marketing

Les PME vont investir de plus en plus dans un service Cloud dans les années à venir

D’après une étude de Parallels, les PME françaises vont se tourner de plus en plus vers des services cloud avec un taux de croissance annuel moyen de 19% sur les trois prochaines années.

Le segment des solutions de communication et de collaboration hébergées sera le plus porteur.
Outre le fait que les entreprises ont encore une connaissance limitée des systèmes de messagerie et de PBX hébergés, ce type de service devrait connaitre une forte progression dans les prochaines années (taux de croissance d’environ 30%).

Le modèle IaaS s’imposera sur le marché français des PME et devrait croître de 14% dans les années à venir. En effet, 75% des PME interrogées qui n’utilise pas encore le modèle IaaS, souhaitent y souscrire.

Les PME françaises vont utiliser principalement les services du cloud en investissant dans les applications professionnelles (CRM et stockage en mode SaaS par exemple) et les applications Web (les outils de SEO et d’optimisation mobile).

Depuis le début, les services cloud ont été facilement adoptés sur le marché français et les PME ne cessent d’investir dans ce secteur. Les investissements progresseront encore massivement dans les prochaines années.

Fin de Windows XP : entreprises, attention aux risques encourus

A compter du 8 avril 2014, Microsoft mettra fin au support technique de Windows XP et cessera les mises à jour de sécurité.

Les entreprises sous cet OS doivent être alertées des risques de sécurité qu’ils encourent. Une migration vers une version plus récente de Windows est vivement conseillée.

Les risques pour les utilisateurs de Windows XP sont :

• Risques d’infections et de piratage des postes de travail

• Incompatibilité avec les dernières versions de logiciels et des périphériques récents (imprimante, souris, Smartphone,…)

• Les applications développées pour XP risquent de ne plus fonctionner correctement

A 8 mois de la fin de Windows XP, l’OS est encore très populaire. Avec Windows 7, ce sont les deux OS les plus utilisés dans le monde.

Pour en savoir plus sur Windows 7, cliquez ici

Comment protéger simplement les données des entreprises

L’informatique et Internet ont changé considérablement nos manières de vivre et de travailler. Nous l’utilisons aussi bien dans la vie courante qu’au travail.
Aujourd’hui les entreprises ne peuvent plus se passer de l’informatique et d’Internet et la perte, le vol d’information ou un incident du système informatique peut avoir de lourdes conséquences pour les entreprises (moins de productivité, perte d’argent, de compétitivité…).
C’est pourquoi, il est important de mettre en place des protections pour les informations confidentielles, les données et le réseau informatique.
Les causes d’incidents peuvent être multiples. Cela peut provenir d’erreurs humaines, d’acte de malveillance, mais les agressions externes sont les plus fréquentes.
Pour éviter ce problème, les dirigeants doivent mettre en place une politique de sécurité opérationnelle comprise par tous. Les mesures minimum que les entreprises peuvent mettre en place sont des règles d’hygiène informatique simple, permettant de protéger leurs informations.
Selon l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), il existe 40 règles d’hygiène informatique incontournable, permettant de garantir la compétitivité et la pérennité des entreprises.

 

I. Connaître le système d’information et ses utilisateurs

Afin d’avoir son système informatique sécurisé, il est important de faire l’inventaire de tous les équipements se connectant dessus.

Règle 1 : Disposer d’une cartographie précise de l’installation informatique et la maintenir à jour. Un inventaire du système informatique permet de n’oublier aucun équipement et de réagir rapidement en cas d’incident. Elle doit faire l’objet d’une liste des ressources matérielles et logicielles déployé sur les postes et une identification de l’architecture réseau. Cet inventaire doit être mis à jour régulièrement, enrichi et stocké dans un lieu autre que sur le réseau.

Règle 2 : Disposer d’une liste des utilisateurs ayant des accès privilégiés (un compte administrateur sur le système informatique, un accès aux répertoires de travail des dirigeants, un accès aux messageries des autres utilisateurs, etc.).

Règle 3 : Gérer les procédures d’arrivée et de départ des utilisateurs
Il est important d’attribuer des droits à une personne lors de son arrivée mais il faut les révoquer lors de son départ pour éviter des incidents ou des fuites d’informations.

II. Maîtriser le réseau

Règle 4: Limiter les accès de l’entreprise à Internet au strict nécessaire pour pouvoir facilement centraliser et rendre homogène la surveillance des échanges.

