Aller au contenu principal

Articles Tagués ‘Législation’

Office 365 – Pour partir dans les nuages, direction la rampe de lancement « OnRamp pour Office 365 »

26 février 2013

Arnaud Alcabez

Office365J’espère que vous serez du même avis que moi, migrer sa plateforme collaborative vers le Cloud Computing, et en particulier vers Microsoft Office 365 avec succès est avant tout une question de préparation. Il est vrai, je vous l’accorde, que si vos utilisateurs et votre direction voient généralement les services en ligne comme une simplification du système d’information, la mise en œuvre d’Office 365 et l’alignement du système d’information pour préparer la migration s’avère être à l’image d’un oignon que vous pelez : à chaque couche découverte, une nouvelle apparaît. Au point qu’elles finissent par vous piquer un peu les yeux, et que souvent, on finit par abandonner, perdu entre les DirSync, les ADFS, les certificats et le PowerShell.

Il y a quelques mois, j’avais publié un billet (http://bit.ly/IJf27z) sur les outils d’alignement et de mitigation du risque que proposait Microsoft pour aider les entreprises via leurs partenaires à migrer vers Office 365. L’outil était complet, mais sa mise en œuvre tellement compliquée que son utilisation en devenait même plus complexe que l’aide pour laquelle il était censé apporté une réponse : Accessible qu’aux partenaires, et non aux clients, utilisant des macros Excel et une base Access à installer séparément, et une ergonomie digne d’un développeur C++ de systèmes embarqués ;-). En bref, vouloir l’utiliser, c’était vraiment ne pas avoir le choix… Constatation navrante, surtout d’un éditeur dont le fond de commerce est désormais celui de commercialiser des services en ligne de qualité tels que Windows Azure, Office 365, Windows Intune ou Dynamic CRM Online.

onramp

Mais c’était sans compter sur la capacité de l’éditeur d’être capable de nous faire un reboot (je parle bien entendu au sens cinématographique et non informatique, mauvaises langues que vous êtes…).

Désormais accessible à tous les utilisateurs, sous la forme d’un service en ligne https://onramp.office365.com, l’outil reprend l’ensemble des fonctionnalités d’OAI-C d’une manière simple et épurée, et dans des codes visuels similaires à ceux du Nouvel Office 365. Cet outil accompagne pas à pas l’entreprise ou son partenaire à calculer l’alignement de l’infrastructure avec l’offre Office 365, et permet de négocier facilement la transformation de ses outils de collaboration vers un modèle online ou hybride.

Ecran

L’outil a été mis en ligne quelques jours avant la disponibilité de la nouvelle version d’Office 365, et peut donc être utilisé dès à présent afin d’évaluer l’opportunité et la charge nécessaire pour migrer sa plateforme collaborative vers le Cloud Computing. Si vous êtes un futur client d’Office 365, vous pourrez même partager les données structurées de l’outil avec les différents partenaires que vous solliciterez, afin que ces derniers puissent affiner leur proposition, ou vous aider à remplir les questions les plus complexes.

Une vidéo de présentation (en anglais uniquement) intitulée « OnRamp.Office 365 – Planning and simplifying your organizations sign-up process » a même été postée sur YouTube, qui vous permettra rapidement de prendre en main l’outil. Vous pouvez la consulter ici : http://bit.ly/ZFMLqp

Bref, la rampe est posée et le lancement d’Office 365 pour les entreprises est prévu le 27 février 2013. Vous pouvez d’ailleurs assister au lancement public ou le revoir à cet emplacement : http://bit.ly/ajF8Q1

Alors, 5… 4… 3… 2… 1… Bon voyage dans le cloud…

(pour Cloud Magazine, Février 2013)

Publicités

Stratégies – Un grand pouvoir implique de grandes responsabilités

27 novembre 2012

Arnaud Alcabez

« La responsabilité est le devoir de répondre de ses actes, toutes circonstances et conséquences comprises, c’est-à-dire d’en assumer l’énonciation, l’effectuation, et par suite la réparation voire la sanction lorsque l’obtenu n’est pas l’attendu. »

Selon Nelly Fesseau (Terra Nova), le poids du numérique dans l’économie est de 6% en France et de 13% aux Etats-Unis, et celui-ci ne fait qu’augmenter au fil des années, avec l’Internet, le Cloud Computing, les téléphones mobiles et les technologies de géolocalisation.

L’émergence de ces technologies a favorisé la puissance de « World companies » telles que Google, Facebook, Apple, Amazon, Twitter, Microsoft, etc. Comme le dit la citation apocryphe « Un grand pouvoir implique de grandes responsabilités », or ces entreprises ont encore fort à faire en matière de responsabilité dans un grand nombre de domaines.

