Newsletter n°25, janvier 2010
Edito
Google Book reste incontournable malgré tout
L’INRIA lance un Consortium d’Innovation pour les services et les applications mobiles
L’intelligence artificielle au service de la relation client
Des nouvelles de l’atelier d’écriture
Le Paiement Mobile en 2010
Conservation des fichiers logs – Mythe ou réalité de l’hébergeur ?
Atelier ToIP
Sécurité de la virtualisation et du "Cloud Computing" : Quelques axes de réflexion
Mettre en avant votre expertise française en matière de services, applications du spatial et de télécommunications
EDITO
Permettez moi d’ouvrir le premier éditorial de cette nouvelle année en vous recommandant notre prochain événement du 21 janvier. Les personnalités les plus en vue de l’Internet, les plus grandes écoles, des associations nous soutiennent et nous permettent de vous proposer un débat du plus haut niveau sur le futur de l’Internet. Sans eux, sans la diversité qu’ils représentent, sans la formidable énergie de Gérard Péliks, sans l’implication des sociétés sponsors, cet ambitieux projet n’aurait jamais vu le jour.
C’est la démonstration que le souffle d’Internet n’est pas éteint, que la diversité est plus forte que les approches monolithiques, que construire un future ambitieux, ouvert, doit être notre objectif, partager.
Dès maintenant, vous pouvez participer, en posant vos question (http://www.forumatena.org/?q=node/240) et en nous soutenant par vos adhésions.
Bonne année à tous.
Philippe Recouppé
Président de Forum ATENA
Google Book reste incontournable malgré tout
En fait. Le 18 décembre, Google, le géant américain du Web, a été condamné par le tribunal de grande instance de Paris à verser 300.000 euros de dommages et intérêts aux éditions du Seuil, Delachaux & Niestlé et Harry N. Abrams, ainsi que 1 euro au SNE et à la SGDL, pour avoir numérisé des livres sans autorisations.
En clair. Entre le début du procès en juin 2006 et la condamnation prononcée en décembre 2009, il s’est écoulé trois ans et demi. Une éternité dans le monde hyperrapide de l’Internet. Aujourd’hui, la sanction infligée par la justice française s’avère quelque peu dérisoire par rapport au mastodonte du Web qu’est devenu Google Inc. Lorsque le procès débute, la start-up californienne génère trois fois moins de revenus qu’aujourd’hui. En 2008, Google a franchi la barre symbolique des 20 milliards de dollars de chiffre d’affaires, à 21,8 milliards, pour un bénéfice net de plus de 4 milliards ! Autant dire que les 300.000 euros d’amende et 45.000 euros pour frais de procédure que le numéro 1 mondial des moteurs de recherche sur le Web a écopé – au lieu des 15 millions d’euros de dommages et intérêts demandés par les trois maisons de La Martinière (Seuil en France, Delachaux & Niestlé en Suisse et Harry N. Abrams aux Etats-Unis) – est une goutte d’eau dans cet océan de recettes publicitaires. Et que dire de l’euro symbolique que Google est aussi condamné à verser au Syndicat national de l’édition (SNE) et à la Société des gens de lettres (SGDL) ? Au final, ce ne sont pas des milliers d’ouvrages qui ont été copiés mais seulement des centaines : 300 environ.
Ce qui est notamment reproché à Google est d’avoir mis en ligne les couvertures et des citations des œuvres, mais pas l’intégralité des livres eux-mêmes faute d’accord. Le droit français autorise de courtes citations mais, selon l’avocat du groupe La Martinière, uniquement si elles sont insérées dans des oeuvres ou dans des travaux à visée pédagogique (thèses, articles, …). Ce qui ne serait pas le cas de Google Book. « Google n’est pas une bibliothèque mais un outil de recherche », se défend le géant du Net qui va faire appel. Les maisons d’édition restent néanmoins conscientes, comme le sont les sociétés de presse d’ailleurs, qu’il leur faut trouver un terrain d’entente avec un tel acteur incontournable. La firme de Mountain View va d’ailleurs poursuivre son programme de numérisation de livres engagé dès 2003 sous le nom de Google Print et rebaptisé Google Book Search. Pour permettre des recherches de mots, d’extraits ou de textes entiers (full text), plus de 10 millions d’ouvrages ont été scannés en cinq ans aux Etats-Unis. Le 28 février 2010, le tribunal de New York doit justement examiner l’accord conclu entre Google, le syndicat d’auteurs Authors Guild et l’Association of American Publishers.