Règle 5 : Inciter les utilisateurs à ne pas connecter leurs équipements personnels au système informatique de l’entreprise. En effet, beaucoup d’équipements personnels sont infectés par des virus ou des attaques car ce sont les utilisateurs qui décident du niveau de sécurité pour les équipements. Il faut donc inciter le personnel à ne pas utiliser les équipements personnels sur les systèmes informatique (par le moyen d’une charte d’utilisation par exemple) car ils contiennent des données sensibles et confidentielles.
Pour les collaborateurs travaillant à distance, l’entreprise doit mettre à disposition des moyens professionnels pour permettre de tels usages (ordinateur professionnel, connexion à distance, etc.).

III. Mettre à niveau les logiciels

Beaucoup de logiciels sont vulnérables et il suffit de quelques heures pour qu’un logiciel soit infecté par un virus ou une attaque malveillante. Il faut donc utiliser en priorité des technologies pérennes et qui sont maîtrisés en interne.

Règle 6 : Déterminer les modalités de mises à jour des composants logiciels et inventorier les vulnérabilités qu’il peut y avoir sur ces logiciels pour effectuer les mises à jour.

Règle 7 : Définir une politique de mise à jour et l’appliquer (mise à jour d’éléments, responsabilité des différents acteurs appliquant les mises à jour, les moyens de récupérer et de qualifier les mises à jour). Les mises à jour doivent être effectuées sur l’ensemble des composants et des postes du système informatique.

 

IV. Authentifier l’utilisateur

Règle 8 : Identifier les utilisateurs ayant un accès au système par un compte nominatif
Il est préférable d’attribuer des comptes nominatifs ou par services, plutôt que des comptes à accès générique et anonyme.

Règle 9 : Définir des règles de choix et du nombre de caractère d’un mot de passe
Pour limiter les risques, il convient de sensibiliser les utilisateurs sur le choix du mot de passe qui ne doit pas se deviner trop facilement et qui ne doit pas être le même sur des adresses emails personnels.

Règle 10 : Mettre en place des moyens techniques permettant de faire respecter la politique d’authentification et de mot de passe en bloquant par exemple des comptes à une période si le mot de passe n’a pas été changé.

Règle 11 : Ne pas garder des mots de passe en clair sur des fichiers stockés sur les postes informatique.

Règle 12 : Renouveler systématiquement les mots de passe et certificats par défaut car ils sont connus des attaquants.

Règle 13 : Privilégier une authentification forte par carte à puce, nécessitant un code PIN.

 

V. Sécuriser les équipements terminaux

Le poste client est le moyen le plus simple pour entrer sur un réseau car il est souvent moins bien sécurisé et supervisé qu’un serveur.

Règle 14 : Mettre en place un niveau de sécurité homogène sur l’ensemble du parc informatique.
Voici quelques règles à suivre :
– Désactiver les services inutiles;
– Mettre en place un pare-feu personnel sur chaque poste client permettant de bloquer les connexions entrantes non souhaitées;
– Ajouter des composants optionnel de sécurité (sur serveur ou poste Linux par exemple);
– Configurer le plus finement possible les clients de réception de courriels, les navigateurs, les suites bureautiques, etc.

Règle 15 : Essayer d’interdire techniquement la connexion des supports amovibles sauf si cela est nécessaire
Les supports amovibles permettent la propagation de virus et d’exfiltration des données. Il faut donc en limiter l’usage pour minimiser les risques.

Règle 16 : Utiliser un outil de gestion de parc informatique pour déployer des politiques de sécurité et les mises à jour sur les équipements.

Règle 17 : Sécuriser les terminaux nomades au même niveau au moins que sur les postes fixes.

Règle 18 : Inciter les utilisateurs à ne pas se connecter à distance sur les postes fixes quand cela est possible.

Règle 19 : Chiffrer les données sensibles, en particulier sur les équipements nomades ou mobiles.
En cas de perte ou de vol d’un appareil mobile ou nomade, les données peuvent être compromises même si le terminal est éteint. Le chiffrement peut être réalisé sur l’ensemble du système, sur un sous-ensemble du système ou sur les fichiers les plus sensibles.

VI. Sécuriser l’intérieur du réseau

Malgré la nécessité des pare-feux et autres moyens de sécurité externes, cela ne suffit pas à sécuriser le réseau interne. De plus, les services d’annuaires (Active Directory, LDAP) permettant d’attribuer des droits aux utilisateurs, sont souvent la cible d’attaque. Il faut donc vérifier fréquemment la configuration des annuaires.

Règle 20 : Vérifier régulièrement la configuration de l’annuaire central pour les droits d’accès.