Sur la photo du diner du 17 février 2011 dans la Silicon Valley, en partant de Barack Obama, Président des Etats-Unis d’Amérique, dans le sens des aiguilles d’une montre : Steve Jobs, CEO d’Apple; Steve Westly, Partenaire, Westly Group; Ann Doerr, épouse de John Doerr; Eric Schmidt, CEO de Google; Art Levinson, Président de Genentech; John Chambers, CEO de Cisco; John Doerr, Partenaire, Kleiner Perkins; Larry Ellison, CEO d’Oracle; Reed Hastings, CEO de Netflix; John Hennessy, Président, Université de Standford; Carol Bartz, CEO de Yahoo!; Nick Costolo, CEO de Twitter; Valerie Jarrett, conseillère senior à la Maison Blanche; Mark Zuckerberg, CEO de Facebook.

Réduire l’empreinte carbone et sélectionner les meilleures sources pour le mix énergétique

S’il est évident qu’un centre de données hébergeant les infrastructures de 300 entreprises vaux mieux que si chaque entreprise disposait de ses propres ressources, les grands fournisseurs ont désormais la taille critique dans leurs différents pays pour être des modèles et des locomotives pour pousser les énergies renouvelables et l’utilisation des smart grids d’un bout à l’autre du réseau de distribution. C’est en bonne voie, même si on revient de loin : Hier en 2008 et 2009, le datacenter de Santa Clara (Californie) de Microsoft a été listé parmi les plus gros pollueurs de la Baie de San Francisco car il utilisait un générateur diesel. Depuis février 2010, Google Energy LLC est une société de Google autorisée par la FERC (Federal Energy Regulatory Commission) à produire, acheter et revendre des énergies non polluantes et renouvelables sur le réseau électrique américain.

Lectures :

http://www.apcmedia.com/salestools/DBOY-7EVHLH_R0_FR.pdf
http://images.wordlesstech.com/wp-content/uploads/2012/11/The-Cost-of-Powering-the-Internet-2.jpg
http://www.slate.fr/lien/65387/cout-energetique-internet-centrales-nucleaires
http://www.greenwavereality.com/
http://www.journaldunet.com/solutions/expert/52822/des-data-centers-pour-reduire-sa-facture-energetique.shtml
http://docs.zigbee.org/zigbee-docs/dcn/11-5355.pdf

Smartphones et tablettes : Entre le financement des guerres pour le coltan et la pollution des sols par métaux lourds

Pour réaliser certains composants électroniques utilisés dans la fabrication des téléphones portables, des ordinateurs, des caméras vidéos mais aussi des systèmes hautement spécialisés comme les satellites et les réacteurs, on utilise un minerai plutôt rare et précieux (ce qui lui vaut le nom d’or gris) : le coltan. Pour certains de ces produits technologiques il n’existe pas d’alternative au tantale extrait du coltan, en particulier pour les appareils de communication sans fil. L’Afrique, à elle seule, posséderait 80 % de ce minerai, réparti notamment dans la zone des grands lacs (les deux Congo et la frontière avec le Rwanda) d’où est issue plus de ¾ des réserves africaines. Alors que ce minerai aurait pu permettre aux pays africains producteurs de peser sur les marchés parmi les plus stratégiques et juteux de planète et de disposer d’une source de revenus importante pour leurs économies, ce minerai sème plus de désolation que de valeur ajoutée économique et sociale. Le coltan est au cœur d’un conflit en RDC qui a fait déjà 5 millions de morts, et où les exportations échappent au contrôle des états, les sociétés traitant directement avec les groupes ayant accès au précieux minerai.

Mais à l’autre bout de la chaine, ce n’est guère mieux. Une grande partie des téléphones usagés finissent dans des décharges ou sont exportés vers des sites de recyclage informel en Asie. Ces produits chimiques, qui entraînent des malformations congénitales, des difficultés d’apprentissage et d’autres graves problèmes de santé, ont été retrouvés dans le sol à des niveaux dix à cent fois supérieurs à la normale sur des sites de recyclage en Chine. Ainsi, les entreprises telles que Apple, Samsung, LG, HTC, en mettant sur le marché de plus en plus rapidement de nouvelles versions de leurs produits ne font qu’accélérer le processus.

Lorsque dans plusieurs années, on sera en mesure de juger les désastres écologiques et humains, ces entreprises pourront-elles dire « nous ne savions pas ? ». Aujourd’hui, toutes ferment les yeux, alors qu’elles devraient se soucier de mettre en œuvre un cycle vertueux, allant de l’extraction de leurs matières premières au recyclage de leurs produits frappés d’obsolescence commerciale. Malheureusement, nous sommes au point zéro, et seules des ONG et certains mouvements comme les Anonymous tentent d’avertir le public pendant que ces sociétés multimilliardaires continuent à engranger les profits en toute impunité.

Lectures :

http://observers.france24.com/fr/content/20081112-coltan-minerai-sang-congo
http://www.lemonde.fr/planete/article/2012/10/05/du-poison-dans-mon-smartphone_1770564_3244.html
http://www.planetoscope.com/electronique/305-nombre-de-telephones-mobiles-jetes-dans-le-monde.html

Vers un comité international d’éthique pour la recherche informatique

Enfin pour terminer, il y aurait fort à faire à créer un grand comité mondial d’éthique en informatique, à l’instar de ce qui a pu se faire concernant la génétique. La frontière entre une informatique dont le but est de servir les hommes et une informatique dont l’objectif est de mieux les asservir devient de plus en plus ténue.