Publié par Edition Multimédi@ Economie numérique et nouveaux médias
Charles de Laubier
Pour tout contact : editionmultimedia (at) sfr.fr
« Edition Multimédi@ » est une lettre d’information professionnelle sur l’économie numérique et les nouveaux médias. Sa rédaction analyse les nouveaux modèles économiques, les avancées technologiques et les évolutions législatives ou jurisprudentielles des convergences télécom-audiovisuel-web.
De par son rythme bimensuel, un lundi sur deux, « Edition Multimédi@ » prend le recul nécessaire pour décrypter et analyser en toute indépendance les rapports entre les réseaux (très) haut débit et les contenus numériques : musique en ligne, cinéma à la demande, radio numérique, télévision numérique, presse online, télévision sur mobile, livre numérique, vidéo à la demande, sites web de partages, mondes virtuels, jeux ou encore publicité en ligne.
Autrement dit, « Edition Multimédi@ » étudie le partage de la valeur (accords, accès, droits, exclusivités, partage de la valeur, juridique…) entre les opérateurs télécoms et les fournisseurs d’accès à Internet (les "tuyaux"), d’une part, et les distributeurs de contenus et les industries audiovisuelles ou culturelles, d’autre part.
« Edition Multimédi@ » est vendu uniquement par abonnement : pour recevoir trois numéros gratuitement, il suffit d’envoyer ses coordonnées complètes avec e-mail à editionmultimedia (at) sfr.fr
L’INRIA lance un Consortium d’Innovation pour les services et les applications mobiles
Le marché des services et des applications mobiles se trouve dans une phase de rupture et de forte croissance au niveau mondial. La France dispose d’atouts importants pour avoir une présence forte sur ce marché. Stimuler l’écosystème national des services mobiles (et activer de nouveaux leviers qui augmentent la capacité d’innovation des acteurs de cet écosystème) permettra à la France de conquérir plus rapidement des parts de marché, et donc de créer davantage de revenus, d’emplois et d’opportunités.
L’INRIA est particulièrement concerné avec plus de cinquante équipes de recherche qui travaillent sur des technologies clés sur ce marché : techniques de reconnaissance et d’apprentissage, méthodes et environnement de développement de logiciels; intergiciels pour l’informatique ambiante; systèmes de codage etc. L’INRIA veut contribuer à accélérer le développement de l’écosystème mobile et se prépare à lancer à cette fin une opération transverse et nationale appelée "Initiative Mobile".
Cette "Initiative Mobile" a vocation à rassembler l’ensemble des acteurs de l’écosystème mobile : laboratoires publics, PME innovantes, grands groupes industriels, associations et pôles de compétitivité… Pour être plus précis, une cartographie collaborative de l’écosystème est d’ailleurs en cours sur http://mobile-jungle.org. Chaque acteur est encouragé à y ajouter ses informations et à s’en servir comme d’une base de contact collaborative.
L’Initiative Mobile permettra de mener à bien plusieurs actions concrètes et ambitieuses pour dynamiser l’écosystème mobile, comme par exemple la réalisation d’un portail de données publiques pour les développeurs d’applications ou encore l’ouverture d’un nouveau centre d’innovation dédié dans lequel des équipes mixtes (privées/publiques) pourront venir travailler.
L’alliance de Forum Athena et de l’Initiative Mobile permettra à l’avenir aux deux entités de joindre leurs efforts et de s’apporter mutuelle assistance dans l’organisation et l’animation d’événements et d’activités à destination des acteurs de l’écoystème mobile.