Règle 21 : Mettre en place des réseaux cloisonnés et créer un sous-réseau pour les postes ou serveurs contenant des informations critiques.

Règle 22 : Segmenter et cloisonner l’architecture réseau WIFI du reste du système d’information pour limiter les intrusions depuis la voie radio.
Si votre entreprise utilise le WIFI, il est important de tracer les accès et de restreindre les échanges aux seuls flux nécessaires.

Règle 23 : Utiliser des applications métier et des protocoles sécurisés (SSH, SFTP, HTTPS, Etc.)

 

VII. Protéger le réseau interne d’Internet

Bien qu’il y ait des attaques d’origine interne, la plupart des attaques proviennent d’Internet suite à une connexion sur un site infecté. Il faut donc mettre en place des mesures spécifiques.

Règle 24 : Sécuriser les passerelles d’interconnexion (DMZ, réseau interne) avec Internet.

Règle 25 : Vérifier et sécuriser les équipements du réseau comportant des interfaces d’administration depuis Internet (via un serveur Web par exemple).

 

VIII. Surveiller les systèmes

Règle 26 : Définir les objectifs de la supervision des systèmes et des réseaux et générer des alertes sur certaines actions (connexion d’un utilisateur hors de ses horaires de travail, tentative de connexion sur un service ou un compte inactif, etc.).

Règle 27 : Définir des procédures d’analyses journalisés sur des événements (par exemple, analyser la liste d’accès au compte de messagerie de l’entreprise, analyser des accès aux machines, etc.).

IX. Sécuriser l’administration du réseau

Règle 28 : Interdire ou déconseiller tout accès à Internet depuis les comptes d’administration, en particulier sur les machines des administrateurs du système.
Une des solutions serait d’équiper les administrateurs de deux postes distincts.

Règle 29 : Cloisonner si possible le réseau d’administration des équipements à celui du réseau des utilisateurs.
Pour cela, les entreprises peuvent choisir de cloisonner physiquement les réseaux, de faire un cloisonnement logique cryptographique ou encore de mettre en place un cloisonnement logique par VLAN. Dans tous les cas, la mise à jour des postes du réseau d’administration est primordiale.

Règle 30 : Ne pas donner aux utilisateurs de privilèges d’administration car cela peut mettre en danger le réseau dans son ensemble.

Règle 31 : Privilégier l’accès à distance au réseau de l’entreprise que depuis des postes de l’entreprise sécurisés, avec une authentification et des paramètres de confidentialité fortes.

X. Contrôler l’accès aux locaux et la sécurité physique

Règle 32 : Utiliser des mécanismes robustes de contrôle d’accès aux locaux.

Règle 33 : Protéger les clés ou les badges permettant l’accès aux locaux (récupérer les accès des employés lorsqu’ils quittent la société, donner les accès aux prestataires extérieurs que sous conditions, etc.) et les codes d’alarme (changer fréquemment les codes de l’entreprise).

Règle 34 : Ne pas laisser, dans la mesure du possible, de prises d’accès au réseau interne, accessible dans les lieux publics (salle d’attente, couloir, etc.).

Règle 35 : Définir des règles d’utilisation des imprimantes et des photocopieuses (par exemple, détruire en fin de journée des documents oubliés sur l’imprimante).

XI. Réfléchir aux moyens à mettre en oeuvre en cas d’incident

Lorsqu’une entreprise découvre un équipement infecté par un virus ou autre, il est nécessaire de réfléchir aux moyens que l’entreprise va mettre en place sans prendre des mesures dans l’urgence qui pourrait être dangereuse.

Règle 36 : Disposer d’un plan de reprise et de continuité d’activité informatique rédigé, décrivant comment sauvegarder les données sensibles de l’entreprise.
Il est préférable de sauvegarder les données périodiquement, de manière automatique et de les stocker dans un endroit distinct de celui où se trouvent les serveurs.

Règle 37 : Désigner un référent qu’il faudra joindre en cas d’incident, et communiquer son nom aux utilisateurs pour qu’ils sachent à qui s’adresser.

Règle 38 : Connaître le périmètre réel de l’infection avant de traiter l’infection d’un équipement.
Il est important pour l’entreprise de voir dans quelles mesures l’infection s’est propagée avant de vouloir traiter l’incident. Pour cela, des mesures peuvent être mise en place :
– Isoler les équipements infectés du réseau;
– Faire des copies des mémoires et des disques durs des machines infectées pour pouvoir connaître l’identité de l’infection;
– Réinstaller intégralement la machine après copie des disques si elle doit être remise en production.

