pas les grandes entreprises
parue l’été der- change et est détenu d’accélérer le pas et d’aller plus loin
nier appor te un par une soixantaine de que de simples tests ou prototypes
éclairage sur la vitesse banques du monde entier pour maîtriser cette technologie. ❍
à laquelle la technologie de blockchain parmi les plus actives sur ce marché, B. G.
émerge. Elle se développe autour de 10 dont BNP Paribas, Crédit
technologies à travers 19 industries dif- Agricole, Natixis et Société CARREFOUR EMPLOIE LA BLOCKCHAIN POUR ASSURER
férentes et 16 cas d’usage dans 9 régions Générale, mais aussi HSBC. LA TRAÇABILITÉ DE SES POULETS FERMIERS
D’AUVERGNE DE L’INCUBATION À LA DISTRIBUTION.
du monde. Au total, 1,5 milliard de dol- La Banque mondiale pour
lars vont être investis dans la blockchain son compte a réalisé une
en 2018, d’après les prévisions de l’IDC, émission obligataire sur
ce qui correspond au double de l’année cette technologie.
2017. Globalement, le taux de croissance Autre s exemple s dans
des investissements est estimé à 73,2% divers domaines : BitFury,
par an pour les cinq prochaines années, une jeune pousse dans la
pour atteindre les 10 milliards d’euros. Les blockchain a développé
secteurs de la finance, de la distribution une plate -for me musi-
et des services sont les principaux utilisa- cale permettant de mieux
teurs. Les USA sont les premiers acheteurs protéger les droits d’au-
mais l’Europe de l’Ouest arrive juste der- teur ; Carrefour a déployé
rière devant la Chine. la technologie pour la tra-
çabilité des poulardes
Des utilisations d’Auvergne et vise à géné-
multiples raliser la technologie sur ses
HSBC, la banque anglaise, a effectué le approvisionnements.
règlement de 250 milliards de dollars de
transactions en devises l'an dernier en Une offre
utilisant la technologie de registre distri- de plus en plus
bué. Le groupe britannique n'est pas le large
seul à percevoir le potentiel de la chaîne La plupart des grands
de blocs sur le marché des changes. industriels de l’informa-
Depuis 2015, en vue de la mise en place tique ont mis en place
d'une infrastructure blockchain, IBM une plate -for me de
travaille avec le système CLS. Celui-ci chaîne de blocs. IBM,
a été créé en 2002 pour réduire le Oracle, Microsoft, SAP ont
SAAS : EN MAJESTÉ !
Le modèle SaaS n’est plus une alternative des dépenses opérationnelles ou des
coûts fixes. Ces dépenses peuvent alors
mais est devenu le modèle dominant dans s’adapter suivant la santé de l’entreprise.
l’utilisation des logiciels dans les entreprises. Les logiciels en ligne couvrent main-
tenant à peu près tous les métiers et
Le Cloud a gagné dans l’in- toutes les activités. Il est même pos-
frastructure et sa déclinaison pour sible de trouver les logiciels qui cor-
fournir une application aussi. Le respondent à la taille de l’entreprise.
SaaS domine aujourd’hui et l’en- Certains logiciels vont ainsi viser les
semble des logiciels est désor- PME ou développer des outils pour
mais proposé sous cette forme. De la des secteurs d’activité particuliers.
bureautique à l’intelligence artificielle Un avantage rarement perçu est la
en passant par les ERP ou les logiciels de possibilité d’ouvrir les applications
gestion de la relation client ou des res- à l’ensemble de l’écosystème de l’en-
sources humaines, tous sont désormais treprise et ainsi de connecter l’en-
disponibles en ligne, voire seulement semble des parties prenantes d’un
sous cette forme. Comment expliquer un projet ou d’une activité. En interne
tel virage vers le tout en ligne ? cela permet de casser les silos que
les applications par métiers créaient,
La maturité du Cloud le logiciel de RH ne parlant pas for-
Les éditeurs d’applications fournies en cément à celui qui gérait les clients.
SaaS profitent de la maturité des offres
de Cloud sur lesquelles elles reposent. Une marge de progression
Les infrastructures ont désormais prouvé encore importante
leur solidité. Les nombres d’interruptions S’il est devenu le modèle dominant, la
de service se comptent sur les doigts de SaaS n’a pas encore de leader affirmé et
la main et sont principalement dues à Elles bénéficient aussi d’un outil tou- incontesté. Microsoft domine le marché
des erreurs humaines ou de configu- jours à jour et de nouvelles fonctionnali- avec environ 18 %, devant Salesforce
ration. Les entreprises utilisatrices se tés à chaque mise à jour, le plus souvent (11,5 %). Adobe est sur le podium avec
déchargent aussi de nombreux soucis tous les trois mois. Elles peuvent alors 7 %. Oracle suit derrière avec un peu
en évitant d’avoir à gérer des infrastruc- choisir si ces nouvelles fonctionnalités plus de 4 % juste devant SAP et Google.
tures, des bases de données et vont les intéressent ou pas et les ajouter à Oracle par la bouche de Mark Hurd lors
directement à l’essentiel en utilisant les destination de leurs utilisateurs. d’une interview à Bloomberg affiche
outils dont elles ont besoin pour réaliser Le plus souvent facturés à l’utilisa- ses ambitions et veut devenir ce leader
leur activité. Les entreprises profitent en tion ou au nombre d’utilisateurs, les du SaaS. Il ne vise pas moins de 50 % de
plus des hauts niveaux de sécurité mis logiciels SaaS permettent de prévoir ce marché des applicatifs en Cloud. ❍
en place par les éditeurs en SaaS. les dépenses et de les lisser en étant B. G.
SÉCURITÉ ET CONFIANCE
BASTIEN LEGRAS
Juste après le FIC et l’«annus horribilis » des plates-formes
en ligne, nous avons jugé important de pouvoir rencontrer
un des plus grands acteurs dans ce secteur pour faire un
point sur la sécurité de la plate-forme la plus utilisée au
monde et de comprendre les principes qui la gouvernent.
Discussion avec Bastien Legras, directeur technique en
charge du Cloud et de l’accompagnement des clients.
C’est dans une salle décorée d’une son évolution. On peut le résumer
affiche du film de Fellini Huit et demi par des outils développés en interne
Depuis 2010 dans les spacieux locaux de la rue de qui furent ensuite rendus disponibles
Google Londres à Paris que nous accueille à l’extérieur de l’entreprise comme
Actuellement Directeur Technique Bastien Legras et deux de ses experts les outils de gestion de document
& Customer Engineer en sécurité. Bastien Legras, après un qui furent développés exclusive-
Lead Google Cloud France passé de développeur, a travaillé chez ment pour la NASA ou les outils de
Capgemini jusqu’à devenir architecte productivité, ce qui formera la G Suite
et leader technique. Il a commencé sa actuelle.
carrière chez Google France il y a 9 Bastien Legras le souligne, « la sécu-
ans. Il était un des premiers employés rité chez Google occupe une position
2005 à 2010 de la filiale et a vécu toutes les évolu- centrale. Elle fait partie du tout et est
Capgemini Backend Developer tions de la plate-forme principalement aussi importante que le reste ». Elle
puis Architect / Tech lead en matière de sécurité. Il a commencé suit 4 grands axes : la sécurité inté-
par développer sur les applications grée (by design), le contrôle et la visi-
et ce qui deviendra G Suite puis il a bilité, la transparence et l’innovation.
pris en charge les services de la plate- En interne les défis sont différents
forme. Il a ensuite pris la tête d’une du fait de l’échelle et Bastien Legras
équipe de développement d’applica- indique que l’éditeur a une équipe de
2003 à 2005 tions au niveau européen avant de classe mondiale. Il ajoute : « Le web
prendre son poste actuel à la tête de la est notre terrain de jeu ». Actuellement
EFREI
plate-forme Cloud de Google France. ce sont près de 850 experts en sécu-
Un des experts qui l’accompagne est rité qui sont présents chez Google
un ancien RSSI en entreprise qui a dans ses différentes filiales ou au
quitté une carrière prometteuse dans siège californien.
le domaine pour aller chez Google Un document de Google précise ces
attiré par la culture de sécurité de différents éléments. Ainsi il explique :
1999 à 2001 l’entreprise et de ses technologies. « Nous contrôlons l’ensemble de
notre pile technologique. Cela nous
ESME permet de détecter rapidement les
Sécurité et confiance menaces, d’y répondre efficacement
Bastien Legras tient tout d’abord à et même d’anticiper les incidents.
faire un point sur l’organisation et Grâce à l’utilisation à grande échelle
Le Cloud
est le véritable moteur
de la transformation
I l a tant fait débat. Les interroga-
tions autour de la sécurité, des
niveaux de services, du respect
de la vie privée et tant d’autres
sujets sont toujours présents mais, sans
lui, rien dans la nouvelle révolution
industrielle que nous vivons ne serait
arrivé. Le Cloud est véritablement le
Des entreprises
cherchant l’agilité
Jusqu’à présent les entreprises travail-
laient avec un service informatique
à ressources finies et chaque année,
ou tous les 18 mois, les entreprises
devaient recalibrer leurs besoins en
peuvent adapter les capacités et les uti-
lisations d’un simple data center chez
quelqu’un d’autre à une plate-forme
pour développer des applications spé-
cifiques ou tout simplement utiliser
une application sans avoir à s’occuper
de maintenir en conditions opération-
nelles l’infrastructure sous-jacente et la
composant essentiel de cette transfor- puissance de calcul ou de stockage base de données nécessaire au fonc-
mation et son impact sur l’ensemble malgré de magnifiques plans direc- tionnement de l’application. Elles sont
de l’économie est encore sous-es- teurs à 3 ou 5 ans qui comme les plans ainsi devenues plus agiles et plus adap-
timé, car vu comme un simple outil de l’ère soviétique étaient totalement tables au contexte extérieur pour un
ou encore comme dans certains com- inadaptés à la réalité à laquelle était coût raisonnable.