François Bancilhon (ancien PDG de Mandriva) et Julien Marboutin (jeune ingénieur Télécom) sont les deux interlocuteurs côté INRIA de l’Initiative Mobile. Ils seront ravis de vous apporter des compléments d’information et de dialoguer avec vous. N’hésitez pas à envoyer un email avec vos questions ou vos suggestions à l’adresse julien.marboutin@inria.fr
A bientôt.
Julien Marboutin
INRIA – Direction du Transfert technologique et de l’Innovation
L’intelligence Artificielle au service de la relation client
L’évolution des modes relationnels allant du courrier papier aux réseaux sociaux (Twitter, Facebook, …) a pour conséquence d’augmenter les flux entrant à traiter avec un spectre très large de médias utilisés.
A l’instar du monde industriel, les services peuvent désormais bénéficier des opportunités de productivité et de qualité offertes par les outils d’intelligence artificielle, sémantique, langage naturel, base de connaissance, …
Par ailleurs, selon l’étude Vision Dirigeants, Internet et la Relation Client de l’AFRC, les entreprises prévoient en priorité l’utilisation des outils de gestion des emails suivie des outils d’identification et de veille.
La maturité de ces technologies permet de répondre à de nombreux usages dont :
- Gestion des courriers et courriels
- Personnalisation des pages web et marketing véritablement one2one
- FAQ dynamique
- Structuration des demandes client
- Agent conversationnel intelligent
- Optimisation des formulaires et de la prise de commande
- Optimisation du temps de réaction (statistiques de pilotage, alertes, …)
- Harmonisation de la qualité de services multicanale
- Mesure de la e-réputation
L’atelier prépare un événement sur ce thème, courant mars, et vous proposera un agenda d’ici quelques semaines.
A suivre …
Philippe Poux
Président de l’atelier Solutions Vocales & Relation Client
Des nouvelles de l’atelier d’écriture
Une surprise pour bien commencer l’année : un nouveau livre "La Sécurité à l’usage des Collectivités locales et Territoriales" est arrivé avec le Père Noël.
Il traite de l’emploi des TIC et de la sécurisation des échanges entre les autorités locales et les citoyens dans les procédures institutionnelles, pour l’assistance et aide aux citoyens dans leur vie de tous les jours et dans les situations de crise, pour garantir le respect de la vie privée et du droit de savoir, lutter contre la fraude, assurer la pérennité des institutions… Il s’adresse aussi bien à des responsables qu’à des techniciens qui mettent en œuvre les outils.
Initialisé il y a déjà un certain temps par l’Atelier Sécurité et entièrement remis à jour par ses auteurs, il est dès à présent disponible à la boutique Lulu sous diverses formes : téléchargement pdf, livre broché avec couverture couleur et e-book.
Un grand merci à tous ceux qui ont participé à la rédaction de ce livre.
Rendez-vous vite à la boutique Lulu Forum ATENA: stores.lulu.com/forumatena
Bien sûr, le livre sur les réseaux sans infrastructure dédiée attend toujours des contributions.
Michèle Germain
Déléguée Atelier d’écriture
Le Paiement Mobile en 2010
Les estimations de marché prévoyaient que 55 milliards d’euros transiteraient par le paiement par mobile en 2006 mais le volume du marché actuel ne serait que de 4 % de ces prévisions. Par excès d’optimisme on a eu globalement tendance à surévaluer ce marché ces 5 dernières années. L’enclenchement a tout de même eu lieu cette année, notamment avec une série de levées de fonds, d’initiatives et d’acquisitions majeures, et cette tendance devrait se poursuivre de manière forte en 2010. L’essor du paiement par mobile ne se fait pas là où il était attendu au départ.