Entre des armes autonomes (drones et autres robots) pouvant tuer sur la base d’un algorithme et qui n’ont d’ailleurs aucun statut juridique au sens où elles n’existaient pas lors de la ratification des différents traités, à la présomption de crimes, où à la vente et l’utilisation des dernières technologies dans des pays ne respectant ni les droits de l’homme, ni ceux des femmes, du moins, du point de vue de notre monde occidental, le monde a besoin de garde-fous.

En fait, ce n’est pas parce qu’une chose est possible qu’elle est permise ou non-interdite. De même, ce n’est pas parce qu’une chose est légale qu’elle est morale ou déontologique. Ce sera certainement le chantier le plus difficile, étant donné les rapports complexes entre l’Ethique, la Morale, la Déontologie, le Droit et la Loi.

En tout cas, c’est à mon sens une question qui va réellement se poser d’ici quelques années, et en revoyant les photos du diner du 17 février 2011, je me disais que lever sa coupe de champagne était peut-être un peu prématuré…

Lectures :

http://www.rue89.com/2012/11/23/un-terminator-operationnel-dici-vingt-ans-les-ong-salarment-237239
http://www.france24.com/fr/20121123-sms-arabie-saoudite-femme-alerte-sortie-pays-pistage-mari-tuteur-technologie-polemique
http://betanews.com/2012/08/09/microsoft-and-nypd-make-new-precrime-tool-hopes-you-wont-get-a-red-ball/
http://www.vatican.va/roman_curia/pontifical_councils/pccs/documents/rc_pc_pccs_doc_20020228_ethics-internet_fr.html


(Pour IT Magazine, Janvier 2013)

Cloud Computing – De l’artisanat de 2012 à la révolution industrielle de 2016

26 novembre 2012

Arnaud Alcabez

Surfant sur le Cloud Computing, il ne se passe pas un jour sans qu’une nouvelle entreprise annonce la création d’un datacenter et se lance dans la commercialisation de services en ligne. Toutefois, à court terme, peu d’entre elles seront à même de continuer leur activité au regard des normalisations et réglementations qui vont voir le jour entre 2013 et 2016. Je vous propose dans cet article de passer en revue ce qui nous attend dans les années à venir…

La Commission Européenne a défini fin 2008 un code de bonne conduite énergétique pour les centres de données, l’ »EU Code of Conduct for Data Centres ». Le statut « Corporate » est délivré aux centres de données qui ont démontré que l’ensemble de leurs sites répondait aux exigences énergétiques les plus strictes édictées par ce code de bonne conduite révisé chaque année. Le code de bonne conduite version 2012 est disponible ici. Le Power Usage Effectivness (PUE), ainsi que les métriques ITTE et ITEU devraient d’ailleurs très prochainement devenir une norme ISO, avec les travaux initiés par The Green Grid au travers d’un groupe de travail nommé JTC1. The Green Grid espère arriver à une normalisation ISO en 2013.

Parallèlement, les travaux concernant la sécurité du Cloud Computing (ISO 27017 – Information Technology — Security techniques — Security in cloud computing, et ISO 27018 – Information Technology — Security techniques — Code of practice for data protection controls for public cloud computing services) devraient également aboutir d’ici 2013.

Le Cloud Computing disposera bientôt de sa propre norme internationale. L’ISO (International Organization for Standardization) travaille actuellement sur ce projet qui devrait déboucher sur la publication d’une norme Cloud entre 2014 et 2016. En France, cette normalisation est gérée par l’Afnor. Portée avec force par la Chine et la Corée du Sud, candidates pour héberger les données et les applications de la planète, la normalisation ISO du Cloud Computing est étroitement mais diplomatiquement surveillée par les grands acteurs du logiciel et du matériel.

De notre côté, le cadre européen de la protection des données personnelles, mis en place par une directive de 1995 (directive n°95/46/CE) est considéré comme obsolète, du fait des évolutions technologiques et de l’émergence des nouveaux usages.

Le 25 janvier 2012, la Commission Européenne a rendu publique sa proposition globale fixant un nouveau cadre législatif à la protection des données au sein de l’Union Européenne. Le choix de la Commission Européenne en faveur d’un nouveau règlement pour fixer le nouveau cadre général résulte du constat que les disparités des lois nationales ayant transposé la directive de 1995 étaient sources de confusion et d’insécurité juridique tant pour les personnes physiques dont les données personnelles sont traitées que pour les organisations mettant en œuvre les traitements.