XII. Sensibiliser

Règle 39 : Sensibiliser les utilisateurs aux règles d’hygiène informatique
Il est important que les entreprises sensibilisent les utilisateurs par le moyen d’une charte d’usage car ce sont principalement sur eux que repose la sécurité des données et des informations.

 

XIII. Faire auditer la sécurité

Règle 40 : Faire réaliser des audits de sécurité (idéalement tous les ans).
L’audit est le seul moyen efficace de constater si les procédures mises en œuvre dans l’entreprise sont efficaces ou non. L’audit devra être associé à un plan d’action que l’entreprise devra suivre scrupuleusement.

 

Voir nos autres articles :
– Tendances IT de 2013
– Le travail collaboratif et le nomadisme

 

Les dépenses IT de 2013

Aastra, acteur majeur du marché des communications d’entreprises, a réalisé une étude en début d’année auprès des responsables informatiques sur leurs dépenses IT de 2013.

A cause du contexte économique, on constate que les entreprises de 100 à 500 salariés vont globalement stabiliser ou réduire leurs dépenses IT en 2013. Mais cette réduction ne s’appliquera peut-être pas sur toute l’année car les entreprises vont réajuster les dépenses en fin d’année en fonction des résultats de l’entreprise.

La diminution sur les dépenses IT touche surtout les domaines de l’infrastructure et de l’innovation, et plus particulièrement dans le secteur public.
Malgré le souhait de réduire les dépenses IT, le domaine dans lequel les entreprises vont le plus investir est la sécurité :

• Stockage, sauvegarde et archivage (et plus particulièrement pour le secteur public)
• Sécurité de l’information et des réseaux (surtout pour le secteur privé)
• Continuité et reprise d’activité (surtout pour le secteur privé)

Les dépenses consacrées à l’infrastructure
Pour les dépenses liées à l’infrastructure, les entreprise de 100 à 500 salariés vont plus investir dans l’achat de serveurs et de postes de travail (achat d’ordinateur de bureau).
En ce qui concerne les dépenses dans le domaine des réseaux & télécoms, la plus forte dépense ira vers la téléphonie sur IP (en particulier pour le secteur public).

Les dépenses consacrées aux applications
Pour les applications, les principales dépenses iront vers l’ERP et les applications verticales (surtout pour le secteur privé).
Il y aura également des projets autour des communications unifiées, notamment dans le partage et la gestion de projet (en particulier pour le secteur public). Les entreprises projettent également de s’équiper en vidéoconférence sur ordinateur et en messagerie unifiées.

Les dépenses consacrées aux services IT
Les entreprises vont principalement investir dans l’intégration de systèmes et le développement, mais également dans la maintenance applicative.

, partenaire d’AURAneXt sur la téléphonie IP

Dossier Mobilité : la mobilité en entreprise

L’informatique mobile est aujourd’hui une réalité dans l’entreprise et elle concerne aussi bien les grandes que les petites entreprises.
Besoin de donner rapidement des informations à un collègue, à un client. Un e-mail à transférer, pendant ou en dehors de vos horaires de travail. Besoin d’accéder rapidement et simplement à une application d’entreprise à des fins professionnelles, etc.
Grâce à la mobilité, les utilisateurs sont plus productifs, mais cela implique un changement d’organisation non négligeable qu’il faut prendre en compte.

BYOD, COPE, CYOD : définitions de ces nouveaux usages
– Vous emmenez votre Smartphone ou tablette au travail pour une utilisation professionnelle ? Alors vous faites partie de la tendance BYOD (« Bring Your Own Device »).
– Vous vous servez de vos outils professionnels pour une utilisation personnelle ? Alors vous faites partie de la tendance COPE (« Corporate Owned Personally Enabled« ).
Cette tendance permet à l’entreprise de mieux maîtriser son SI mobile mais ne laisse pas à l’employer de choix sur les équipements.
Plusieurs stratégies peuvent être mises en place dans l’entreprise. Interdire le BYOD n’est pas recommandé car c’est inéluctable mais le permettre totalement est aussi à proscrire. Il faut trouver le juste milieu.
– La tendance CYOD (« Choose Your Own Device« ) semble être une bonne alternative car elle permet à l’utilisateur de choisir son terminal parmi une liste d’appareil approuvée par son entreprise. L’employé peut bénéficier de support technique, d’outils logiciels et l’entreprise peut contrôler le matériel qui rentre dans sa structure.