Les attentes
Les attentes dans le domaine du sans contact pour les paiements de proximité sont à la hauteur du gigantesque potentiel, mais il y a encore inadéquation entre ce qui est espéré et les moyens disponibles pour y arriver. Des solutions d’attente se mettent en œuvre telle que les cartes bancaires sans contact, les stickers qui continueront à se développer, ou les solutions récentes avec dongle sur iPhone (square). Malgré les premiers déploiements commerciaux prévus en 2010 comme par exemple à Nice, il faudra encore attendre quelques années pour que le taux de renouvellement de l’industrie mobile permette à tout le monde de payer avec un téléphone NFC sur un business modèle stabilisé.
Le plus gros du marché du paiement par mobile concerne les transferts d’argent qui représentent plus de 50% des initiatives actuelles mondiales. Encore timides dans nos pays développés, ces services sont en véritable explosion dans les pays émergents pour des populations non bancarisées qui voient dans le mobile une solution universelle. Une véritable révolution s’opère sous nos yeux, et 2010 connaîtra une généralisation de ce phénomène qui devrait contribuer à doter ces pays d’outils monétiques n’ayant rien à envier à notre bon vieux virement …
L’usage
Plus proche de nous, un phénomène déjà amorcé ces dernières années va se confirmer l’année qui vient, celui du paiement par mobile à distance pour les contenus numériques et Internet d’une part (jeux, réseaux sociaux, …), mais aussi pour les services quotidiens (stationnement, transport, …). Au carrefour du paiement par SMS surtaxé et des paiements par carte bancaire, ce marché est en pleine mutation avec une concurrence accrue. Les opérateurs mobiles souhaitent en effet étendre le nombre de services à débiter sur les factures téléphoniques, dans le même temps les acteurs qui proposaient historiquement des débits sur facture opérateurs voient une limite dans ce système et ajoutent des possibilités de débit sur carte bancaire, à tout cela s’ajoute les nouveaux entrants, le porte-monnaie électronique soutenu par des directives plus claires, ainsi que les acteurs du paiement sur Internet qui arrivent en force sur le mobile.
Au cours de l’année à venir, afin de contribuer à l’adoption du paiement par mobile, les acteurs devront apporter des services à valeur ajoutée qui dépassent le simple changement d’outils. Ce que nos clients apprécient le plus, c’est non pas de substituer un moyen de paiement par un autre mais de bénéficier de services supplémentaires induits par l’utilisation du mobile pour payer le stationnement et le ticket de transport à distance. Il est par exemple prioritaire pour PayByPhone de favoriser une expérience très personnalisée de l’utilisation du service en laissant à chacun le choix de son propre média (internet mobile, serveur vocal, SMS, NFC) en conformité avec ses habitudes.
Philippe Lerouge
Président de l’atelier Paiement Mobile
Conservation des fichiers logs – Mythe ou réalité de l’hébergeur ?
La Mémoire, faculté tellement essentielle à la vie que son absence ou sa diminution conduit inévitablement à l’affaiblissement voire à la disparition des capacités de l’organisme ou du système qui s’en trouve privé.
Ce constat s’applique à internet par essence, le réseau ayant été construit originellement pour faire face à une destruction globale, massive et brutale. Mais derrière ce portrait, qui est en charge de cette mémoire ? Quatre acteurs apparaissent très clairement :
- Les opérateurs et fournisseurs d’accès
- Les hébergeurs et opérateurs de data-center
- Les éditeurs et diffuseurs
- Les auteurs
Chaque intervenant collecte des informations, en crée d’autres et les conserve à des fins techniques ou statistiques.
- L’auteur veut savoir qui s’est connecté sur son site, combien de lecteur se sont rendu sur sa page, combien d’acheteurs potentiels se sont manifestés sur son site.
- Les éditeurs et autres diffuseurs se préoccupent de la gestion des flux et des espaces pour mieux convaincre les annonceurs et autres sponsors.
- Les hébergeurs récupèrent les données… sans savoir qu’en faire.
- Les opérateurs et fournisseurs d’accès nourrissent leurs fichiers comportementaux depuis la loi anti-terroriste du mois de Novembre 2001 en coopérant avec les forces de police et en inondant de spams les messageries des internautes.