mentaires du site L’Informaticien, « Un confrontée l’entreprise. Silos, empi- L’autre impact important du Cloud a
data center chez un autre ! Alors quoi lement de technologies suivant les été d’abaisser les barrières à l’entrée
de neuf avec cela ? » C’est méconnaître modes du moment corsètent les entre- pour de nombreuses entreprises qui
les conséquences d’avoir un centre de prises. Pour partie, le Cloud a libéré n’ont plus à dépenser au démarrage
données chez un autre. Pourtant ces les entreprises de ce carcan en leur des sommes importantes pour com-
conséquences sont nombreuses et les apportant la possibilité de se défaire de mencer leur activité. Le modèle de
retombées sur les entreprises, les per- technologies obsolètes tout en conser- paiement à l’utilisation leur permet
sonnes et l’industrie informatique elle- vant les outils pour continuer à faire d’ailleurs de faire suivre l’infrastruc-
même sont immenses. leur métier. Suivant leurs besoins, elles ture ou la plate-forme au rythme
CYBER-
RÉSILIENCE
UNE QUESTION
D’ANTICIPATION
La notion n’est pas récente, mais elle résolution des problèmes et à la récu-
s’impose à mesure que les cyberme- pération, son véritable socle se trouve
naces montent en puissance. Mêlant la dans la connaissance exhaustive des
résilience des systèmes informatiques actifs informatiques de l’entreprise, de
à la cybersécurité, la cyber-rési- son architecture, et dans l’identifica-
lience, également appelée Business tion des risques. Car même le meilleur
Resilience, est une évolution de la ges- système de patch management et le
tion des risques. « Mieux vaut prévenir service de backup le plus efficace au
que guérir », l’adage résume bien cette monde s’avèrent inutiles si l’on ne
nouvelle approche, quoique ladite sait ni ce qu’il faut protéger ni où se
guérison y occupe une part impor- trouvent les failles. Mais n’allez pas
tante. Mais le cœur du problème est imaginer que la cyber-résilience est
bien l’anticipation. Et si elle fait la part un objectif à atteindre à court terme :
belle à la détection des anomalies, à c’est une direction à suivre et une stra-
la protection contre les menaces, à la tégie à appliquer sur la durée.
BIEN PRÉPARER
LA CONTINUITÉ
DE QUOI LA CYBER-RÉSILIENCE EST-ELLE LE NOM ? ASSOCIANT GESTION
DE LA CONTINUITÉ ET CYBERSÉCURITÉ, CETTE APPROCHE DÉPASSE LE CHAMP
DU SEUL PCA POUR INTÉGRER LES CYBER-MENACES DANS LA DÉMARCHE.
UNE DÉMARCHE QUI REPOSERA SUR DE BONNES PRATIQUES D’HYGIÈNE INFORMATIQUE
ET D’ORGANISATION, PLUTÔT QUE SUR UN QUELCONQUE NOUVEL OUTIL INNOVANT.
E
n mai 2017, Wannacry faisait
les gros titres. Ce ransomware
au cœur d’une campagne à
l’échelle mondiale mettait à « Parler de résilience
bas les systèmes informatiques de
nombreuses organisations. Du NHS
c’est aussi connaître
à la Fedex en passant par Maersk, ses propres failles pour
sans doute le cas le plus embléma-
tique, tous ont vu leurs serveurs et ter-
éviter que les menaces
minaux tomber. se transforment
En France, on pourra citer Renault ou
encore Saint-Gobain parmi les vic-
en catastrophe »
times. Sans oublier les innombrables Stéphane
structures de taille moindre, PME Hesschentier est
et associations, elles aussi frappées fondateur et manager
de Resilient Shield
de plein fouet. Il ne s’agit plus d’une Consulting.
attaque qui déface pendant quelques
heures un site web, d’un compte
Twitter piraté, d’un serveur qui tombe coûteuse. Deux ans plus tard, le ce concept de cyber-résilience, lequel
sous l’assaut d’une attaque DDoS ou groupe Guardian of Peace s’atta- correspond à une nouvelle approche
d’un logiciel comptable qui n’est plus quait à Sony au moyen d’un ver. Si de la continuité, de la disponibilité.
accessible. On parle ici d’une attaque les mobiles des hackers sont troubles, Des termes qui font immédiatement
affectant les cœurs même d’activité la présence d’un wiper (programme penser au PCA (plan de continuité
des entreprises, dont l’objectif est, d’effacement de disques durs) et les d’activité), sans doute aussi ancien
au-delà de l’obtention d’une rançon, pertes financières subies par le pro- que l’informatique elle-même et atti-
de « foutre en l’air » le SI de ses vic- ducteur ont participé à une prise de rant d’importants investissements de
times. L’ampleur de l’attaque, sa visi- conscience quant aux risques d’une la part des entreprises.
bilité et les dommages provoqués cyberattaque au-delà des seules Le problème, selon Gérôme Billois,
sont à l’origine en France « d’une prise fonctions dédiées à l’informatique. a s socié en cyber sécur ité chez
de conscience qui a fait entrer dans Pourtant, quand Wannacry pointe Wavestone et administrateur au
l’agenda des directions générales le le bout de son nez, la vulnérabilité Clusif, est que ces PCA « ne prennent
risque cyber », nous explique Gilles exploitée est déjà connue et le cor- pas en compte les risques d’une cybe-
Castéran, Managing director de la rectif publié. Mais tous les systèmes rattaque. Pour répondre à une catas-
branche Sécurité d’Accenture. sont loin d’être patchés, comme la trophe naturelle, sociale ou autre,
Avant 2017, d’autres attaques ont com- suite le prouvera. on va notamment dupliquer les
mencé à faire réfléchir les entreprises. machines. Mais en cas de cyberat-
En 2012, un virus baptisé Shamoon Changement taque, ça ne fonctionne plus du tout. »
infectait l’entreprise saoudienne de paradigme À cyberattaque, on serait tenté de
Aramco, sans autre dessein que d’ef- Attention, il ne s’agit pas de considé- répondre tout de go cybersécurité,
facer données et fichiers et ainsi de rer que Wannacry pouvait être évitée. mais, aux yeux de Gérôme Billois, il
causer un maximum de dommages, Néanmoins, la prise de conscience s’agit « d’une matière assez jeune et
rendant la récupération extrêmement qui en a résulté a posé les bases de extrêmement en mouvement parce
A
un réseau moderne, compatible avec
la fin de l’année 2012, Plexxi fortement composables, ce qui signifie les applications et pouvant accueillir
lance un système complet de qu’elles peuvent être extraites de leurs les diverses charges de travail et les
gestion des réseaux basé sur emplacements physiques et gérées par flux de trafic dynamiques d’aujourd’hui.
du logiciel (Software Defined logiciel, par le biais d’une interface en Le datacenter moderne nécessite un
Networking). Très rapidement Plexxi ligne. Grâce à l’infrastructure compo- réseau plus intelligent et plus mal-
devient une solution de référence pour sable, les ressources du datacenter sont léable, qui intègre les exigences des
de nombreux clients, en particulier, les disponibles facilement sous forme de applications, et qui reprovisionne auto-
opérateurs de centres de données. services cloud. Elles constituent la base matiquement la capacité réseau suivant
La solution est rachetée par HPE des solutions cloud hybride et privé. les conditions en temps réel. HPE
au mois de juin 2018, est rebaptisée Toutefois, il subsistait encore un Composable Fabric est conçu intégra-
HPE Composable Fabric et lancée en écueil au niveau de la gestion du lement pour répondre à des exigences
France depuis le début de cette année. réseau. Comment rendre la compo- élevées en matière d’agilité et de pro-
Dans les infrastructures modernes, sante réseau plus dynamique ? grammabilité du datacenter moderne.
notamment les solutions d’hyper- Conçus pour soutenir les applications HPE Composable Fabric contribue à
convergence telles que HPE SimpliVity, client-serveur classiques et le trafic éliminer les inefficacités et les approxi-
les parties « compute » et stockage sont vertical (Nord-Sud), les réseaux de mations généralement associées au
LA CONSOLE UNIQUE
UNIFIE LE CONTRÔLE
ET RATIONALISE
LES OPÉRATIONS
HPE Composable Fabric permet
une connectivité, un contrôle et une
visualisation fluides du réseau depuis
l’interface administrative native VMware
vSphere. La solution intégrée améliore
la visibilité de l’ensemble de la confi-
guration, la satisfaction de l’utilisateur
final et la productivité du personnel
informatique en aidant à réduire le
nombre d’interfaces de gestion et de
L’architecture tâches manuelles de configuration et
DE DOLLARS
notion recouvre une approche Ce sont d’ailleurs là les cinq
holistique du risque, associant grands axes d’une politique
cyber sécur ité, ge stion du de cyber-résilience : identifier,
risque et gestion de crise, dis- DE DÉPENSES protéger, détecter, résoudre,
ponibilité, réponse et résolution EN CYBERSÉCURITÉ restaurer. Soit peu ou prou les
des incidents. « L’idée derrière
la cyber-résilience, c’est d’es-
EN 2017 règles définies par la direc-
tive Network and Information
sayer d’être un peu en amont de (source : Gartner) Security (NIS) adoptée par
ce qui peut se passer. Au lieu de pré- l’Union Européenne en 2016 pour les
voir la continuité du service, on prend opérateurs d’importance vitale des
les devants pour anticiper la menace. États membres. Au final, la cyber-ré-
On élargit la notion de continuité à « la capacité à résister à une catas- silience semble moins un boulever-
l’ensemble du système informatique. trophe majeure, soit aujourd’hui en sement de la sécurité informatique
Il ne faut pas pour autant se polariser premier lieu les cybermenaces. On qu’une évolution logique et néces-
uniquement sur la sécurité informa- est en train de passer d’une approche saire de la gestion du risque.
tique, mais regarder l’ensemble des réactive à une approche proactive.
aspects », souligne Xavier Daspre, Dans la première, le plan de secours Vieux outils,
Senior Enterprise Security Architect va permettre de répondre à un sinistre. nouvelle méthode
chez Akamai. Pour la seconde, on met en place des Évidemment, dès lors qu’il est ques-
Cette notion de « résilience éten- stratégies afin d’anticiper la menace tion de nouveauté dans le numé-
due » est également mentionnée et combler les brèches avant qu’elles rique, on pense immédiatement en
par Stéphane Hesschentier, fonda- soient exploitées », et précise que les termes de produits. La cyber-rési-
teur de Resilient Shield Consulting, deux approches ne s’excluent pas. lience n’y échappe pas et fait par-
un cabinet de conseil et de forma- Si la cyber-résilience va accorder fois figure de « buzzword ». Pourtant,
tion spécialisé sur ces questions. Il une grande place à l’anticipation tous s’accordent à dire que sa mise en
définit la cyber-résilience comme du risque, la démarche ne néglige œuvre n’exige pas d’acheter le tout
CONNAIS-TOI
TOI-MÊME !