Stratégie Mobilité
Une véritable stratégie mobilité doit être mise en place pour accueillir ces nouveaux usages.
A commencer par l’investissement matériel. En effet, le cycle de vie des tablettes, Smartphones sont beaucoup plus court qu’un PC classique (plus fragile, sujet à des vol, etc.). Et il convient pour une entreprise de changer régulièrement ses équipements pour ne pas être « out » face à ses clients, car cela évolue très vite.
Cette stratégie s’applique aussi bien aux grands comptes qu’aux petites entreprises qui n’ont pas forcément de ressources IT et doivent faire appel à un prestataire externe pour les aspects de sécurité et de conseil.

Matériel
On voit apparaitre de plus en plus de tablettes et de Smartphones dédiés pour le BtoB avec des fonctions permettant de séparer le côté professionnel du côté personnel.
Les fabricants proposent donc des produits répondant aux besoins des entreprises :
– Applications professionnelles : application bureautique intégrée
– Accessoires permettant de se rapprocher au maximum d’un usage PC : station d’accueil, clavier physique, souris, port USB, stylet, etc.
– PC hybrides : le PC devient tablette via une rotation de l’écran

Mobile Device Management
Le Mobile Device Management est la capacité à gérer les équipements et à les intégrer dans la politique du SI : droit sur l’équipement, applications autorisées, remise à zéro en cas de vol, géolocalisation, etc.
La mobilité est un signe de productivité pour les entreprises mais elle pose problème en terme de sécurité. En effet, c’est une porte d’accès aux données de l’entreprise, il faut donc repenser son SI en intégrant ces nouveaux usages.
Pour répondre à cette problématique, les éditeurs de logiciels de sécurité développent de plus en plus des applications pour sécuriser les terminaux mobiles.

Opérateurs
Les opérateurs téléphoniques essayent aussi de sortir leur épingle du jeu en faisant appel à des réseaux partenaires pour déployer des prestations de service dans les téléphones :
– Mise en place de pilotage de dépense téléphonique pour les mobiles et sur l’ensemble des terminaux
– Implémentation de solutions dans la carte SIM (fonction de géolocalisation par exemple)
– Support technique, etc.

Applications mobiles
Avec le succès des applications mobiles grand public, les revendeurs développent de plus en plus des applications professionnelles et les App Store privé se généralisent (application généraliste et spécifique au métier de l’entreprise). On en distingue plusieurs :
– Applications semi-professionnelles : messageries, prise de notes, gestion des agendas, etc.
– Applications professionnelles : application sur-mesure en fonction du projet de mobilité de l’entreprise. Exemple : accès à des informations utiles pour les techniciens en déplacement, aide à la vente, etc.
De plus, grâce à la 4G bientôt fonctionnelle, les usages professionnels mobiles devraient se développer (Cloud, virtualisation, vidéoconférence, etc.).

Législation
La mobilité c’est bien, mais qui est responsable en cas de vol d’un terminal ou de perte de données ? L’entreprise ou l’employé ?
Le BYOD est pour le moment très peu encadré au niveau juridique dans l’entreprise alors que les menaces existent : la divulgation de données, la non-conformité des données personnelles et les applications malveillantes.
La rédaction d’une charte informatique prenant en compte ces nouveaux usages est donc impérative pour se couvrir. Elle doit lister les usages autorisés et non-autorisés, les règles de temps de travail des employés, les règles de sécurité, etc. Cette charte devra ensuite être affichée dans l’entreprise et vue par tous les employés.

Les besoins en réseau WIFI augmentent dans les entreprises avec la tendance du BYOD

 

Avec l’essor de la mobilité au travail, du BYOD, les besoins en WLAN augmentent considérablement.

En effet, les salariés sont sans cesse connectés, que ce soit avec des appareils personnels ou professionnels, et il faut savoir que les appareils sans fil émettent en continu, même sans être connectés. Le WLAN devient donc l’accès principal au réseau.

Il est donc important de mettre en place une gestion intelligente des réseaux d’entreprise car dans les années à venir, le trafic des données devrait être multiplié par dix (imprimante sans fil, Smartphone, tablette, système de vidéosurveillance, etc.).

En plus d’accroître la bande passante de l’entreprise, il faudrait avoir des ressources adaptées aux exigences et aux besoins de performance, contrôler la bande passante allouée aux terminaux et aux utilisateurs, fusionner les réseaux filaires et WIFI au niveau du matériel.

Et surtout, il faut sécuriser encore plus les réseaux en mettant par exemple en place des filtres au niveau du réseau, non seulement sur le matériel de l’entreprise, mais également aux appareils personnels des utilisateurs.

Voir notre page WIFI
Voir notre page SECURITE
Voir notre page MOBILITE