De tous les acteurs, le seul à être concerné sans le vouloir par les logs est l’hébergeur. Que ce soit sur les serveurs web, les serveurs de bases de données, les routeurs, les firewalls, les applications et autres outils de connexion et d’administration, les logs pleuvent comme à gravelotte.
Que faut-il faire de ces données ?
Certains ont cru voir dans la loi du 21 Juin 2004 dite « LCEN » un début de réponse. Son article 6 II fait référence à l’obligation de conservation les fichiers de connexion (Les personnes mentionnées aux 1 et 2 du I [définition des opérateurs et hébergeurs] détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires), suivant les modalités techniques définies par décret (Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, définit les données mentionnées au premier alinéa et détermine la durée et les modalités de leur conservation).
2004…2009. Comme sœur Anne, les juristes attendent toujours ce décret. Car en effet, conserver des fichiers logs, pourquoi pas. Mais combien de temps ? sous quel format ? et d’abord, quels fichiers logs ? Mais surtout, qui supporte le coût d’un tel archivage ?
Jean Claude Patin
Atelier Hébergement
Atelier ToIP
La VoIP sur le mobile, c’est pour 2010
C’est comme une rumeur qui enfle.
Au début de 2009, l’horizon semblait bouché. Tous les opérateurs mobiles accueillaient volontiers les nouveaux trafics de données sous la poussée de l’iPhone. Mais dans de nombreux contrats figurait, en petite lettre, l’interdiction de faire de la VoIP.
Mais maintenant la VoIP devient possible avec l’extension de la couverture 3G à 87, 81 et 80 % de la population à fin 2009 pour Orange, SFR et Bouygues Telecom respectivement.
Par ailleurs, on peut faire le constat que si les forfaits data « illimités » à 1 Go étaient utilisés pour transporter de la voix, on en aurait pour quelques 70 heures de communication par mois pour un prix somme tout très modique.
Voilà de quoi aiguiser l’appétit des « mobinautes ».
Et puis, il y a eu cette bousculade d’annonces et de positions prises par les acteurs du marché :
22 avril, Three (UK) annonce qu’il ouvre totalement et gratuitement ses réseaux aux appels à travers Skype.
Le 7 juillet, c’est Viviane Reding qui fait pression sur les opérateurs mobiles pour qu’ils ouvrent leur réseau à la VoIP et le déclare publiquement à la suite d’une question sur le blocage des appels Skype par T-Mobile.
C’est aussi le Parlement Européen qui adopte un règlement des services mobiles en Europe où « il ne devrait pas y avoir d’obstacle à l’émergence d’applications ou de technologies susceptibles de se substituer ou de constituer une alternative aux services en itinérance, tels que les services WiFi, de voix sur réseau IP (VoIP) et de messagerie instantanée ».
Août, c’est au tour de Vodafone Germany et Telefonica O2 en Allemagne d’annoncer l’ouverture des réseaux à la VoIP. Avec un supplément de tarif pour Vodafone Germany.
Août encore dans un dossier instruit par la FCC (le régulateur américain), l’opérateur mobile AT&T, Apple et Google se défendent à propos de l’impossibilité d’utiliser Google Voice sur l’iPhone sur le réseau mobile d’AT&T. Le 6 octobre, AT&T annonce qu’il ouvre son réseau …
Octobre aussi, des rumeurs filtrent d’Orange qu’ils vont ouvrir la VoIP sur mobile en 2010.
Octobre encore, lettre ouverte de Skype : les prix du mobile à l’international sont trop élevés et la concurrence ne permet pas la baisse des prix ; il faut que les régulateurs en Europe interviennent.
7 décembre : Bouygues Telecom annonce qu’il ouvrira son réseau à la VoIP.
2010 : la VoIP sur mobile arrive … mais à quel prix ?
