Flux RSS

Inscrivez-vous

Hadoop World 2011 : la sécurité et le contrôle d'accès aux données agrégées en question

Cette semaine, lors de la conférence Hadoop World (du 8 au 9novembre à NY), analystes et responsables informatiques ont appelé les dirigeants des entreprises de technologie à se montrer vigilants avant d'utiliser Hadoop pour agréger des données provenant de multiples sources disparates, les mettant en garde contre des problèmes potentiels de sécurité. Le framework Java Open Source Hadoop permet aux entreprises de collecter, d'agréger, de partager et d'analyser d'énormes volumes de données structurées et non structurées, des données stockées par l'entreprise, ou provenant de blogs, de transactions en ligne ou encore résultant des échanges au sein de médias sociaux.

De plus en plus d'entreprises utilisent Hadoop et des technologies connexes comme Hive, Pig et Hbase pour traiter leurs données. En partie parce qu'elles ne peuvent pas le faire facilement et à coût raisonnable avec les bases de données relationnelles traditionnelles. JPMorgan Chase, par exemple, utilise Hadoop pour améliorer la détection des fraudes, pour gérer certains risques informatiques et les applications en self-service. Le groupe financier l'utilise également pour avoir un point de vue beaucoup plus global sur sa clientèle, comparé à ses outils précédents, comme l'ont déclaré ses dirigeants. Ebay a aussi utilisé la technologie Hadoop et la base de données Open Source Hbase pour élaborer un nouveau moteur de recherche pour son site de vente aux enchères.

Attention aux problèmes de sécurité

Les analystes estiment que les services informatiques qui utilisent le framework Hadoop pour ce type d'applications doivent être conscients des problèmes de sécurité potentiels qu'elle pose. « L'utilisation de la technologie Hadoop pour agréger et stocker des données provenant de sources multiples peut générer une série de problèmes liés au contrôle d'accès et à la gestion, mais aussi au droit et à la propriété des données, » a déclaré Larry Feinsmith, directeur général des opérations IT chez JPMorgan Chase. « Dans les environnements Hadoop, on peut trouver des données de niveau et de sensibilité différentes, en matière de classification et de sécurité, » a renchéri Richard Clayton, ingénieur informatique chez Berico Technologies, un fournisseur de services informatiques pour les agences fédérales.

« Le défi pour les entreprises est de s'assurer qu'elles ont mis en place des contrôles de sécurité adaptés, qui maintiennent le niveau d'accès aux données, » a-t-il ajouté. « L'agrégation des données dans un environnement unique augmente également le risque de vol ou d'une divulgation accidentelle, » a déclaré Richard Clayton. Surtout, l'analyse des données agrégées dans un environnement Hadoop par des applications peut se traduire par la création de nouveaux documents qui ont peut-être aussi besoin d'être protégés. « De nombreuses organisations gouvernementales stockent leurs données Hadoop dans des «enclaves» distinctes, afin d'avoir l'assurance qu'elles ne seront accessibles qu'à ceux qui en ont l'autorisation, » a ajouté l'ingénieur de Berico Technologies. « La plupart des agences ne mettent pas leurs données sensibles dans des bases de données Hadoop, en raison de problèmes d'accès aux données, » a encore ajouté l'ingénieur. « Plusieurs agences ont tout simplement mis en place des pare-feu pour protéger leurs environnements Hadoop, » a-t-il expliqué.

[[page]]

« Pour de nombreux utilisateurs de Hadoop, l'approche la plus efficace en matière de  sécurité consiste à crypter les données au premier niveau, quand celles-ci transitent ou sont stockées dans un environnement Hadoop, » a encore déclaré l'ingénieur. D'une manière générale, celui-ci conseille aux entreprises d'être prudentes quand elles utilisent ces technologies. Il fait remarquer que, utilisées seules, certaines fonctionnalités de sécurité du système de fichiers distribués intégré de Hadoop - Hadoop Distributed File System (HDFS) - comme les listes de contrôle d'accès (Access Control Lists) et les Kerberos ne sont pas adaptées à un usage en entreprise.

Selon David Menninger, analyste chez Ventana Research, « les problèmes de la sécurité et de contrôle d'accès justifient le fait qu'Hadoop n'est pas prêt à remplacer les bases de données relationnelles dans l'entreprise. » Pour Sid Probstein, directeur des technologies chez Attivio, qui vend des technologies de gestion d'accès unifié dans les environnements Big Data, « Hadoop est une technologie formidable, mais il lui manque certains éléments pour être utilisé en entreprise. »

La Chine va construire plus de supercalculateurs avec ses propres puces Risc

Selon un chercheur chinois impliqué dans le calcul haute performance, la Chine a prévu de construire, à la demande du gouvernement, davantage de supercalculateurs avec ses propres processeurs. Le mois dernier, le Centre National du Supercomputing de Jinan a montré le Sunway BlueLight, son premier superordinateur entièrement fabriqué avec des microprocesseurs développés en Chine. D'après une mesure effectuée avec l'outil de benchmark Linpack, celui-ci affiche une performance soutenue de 0,79 pétaflops/par seconde, ce qui le placerait au 13 rang dans le Top 500 des supercalculateurs mondiaux. « Au cours des cinq prochaines années, la Chine devrait développer plus de super ordinateurs avec des puces made in China, » a déclaré Pan Jingshan, directeur adjoint du Centre National du Supercomputing de Jinan.