Ainsi, le nouveau projet de règlement vise à renforcer et réformer le cadre de la protection des données personnelles en Europe sur trois axes :

  • Protection renforcée des données personnelles des particuliers,
  • Réduction des obligations administratives des entreprises,
  • La libre circulation des données personnelles, en Europe.

En simplifiant les formalités administratives pour les entreprises, la Commission Européenne soumettra ces dernières à des obligations accrues en termes de transparence et de traçabilité des données.

La Commission Européenne propose donc un cadre adapté aux évolutions technologiques et à l’émergence des nouveaux usages, qui protège les personnes (droit fondamental) et les données (droit d’application).

Elle reste toutefois une politique se distinguant de celle des Etats-Unis où l’important n’est pas tant de protéger les données, mais en premier lieu de savoir à qui elles appartiennent, car à quoi sert de définir des lois sur la protection ou la libre circulation des données personnelles, si on n’a pas d’abord tranché sur ce que veut dire « personnel » ?

Politique de « Privacy by design »

Les mesures actuelles de protection de la vie privée sont des mesures « réactives », c’est-à-dire que l’on attend qu’une atteinte à la vie privée ait lieu pour agir. En conséquence, on intervient en aval au lieu d’intervenir en amont pour prévenir l’atteint. Le concept de « Privacy by design » consiste à concevoir des produits et des services en prenant en compte dès leur conception les aspects liés à la protection de la vie privée et des données à caractère personnel. Il implique également le respect de ces valeurs tout au long du cycle de vie du produit ou du service concerné.

Binding Corporate Rules for Processors

Les Binding Corporate Rules (BCR) constituent un code de conduite, définissant la politique d’une entreprise en matière de transferts de données. Les BCR permettent d’offrir une protection adéquate aux données transférées depuis l’Union européenne vers des pays tiers à l’Union européenne au sein d’une même entreprise ou d’un même groupe.

Mise à charge du responsable du traitement : l’étude d’impact obligatoire en amont du processus de collecte

L’analyse d’impact est un ensemble de documents à produire lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles. Cette obligation s’impose dès lors que les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc., mais aussi lorsque le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, le comportement. Cette analyse d’impact devra contenir une description générale du traitement envisagé pour ces données, une évaluation des risques pour les droits et les libertés des personnes concernées, et les mesures qui seront mises en œuvre pour assurer la protection des données collectées. Enfin, les personnes concernées par ce traitement ou leur représentant devront être consultés pour afin avant le début de la collecte et l’évaluation préalable effectuée devra être accessible au public.

Droit à l’oubli et droit à la portabilité des données

Le « droit à l’oubli », permet aux utilisateurs de demander l’effacement des renseignements les concernant et un « droit à la portabilité des données », leur donne la possibilité de transférer leurs données personnelles d’une entreprise à une autre.

De la coresponsabilité du traitement entre le client et son fournisseur, et de transparence et de traçabilité des données personnelles

Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement. Cette coresponsabilité est liée à la notion d’accountability. Elle consiste à imposer au responsable des traitements une obligation de transparence et de traçabilité des données personnelles.

Désignation obligatoire d’un Correspondant Informatique et Libertés et changement de rôle

Jusqu’à aujourd’hui, le Correspondant Informatique et Libertés (ou CIL) a un rôle consultatif. Celui-ci est chargé d’assurer, d’une manière indépendante, l’application interne des dispositions nationales et de tenir un registre des traitements garantissant de la sorte que les traitements ne sont pas susceptibles de porter atteinte aux droits et libertés des personnes concernées. Il agit en tant qu’expert de la protection des données dans sa mission de régulation et de conseil. Ainsi, il est non seulement chargé de veiller à ce que son employeur respecte ses engagements en matière de conservation des données personnelles, mais, au-delà, il peut le conseiller sur la meilleure façon de suivre la réglementation et les recommandations de la CNIL.

Rendu obligatoire pour les entreprises de plus de 250 personnes, son rôle devient responsable de la bonne exécution des traitements. Il aura en charge :

  • D’informer et de conseiller sur les obligations du responsable de traitement et du sous-traitant découlant du règlement,
  • De conserver une trace documentaire de cette activité et des réponses reçues,
  • De contrôler la mise en œuvre et l’application des règles internes en matière de protection des données,
  • De répartir les responsabilités, la formation du personnel, les audits,
  • De contrôler la mise en œuvre du règlement,
  • De veiller à ce que la documentation soit tenue à jour,
  • De contrôler la documentation, la notification, et la communication en cas de violation de données à caractère personnel,
  • De vérifier que l’analyse d’impact a bien été réalisée,
  • De vérifier qu’il a été répondu aux demandes de l’autorité de contrôle,
  • D’être le point de contact pour l’autorité de contrôle.

Ainsi la fonction du CIL prend une responsabilité civile et potentiellement pénale. Il est donc conseillé de faire évoluer ce rôle afin qu’il ne soit plus confié à un seul individu, mais à une personne morale, pouvant par exemple l’organisme de contrôle interne de l’entreprise ou un cabinet d’audit. Oui, oui, vous avez bien lu, le CIL sera coupable s’il ne dénonce pas son patron en cas de non-respect de la protection des données personnelles, ce qui risque de rendre sa position relativement inconfortable s’il est rattaché directement à la direction des systèmes d’information.