Toutes les dernières news sur la ToIP :
http://www.jaito.com/Newsletter.html
Pour rejoindre l’atelier ToIP, inscrivez-vous sur le site de Forum Atena
Jacques Heitzmann
Président de l’atelier ToIP
Sécurité de la virtualisation et du "Cloud Computing" : Quelques axes de réflexion
Les techniques de virtualisation des environnements informatiques ne datent pas d’hier : elles sont utilisées depuis fort longtemps dans des environnements de type "mainframes".
Depuis quelques bonnes années, les solutions de virtualisation se sont démocratisées et font partie de la trousse à outils de tout bon informaticien qui se respecte : Les VmWare, Hyper-V, Linux KVM et autres Xen sont des technologies très souvent utilisées en entreprise.
Comme toute technologie, ce n’est qu’une fois que celle-ci commence à être fonctionnelle que se pose la problématique de la sécurité (cf ce que nous pouvons voir dans le domaine de la VoIP). Cette "maturation lente et naturelle" de la sécurité des environnements virtualisés a été accélérée par un catalyseur appelé "Cloud Computing" : Les environnements sont transférés depuis les réseaux internes des entreprises sur Internet.
De quelle manière un responsable sécurité doit-il aborder ce changement ? Ayant été récemment interpelé sur ce sujet, il m’a semblé intéressant de partager avec vous quelques réflexions autour de ce thème.
Concernant la virtualisation
Quelques axes de réflexions sur les changements et risques induits par la virtualisation. J’ai volontairement mis de coté les sujets très techniques de compromission de la technologie elle-même… (Pour une prochaine fois peut-être ?)
La prolifération des Machines Virtuelles (VM)
Activer une nouvelle instance d’un système est très facile : La tentation est donc naturellement grande d’instancier plusieurs instances d’un environnement pour des tests, une démonstration, etc… Si les administrateurs en charge de l’infrastructure virtualisée ne possèdent pas les outils leur permettant d’automatiser leurs actions sur un parc virtuellement très important, on va rapidement se retrouver dans une situation ou les serveurs/services ne seront pas tous à jour des correctifs ou supervisés comme il se doit. Une outil de gestion de parc est essentiel : En effet, on perd le coté "1 système d’exploitation <=> 1 serveur physique" : On peut donc plus facilement "égarer" une machine virtuelle…
L’explosion du nombre de VM va aussi rapidement réactiver l’un des vieux démons : la gestion des identités et des accès (le fameux IAM : Identity & Access Management) qui va être encore plus important dans une infrastructure virtualisée.
Le risque de comportements soudains
Dans un environnement virtualisé, une VM peut être très facilement arrêtée, suspendue ou encore dupliquée. Une VM présentant des vulnérabilités sur l’un de ses services réseaux peut donc ne pas être identifiée lors d’un scan de détection de vulnérabilité (car arrêtée ou suspendue durant les tests) ; lorsque celle-ci sera réactivée elle affaiblira automatiquement le niveau de sécurité de l’ensemble.
Le même scénario est aussi vraisemblable dans le cas ou une VM aurait été infectée par un vers informatique : Cette VM peut ne pas être comptabilisée/identifiée comme infectée lors d’une campagne de nettoyage et pourra ressurgir de façon sporadique au sein de l’infrastructure virtualisée et (re)-propager l’infection.
Mécanismes de retour-arrière (ou rollback)
Les mécanismes de retour-arrière sont particulièrement utiles : Il est possible de "revenir dans le temps" et ainsi de remettre une VM dans un état antérieur. Très pratique pour "effacer" les effets néfastes d’une mise à jour de mauvaise qualité. De même, cela peut réactiver d’anciennes failles de sécurité ou faire revivre des comptes d’accès désactivés ou encore de vieux mots de passe… Très nouveau comme problème non ?
Toujours autour du rollback : Dans le cas d’une intrusion sur une VM, un administrateur démotivé aura tendance à restaurer l’état du système avant l’intrusion : Cela aura un effet curatif mais les "symptômes" seront toujours bien présents, sauf si l’administrateur a pris la peine de combler les failles utilisées initialement.
Et le "Cloud Computing" dans tout ça ?
