Flux RSS

Inscrivez-vous

CIO.PDF 29 : Le savoir changer

Bilan Sécurité 2010 : entre perfectionnement et consolidation

Un avant et un après Stuxnet

Dans le développement des différentes attaques, l'année 2010 a été marquée par l'avènement d'un ver, baptisé Stuxnet, qui s'attaque à des processus industriels tournant sur des systèmes de type Scada, développés par Siemens. Ce programme avait probablement comme cible, une centrale de retraitement d'uranium en Iran. A la différence d'autres attaques similaires, Stuxnet est très élaboré et plusieurs observateurs estiment qu'un Etat pourrait en être à l'origine. Utilisant des failles de Windows de type « zero day », les analystes estiment que ce ver devrait dans les prochains mois provoquer encore des dégâts, car plusieurs industries reposent sur des systèmes obsolescents et non sécurisés.

Le perfectionnement se retrouve aussi dans les tentatives de phishing avec l'apparition du Trojan Zeus. Ce dernier réunit beaucoup de qualité. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Les autorités policières et judiciaires ont mené quelques coups de filet en Angleterre, aux Etats-Unis et en Ukraine, mais cela n'a rien empêché.

Des failles et des patchs

Système d'exploitation, navigateur, solutions de bureautique, langage de développement, aucun service informatique n'échappe aux problèmes de sécurité. 2010 aura montré une recrudescence des publications de correctifs des failles de sécurité. On peut citer les patchs Tuesday de Microsoft qui voit leur volume prendre de l'embonpoint. Adobe a aussi au mois d'octobre dernier proposé 23 correctifs. Même Oracle a diligenté le téléchargement de 81 correctifs. Cette recherche de failles est par ailleurs devenue une activité lucrative, car la plupart des éditeurs ont mis en place des programmes rémunérant les chercheurs. Ainsi, Google a payé 7 500 dollars en prime pour la découverte de 11 bugs. En juillet dernier, la fondation Mozilla a augmenté ses primes pour la recherche des failles de sécurité dans ses produits.

Une consolidation des acteurs

Avec le développement du cloud computing, la consumérisation de l'IT, la profusion de terminaux connectés, les acteurs de l'informatique ont cherché à acquérir de plus en plus de compétences en matière de sécurité. De grands groupes ont ainsi acquis des sociétés spécialisées dans le domaine, comme HP avec Arcsight et Fortify. Les éditeurs de logiciels devant cette concurrence ont eux aussi participé à cette danse capitalistique, comme le montre les acquisitions de Symantec, PGP et GuardianEdge et surtout l'activité authentification de Verisign. Le rachat le plus symbolique de l'année 2010 reste néanmoins celle de McAfee par Intel pour la somme de 7,7 milliards de dollars. Cette opération suscite d'ailleurs quelques inquiétudes ou laissent perplexes les autorités de la concurrence européenne.

La SEC enquête sur Mark Hurd

Les autorités boursières américaines (SEC) ont décidé d'enquêter sur les raisons qui ont conduit l'ex-PDG de HP, Mark Hurd, à démissionner de façon précipitée de l'entreprise a indiqué le Wall Street Journal hier. Citant des sources anonymes, le quotidien économique a affirmé que la SEC cherchait à savoir si Mark Hurd avait transmis en 2008 des informations confidentielles sur le rachat d'EDS par HP. Le gendarme américain de la bourse scruterait également les dépenses inexactes réalisées par l'ex-PDG de HP et chercherait à savoir si il a détruit des preuves, précise le WSJ. Contactée hier par le magazine,  HP a déclaré qu'il « coopérait pleinement avec la SEC sur son enquête ».
En août dernier, Mark Hurd avait choqué la Silicon Valley en  démissionnant brutalement suite à une enquête révélant qu'il avait harcelé sexuellement Jodie Fisher, une ancienne actrice de cinéma. Le conseil d'administration avait abandonné les charges sur l'accusation de harcèlement sexuel, mais avait néanmoins constaté que le dirigeant avait falsifié ses dépenses dans le but de cacher sa relation avec Jodie Fisher.