Quel sera le nombre de fournisseurs qui arriveront à survivre à cette standardisation sans rompre leur modèle économique ? En tout cas, cela aura sans doute pour effet de consolider le marché, les entreprises les plus solides absorbant les plus faibles économiquement qui n’auront pas les moyens de se lancer dans une nouvelle phase de transformation et de normalisation de leurs centres de données.

J’en profite pour remercier le cabinet Alain Bensoussan pour leurs petits déjeuners débats, et plus particulièrement de celui du 21 novembre 2012 sur le thème « Anticiper l’adoption du nouveau règlement européen sur la protection des données personnelles », qui m’a permis de réaliser cet article.

A lire :

Proposition de la Commission Européenne relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) : http://www.senat.fr/europe/textes_europeens/e7055.pdf

(Pour Cloud Magazine, Décembre 2012)

Stratégies – Le cloud au service de Sa Majesté

3 octobre 2012

Arnaud Alcabez

Ce mois, j’avais décidé de commenter le « Cloud à la française », mais il suffit d’aller voir le contenu de leurs sites ou leurs pages Facebook respectives (ici et ici) pour se rendre compte que… Ah non, j’l’ai déjà dit le mois dernier… Je me répète.

Le 2 octobre 2012, la conférence de presse organisée par Cloudwatt et dont l’introduction a été conduite par Mme la Ministre déléguée et chargée des petites et moyennes entreprises, de l’innovation et de l’économie numérique n’a pas vraiment convaincu les journalistes qui y étaient invités. Malgré les (très grandes ?) ambitions affichées dans la presse, aucune feuille de route concrète n’a été encore présentée. Cette stratégie de communication balbutiante semble au moins avoir réussi un objectif : Celui de provoquer une certaine colère des opérateurs de services existants, qui voient en Numergy et en Cloudwatt une concurrence déloyale.

En attendant que cela avance en France, je vous propose ce mois de découvrir que nos voisins anglais ont quelques longueurs d’avance, avec CloudStore. Lancé le 19 février 2012, le CloudStore est un magasin applicatif soutenu financièrement par le gouvernement britannique. Ce service en ligne est issu de l’offre de services G-Cloud destinée à ses administrations, et recense à ce jour plus de 257 sociétés fournissant plus de 1.700 applications et services en ligne (PaaS, IaaS, SaaS et prestations de conseils). Plus de la moitié des entreprises référencées sont des PME.

CloudStore est un magasin d’applications, validées et sécurisées, hébergées sur G-Cloud. Il a été développé sur la base de Microsoft Windows Azure par la société SolidSoft et se trouve hébergé sur les centres de données de la société Memset. La sécurité en a été confiée à SCC, au travers d’appels d’offres clairs et objectifs. Il y a bien entendu des positions parfois divergentes, il suffit d’aller voir le blog de Kate Craig-Wood, co-fondatrice de Memset pour s’en rendre compte, mais elles sont souvent réglées par le pragmatisme et la cohésion si caractéristiques de nos voisins d’Outre-Manche.

CloudStore a déjà eu un résultat très positif pour ses investisseurs. En remettant à plat les accords passés avec les grandes sociétés de services historiques avec lesquelles travaillaient les entreprises du secteur public, de nombreux prestataires ont dû réajuster leurs offres de services pour être référencées dans le catalogue CloudStore.

Certes, contrairement à la prise de conscience de notre gouvernement, le projet G-Cloud n’a pas démarré hier, et de nombreux documents ont été mis à la disposition du public pour plus de transparence. Par exemple, les livrables de la phase 2 (déroulée entre octobre 2009 et avril 2010) peuvent être téléchargés sur Internet. En janvier 2012, le CloudStore est entré en phase beta, et le gouvernement a passé un contrat de plus de 500 millions de livres sterling avec 30 fournisseurs pour le matériel et les logiciels pour le soutenir et l’opérer pendant deux ans, avec une option d’extension pour un an supplémentaire.

  1. G-Cloud Vision
  2. G-Cloud Commercial Strategy
  3. G-Cloud Strategic Outline Business Case
  4. G-Cloud Implementation Strategy
  5. G-Cloud Information Assurance Report
  6. G-Cloud Service Management, Organisational Structure and Governance
  7. G-Cloud Service Specification
  8. G-Cloud Technical Architecture
  9. G-Cloud Founding Principles

Pour IT Pro, Octobre 2012

Storage-as-a-Service : Des entreprises souvent démunies face à une demande croissante des utilisateurs (2ème partie)

27 juin 2012

Arnaud Alcabez

Pour donner suite à l’article « Storage-as-a-Service : Des entreprises souvent démunies face à une demande croissante des utilisateurs » ; voici les résultats d’une enquête intéressante réalisée par Symantec, en Novembre 2011. Elle a été conduite auprès de 1.325 décideurs dans le monde, pour le segment de marché des entreprises de 5 à 500 employés.