C'est en 2006 que le gouvernement chinois avait fait part de ses projets de développement en matière scientifique, lesquels impliquaient notamment « une recherche dans le domaine des superordinateurs pétaflopliques prenant en compte de nouveaux concepts fondamentaux. » La construction d'un supercalculateur 100% chinois « visait aussi à accroître la compétitivité technologique de la Chine, » a déclaré le directeur du Centre de Jinan. « La construction de supercalculateurs répond aux exigences de la Chine et de son gouvernement. Il ne fait pas de doute qu'il y aura dans le futur davantage de calculateurs hautes performances utilisant des processeurs fabriqués localement, » a-t-il ajouté.

Des processeurs Risc cadencés de 0,975 à 1,2 GHz

Le Sunway BlueLight intègre 8 704 microprocesseurs « Shenwei 1600 » qui lui confèrent une vitesse théorique maximale de 1,07 pétaflops, pour une consommation de 1 mégawatt. Le directeur du Centre de Jinan n'a pas pu fournir davantage de détails sur la nature des microprocesseurs utilisés. D'autres informaticiens impliqués dans sa construction, également contactés, n'ont pas répondu aux demandes de commentaire. Mais d'après des photos et des articles parus dans la presse locale chinoise, les microprocesseurs Shenwei 1600 présentent une architecture Risc (Reduced Instruction Sert Computing), sont dotés de 16 coeurs, et affichent une vitesse d'horloge de 0,975 à 1,2 GHz (voir photo sur ce site).

Selon Jack Dongarra, chercheur en informatique à l'Université du Tennessee, à l'origine de la compilation qui permet d'établir la liste des 500 premiers supercalculateurs au niveau mondial, la puce Shenwei 1600 a été construite selon un processus de gravure à 65 nanomètres. « Le design est excellent, » a-t-il répondu par mail à nos confrères d'IDG News Service, basés à Pékin. « Mettre 16 coeurs basse énergie dans un design à 65 nanomètres, c'est une très bonne conception. » Comparativement, « les processeurs de la série Core i7-900 d'Intel utilisent le processus de gravure à 32 nanomètres, et affichent quatre fois plus de transistors, » a-t-il déclaré. « On peut comprendre que pour une technologie aussi délicate que celles des microprocesseurs, les Chinois ne veulent pas être dépendants de la technologie occidentale, tout comme les États-Unis ne voudraient pas être dépendants de la technologie étrangère, » a déclaré Jack Dongarra.

Ce mois-ci, une association d'informaticiens chinois a établi son propre classement des superordinateurs hautes performances locaux. Le Sunway BlueLight arrive en deuxième position, derrière le Tianhe-1A, qui a, pendant une courte période en 2010, occupé la première place des superordinateurs les plus rapides du monde.

Paroles de pirate : une attaque MITM décortiquée

Nous allons vous détailler une attaque dite MITM (Man In The Middle). Cette technique consiste à infiltrer un réseau et intercepter les informations qui y transitent sans être vu.
Nous allons détailler deux types d'attaques utilisant la méthode de « l'homme du milieu ».

En premier lieu, nous allons établir une attaque basique. Elle va analyser le réseau pour récupérer différentes données codées en ASCII. Dans un deuxième temps, nous lancerons une attaque utilisant le certificat SSL sur le port 1500. Cela consiste à envoyer une url de redirection à la victime, qui pense se trouver sur un site sécurisé en https.

Sur l'attaque basique

Elle repose sur ce que l'on appelle le cache ARP. Il s'agit d'une table de couples d'adresses IPv4-MAC contenue dans la mémoire d'un ordinateur qui utilise le protocole ARP, ce qui est le cas des ordinateurs qui sont connectés à un réseau IP sur un segment Ethernet.

Pour lire la suite du tutoriel, cliquez ici

Obligé de recentrer ses activités, Adobe supprime 750 emplois dans le monde

Adobe va supprimer 750 emplois en Europe et aux États-Unis, ce qui représente 8% de ses effectifs. Le groupe compte également réduire ses investissements dans les logiciels d'entreprise dans le cadre d'un vaste plan de restructuration qui ciblera les marchés à croissance rapide, à savoir les médias et les outils de marketing numériques.  Les détails du plan ont été dévoilés hier matin à New York, lors d'une réunion organisée pour les analystes financiers. L'éditeur, qui a également annoncé l'abandon de Flash pour mobiles, a également revu à la baisse ses perspectives de bénéfices pour le trimestre en cours, en partie pour payer les licenciements.