Dans le cadre des offres de Cloud Computing, les techniques de virtualisation de systèmes sont effectivement très présentes : On va donc y retrouver, de façon plus ou moins visible, toutes les problématiques liées à ce type de technologies : Ma recommandation serait de poser toutes les questions utiles aux fournisseurs de services "cloud" afin d’évaluer le niveau de sécurité de leurs services.
Prenons-nous au jeu des questions :
Ségrégation des systèmes
- Comment sont séparées mes applications/systèmes vis-à-vis de ceux d’autres clients ?
- Est-il possible de demander à ce que mes systèmes soient sur des systèmes distincts de ceux d’autres clients ?
- …
Sécurité des données
- Comment sont séparées mes données vis-à-vis de celles d’autres clients ?
- Où sont stockées mes données ?
- Comment assurez-vous l’intégrité de mes données ?
- Mes données stockées sont-elles cryptées ?
- Quels sont les contrôles d’accès à mes données ?
- …
Transfert des données
- Par quels moyens est-ce que j’envoie mes données sur vos plateformes ? Quelles sont les mesures de sécurité disponibles ?
- Quelles sont les procédures et systèmes pour m’assurer que je puisse disposer à tout moment de mes données ?
Interconnexion
- Par quels moyens mon réseau interne est-il interconnecté à vos plateformes ?
- Comment assurez-vous que vos plateformes/systèmes ne peuvent pas être un point de rebond entre différents clients ?
- …
Gestion des vulnérabilités
- Quel niveau de visibilité puis-je avoir sur votre programme de suivi des vulnérabilités ?
- Comment organisez-vous le suivi des annonces de nouvelles vulnérabilités ?
- A quelle fréquence effectuez-vous des tests de détection de vulnérabilités ?
- …
Gestion des identités
- Est-il possible d’interfacer vos systèmes avec mon infrastructure IAM (Identity & Access Management) ?
- Si les comptes d’accès de mes utilisateurs sont gérés sur vos systèmes, comment en assurez-vous la sécurité ? Comment sont gérés les mouvements de personnel ?
- …
Disponibilité
- Quel est le niveau de SLA que vous proposez ?
- Quelles mesures mettez-vous en œuvre afin de protéger votre service contre les menaces ou erreurs ?
- Est-ce que vos plateformes sont raccordées via de multiples liens réseaux redondants d’ISP différents (Multi-homing) ?
- Avez-vous des systèmes de protection contre les attaques en DDoS ? Comment fonctionnent-ils ?
- …
Sécurité des applicatifs
Pour les applicatifs que vous mettez à disposition pour la gestion du service (web interfaces appelées "Espace Client") :
- Suivez-vous des principes de développement sécurisés comme ceux de l’OWASP ?
- Quel est votre processus de vérification du niveau de sécurité tout au long du cycle de vie du développement de vos applicatifs développés en interne ?
- Pour les composants packagés livrés ou développés par des tiers, quelles sont vos demandes sécurité d’un point de vue contractuel et en terme de test de qualité sécurité ?
- …
Supervision sécurité et réponse sur incidents
- Comment supervisez-vous la sécurité de votre service ?
- Quels sont les types d’équipements/systèmes utilisés pour la détection d’anomalies/intrusions/tentatives (IDS, Honeypots, …) ?
- Quel est le niveau de compétence/expertise des personnes de votre SOC ?
- Êtes-vous en mesure d’assurer la supervision sécurité de mes systèmes et applications ?
- …
BCP/DRP
- Quels sont vos plans de continuité d’activité et de reprise sur désastre ?
- Leurs objectifs et leur niveau sont-ils effectivement compatibles/homogènes avec nos attentes ?
- Est-il possible d’auditer votre BCP ? Votre DRP ? Ont-ils été audités par une tierce partie de confiance ?
- …
Traçabilité
- Est-il possible d’avoir accès à tous les enregistrements et traces d’accès à nos systèmes, applications et données ?