74% des répondants ont reconnu utiliser une solution de partage de fichiers en ligne pour augmenter leur productivité entre employés. 61% des employés ont répondu être très influencés dans leur choix interne d’outil en fonction de l’utilisation sur des périphériques mobiles (63%), sur des PC/Portables/Tablettes (64%), et sur une utilisation via des réseaux sociaux (53%).

La plupart des sondés reconnaissent le risque potentiel du partage de fichiers avec une faible administration qu’ils peuvent rapporter au sein de leur entreprise. Les risques de sécurité cités sont : Partager une information confidentielle avec des solutions inappropriées (44%), introduction de malware dans l’entreprise (44%), perte de la confidentialité ou de la propriété de l’information (43%), brèche dans la confidentialité de l’information (41%), inquiétude ou dommage causé à la réputation de l’entreprise ou de la marque (37%), violation des règles de conformité (34%). Ils sont également 22% à indiquer que le manque de politiques de restrictions sur le partage de fichiers au sein de l’entreprise accentue le risque de diffusion des informations sensibles.

Lorsqu’on demande au salarié comment ferait-il pour partager un gros fichier entre certains collaborateurs, 51% répondent qu’ils poseraient la question à leur service IT, 42% utiliseraient une solution conseillée par leur client ou partenaire, 33% utiliseraient les systèmes en place, et 27% rechercheraient une solution gratuite via un moteur de recherche sur Internet.

La taille des fichiers partagés ne cesse d’augmenter. Ainsi, à aujourd’hui un répondant sur sept (14%) indique que la taille moyenne des fichiers partagés depuis leur organisation fait environ 1 Go, alors qu’il y a trois ans, ils n’étaient que 6%.

De plus en plus souvent, les collaborateurs travaillent à distance de leur entreprise. Ainsi, les PME/PMI pensant que d’ici un an, elles seront 37% à travailler en mode distant (32% à l’heure actuelle), ce qui représente une hausse de +22% en 3 ans. 32% disposeront de collaborateurs travaillant depuis leur domicile dans un an (28% à l’heure actuelle), ce qui représente une hausse de +20% par rapport à il y a trois ans.

Source : Symantec

L’audit préventif de sécurité mobile ou comment éviter de se retrouver à la une des journaux économiques et grand public en 2012…

20 avril 2012

Arnaud Alcabez

La CNIL a adopté le 29 mars son programme annuel des contrôles pour l’année 2012. Elle a décidé d’effectuer 450 contrôles sur des thèmes essentiels en termes de protection de la vie privée : Smartphone, sécurité des données de santé, failles de sécurité, fichiers de police, fichiers de la vie courante. La CNIL a fixé son programme des contrôles pour l’année 2012. Ce programme est résolument ambitieux et est tourné, tant vers les problématiques traditionnelles (fichiers de police, fichiers du quotidien), que vers des thèmes jugés innovants (smartphone, failles de sécurité, sécurité des données de santé). La sécurité des données constitue un élément central de l’ensemble de ces contrôles.

Ainsi, la CNIL effectuera, dans le prolongement de son activité de l’année 2011, au moins 150 contrôles sur des dispositifs dits de  » vidéoprotection « . Ces contrôles porteront notamment sur des dispositifs dont l’ampleur est notoire, les communes utilisant la  » vidéoverbalisation  » ou les établissements recevant un nombre très important de personnes.

Concernant l’application de la loi « Informatique et Libertés », la CNIL a choisi d’axer son activité de contrôle sur les thèmes suivants :

  • Collecte des données personnelles
  • Sécurité des données dans le domaine de la santé
  • Failles de sécurité
  • Sports et vie privée
  • Fichiers de police
  • Fichiers du quotidien

Source: http://www.cnil.fr/nc/la-cnil/actualite/article/article/quel-programme-des-controles-pour-2012/

Cloud Computing – L’Europe (et la zone EMEA) devra-t-elle payer un jour plus cher ses services Cloud que les nord américains ?

14 mars 2012

Arnaud Alcabez

Avec 23 langues officielles, 3 alphabets et 10 pays ayant une monnaie nationale autre que l’euro dans l’Union Européenne, pour 495 millions de citoyens, les coûts de localisation d’un centre de données pour la zone EMEA sont particulièrement élevés. Si on considére que les datacenters couvrent une zone beaucoup plus large que l’UE: les pays non-membres de l’Union Européenne et MEA (Moyen-Orient et Afrique), on imagine rapidement les charges supplémentaires que peut engendrer la gestion des différentes devises, la fourniture d’un support technique et la mise à disposition des interfaces et des documentations dans les différentes langues officielles des pays de la zone EMEA.