VOICI SANS DOUTE LE POINT LE PLUS IMPORTANT DE TOUT PROGRAMME
DE CYBER-RÉSILIENCE : LA CONNAISSANCE. AVANT DE PENSER À PROTÉGER
ET À RÉCUPÉRER, IL EST EN EFFET ESSENTIEL D’APPRÉHENDER LES RISQUES PESANT
SUR L’ENTREPRISE ET, PAR RICOCHET, D’IDENTIFIER L’ENSEMBLE DES ÉLÉMENTS
DE SON SYSTÈME INFORMATIQUE, DE SES PROCESSUS ET DE SES RESSOURCES.
S
avoir pour prévoir, afin de pou- de plus en plus dans la digitalisation, de cyber-résilience doit donc débuter
voir. Qui aurait cru qu’un jour ont de plus en plus d’applications, par un inventaire des ressources, du
L’Informaticien citerait Auguste de plus en plus de partenaires et de serveur au poste de travail, de l’OS au
Comte ! Pourtant, la formule du sous-traitants », explique Dagobert logiciel comptable.
sociologue à l’origine du positivisme Levy, vice-président de Tanium, en « Les responsables informatiques ont
fait sens dans le cadre de la cyber-ré- charge de la région South EMEA. besoin de visibilité et de contrôle en
silience. Selon une étude d’Accenture Avec la multiplication des outils infor- temps réel sur l’ensemble des systèmes
consacrée au sujet, 71 % des RSSI consi- matiques, les entreprises ont créé informatiques. On pose à nos clients des
dèrent ne pas être en mesure d’estimer d’innombrables silos. « Sur les vingt questions de base : est-ce que vous avez
l’impact d’une attaque contre le sys- dernières années, on est passé de sys- une visibilité aujourd’hui ? Êtes-vous en
tème informatique de leur entreprise. tèmes monolithiques monoconnexions capacité de me donner le chiffre précis
En cause, une méconnaissance des à des systèmes ouverts sur l’extérieur de vos actifs informatiques ? », précise
actifs informatiques de l’entreprise. avec plusieurs couches d’outils qui Dagobert Levy. « On observe en général
Wannacry a pu affecter un si grand ne s’intègrent pas, ne communiquent un fossé de 12 à 20 % entre les déclara-
nombre de terminaux alors que la vul- pas forcément entre eux. Il n’y a pas tions et la réalité. » Et encore, cet écart
nérabilité de Windows qu’il exploi- d’homogénéité mais une myriade de est optimiste : d’autres estiment que les
tait avait fait l’objet d’un correctif… systèmes qui s’imbriquent. » Ce qui RSSI, voire les DSI n’ont pas la connais-
Or le patch en question n’avait pas représente un sérieux problème, sance de près d’un tiers de leur parc.
été déployé partout. Gérôme Billois, puisqu’un incident sur une couche Une fois la connaissance de l’archi-
administrateur du Clusif, expliquait risque d’endommager toute l’entre- tecture informatique acquise, il faut
ces problèmes de maintien du niveau prise, avec des conséquences désas- encore s’assurer qu’antivirus, pare-
standard de sécurité par cette connais- treuses sur l’ensemble de la structure. feux, agents de patching et consorts
sance insuffisante du système informa- Comment être résilient si l’on ne sait sont bien installés sur l’ensemble
tique dans son ensemble. « On n’a pas pas quoi protéger ? Toute démarche de ces équipements. Puis vient une
une vision claire des actifs, de leur ver-
sion, de leur état de mise à jour. En faire
la cartographie demande beaucoup de
temps, de rigueur et d’investissement », « Les responsables
souligne-il. Et pourtant cette mise à plat
de l’architecture du SI est indispensable informatiques
pour comprendre les risques et failles ont besoin de visibilité
potentielles et ainsi anticiper de futures
cyberattaques. Car ne nous voilons pas et de contrôle en temps réel
la face : la question n’est plus de savoir sur l’ensemble des systèmes
si une entreprise va être attaquée, mais
quand elle le sera.
informatiques. »
La visibilité, un obstacle Dagobert Levy
occupe la
Pourquoi cette méconnaissance ? vice-présidence
Sur le banc des accusés, la transfor- South EMEA
mation numérique des entreprises. de Tanium.
« Toutes les entreprises investissent
DES RSSI
Et n’oubliez surtout pas les cessus et du personnel ayant
ressources issues de fournis- accès aux actifs informatiques.
seurs et de partenaires : on Soit, à l’heure actuelle, à peu
se rappellera que le point de DISENT NE PAS POUVOIR près l’intégralité des effectifs.
départ du ransomware/wiper ESTIMER L’IMPACT Il conviendrait que les DSI,
NotPetya était MeDoc, un logi- D’UNE CYBERATTAQUE RSSI et tout responsable de la
ciel de comptabilité hacké par stratégie de résilience soient
les pirates afin de diffuser leur CONTRE LEUR constamment au courant des
programme malveillant sur tous ENTREPRISE activités des différents métiers :
les postes utilisant ce logiciel ce qu’ils font, pourquoi ils le
par le biais de sa fonctionnalité
(source : Accenture) font et ce qui va être touché lors-
de mise à jour automatique. qu’ils arrêtent de le faire.
Enfin, on pourra s’attacher à appré- Une possibilité réalisable, selon la
hender les risques qui pèsent sur ces taille de l’entreprise et les moyens à
ressources, à évaluer les menaces, informatiques et d’autre part de main- disposition du responsable, une autre
voire à les simuler. Certaines entre- tenir une veille constante de leur état. approche est toutefois envisageable.
prises vont très loin dans ce domaine, « Nous avons une plate-forme qui per- Aux yeux de Leif Kremkow, « Le RSSI
Netflix ou encore Oui SNCF, qui vont met justement de s’affranchir du pro- a besoin d’outils mais en réalité l’outil
introduire dans leur système en pro- blème de multiplication des outils, dont il a le plus besoin, c’est que les
duction des agents perturbateurs afin y compris des outils de sécurité, et métiers agissent d’eux-mêmes sur les
d’en éprouver la résistance. On parle d’avoir une visibilité et un contrôle sur menaces et les risques (patchs, équi-
de « chaos engineering » (lire l’article les endpoints », signale pour sa part pements livrés…) ». À croire que la
dédié dans L’Informaticien n°170, sep- Dagobert Levy. Il ajoute : « La réaction sécurité est une chose trop sérieuse
tembre 2018). immédiate quand on est attaqué par pour être laissée aux RSSI.
une menace qu’on n’a pas su détecter Boutade à part, les questions de
Des outils va consister à acheter une solution de gouvernance et de sensibilisation
et de l’organisation détection. Mais cela n’est pas forcément sont centrales dans une démarche
« Le point de départ de la cyber-ré- la bonne approche : il faut avoir une de cyber-résilience, qui ne doit pas
silience, c’est de savoir ce que vous approche de visibilité sur l’ensemble reposer que sur une seule personne
avez : qui fait quoi, quels équipe- du parc, pas seulement 80 ou 90 %. Et au sein de l’entreprise mais être un
ments, quelles apps, quels process », une fois cette visibilité acquise, l’étape véritable sujet opérationnel entre le
souligne Leif Kremkow, directeur suivante est de s’assurer que tout est Comex, les services informatiques,
technique EMEA de Qualys. « Mais bien patché et bien configuré. » Notons les équipes en charge de la sécu-
c’est quelque chose qui est très dif- que certains de ces outils embarquent rité et les métiers, afin que tous y
ficile à avoir. » En effet, les outils se des fonctionnalités de détection et contribuent. ❍
sont démultipliés, beaucoup pro- réponse aux incidents. Guillaume Périssat
viennent de fournisseurs, les silos
et les métiers ne communiquent pas
entre eux… et ne parlons même pas
du Shadow IT… La mise à plat de
l’ensemble du système s’annonce
« Le point de départ
complexe. C’est justement sur ce de la cyber-résilience,
créneau que se positionnent Qualys c’est de savoir ce que vous
et Tanium ou encore Crowdstrike.
« On utilise des systèmes d’agents, de avez : qui fait quoi, quels
sondes actives et passives et de boî- équipements, quelles apps,
tiers gérés de manière centralisée afin
de dessiner une image de ce que vous quels process »
avez et dresser un état des lieux de
la sécurité », indique Leif Kremkow. Leif Kremkow
Sur site, sur les endpoints, dans des est le directeur
technique EMEA
conteneurs ou encore sur le Cloud, de Qualys.
l’idée est d’une part de visualiser
en temps réel l’intégralité des actifs
L
e ton est donné dès l’adresse : mais cela me permet, au fil de la dis- ne cache pas sa fierté d’avoir décroché
une ent repr ise située r ue cussion totalement improvisée qui son baccalauréat au Chambon-sur-
Jacqueline Auriol, du nom de la s’ensuit, de comprendre l’énergie et L ignon, au Lycée Cévenol, en
célèbre aviatrice française pilote d’es- les valeurs qui animent un homme soulignant que les habitants de cette
sai de Mirage 1, ne peut qu’avoir envie comme Stéphane Blanc, le fondateur. commune de Haute-Loire ont accueilli
de se dépasser. Ce n’est d’ailleurs pas Il valorise la richesse de l’expérience et protégé clandestinement des réfu-
un hasard si on voit, dans les cou- par rapport au « jeunisme » ambiant, giés républicains espagnols dans les
loirs, une photo originale et signée profondément convaincu par ses lec- années 30 puis plusieurs milliers de
de la célèbre aviatrice reproduite en tures, de la « responsabilité sociétale » juifs entre 1940 et 1944 3.
plusieurs endroits dans l’entreprise. de l’Homme dans l’évolution de la pla-
Stéphane Blanc, le fondateur, nous nète et des systèmes de pensée. En Un entrepreneur
reçoit en coup de vent, mais de pleine crise Gilets Jaunes qui marque
soucieux de son
manière plutôt sympathique. Il faut un paroxysme chaque samedi depuis
dire que nous découvrir, au bout près de deux mois, c’est d’actua- indépendance
d’une minute, une passion commune lité… même si ce n’était pas prévu au Cela ne forge peut-être pas un des-
pour la mer, la voile, et le fait de sor- tin, mais certainement une mentalité.
tir des sentiers battus aide beaucoup Notamment celle de ne mépriser per-
à briser une glace qui n’existait d’ail- sonne, de réfléchir et de construire
leurs pas. Et nous voilà en train de hors des sentiers battus, et de ne rien
discuter à bâtons rompus de l’arrivée vouloir devoir aux autres. Autrement
prochaine d’un ami coureur âgé de dit, cela forge un patron, sûrement
73 ans, sur une très belle course de exigeant, mais avant tout humain et
voile, la GGR 2 . Ce n’est évidemment respectueux de ses collaborateurs, et
pas le but premier de la rencontre, soucieux de son indépendance. Ce
qui permet de comprendre l’histoire
1
Jacqueline Auriol a été pilote d’essai de d’ANTEMETA.