Divulgation de négociations confidentielles

Cette dernière a travaillé pour HP entre 2007 et 2009, or l'enquête de la SEC semble être axée sur de précédentes allégations et sur le fait  que  Mark Hurd aurait informé l'ex-actrice sur les quelque 13,9 milliards de dollars versés à EDS avant l'annonce officielle du rachat  Si Jodie Fisher ou quelqu'un qu'elle connaissait avait réalisé une transaction basée sur cette information, se serait alors un délit d'initié.
Mar Hurd disposait d'une image sérieuse et discrète lors de son mandat  chez HP, et on lui a prêté le fait d'avoir bien géré l'entreprise au cours de son mandat de quatre ans. Par la suite, il est devenu président d'Oracle. HP a poursuivi Mark Hurd après qu'il ait endossé ces nouvelles responsabilités, mais les poursuites avaient été réglées en septembre.

(...)

L'intelligence économique se dote d'un syndicat professionnel

Si les DSI et les RSSI, comme les experts comptables, les avocats ou tous les autres professionnels amenés à travailler sur le sujet de l'intelligence économique, peuvent adhérer à la Fepie, cela n'est pas le cas avec le Synfie. Les deux organisations se veulent en effet complémentaires et partagent d'ailleurs un même président : Hervé Seveno, patron d'un cabinet de conseil en intelligence économique.

La Fepie avait trois rôles principaux : être un forum de discussion et de partage entre professionnels, se comporter en influenceur des pouvoirs publics et, enfin, certifier les professionnels par le biais d'une reconnaissance de leur sérieux par les pairs. Cette dernière activité ne va plus avoir bientôt d'utilité. Si les associations professionnelles de coachs ont suivi le même chemin, d'autres organisations professionnelles ont pu y renoncer à la faveur d'une évolution législative. Comme avant eux les ostéopathes, les professionnels de l'intelligence économique vont désormais bénéficier d'une reconnaissance officielle via un agrément public, cela grâce à la loi LOPPSI 2. Une reconnaissance par les pairs n'a donc plus beaucoup d'intérêt. En se comportant en influenceurs efficaces, la Fepie a en quelque sorte creusé elle-même et tout à fait volontairement la tombe d'un de ses rôles.

Rester entre professionnels

Aux côtés de la Fepie, le Synfie est un syndicat professionnel au même titre que le Syntec Numérique par exemple. Si la Fepie est une association loi 1901, le Synfie a d'ailleurs adopté le statut défini par la loi de 1884. Ne peuvent donc y adhérer que les professionnels (sociétés ou personnes physiques) ayant l'intelligence économique comme activité principale. En tant que syndicat professionnel, le Synfie va intervenir dans les discussions avec les syndicats de salariés, les organisations professionnelles de branche, les pouvoirs publics, etc.

Son rôle est par conséquent clairement différent et complémentaire de celui de la Fepie. Mais cela n'exclue pas des travaux en commun. Des conditions privilégiées sont d'ailleurs annoncées pour les professionnels adhérant aux deux structures simultanément.

L'Europe s'inquiète de l'acquisition de McAfee par Intel

L'Union européenne est préoccupée par les plans d'Intel d'intégrer des fonctionnalités de sécurité directement dans ses microprocesseurs, souligne le Wall Street Journal citant des sources anonymes. La société de Santa Clara fournit la majorité des puces pour PC dans le monde, et l'Union européenne craint que si McAfee dispose d'un « accès privilégié » à ces fonctionnalités, cela ne soit un désavantage pour les autres fournisseurs de solutions de sécurité, précise le quotidien économique américain. La direction de la Concurrence  de l'UE a émis ces plus vives préoccupations sur cette alliance lors de son examen préliminaire et pourrait décider de le soumettre à un examen plus approfondi.

Le porte-parole d'Intel  Chuck Mulloy a refusé de commenter ces informations en indiquant que l'entreprise «continue à travailler avec les autorités, pour qu'elles procèdent aux différents examens ». De son côté McAfee n'a fait aucun commentaire,  les seuls propos sur le blog du porte-parole indique « nous sommes heureux d'annoncer que l'ensemble du dépôt des dossiers auprès des autorités réglementaires a été finalisé et l'affaire est en cours d'examen par les différentes instances. Nous estimons que l'acquisition devrait être effective  au premier semestre 2011 ».

L'examen approfondi d'une acquisition de cette taille (7,7 milliards de dollars) peut durer plusieurs mois. Ainsi, pour la fusion entre Sun et Oracle, l'enquête a  décalé de 4 mois la réalisation effective de cet accord.

(...)