Pour autant, est-il légitime que ces coûts soient absorbés par l’ensemble des utilisateurs, et notamment ceux des autres zones (y compris par ceux dont la devise et la langue est uniformisée), c’est la question qu’on pourrait naturellement se poser. Si pour le moment, ceci n’est pas encore d’actualité, on voit toutefois qu’elle peut freiner le déploiement, et donc l’adoption de ces technologies par les utilisateurs et les entreprises en Europe.

Il en ressort que l’adoption du cloud est plus rapide aux USA qu’en Europe où les métriques économiques peuvent être contraignantes. C’est en tout cas ce qu’analyse Bryan Jones de Dell: « Pour nous, le défi principal à relever sur la zone EMEA n’est pas technologique. Il consiste à respecter les règles et les langues propres à chaque pays. L’Union Européenne ne devrait pas tarder à dicter des règles d’hébergement claires pour tous ses membres ».

Update 1: Simple coïncidence, voici une information supplémentaire pour les partenaires Microsoft. La politique des prix Office 365 change – rendez-vous jeudi 15 mars à 11h avec Ariane Gorin, Directrice Marketing Division Office. Je remercie Laurent Miltgen-Delinchamp pour cette mise à jour.
Lien: http://bit.ly/wUpIgg

Update 2: Les nouvelles tarifications pour Office 365 ont été annoncées hier dans la soirée sur www.office365.com.
Microsoft baisse les prix des abonnements Office 365 : E1 : 7,25 € E2 : 12,50 € E3 : 19,00 € E4 : 20,75 €

Office 365 – La réversibilité des données dans le cloud computing

20 février 2012

Arnaud Alcabez

Radicalement différent de l’année précédente, les Microsoft TechDays 2012 étaient plus nuancés sur l’utilisation du cloud computing par rapport à l’édition 2011 , où cette thématique était omniprésente et présentée comme une révolution par tous les acteurs du salon. Signe de son chemin vers la maturité, le cloud computing était toutefois bien présent sur les stands, mais plutôt comme une composante intégrée aux solutions présentées cette année. Il ressort néanmoins toujours quelques inquiétudes sur l’adoption de cette technologie dès qu’on aborde ce sujet : Quel ROI (retour sur investissement) attendre de ces solutions, et les garanties en matière de sécurité et de réversibilité des données lorsqu’elles sont stockées dans le nuage.

Dans cet article, nous allons étudier comment Microsoft Office 365, et plus particulièrement Exchange Online peut être conçu comme une solution disposant d’un possible retour arrière fluide.

Réversibilité : De quoi parle-t-on ?

Une difficulté réside déjà dans la définition même de ce qu’on entend par réversibilité. Lors de vos échanges avec des tiers, assurez-vous que vous partagerez bien la même définition « d’un système réversible ». Selon les interlocuteurs que vous croiserez :

  • Au sens minimum, la réversibilité consiste à conserver une copie des données « chez soi »,
  • Au sens large, la réversibilité est la possibilité de revenir à une situation antérieure si celle-ci est toujours viable,
  • Dans la pratique, on n’envisage que rarement de revenir au système passé, fût-il que vous l’ayez conservé, mais plutôt de se diriger vers un autre système ou un autre prestataire. Pour vulgariser, on parlerait plutôt de transférer les clés de votre système à une autre société d’hébergement,
  • En théorie, les organismes indépendants, comme le Cigref par exemple, définissent la réversibilité de manière assez théorique et sans trop tenir compte des réalités du marché privé du cloud computing : « Les offres doivent être interopérables, réversibles et reposer sur des standards ouverts »,
  • Mais, en réalité, ce qui nous intéresse vraiment, c’est que le format des données et des applications « restituées » en fin de contrat puissent être exploitables par un client ou son nouveau prestataire, sans qu’il y ait une coupure du service – ou avec une coupure minime du service – pendant cette opération.

En fonction de la définition qui vous semblera la plus approprié dans votre situation, votre recherche vous conduira à examiner des solutions très différentes les unes des autres :

  • L’archivage et la sauvegarde de vos données :

Seule la donnée sera sauvegardée et les différentes informations relatives au service, telles que la sécurité, les permissions d’accès, les propriétés de la boîte aux lettres ou du service seront perdues. En clair, le service ne sera pas réversible. Ce besoin s’appuiera sur l’identification de solutions de sauvegarde On premises ou en ligne compatibles avec Office 365. Si le nombre de vos boîtes aux lettres est peu élevée, c’est aucun doute la solution la plus économique qui vous permettra de préserver vos données dans un format standard (.PST). Toutefois, la solution se heurtera à deux contraintes fondamentales.

▶     La capacité à pouvoir se servir de votre organisation Office 365 comme étant la source centrale de votre sauvegarde, du moins, si vous n’envisagez pas de sauvegarder vos postes de travail un par un à partir du client Outlook,

▶     Les volumes échangés entre Office 365 et votre solution de sauvegarde avec un débit Internet limité, ce qui pourrait vous conduire à soit limiter le nombre de postes que vous sauvegardez, soit limiter les tailles des boîtes aux lettres.