Dassault (record de vitesse sur des Mirage). Stéphane Blanc, comme il le dit lui-
Après un grave accident dans un survol
de la Seine entre Meulan et les Mureaux même, « vient de la tech ». La dure, la
en 1949, elle est la première Européenne vraie. « J’ai créé ANTEMETA en 1995,
à franchir le mur du son le 15 août 1953 dans
un Mystère II. Jacqueline Auriol,
2
GGR Golden Globe Race, article « Anciens vs la célèbre aviatrice. 3
Un « Lieu de mémoire » en souvenir des Justes
Modernes », www.mag-securs.com a été édifié au Chambon-sur-Lignon.
sur le métier de broker informatique et de l’entreprise. Stocks de pièces en métier de base de l’entreprise, sur
du stockage, précise Stéphane Blanc. préparation ou pour la maintenance, lequel il doit continuer à capitaliser,
Nous étions 4 au départ, et nous nous on retrouve ainsi, très bien disposées doit évoluer. Dès 1998, il se spécia-
occupions essentiellement de mainte- dans les allées et sur les étagères lise dans le stockage SAN et acquiert
nance et de sauvegarde ». Cette histoire d’un entrepôt, des unités à ranger au une forte expertise dans le stockage
est importante, car cette activité est musée de l’informatique, comme des Fibre Channel. Surtout, il prend vite
toujours présente et structure la men- Amstrad… conscience que le métier de la main-
talité de l’entreprise. On est dans du tenance et du stockage peut évoluer
tech, du concret. Pas du blabla. Pour Evoluer vite, vers celui du Cloud, qui naît dans les
se donner des ailes, il faut aussi ne pas années 2000.
fort, mais sans
se couper de ses racines… Stéphane Blanc a donc assez rapide-
C’est patent quand on visite, accom- se renier ment la conviction qu’il faut évoluer,
pagné de Ronan Dacquay, le Brestois Là ou Stéphane Blanc est un entrepre- vite, fort, mais sans se renier. On ne
chargé de la communication, et de neur, un vrai, c’est qu’il a, au début s’étonnera pas non plus, qu’après une
Thierry Floriani le RSSI, les locaux des années 2000, l’intuition que le expérience qu’il qualifie lui-même de
« douloureuse » dans un LBO, il décide
de fonder le développement de son
THIERRY FLORIANI, RSSI DE HAUT VOL entreprise sur le maintien, mais aussi
Le parcours de Thierry Floriani, RSSI, suscite le la diversification de son métier histo-
rique, le stockage, vers le cloud. C’est
respect. Nous avions rencontré Thierry Floriani
à la fois raisonné, et audacieux.
dans un autre cadre, lorsqu’il était RSSI de
L’évolution ne se fait pas sans
Numergy, et le contact se rétablit sans heurts. Même en se basant sur
peine. Thierry Floriani semble être arrivé la continuité maintenance,
à une étape où il n’a plus grand-chose stockage, c’est tout de même
à prouver et a décidé d’apporter son une véritable révolution que
expérience à un projet d’entreprise qui doit accomplir Stéphane
lui plaît. Venant donc de Numergy, il est Blanc et qu’il doit intégrer et
arrivé chez ANTEMETA en 2015. faire intégrer par ses équipes
Thierry Floriani est un ancien officier de l’Ar- à la culture d’entreprise.
mée de l’Air, diplômé de l’Ecole Militaire de l’Air, Un défi qui ne lui fait pas peur.
intervenant – et on ne s’étendra pas sur le sujet L’homme, venu de la tech, connaît
– sur des missions de lutte informatique défensive, les codes et le contact humain, va
et offensive. Il a pris part en appui opérationnel sur des opérations sen- souvent voir ses équipes dans les
agences régionales, ses équipes
sibles. Sans trop s’appesantir sur le détail de ses missions, on apprend
« historiques ». Et c’est clair que cela
qu'il s'est rendu sur des théâtres d’opération comme le Kosovo, les pays
facilite le contact, le fait de com-
du Golfe, ou l’Irak. On y discute, ce qui n’est pas une surprise pour nous, prendre le marché, et de faire passer
de l’utilité du contrôle « humain » de bon sens par rapport à une procé- des messages.
dure informatique qui paraît incohérente. Deuxième intuition de génie de
Thierry Floriani quitte l’armée en 2003 et est recruté, de 2007 à 2012, Stéphane Blanc, il décide de baser
sur un poste qui lui permet d’affiner son sens du management, des cette évolution sur un développement
relations internationales, et sa sensibilité géopolitique. Il est chargé, logiciel orienté vers le libre. « J’ai été,
avec la dénomination officielle de Technical Advisor, de mettre en dès ce moment, convaincu que le
place le centre national de recherche de l’agence nationale chargée modèle du libre avait du sens », précise
de la cybersécurité à Abu Dhabi, poste sensible s’il en est. Il garde Stéphane Blanc. Lui qui aime avant
un excellent souvenir de cette expérience. tout être maître de son destin et de ses
Rentré en France, il est vite repéré par Numergy, chez qui il reste trois choix sans qu’on les lui impose, décide
ans comme RSSI. N’ayant pas envie de poursuivre une aventure qui ne de fonder cette étape de croissance
et de diversification sur des logiciels
correspond pas à son fonctionnement lors du rachat de Numergy par le
open source. Bien en évidence sur la
groupe Altice, il est recruté en septembre 2015 comme RSSI d’ANTE- petite table de réunion quand on dis-
META, et met son expérience multiple, et son câblage d’ancien officier au cute avec lui, il pose sur une casquette
service de la diversification vers le cloud d’ANTEMETA. Un câblage qui qui ne le quitte pas un autocollant qu’il
s’avère précieux, puisque, comme nous échangeons là-dessus lors du a fait réaliser récemment, marqué « No
déjeuner, le monde militaire, dont la sécurité fait partie de l’ADN, intègre GAFA », et dont il est visiblement très
dès le départ dans la réflexion et les processus la notion de « Security fier. « Ça fait un tabac auprès de nos
By Design » dont on parle tant actuellement. clients », s’amuse-t-il.
L’
idée de vouloir répli- au tour d’Amazon Web Services C’est à la fin DynamoDB qui, par essence,
quer l’infrastructure de préparer une offre hardware de sa keynote que reposent sur une architec-
Amazon Web Service pour proposer ses applications Andy Jassy, CEO ture distribuée sur un grand
ou Micro s of t A z ure da n s cloud sous forme de serveurs d’AWS, nombre de machines, ce qui
son propre datacenter peut préinstallés. accompagné n’a pas de sens sur Outposts.
paraître absurde. Installer une de Pat Gelsinger, La solution sera disponible en
CEO de VMware,
infrastructure de Cloud public Amazon crée la ont dévoilé ce qui deux versions : cette version
en interne, c’est a priori bénéfi- EC2, mais aussi une version
cier des mêmes services. Mais
surprise à Las Vegas fut l’annonce
VMware qui sera une exten-
majeure de
surtout de faire une croix sur C’est lors de sa grande confé- l’édition 2018 sion à l’offre « VMware Cloud
l’avantage financier du Cloud rence annuelle AWS re:Invent d’AWS re:Invent : on AWS ». Mais on sait peu de
public qui est de ne pas avoir à 2018 en novembre dernier les serveurs AWS choses sur le hardware qui sera
faire l’investissement initial… qu’Amazon a dévoilé AWS Outposts. proposé. Celui-ci devrait être
mais sans plus bénéficier de Outposts, son Infrastructure fourni par AWS et sera direc-
l’élasticité infinie du Cloud as a Service à déployer sur tement inspiré des machines
public. Pourtant, l’idée fait son site. L’offre Outposts ne sera exploitées par l’Américain dans
chemin. Après Microsoft, c’est disponible que courant 2019 ses datacenters.
plate-forme pétrolière ou de
sites qui ne bénéficient pas
« La démarche Cloud First passe d’une connexion internet per-
manente. Avec AWS Outposts,
forcément par une approche hybride » nous allons plus loin dans les
scénarios Edge Computing
Frédéric Aatz, Azure Business Lead chez Microsoft déconnectés. »
La 5G et la sécurité
Des enjeux bien
supérieurs à la 4G
Des faiblesses subsistent dans certains proto- éditeur spécialisé en solutions
coles hérités de la 4G et même de la 3G. Le de sécurité pour le Cloud : « La
5G pourrait s’imposer comme une
niveau de sécurité de la 5G sera-t-il à la hauteur connectivité unique, assurant les
communications au bureau, à la
des enjeux ? Quelques éléments de réponse ici. maison, dans les transports…
Cette démultiplication des usages,
L
a téléphonie de cinquième communications radio, que ce entraîne une démultiplication des
génération est une tech- soit en entreprise comme dans risques de sécurité », estime Yogi
nologie de rupture, dont la vie quotidienne. Chandiramani, directeur tech-
l’ambition est de couvrir des « Les enjeux de sécurité liés à la nique EMEA.
usages bien plus larges que ceux 5G vont bien au-delà de la télé- Les premières expérimentations
de la 3G et de la 4G. À la conver- phonie mobile. Ils sont propor- 5G en conditions réelles, qui
gence des communications tionnels aux multiples usages débutent cette année dans près
mobile et fixe, elle pourra aussi attendus pour cette technologie », d’une vingtaine de collectivités
bien servir à connecter un smart- résume ainsi Viktor Arvidsson, françaises, laissent en effet pré-
phone ou un véhicule en mode directeur stratégie et innovation sager des applications extrême-
nomade, qu’un bâtiment ou d’Ericsson France. Un avis par- ment larges. Les équipementiers
encore des capteurs IoT en mode tagé par Gwenael Rouillec, direc- évoquent les usages classiques
sédentaire. Selon ses principaux teur cybersécurité de Huawei de la téléphonie mobile, qui
promoteurs, la 5G favoriserait France : « La sécurité de la 5G prennent cependant « une nou-
ainsi l’émergence d’un monde est un enjeu global, touchant velle dimension » grâce la 5G.
où la connexion sans-fil serait des domaines aussi variés que Côté téléphonie, les solutions de
la norme, et le filaire une excep- les transports, le bâtiment, la VoIP devraient ainsi largement se
tion. De quoi rebattre les cartes médecine ou l’industrie. La 5G développer, prenant le pas sur les
de la sécurité informatique, qui a vocation à être omniprésente, communications mobiles clas-
va devoir se concentrer de plus la question de sa sécurité le siques. Côté data, l’accès à des
en plus sur la protection des sera tout autant. » Pour Zscaler, services cloud devrait se généra-
liser en mode nomade, grâce aux
débits de la 5G, au moins 10 fois
supérieur à ceux de la 4G.