ERP : Microsoft connecte son offre Dynamics NAV à CRM Online

Microsoft livre en France la R2 de Dynamics NAV 2009, le progiciel de gestion intégré qu'il propose aux entreprises à partir de 20 personnes et jusqu'à 1 000 employés (lorsqu'il s'agit de filiales de grands groupes). L'éditeur table sur une migration rapide de ses clients vers cette version, en particulier ceux qui ont déjà installé le SP1 (service pack 1), précise Virginie Garlasain, chef de produit ERP.

L'offre Dynamics NAV, qui compte 2 200 clients en France (80 000 dans le monde) et une trentaine de revendeurs actifs sur le territoire, bénéficie d'une approche verticale sur cinq secteurs d'activité : services, vente au détail, secteur public, industrie, distribution. Une verticalisation qui s'opère quelquefois à un niveau très fin, souligne la responsable produit. L'application, qui peut être hébergée et « consommée en ligne » via les partenaires de Microsoft, est assortie de différentes options tarifaires (acquisition de la licence, ou mode SaaS -software as a service).

Une avancée notable de la R2 concerne l'intégration avec Dynamics CRM, l'application de gestion de la relation client autour de laquelle Microsoft fait grand bruit en ce moment. Il compte en effet concurrencer Salesforce.com avec la version cloud de cette offre de CRM. Désormais, l'éditeur propose son propre connecteur entre cette dernière et Dynamics NAV. « Il sera fourni gratuitement aux clients sous contrat de maintenance récent », précise la filiale française. Il permettra de synchroniser les données entre l'ERP et les deux versions de l'offre de CRM (sur site et en ligne).

Un client d'accès unique

Avec le client RoleTailored, Microsoft avait adapté l'interface de son application Dynamics NAV 2009 aux différents métiers de l'entreprise (à la suite d'une étude menée auprès de plus de 200 clients). « L'écran d'accueil de l'application est un véritable tableau de bord », souligne la responsable produit. Il rassemble un aperçu des activités, des indicateurs de performances, des alertes et des liens d'accès rapides vers d'autres écrans.

« Les principales nouveautés de la R2 ne sont pas forcément les plus visibles ». Ainsi, cette version conserve maintenant le bénéfice du client RoleTailored, quelle que soit la façon dont l'utilisateur se connecte à l'application : en local, depuis un poste distant relié au siège par une connexion Internet à haut débit, ou encore, sur un mode itinérant, en passant par le web. Dans les trois cas, « on accède au serveur distant via la même interface », indique Virginie Garlasain en estimant cette solution moins complexe que celle proposée par Citrix Systems, ou même Terminal Services. Une option qui pourra notamment intéresser les partenaires hébergeurs de Dynamics NAV. L'application peut être déployée en mode hébergé ou sur site avec la technologie Application Virtualization (App-V) de Microsoft.

Tout en facilitant la mise à jour des postes clients, celle-ci présente aussi l'avantage de conserver les capacités de croisement entre l'application de gestion et les fonctions apportées en local par Windows ou par la suite bureautique Microsoft Office.

Visualisation interactive des données

Parmi les autres améliorations de la R2 figure un accès rapide aux fonctions de l'ERP à partir du bureau Windows 7 (par l'intermédiaire de 'Jump Lists').



Une fonction de visualisation interactive, Tree Map, apporte à l'utilisateur de l'ERP une fonction d'analyse des données que l'on pourra manipulera sans formation préalable, assure l'éditeur. Elle pourra servir, par exemple, à identifier rapidement les clients ayant le chiffre d'affaires le plus important et offrant la meilleure rentabilité (illustration ci-dessus). Par ailleurs, Dynamics NAV 2009 R2 dispose maintenant d'une fonction de planification interactive de stocks, pour éviter le surstockage ou les ruptures. « C'est une fonction que l'on trouve habituellement dans des outils spécialisés sur la planification », a souligné la responsable produit.

Enfin, le progiciel se complète d'un service de paiement hébergé qui permettra de gérer des transactions de paiement sécurisées depuis Dynamics NAV. Celui-ci n'est pas encore disponible en France, mais Microsoft est actuellement en négociation pour agréer des fournisseurs dans l'Hexagone. Ce service multicanal pourra être utilisé depuis différents sites marchands ou centres d'appels.

Citrix veut acquérir Netviewer

La branche service en ligne de Citrix vient de contracter avec Netviewer pour discuter de son acquisition. Cette société européenne qui dispose de présence en France, Royaume-Uni, en Allemagne, en Suisse, en Autriche, en Italie et en Espagne, etc. propose des outils en mode  SaaS de collaboration en ligne, mais aussi de webconférence. A la fin de la procédure, les différents produits feront partie de la gamme de Citrix Online. Soumise aux conditions de clôture d'usage, la transaction devrait être finalisée au début de l'année 2011. Aucun montant n'a été par contre dévoilé.