  • Les modèles hybrides de type On premises et On line

Vous cherchez une solution permettant de disposer d’une réversibilité partielle (à la boîte aux lettres) entre Office 365 et vos serveurs Exchange On premises. Cette solution passera par la mise en place du scénario de coexistence On premises et Online.

  • Les architectures de ré-internalisation

Vous cherchez une solution permettant de disposer d’une réversibilité intégrale vers vos serveurs Exchange On premises. Cette solution passera par la mise en place du scénario de coexistence On premises et Online.

  • Les architectures prédisposées à la transférabilité

Vous cherchez une solution permettant de disposer d’une réversibilité intégrale vers un cloud privé interne ou vers un cloud privé d’un partenaire. Cette solution passera par la mise en place du scénario de coexistence On premises et Online.

  • Les architectures prédisposées à la portabilité

Vous cherchez une solution de déplacement entre fournisseurs de cloud. Malheureusement, la portabilité entre fournisseurs cloud dans le modèle SaaS (Software As A Service) n’est pas d’actualité et ne le sera peut-être jamais au regard de la forte compétition qu’il existe entre les différents fournisseurs et l’absence d’un organisme fort et indépendant capable d’imposer des standards. Toutefois, dans ce scénario, les solutions de PaaS (Plateform As A Service) telles que Microsoft Windows Azure ou Amazon EC2 vous permettent d’installer un environnement Exchange dématérialisé sur des machines virtuelles tout en configurant vos zones DNS publiques afin qu’elles pointent vers cet environnement. Dans cette configuration, votre organisation Exchange devient « transportable » entre fournisseurs de machines virtuelles. En résumé, la portabilité d’un environnement Exchange entre fournisseurs cloud n’est pas à rechercher du côté des solutions de type SaaS, mais devient possible si vous envisagez de construire votre architecture dans le modèle PaaS. Si vous êtes déjà sur Office 365 et que vous vous intéressez à la portabilité, vous pourrez concevoir un plan de migration, via un scénario de coexistence, entre Office 365 et l’environnement Exchange que vous aurez construit sur Windows Azure.

Comment préparer la réversibilité ? Comment déployer et maintenir une architecture réversible ? Quels sont les facteurs de déclenchement de la réversibilité ? Comment exécuter la réversibilité ? Retrouvez la suite de cet article dans le prochain numéro d’Exchange Magazine.

En conclusion

Microsoft Office 365 offre à l’architecte et à l’administrateur des fonctions lui permettant d’assurer la réversibilité de la solution. Ces hypothèses et la mise en conformité du système doivent être conçues, testées, et vérifiées avant la mise en production, dès qu’il sera possible.

Nativement, les données contenues dans les boîtes aux lettres des utilisateurs Exchange sont synchronisées sur les postes des utilisateurs, et vous permet de réaliser des sauvegardes des fichiers .OST vers des fichiers .PST, ce qui garantit « out of the box » d’un niveau minimum de réversibilité.

Il n’existe pas de procédure de réversibilité réalisée de bout en bout par Microsoft, et Microsoft ne fournit pas d’extraction complète de vos données stockées sur leurs Datacenter. Celle-ci devra être réalisée par la même équipe ayant réalisé la migration de vos données locales vers Office 365. Si vous vous faites accompagner d’une société de service pour migrer vos données vers le cloud computing, n’oubliez pas de les challenger sur leur méthode et leur coûts en ce qui concerne la réversibilité.

La réversibilité des données stockées dans SharePoint Online et Lync Online demandent d’être traitées séparément. Pour SharePoint, la complexité de la réversibilité dépend de la manière dont vous aurez organisé votre environnement. Par exemple, si vous utilisez un environnement de pré-production local et que vous développez avec les Sandbox, la réversibilité devrait être grandement facilitée, via votre environnement de pré-production.

Enfin, la réversibilité peut s’avérer plus complexe pour des scénarios où les services SaaS sont joints. Par exemple, si vous utilisez les services en cloud computing de RIM (BlackBerry Business Cloud Service) pour gérer Online vos périphériques BlackBerry, il vous faudra également vérifier les conditions contractuelles et la méthodologie de réversibilité de ces différents dispositifs.

Office 365 – Mobilité, Cloud Computing, RSE et cadre légal

16 février 2012

Arnaud Alcabez

Les projets innovants et orientés sur les nouveaux usages font la part belle à des technologies récentes: Smartphones, Tablettes, Cloud Computing, Réseaux Sociaux d’entreprise. De manière globale, ils sont annonciateurs de la transformation des DSI de production en DSI de service, et à ce titre, ces projets réclament de vérifier qu’ils sont en conformité avec la législation, pour éviter d’être stoppé au moindre incident. Cette présentation introduit la manière dont ces projets bâtis sur ces nouvelles technologies doivent être conçus.

http://www.slideshare.net/alcabeza/mobilit-lgalit-cloud-computing