IoT et véhicules
autonomes
Mais au-delà des connexions
des personnes, la 5G devrait lar-
gement assurer la connexion
de temps réel de machines ou
« objets ». L’Internet of Things
(IoT) est en effet un des grands
domaines d’application prévus
pour la 5G. Il s’agira de connecter
des capteurs (mesures de qualité
Les débits de la 5G seront au moins 10 fois supérieurs à ceux de la 4G, de l’air, télérelevé des compteurs
mais ils augmentent aussi la puissance des attaques DDoS. d’eau, de gaz ou d’électricité…),
mais aussi des caméras de vidéo- Avec la 5G, Des failles permettant précédentes 3G et 4G. Mais des
surveillance ou même du mobi- il faudra de localiser failles persistent. Il se révèle en
lier urbain tels que les panneaux multiplier au tout cas insuffisant pour atteindre
d’affichage dynamiques. Ceci moins par 4 un équipement 5G tous les objectifs de sécurité cri-
grâce à la capacité d’accueillir le nombre Face à ces larges usages, le tiques avec les hypothèses énon-
jusqu’à 1 million d’objets connec- d’antennes et niveau de sécurité de la 5G a été cées dans le standard. »
même par 20
tés par km 2 que prévoient les sensiblement renforcé par rap- Dans le détail, le protocole
en zone
réseaux 5G. urbaine ! port aux précédentes généra- AKA 5G corrige des failles de
Autre grand domaine d’appli- Cela tions de technologies mobiles. sa version 3G et 4G en ce qui
cation de la 5G : les transports. augmente « Dès le début, la 5G a été pensée concerne les écoutes « passives »
Il s’agira notamment de connec- d’autant avec un niveau de sécurité supé- d’échanges de données réseau.
ter des bus, afin de disposer d’un le volume rieur à ceux de la 3G ou de la 4G », Il ne s’agit pas d’écouter des
accès internet haut débit à bord. de cellules assure ainsi Viktor Arvidsson conversations, mais d’identifier
La 5G est également pressen- à sécuriser. d’Ericsson France. Mais si les que tel équipement se connecte
tie pour connecter les futures améliorations ne font pas débat, à tel endroit, à tel moment. Avec
navettes et voitures autonomes. des failles subsistent selon cer- l’AKA 3G ou 4G, une partie du
L’IA embarquée doit en effet tains experts en sécurité. C’est processus d’authentification
accéder à des données héber- la position de Jannik Dreier, reste en clair. Cette faiblesse peut
gées dans le Cloud pour piloter maître de conférences à l’Uni- être exploitée par une personne
le véhicule. Et en cas de pro- versité de Lorraine, enseignant à malveillante, grâce à un équipe-
blème, un superviseur pourrait Télécom Nancy et chercheur au ment appelé intercepteur IMSI
reprendre le contrôle du véhi- Loria (CNRS, Inria, Université de (International Mobile Suscriber
cule à distance. Ceci grâce à Lorraine), qui a mené des travaux Identity). Il permet de surveiller en
la très faible latence de la 5G, avec l’ETH Zurich (Suisse) et temps réel les données d’authen-
de l’ordre de la milliseconde, l’Université de Dundee (Écosse). tification sur le réseau mobile.
soit 10 fois moins qu’en 4G (lire « Nous avons étudié le protocole « Une personne malveillante peut
L’Informaticien n°170). AKA (Authentification and Key savoir où est un téléphone et en
Parmi les autres applications Agreement). Il existe déjà en 3G déduire où est son propriétaire.
évoquées pour la 5G : l’Indus- et 4G, et a été décliné pour la Cela pose des problèmes de res-
trie 4.0 (connexion des robots 5G. Il s’agit d’une des principales pect de la vie privée, mais aussi de
et autres équipements dans briques de sécurité de la 5G car sécurité. Savoir qu’une personne
l’usine du futur), la téléméde- ce protocole sert à authentifier la est éloignée de son domicile peut
cine (assistance à distance connexion entre un équipement servir à préparer un cambriolage »,
pour certains actes, notam- et le réseau mobile. Il sert éga- souligne Jannik Dreier.
ment les premiers secours), la lement à générer la clé de chif- Avec l’AKA 5G, l’ensemble du
connexion fixe des bâtiments frement des communications », processus d’authentification est
en zone rurale (alternative à la explique le chercheur. « Nos ana- chiffré. « Cela élimine donc les
fibre optique) ou encore le télé- lyses ont montré que le protocole risques d’écoutes passives. Mais
pilotage de drones sur de très AKA 5G offre des améliorations il reste possible de lancer des
longues distances. sensibles par rapport aux normes attaques actives. » Concrètement,
il y a de partenaires, plus il y a zones urbaines denses, comme Zscaler. Même son de cloches
de risques de sécurité. Il faudra à Paris. La 5G va donc néces- chez Ericsson et Huawei, pour
donc que les acteurs de la filière siter davantage de protections qui le chiffrement devient incon-
5G collaborent davantage autour pour ces équipements, y com- tournable avec la 5G.
des questions de sécurité. Car, pris des protections physiques
en face, les hackers s’échangent pour empêcher l’accès aux ins- Une question
régulièrement des informations tallations et d’éventuelles dégra-
sur les failles et leur exploita- dations. « Une des solutions sur
qui reste ouverte
tion », a déclaré Jonas Halldin, lesquelles nous travaillons est Au final, la sécurité de la 5G sera-
CISO (Chief Information Security d’intégrer, de manière invisible, t-elle à la hauteur des enjeux ?
Officer) de Zacco, cabinet de les antennes 5G dans du mobi- Les industriels se veulent bien
consultants danois spécialisé lier urbain, comme les luminaires, entendu rassurants. « Il faut évi-
dans la protection de la propriété les feux rouges ou les abribus », ter le catastrophisme. La sécu-
intellectuelle des entreprises. Il explique-t- on chez Huawei rité ne sera pas un point bloquant
s’exprimait lors d’une table ronde France. Notons que Nokia tra- du déploiement de la 5G », assure
organisée par Ericsson en 20182. vaille également avec Signify ainsi Viktor Arvidsson. Contactés
« Nous allons en effet devoir tra- (ex-Philips Lighting) autour de par notre rédaction, les princi-
vailler davantage en écosystème », l’intégration d’antennes 5G dans paux opérateurs mobiles fran-
confirme Gwenael Rouillec, chez le réseau d’éclairage public. Une çais n’ont cependant pas souhaité
Huawei. expérimentation est prévue à s’exprimer sur cette question de la
Autre problématique : la densi- Paris en 2019 sécurité de la 5G, manifestement
fication des réseaux 5G. Pour Enfin, tous les acteurs s’ac- encore sensible. Ils indiquent
atteindre ses très hauts débits et cordent sur un point : avec la 5G, préférer poursuivre leurs déve-
sa faible latence, la 5G mise sur le chiffrement des communica- loppements techniques et leurs
une multiplication du nombre tions devra être quasi-systéma- expérimentations avant de com-
d’antennes. Les opérateurs pré- tique. « Il va falloir généraliser les muniquer sur le sujet. La sécu-
voient au moins 4 fois plus d’an- sessions chiffrées entre les clients, rité de la 5G devrait encore faire
tennes en moyenne. Un ratio qui les applications et les serveurs. débat d’ici les premiers déploie-
pourrait grimper à x20 dans des Les outils VPN vont également ments en 2020. Et lorsqu’ils seront
devoir évoluer pour être plus lar- massifs, elle pourrait même s’im-
2 « Ringside Session 2 », gement utilisés, notamment grâce poser comme un sujet prépondé-
table ronde organisée à Londres à l’authentification automatique », rant de la sécurité informatique. ❍
par Ericsson en juin 2018 estime Yogi Chandiramani, chez Christophe Guillemin
Le Cloud
va-t-il enfin tuer
les derniers
mainframes ?
Les mainframes seront-ils sacrifiés sur l’autel de la
« transformation digitale » ? Présentés depuis des
dizaines d’années comme moribonds, les grands
systèmes sont néanmoins toujours là ! Et en atten-
dant, le virage du Cloud s’annonce bien difficile à
négocier pour ces mammouths de l’informatique.
L
a disparition des main- le Cloud hybride et la place
frames, c’est un peu le du mainframe est de plus en
serpent de mer de l’in- plus remise en cause face aux
formatique. Le sujet revient métiers et aux clients qui récla-
d’actualité tous les deux ans, ment du temps réel. Enfin, la
à chaque nouvelle version facturation à l’usage du main-
majeure de L’IBM Z. Et on s’in- frame le rend de plus en plus
terroge à chaque fois sur la coûteux alors que les usages
présence de ces antiquités du numérique s’envolent.
dans les salles blanches de pra-
tiquement toutes les banques
et gros industriels du CAC40.