- Combien de temps conservez-vous ces informations ? Comment en assurez-vous l’intégrité ?
- Est-il possible de les stocker sur des systèmes dédiés et/ou pour une durée précise ?
- …
Juridique/réglementation
- Quelle est la législation/réglementation (LSI, LCEN, CNIL, …) applicable à nos plateformes ?
- Êtes-vous concerné par la réglementation (ARCEP) pour les opérateurs de services de télécommunications ?
- Quels sont les recours possibles (Compensation financière, rupture du contrat avant terme, …) en cas d’incidents de sécurité ou d’incapacité à répondre aux SLA ?
- …
Les points de suspension ont leur importance : Il y a de nombreuses autres questions pour lesquelles des réponses doivent être attendues de la part d’un fournisseur de service "Cloud". A l’inverse, un opérateur de services de type "cloud" en mesure de répondre à celles-ci de façon satisfaisante en retirera bénéfice. Nous pourrons développer ces points dans un futur billet.
Pour conclure
La sécurité des environnements virtualisés ou des services de type "Cloud Computing" va au delà des aspects purement techniques : Que ce soit sur un cloud interne ou dans le cadre d’un service souscrit auprès d’un tiers, une entreprise doit en intégrer les implications et poursuivre sa gestion du risque.
Personnellement, ayant une expérience passée dans le monde des plateformes d’hébergement mutualisées, je trouve que cela reste assez homogène coté sécurité… C’est le coté "’fuzz" du Cloud Computing : Du neuf basé sur du vieux, trop classique. :-)
Ce qui a radicalement changé c’est surtout le niveau de criticité des applications ou systèmes confiés à un tiers : Nous sommes passés de l’hébergement de sites web Internet à des systèmes critiques. La sécurité des environnements de type "cloud" va donc être d’une importance stratégique dans les années à venir.
Jean François AUDENARD
Responsable du développement des services de sécurité,
Orange Business Services
Mettre en avant votre expertise française en matière de services, applications du spatial et de télécommunications
En février 2010, la Mission Economique Ubifrance en Italie mettra en avant l’expertise française en matière de services, applications du spatial et de télécommunications intégrées lors du salon SAT Expo Europe (www.satexpo.it). SAT Expo est un salon international, réunissant des représentants de plus de 10 pays, dont la Chine, l’Inde et la Turquie.
La manifestation réunit les entreprises du secteur spatial et de ses applications dans quatre grands domaines : observation de la Terre, navigation, exploration et transport spatial, télécommunications intégrées. La première édition du salon a eu lieu en 1994 à Vicence. Depuis 2008, le salon se déroule à Rome, autour du pole aérospatial italien de la région du Latium. Lors de la prochaine édition du salon, qui aura lieu du 4 au 6 février, la Mission Economique – UBI- FRANCE en Italie organise un espace France et des rencontres B2B pour des sociétés françaises spécialisées dans les télécommunications intégrées et les applications spatiales. SAT Expo Europe bénéfice du haut patronage du Président de la République italienne et de la collaboration scientifique de l’ESA et de l’ASI.
Une offre au tarif subventionné de 1 500 € HT est proposée pour les sociétés françaises. Pour un complément d’information sur les participants à cette édition je vous invite à consulter visiter le site internet du salon www.satexpo.it et la plaquette. Pour vous inscrire, nous vous demandons de bien vouloir nous retourner par fax (+39 02 48 12 774) ou par e-mail (renato.pela chez ubifrance.fr) le Bulletin de participation disponible ici dûment renseigné, dès que possible (les places sont limitées).
Agenda
Date et Lieu | Evénement | Pour en savoir plus |
21 janvier 2010 Toit de la Grande Arche Paris La Défense |
Quel futur pour l’internet ? Par l’atelier Sécurité de Forum Atena |
|
4 au 6 février 2010 Fiera di Roma |
Salon SAT Expo Europe |
|
14 au 16 avril 2010 Espace Champerret |
Le Salon Européen des Solutions de Téléphonie IP Open Source Asterisk |
|