40 ans du Cigref : quelles stratégies pour 2015 ?

Le 6 août 1970 est né officiellement le Club Informatique des Grandes Entreprises Françaises (Cigref) dont l'objet a toujours été de favoriser la création de valeur grâce à l'informatique ou aux systèmes d'information. Le 16 décembre 2010, avec six mois de retard donc, l'association phare des utilisateurs de technologies de l'information a fêté son quarantième anniversaire à la Bibliothèque Nationale de France, dans le treizième arrondissement de Paris.

A l'âge du numérique omniprésent, le Cigref en a profité pour présenter un nouveau logo, une nouvelle signature (« réseau de grandes entreprises » au lieu de « association de grandes entreprises ») et un nouveau slogan (« promouvoir la culture numérique comme source d'innovation et de performance »). Il faut remarquer que, au contraire d'autres associations comme le Coter-Club ou l'ANDSI, le Cigref est une association d'entreprises et pas de DSI, même si, en général, le DSI représente son employeur dans les instances du club. Les groupes de travail sur des sujets un peu techniques réunissent d'ailleurs en général plutôt des chefs de projets ou des spécialistes. A l'inverse, de nombreux DG ou vice-présidents prennent part aux réunions plus « stratégiques ».

La seule bonne expérience est celle qui se partage

La soirée, co-animée par Bruno Ménard, président du Cigref, et Marie-Odile Monchicourt, chroniqueuse de France Infos, était placée sous le signe d'un passage « du pari informatique au défi numérique ». « Le Pari Informatique », c'était le titre de l'ouvrage de Pierre Lhermitte, premier président et l'un des cinq fondateurs du Cigref, et qui faisait suite à une réflexion menée par le Conseil Economique et Social. Cet ouvrage va d'ailleurs être en téléchargement sur le site web de l'association. Il s'agissait à l'époque de comprendre comment tirer parti de l'informatique de gestion pour améliorer la performance des entreprises par l'automatisation des processus. « L'idée était de pouvoir résoudre ensemble des problèmes que l'on ne savait pas résoudre seuls, y compris dans les relations avec le fournisseur majeur de l'époque IBM, avec l'administration et avec les directions métiers » s'est souvenu Pierre Lhermitte. Comme l'a rappelé Bruno Ménard, finalement, sur ces questions, rien n'a vraiment changé en 40 ans, sauf à ajouter Microsoft, Oracle, HP et quelques autres à IBM.




Cependant, « l'informatique » est devenue « système d'information ». Le treizième président du Cigref a présenté des ouvrages retraçant cette évolution : de l'ouvrage de Milad Doueihi « La grande conversion numérique » à celui que Bruno Ménard lui-même signe en co-édition Nuvis/Cigref « L'entreprise numérique : quelles stratégies pour 2015 ? » en passant par le numéro spécial de la revue « Entreprises et Histoire » sur « de l'informatique aux systèmes d'information dans les grandes entreprises ».



[[page]]

« 40 ans, ce n'est pas anodin, atteindre cet âge est la preuve que le dispositif était bien pensé dès le départ » a jugé Jean-Paul Bailly, président de La Poste et membre du Conseil Economique, Social et Environnemental. Pour lui, les deux clés de la performance des entreprises sont la prospective et la bonne GRH. Le numérique bouleverse l'environnement de chacun, sur le plan personnel comme professionnel et La Poste a été particulièrement concernée dans le coeur de son activité. Mais il a tenu à préciser : « je bataille sans cesse contre l'idée de concurrence d'Internet. Nous ne sommes pas plus concurrents d'Internet qu'un voilier l'est des vents dominants. Il nous faut juste utiliser et nous adapter à ce qui constitue notre environnement. » En plus des nombreux orateurs universitaires ou chercheurs, un autre grand témoin d'entreprise est intervenu : Maurice Lévy, président de Publicis après en avoir été DSI. « Il y a 40 ans, j'étais un informaticien à cheveux longs » s'est-il souvenu avec nostalgie.

Revenant sur quarante ans de numérisation universelle de la vie quotidienne, sur la disparition de la scission temps personnel/temps professionnel qui en est induite, il a conclu : « l'outil informatique de gestion est devenu un outil numérique de partage ».