Des stratégies
Si les chiffres exacts sont tenus différentes du côté
secrets par les constructeurs, des constructeurs
on estime entre 200 et 250 la
population de mainframes tou-
de mainframes
jours en production en France : IBM reste à cette heure droit
bien des systèmes Z d’IBM dans ses bottes et François L’IBM Z est devenu le symbole
ainsi que quelques dizaines Launay, chef de produit main- du mainframe. Il est toujours
de GCOS 7 et 8 d’origine Bull frame hardware IBM, défend bien présent dans
continuent de tourner vaillam- son modèle : « Nous avons les datacenters de beaucoup
ment dans les administrations dévoilé le Z14 l’an dernier et ce
d’entreprises du CAC40 ainsi
que dans les administrations.
f r a nç a i s e s, nota mment à modèle a été suivi cette année
Bercy ! Néanmoins, la transfor- par son petit frère, le Z14 ZR1 : sur ces machines : « Le Z14 fut
mation digitale est en train de un système Z pour le midmar- la première machine à propo-
faire bouger les lignes. Tous les ket. » Ces machines s’adressent ser un chiffrement systématique
clients traditionnels du main- avant tout à la base installée Z, des données avec une assistance
frame vont aujourd’hui vers même si IBM continue d’innover hardware du chiffrement. » Dans
L’un des nombreux scénarios proposés par Amazon Web Services afin de migrer clients captifs. Nous avons une
les applications mainframe sur EC2 : ce mode « rapide » fait appel à l’émulation. attitude résolument dynamique
et bienveillante vis-à-vis de ceux
qui souhaitent s’ouvrir. »
« L’objectif :
Du fait des millions de lignes
de Cobol à convertir, ces pro-
jets sont complexes et coû-
en 2022 »
C’est l’éditeur Telebig, récem-
ment racheté par AdExcel
Consulting, qui a été sélec-
ITPT#29
De l’Intelligence…
artificielle
et du réseau !
Lors de notre récent périple dans la Silicon Valley, Hammerspace
nous avons rencontré une bonne dizaine d’en- la réincarnation
de Primary Data
treprises. Leur point commun est de viser les
Avec 30 personnes aujourd’hui,
larges volumes de données nécessaires pour Hammerspace est une petite
faire fonctionner les outils d’Intelligence artifi- entreprise qui reprend les tra-
vaux effectués chez Primary
cielle et d’apprentissage machine et d’optimiser Data pour proposer de la don-
née à la demande ou Data as
les connexions pour garantir la performance. a service avec pour idée sous-
jacente de casser les silos de
P
armi les entreprises nécessaires à l’Intelligence données dans l’entreprise.
que nous avons pu visi- artificielle ou à l’apprentissage La suite logicielle comprend la
ter lors de la 29e édition machine. Elles prêchent évi- gestion des métadonnées, un
de l’IT Press Tour, une majorité demment pour leur chapelle, catalogue des données, des
occupe le secteur du stockage mais la tendance est clairement outils de recherche et d’indexa-
et de la gestion des données. là avec des outils logiciels qui tion pour autoriser une gouver-
Avec à la clé des solutions adap- suivent les étapes ou les proces- nance globale des données. La
tées pour les larges volumes sus propres à ces technologies solution est facturée à l’usage
de donnée s comme ceu x d’analytique. pour fournir les données objets
Architecture Hammerspace
l’immutabilité des données et architecture nommée Active Tesla V100 de Nvidia, 4 ports
de reprendre facilement les Data profite d’une accéléra- à 100 Gbe faisant fonctionner
données placées sur des sys- tion hardware, d’un très fort des containers embarquant
tèmes de base de données parallélisme pour traiter les la pile logicielle d’apprentis-
Intersystems Caché. I/O, d’algorithmes pour trai- sage de deep learning dans le
Pour les données non struc- ter le scheduling des I/O sur Cloud de Nvidia. La connec-
turées, L’éditeur introduit Nas chaque SSD local et du traite- tivité entre les ser veurs et
Direct Archive pour gérer de ment en mémoire des métadon- Vexata est réalisée par deux
larges volumes de données non nées. Ces caractéristiques font switches Mellanox SN 2700 à
structurées sur site ou dans le que l’architecture s’aligne par- 100 Gbe avec 32 ports. Pour le
Cloud avec des fonctions de faitement avec les besoins des stockage la solution utilise la
recherche granulaires sur les applications analytiques pour baie Vexata VX-100FS NVMe-oF
données. le stockage des données. d’une capacité de 430 To et une
Par ailleurs, Rubrik autorise bande passante de 40 Gb/s.
désormais la reprise sur les UN PARTENARIAT AVEC FUJITSU L’extension de la solution se
environnements Windows en Ces qualités ont été relevées par réalise horizontalement.
bare metal incluant la migra- Fujitsu qui intègre dans son nou- Lors de notre visite nous avons
tion complète du système vers veau laboratoire nord-américain eu droit à une démonstration
un hyperviseur ou une instance la solution de Vexata en offrant qui s’appuyait sur une baie
cloud. des démonstrations de cette totalement flash VX 100-F de
solution sur des architectures Vexata embarquant 16 modules
PERFORMANCE ET SÉCURITÉ de référence s’appuyant sur des de stockage en RAID 5 connec-
Rubrik a de plus amélioré les serveurs Primergy de Fujitsu. tés par un switch Fibre Channel
performances de sa plate-forme Ce partenariat devrait s’étendre à 32 Gb sur 16 ports vers des
pour le Cloud avec sa fonction par la suite sur d’autres zones serveurs Primergy RX2540 M4
d’archivage incrémental et géographiques. Fujitsu y voit avec des processeurs Intel
ajoute le service Elastic App l’opportunité de changer véri- Xeon Gold 6154 CPU à 3.00 GHz
Service qui permet au DBA tablement l’économie du stoc- et 192 Go de mémoire relié à
d’utiliser ses outils habituels en kage pour les applications de un serveur Red Hat sur lequel
combinaison avec les fonctions machine ou de deep learning reposait une ba se Oracle
de gestion du cycle de vie des ce qui aidera ses clients à passer 12C sur 4 nœuds. Le serveur
données de Rubrik et d’immu- un cap des simples applications Primergy était relié à la base
tabilité des données pour défi- analytiques vers des solutions avec une connectivité à 40 Gbe.
nir des politiques plus efficaces cognitives. Ces solutions pour-
pour se protéger d’attaques de ront être optimisées dans diffé- RStor veut redonner
type rançongiciel. rents verticaux demandant des le contrôle du Cloud
De plus, Rubrik a jouté un accé- performances spécifiques.
lérateur pour Windows Azure, L’architecture de référence
Ashish Gupta,
Chief
aux utilisateurs
une solution dédiée à cet envi- proposée dans le laboratoire Marketing Du haut de ses quelques mois
ronnement pour protéger les s’appuie sur quatre serveurs Officer chez d’existence et de ces 78 sala-
données et autoriser la migra- Primergy RX2540 avec 4 GPU Vexata. r ié s, R Stor veut défier le s
tion d’application du centre de Gafam. L’entreprise veut aller
données vers ce Cloud public. en rupture du modèle actuel
qui ne favorise que les acteurs
Vexata monte habituels du Cloud.
Pour RStor pense que faire
en puissance payer les clients pour les don-
Vexata est connu pour autori- nées stockées et les facturer
ser de très hautes performances encore pour utiliser ces don-
en I/O comparativement à des nées n’est pas viable sur le long
solutions plus classiques de terme. Surtout si l’utilisateur doit
stockage. Son architecture fait gérer différents Clouds publics.
la différence sur ce point en éli- Le volume des données crée
minant l’usage trop intensif des une cause artificielle de ver-
CPU en routant différemment rouillage chez le fournisseur de
les données et en ne canton- Cloud réduisant ainsi les possi-
nant les CPU qu’aux opérations bilités du client.
sur les métadonnées. Cette R S tor pr op o s e donc une
Des langages
de programmation
buggés
Les bugs inhérents à certains langages de sécurité, un développeur peut
introduire des vulnérabilités dans
programmation créent des failles de sécurité ses programmes, ne serait-ce
potentielles dans les applications susceptibles qu’à cause du langage de pro-
grammation employé.
d’être exploitées par de vilains hackers. Nous Un chercheur en sécurité pour
IOActive, cabinet américain de
allons voir dans cet article quels sont les langages conseil et audit en sécurité IT,
les plus touchés. un certain Fernando Arnaboldi,
avait évoqué, lors de la confé-
Des problèmes de Outre les erreurs de conception rence Black Hat Europe de 2017,
propres aux développeurs insuffi- les risques induits à travers cinq
sécurité bien réels samment expérimentés ou infor- langages de programmation très
Chacun a d’excellentes raisons més sur le sujet, les langages utilisés ou, plus précisément,
de préférer tel langage à tel informatiques peuvent eux aussi leurs interpréteurs de com-
autre : C, C++, Ruby, Rust, Java, introduire des failles de sécurité. mande : JavaScript, Perl, PHP,
PHP, Go, C#, Visual Basic, Swift… Même en respectant à la lettre Python et Ruby. D’après ce cher-
Il n’y a que l’embarras du choix. les règles de l’art en termes de cheur, « Les assaillants peuvent
cibler les failles de ces langages
pour modifier le comportement
des applications. » Il fournit des
exemples concrets, identifiant
comment des fonctions non
documentées peuvent autoriser
des exécutions de commandes
système ainsi que le risque d’ex-
position de contenus de fichiers
sensibles dans des messages
d’erreur. Il met aussi en évi-
dence la possible interprétation
inattendue de code natif ou l’uti-
lisation de noms de constantes
comme chaînes de caractères
Le chercheur régulières en vue d’exécuter des
en sécurité commandes système.
Sam Thomas
a mis en Une étude statistique
évidence les
failles du PHP sur 17 langages
et des CMS Les applications écrites en
qui l’utilisent,
WordPress en Java présentent-elles plus de
particulier problèmes de sécurité que
celles écrites en Go, Rust, C,
ou JavaScript ? Des chercheurs langages. Attention car cela n’ex- une difficulté à maîtriser par-
de l’université de Californie prime pas forcément le fait qu’un faitement le langage due à sa
ont analysé des projets héber- langage soit ou non buggé, mais méconnaissance de la part des
gés sur GitHub afin d’évaluer le que son utilisation conduit à un développeurs. Il est vrai que
taux de bugs du code produit et certain taux de bugs. Cela peut certains langages, de par leur
de le comparer pour différents notamment avoir pour source syntaxe, contribuent à éviter
des confusions favorisées par
d’autres (exemple Rust com-
paré à l’énigmatique C++). Ils ont
sur une version vulnérable donné et occasionner des dégâts plus est sur le long terme, en est
de la bibliothèque Commons quelquefois irréversibles. la cause majeure : installateurs
Collections. Ce chiffre est à peu Les bonnes pratiques sont tou- exploitables, obligation d’exé-
près le même qu’il y a deux ans. jours les mêmes, encore faut-il cuter de multiples versions du
L’utilisation de composants tiers les respecter : JRE sur une machine à cause de
pour le développement d’appli- • tester le plus tôt possible dans problème de rétrocompatibilité
cations est on ne peut plus cou- le cycle de développement et le récurrents et de la durée excep-
rant. Il permet aux développeurs plus souvent possible. En clair, tionnelle de prise en compte et
de réutiliser du code fonctionnel respecter les grandes préconisa- de correction des erreurs dans
et d’accélérer la conception de tions en matière de testing ; le langage et dans certains com-
logiciels. Certaines études ont • former et informer les déve- posants. La liste est longue et,
démontré que les composants loppeurs des risques inhérents nous le savons tous, le langage
open source pouvaient même aux langages et aux composants Java aurait besoin d’un bon lif-
constituer jusqu’à 75 % du code qu’ils utilisent pour développer ting, voire d’une refonte presque
d’un logiciel. Les équipes de leurs applications ; totale.
développement ne peuvent arrê- • corriger le plus vite pos-
ter d’utiliser de tels composants. sible les vulnérabilités mises à PHP, attention danger !
Les composants tiers et open découvert.
source ne sont pas forcément Les développeurs doivent aussi Récemment, une vulnérabi-
moins sécurisés que du code identifier et documenter les ver- lité inhérente à PHP a mis à
développé en interne, le pro- sions des composants logiciels risque des millions de sites web
blème n’est pas là. Il est surtout employés, limiter l’utilisation des WordPress. En fait cette faille
important de conserver un inven- composants les plus à risques perdure car l’équipe du CMS
taire des versions de ces compo- (mauvais support, failles récur- ne l’a toujours pas corrigée
sants employés dans le code des rentes et/ou corrigées sur le tard) depuis… 2017 ! Étonnamment,
applications. Il serait temps que en les remplaçant au possible. alors que WordPress est utilisé
les entreprises prennent cette Les applications critiques et les par plus de 30 % des sites web,
menace plus au sérieux et s’ap- vulnérabilités les plus virulentes il regorge littéralement de pro-
puient sur des outils adaptés doivent être ciblées en priorité blèmes de sécurité. Pis encore,
pour superviser l’utilisation for- lors des processus de révision alors que des Grey Hats ou « cha-
cément à risque de composants. du code. Avec le Java, le pro- peaux gris » – des chercheurs en
Tout ceci fait pourtant par- blème est de plus en plus cru- sécurité – avaient déjà décou-
tie intégrante du processus de cial. La négligence croissante vert une faille dans le noyau
génie logiciel classique, souvent et inaltérable de son éditeur, qui de WordPress sans que les
bafoué au nom de la soi-disant
rentabilité. L’ambiguïté réside
souvent dans le fait que beau-
coup d’entreprises ou d’orga-
nismes donnent la priorité à la
gestion des vulnérabilités les plus
dangereuses en omettant ces
problèmes concernant le déve-
loppement de leurs applications.
développeurs du CMS n’y aient le langage en soi. Lors de plu- pour mener des attaques d’exé-
apporté de solution, une autre sieurs conférences sur la sécu- cution de code plus dange-
vulnérabilité très sévère a été rité informatique, un « ponte » reuses. Le Grey Hat Sam Thomas
découverte qui est susceptible en la matière, le chercheur Sam a démontré trois cas d’exploita-
d’affecter les sites web qui l’uti- Thomas, a démontré comment tion de ce bug pour mener des
lisent. Cette nouvelle faille est en exécuter du code à distance sur attaques ciblant WordPress mais
fait un bug du langage PHP lui- des serveurs exécutant des appli- aussi Typo3 et la bibliothèque
même, lié à la désérialisation des cations codées en PHP grâce à TCPDF intégrée, elle, dans le CMS
données – « unmarshalling » dans son processus de désérialisation. Contao. Concernant WordPress,
la langue de Shakespeare… le bug de désérialisation affecte
Nouvelle, en fait, elle ne l’est Enchaînement la fonctionnalité de traitement
pas vraiment. Elle a été rappor- d’images miniatures (la fonction
tée à l’équipe de WordPress le
des failles wp_get_attachment_thumb_file
28 février 2017 et, à la fin 2018, L’attaque en question consiste se trouvant dans /wpincludes/
aucun correctif n’a encore été à téléverser des données défor- post.php, plus précisément), en
publié, soit plus d’un an et demi mées sur un serveur, le but permettant à un hacker de télé-
après ! Ce « petit » bug permet recherché étant de lancer une verser une image déformée sur
« seulement » à des hackers de opération d’écriture de fichier la plate-forme. Le Sieur Thomas
compromettre tout un système faisant appel au paquetage Phar a informé l’équipe de Typo3 qui,
en passant par le framework. de PHP. Cette opération va, elle, a bien corrigé ce bug dans
Cette vulnérabilité n’affecte pas consécutivement, déclencher les dernières versions du CMS
seulement le CMS, mais bien des failles dans la gestion du XXE – correction apportée à partir de
toutes les applications et biblio- – XML (eXternal Entity) et SSRF la version 9.3 publiée le 12 juillet
thèques PHP manipulant des (Server Side Request Forgery) – 2018. En revanche, ni WordPress,
données utilisateur. Elle est ins- impliqués dans la désérialisation ni TCPDF n’ont, à ce jour, publié
crite dans PHP, pas seulement du code. Ces failles ne sont pas de correctifs. La faille est donc
dans WordPress. La correc- directement à haut risque mais toujours exploitable. Même si le
tion à apporter concerne donc peuvent servir de voie d’accès bug vient du langage PHP sous-
jacent à ces frameworks, il ne
peut a priori pas être corrigé à
ce niveau (le langage), mais doit
être pris en compte au niveau
des applications.
Pour corriger totalement le
PHP, de toute manière, il fau-
drait complètement revoir le
cœur du langage, ce qui n’est
pas chose facile. Ses problèmes
de désérialisation ne datent pas
vraiment d’aujourd’hui. Des vul-
nérabilités permettant de com-
promettre la sécurité de systèmes
PHP ont été décelées dès 2009
(CVE-2017-12934, CVE-2017-
12933, CVE-2017- 12932…). Cela
dit, et à la décharge – légère –
de l’équipe de développement
de PHP, les problèmes de séria-
lisation affectent de nombreux
autres langages de program-
mation : les langages du .NET
comme VB, C# ou F#, Java, Ruby
et presque tous ceux permettant
de coder des clients web. C’est
souvent via cette technologie
Vous pouvez consulter l’excellent rapport du chercheur en sécurité Fernando Arnaboldi à (sérialisation/désérialisation)
l’adresse https://www.blackhat.com/docs/eu-17/materials/eu-17-Arnaboldi-Exposing-Hidden- que le « mal » arrive. ❍
Exploitable-Behaviors-In-Programming-Languages-Using-Differential-Fuzzing-wp.pdf Thierry Thaureaux
Véhicules autonomes
Quels débouchés
pour les informaticiens ?
La jeune filière du véhicule autonome cherche à Les opérateurs de transport
recruter des informaticiens mais elle peine à trouver (Transdev, RATP, Keolis…)
travaillent également sur ce
des candidats. La situation devrait néanmoins évo- sujet et mènent déjà des tests
luer avec des formations attendues en 2019. Tour de navettes autonomes. Les
acteurs de l’IT, dont les Gafa,
d’horizon de ce nouveau domaine d’emplois pour l’IT. se sont également emparés de
ce nouveau domaine technolo-
L
« es véhicules autonomes les informaticiens sont considé- gique. C’est le cas de Google,
sont des tablettes sur rables. » Cette école annonçait Nvidia, ou Intel, sans oublier
quatre roues, avec de au dernier Mondial de l’Auto les acteurs à la convergence
l’Intelligence artificielle, du le lancement en 2019 d’une de l’automobile et de l’IT,
traitement de données massif spécialisation « Véhicule s comme Uber. D’autres acteurs
de capteurs – Big Data –, du autonomes » pour son cursus tels Amazon, Alibaba ou Apple
calcul parallèle, de la recon- d’ingénieurs (lire ci-après). travaillent quant à eux sur les
naissance d’images, le tout en « La demande est désormais futurs services et divertisse-
réseau embarqué et cyber-sé- très forte sur le marché pour ments à bord des véhicules.
curisé. » Ces mots sont ceux des profils informatiques ayant
de Louis Jouanny, directeur une connaissance du véhicule Maîtriser l’analyse
général de l’ESIE A, École autonome. Nous entendons de données et les
d’ingénieurs du monde numé- répondre à cette demande »,
rique : « L’informatique est donc poursuit le responsable. systèmes embarqués
au cœur de ce nouveau domaine Les développements et expéri- Quelles compétences informa-
industriel et les débouchés pour mentations autour des voitures tiques recherchent ces acteurs ?
ou navettes sans chauffeur, s’ac- « Nous recrutons des profils
célèrent en effet depuis deux à capables de travailler sur les
trois ans. Le nombre d’acteurs systèmes de navigation du véhi-
positionnés sur ce nouveau cule, qui exploitent des données
secteur ne cesse d’augmen- de capteurs mais aussi des infor-
ter. Les constructeurs automo- mations de cartographie ou de
biles, et leurs équipementiers, localisation. Ils doivent globale-
sont bien entendu sur les rangs. ment disposer de connaissances
Renault Nissan, PSA Peugeot en mathématiques et statistiques,
Citroën, Volvo, Toyota, Audi, pour traiter de la donnée, et aussi
Volkswagen… ont tous faits des en programmation de systèmes
annonces en ce sens au dernier embarqués, principalement en
salon de l’Auto. Le plus avancé langage C++ orienté objet »,
dans le domaine reste Tesla, confie Sophie Athlan Gazet,
dont la fonction « Pilote auto- Head of Human Resources chez
matique » est proposée depuis Navya. Cette filiale de Keolis, se
2015 sur ses berlines électriques. présente comme le « leader fran-
Il s’agit cependant de véhicules çais des véhicules autonomes et
« semi-autonomes », l’IA étant des nouvelles solutions de mobi-
capable de conduire sur cer- lité intelligente et partagée ». Elle
taines portions de routes, dont fabrique des navettes autonomes
Les prototypes intègrent pléthore d’équipements IT les autoroutes, mais pas encore dont plus d’une centaine ont
pour réaliser le traitement de données. en zone urbaines denses. déjà été commercialisées dans
prof ils ayant des connais - dans un domaine, de monter de professionnels externes,
sances en informatique et en un dossier puis de passer une notamment en provenance
robotique, que nous formons session d’évaluation pour certi- de l’industrie automobile. Elle
ensuite en interne pendant 4 fier leurs compétences. « Notre devrait être proposée aux envi-
à 6 mois », explique Sophie formation sera ouverte au VAE rons de 10 000 euros.
Athlan Gazet, chez Navya. La et nous pourrons aider au mon- De son côté, Vedecom propose
filiale de Keolis prévoit d’em- tage du dossier. Il faudra bien à son catalogue 2019 des forma-
baucher 60 personnes pour sa entendu déjà disposer d’une tions courtes accessibles aux
R & D en 2019, après avoir déjà expérience professionnelle dans informaticiens. Un cursus de
doublé ses équipes entre 2017 des technologies liées au véhi- trois jours donne un tour d’ho-
et 2018. « Nous aimerions recru- cule autonome, comme la Big rizon de l’architecture système
ter davantage, mais il reste dif- Data, la data science, l’IA, les des véhicules, des techniques
ficile de trouver des candidats », systèmes embarqués ou même de localisation et de planifica-
précise la responsable. la cyber sécurité », souligne tion, des télécommunications,
Les formations autour du véhi- Louis Jouanny. du traitement de la data, sans
cule autonome devraient s’étof- Qu’il s’agisse de la formation oublier les enjeux humains et
fer en 2019. Navya travaille sur initiale ou du VAE, la spécia- socio-économique du véhicule
une formation avec l’Insavalor, lisation proposée par l’ESIEA autonome. Une formation théo-
le centre de formation continue traitera de la reconnaissance rique facturée 1 900 euros. Une
de l’Insa Lyon. De son côté, d’images, de l’IA (Machine formation plus pratique sur une
l’ESIEA prévoit donc sa spécia- Lear ning, Deep Lear ning, journée, propose de manipuler
lisation « Véhicules autonomes » réseaux de neurones), du Big des outils et équipements, ainsi
au cour s de la cinquième Data, de la cyber sécurité, du que faire des tours de pistes à
année du cursus d’ingénieur calcul massivement paral- bord d’un véhicule autonome.
informatique, électronique et lèle, de s système s embar- Il en coûte 1 500 euros. « Nous
automatique. Une formation de qués, des télécommunications recevons également des infor-
cinq mois également ouverte (Bluetooth, 5G…), du Cloud et maticiens travaillant sur des
à des professionnels déjà en des aspects juridiques du véhi- thèses liées aux véhicules auto-
poste via la VAE (Validation cule autonome (responsabilité nomes, notamment autour du
des acquis de l’expérience). en cas d’accident, respect du développement de logiciels ou
Ce dispositif, encadré par l’État, RGPD…). Cette formation sera l’élaboration d’algorithmes »,
permet à des personnes ayant dispensée par des professeurs conclut Sylvie Thromas. ❍
au moins un an d’expérience spécialisés, avec l’intervention Christophe Guillemin
Avant la voiture autonome, les navettes sans chauffeur ont été les premiers
véhicules pilotés par une IA capables de circuler en zone urbaine.
Lifespan TR1200 DT
Le bureau Start-up d’ActivUP
Travailler en marchant
ou marcher en travaillant ?
C’est comme vous voulez.
Découvrez la magie
du Walking Desk, Le Lifespan TR1200 DT-7
coûte environ 2 000 €.
le nouvel équipement chéri
des start-up pour 2019 !
L
a sédentarité est à n’en
pas douter le mal du
XXIe s. Absorbés durant
une majeure partie de la journée
par l’écran de leur ordinateur,
tous ceux qui travaillent dans
un bureau ne bougent plus, ou
du moins plus assez. Au fil des
mois et des années, ce manque Graal en 2013 en regardant une
d’activité quotidienne se solde vidéo sur des start-up améri-
souvent in fine par des kilos caines dans laquelle il découvre
en trop et une santé en déclin. les Walking Desks. C’est le début
Victime parmi tant d’autres de d’ActivUP… aux États-Unis et en Angleterre,
ce mal de société chronique, Le Walking Desk est un tapis le concept a été importé dans
le fondateur de la start-up fran- de marche associé à un bureau les pays francophones en 2015
çaise ActivUP, Marc Thouvenin, réglable électriquement en hau- par ActivUP. La société propose
s’est mis en quête d’une solution teur permettant de marcher à l’achat ou à la location des
pour reprendre sa santé et son en… travaillant. Commercialisé modèles fabriqués notamment
corps en main. Il déniche le depuis de nombreuses années par Lifespan Fitness, le leader
mondial des tapis de marche et
de course. Le modèle Lifespan
TR1200 DT-7 que nous avons
« Je cherchais à gérer la sédentarité testé est un peu la Rolls Royce
de ce type de produits. Ce der-
qu’imposent les agendas chargés » nier se compose d’un imposant
1 AN / 10 NUMÉROS
MAGAZINE + NUMÉRIQUE :
49 €
2 ANS / 20 NUMÉROS
MAGAZINE + NUMÉRIQUE :
92 €
Accès à la collection des anciens numéros
en PDF durant la durée de l’abonnement.
+ OFFERT AVEC
VOTRE ABONNEMENT *
CLÉ USB Clé à empreintes digitales,
authentification dernier cri
BIOMÉTRIQUE pour la prise en charge de
Windows Hello et FIDO U2F.
KENSINGTON - VERIMARK L’intégration universelle
Valeur : 65€ environ.
Compatible Windows 10, 8.1 et 7.
autorise un accès instantané
Tous les détails sont à retrouver et évolutif aux ordinateurs
Remplace
sur cette page :
la saisie du Windows, y compris
https://www.kensington.com/
fr-fr/p/products/security/biometric/
mot de passe l’identification biométrique
Cle-a-empreintes-digitales-Kensington- Votre PC toujours
protégé !
avec Windows Hello.
VeriMark-prenant-en-charge-Windows-
Hello-et-lauthentificat/
*Offre spéciale réservée aux nouveaux abonnés en France métropolitaine valable jusqu’au 28/02/2019.
Autres formules d’abonnement sur linformaticien.com/magazine/sabonner
EXIT
n
tio
Le
te ac
st d
e la r é d
3 3 19 €
TTC Sous le capot, Microsoft
propose une configu-
(500 Go) ration d’exception, mais
qui se paie évidemment
au prix fort. Celle-ci se
compose pour l’essen-
tiel d’une puce quadruple
cœur Intel Core i7, 16 Go
de mémoire vive, une carte
graphique NVidia GeForce
GTX 1060, et un disque
SSD de 512 Go. Une
architecture surpuissante
qui offre des perfor-
À
force d’en découdre avec Apple sur le mar- mances de premier plan, y compris dans les tâches
ché des ordinateurs, Microsoft a fini par en les plus lourdes comme la retouche photo ou le
tirer quelques bonnes leçons. Comme son montage vidéo 4K. Pour ne rien gâcher, le Surface
concurrent de toujours, la firme de Redmond a Book 2 fait partie des modèles 15 pouces les plus
créé sa propre division hardware. L’éditeur maî- endurants du marché avec une autonomie d’un peu
trise désormais toute la chaîne de production plus de dix heures en utilisation intensive.
logicielle et matérielle, et autant le dire tout de Contrairement à de nombreux 2-en-1, ce modèle
suite, cela change tout ! Innovant, design, robuste, bénéficie en outre d’une excellente répartition du
polyvalent et surpuissant, le Surface Book 2 est poids entre l’écran et le clavier, qui font contre-
de loin le meilleur ultraportable 2-en-1 du marché. poids. En inversant la position de l’écran, il est
Dès le premier coup d’œil, le Surface Book 2 possible de l’utiliser en mode tablette tout en
séduit par sa finition qui ne ressemble pas à un bénéficiant de la puissance et de l’autonomie de
énième clone de MacBook. Pourvu d’un magni- la machine.
fique châssis en magnésium, le 2-en-1 adopte Une belle réussite, dont les seules limites sont
une solide charnière aimantée permettant de finalement celles de Windows 10 qui se montre
détacher l’écran, dont le design rappelle celle toujours aussi perfectible en mode tactile. ❍
d’une reliure de livre. Le clavier rétro- J. C.
éclairé de type chiclet et son large
trackpad sont quant à eux de véri-
tables modèles de conception. L’un
comme l’autre assurent un confort d’utilisa-
tion à en faire pâlir la concurrence.
L’un des autres gros points forts
de ce modèle réside dans la
qualité époustouflante de son écran.
❚ SquareOne – Wizama
Jeu vidéo de société – ou l’inverse !
Voici le compromis entre la soirée console et la
soirée jeu de société : SquareOne fait les deux.
Composée d’un écran tactile, d’un dé et de sa piste,
de pions et de cartes, elle permet de jouer à divers
jeux à la manière d’un jeu de l’oie ou d’un jeu de
stratégie, avec des pions physiques donc, en y ajou-
tant par le biais de sa « tablette » une dimension
multimédia, de la boule de feu aux aides de jeu. Une
poignée de titres est prévue à la sortie de l’appa-
reil, de la conquête avec Chromacy au shooter avec
Cosmo Squabble. Le catalogue devrait progressive-
ment s’enrichir, Wizama ayant signé des partenariats
avec un certain nombre d’éditeurs.
Sortie : fin 2019 – Prix : 500 dollars
lekiosk
82 | L’Informaticien n°174 − Février 2019
.