Cette réorganisation fait partie d'un programme destiné à augmenter la part d'Adobe sur ce qu'il nomme les «filières à forte croissance » c'est-à-dire les médias et le marketing numériques. Adobe cible ces marchés avec des outils de création de contenu et de distribution, ainsi qu'avec des produits destinés à mesurer les résultats des campagnes de marketing online.

Réduire les investissements dans les solutions d'entreprise

On ignore encore quel seront les logiciels d'entreprise affectés par ce plan, ni comment ils seront touchés, la firme ayant refusé de s'exprimer avant la réunion des analystes. «Afin d'augmenter les commandes de Digital Marketing, qui sont reconnues pour générer des revenus récurrents, nous allons réduire nos  investissements et les revenus de licences  dans certaines lignes de solutions d'entreprise », a indiqué Adobe dans un communiqué.

Les outils professionnels commercialisés par l'éditeur comprennent Adobe Connect et Adobe LiveCycle, ainsi que des logiciels de gestion de contenu web acquis  l'an dernier suite au rachat de Day Software. Ils n'incluent pas les logiciels Acrobat, qui font partie de la division Knowledge Worker d'Adobe.

Les solutions d'entreprise ont généré moins de 10% des revenus d'Adobe au cours du trimestre dernier, ce qui est largement inférieur aux ventes réalisées dans ses divisions création de contenus et digital médias. La feuille de route à destination des analystes financiers contraindra probablement Adobe à davantage se focaliser sur son plan pour accélérer sa croissance. Le groupe continuera d'investir dans ses produits Creative Suite et et augmentera ses investissements dans HTML 5, grâce à des outils tels que Dreamweaver et Adobe Edge. S'agissant du marketing numérique, Adobe entend développer ses activités d'analyse et de reporting pour les terminaux mobiles et les réseaux sociaux.

Le coût de cette réorganisation devrait osciller entre 87 et 94 millions de dollars, ce qui aura pour effet de réduire le bénéfice par action de 0,30  à 0,38 dollar. Adobe est cependant toujours sur la bonne voie pour atteindre ses objectifs en termes de revenus pour le quatrième trimestre. Mais ces changements réduiront de 4 à 5 points la croissance de son chiffre d'affaires sur l'exercice suivant, soit une hausse  du CA d'environ 6%.

Une chaire de recherche sur les réseaux sociaux à l'Institut Télécom

Baromètre HiTechPros / CIO : Demande en hausse ces 4 derniers mois

IDC pourfend les lois de Moore applicables au volume de données

Selon une étude du cabinet IDC (Extracting value from Chaos, 5ème édition), commandée par EMC, la loi de Moore va être dépassée, les données devant plus que doubler tous les deux ans (et non pas presque doubler comme le prédit  Gordon Moore). IDC assure que les données mondiales vont atteindre 1,8 zéttaoctet en 2011 soit 1 800 milliards de gigaoctets.

Une croissance phénoménale qui induit plusieurs conséquences économiques. D'abord, stocker des données coûte six fois moins cher qu'en 2005. Les nouvelles technologies tirent à la baisse les coûts de création, capture et gestion de l'information. Ensuite, les investissements des entreprises ont augmenté de 50%  dans le numérique (cloud, équipement, logiciels personnels destinés au stockage) et atteignent 4 000 milliards de dollars dans le monde. Stocker coûte moins cher et les entreprises y investissent plus que jamais !

Mais l'étude IDC montre aussi que d'ici 2020, les entreprises (au plan mondial) connaîtront : une explosion du nombre de serveurs, ils seront multipliés par dix ; un accroissement du volume d'informations à traiter, cette fois c'est multiplié par 50 ; des fichiers et des conteneurs 7 fois plus nombreux.

Des conclusions évidemment intéressantes pour EMC. 80% des informations présentes dans l'univers numérique sont à un moment ou à une autre prise en charge par les entreprises.

Selon PWC, 4 bonnes pratiques améliorent vraiment la sécurité

61% des entreprises françaises ont connu un incident relatif à la sécurité informatique en 2011 selon une étude du cabinet PWC, contre 39% en 2010. Le niveau de confiance des entreprises dans leur sécurité passe en trois ans de 87% à 55%. Tous les domaines sont touchés par une croissance forte de l'insécurité : 20% estiment avoir subi des pertes financières (contre 15% en 2010 et 8% en 2008), 17% se plaignent de vol de propriété intellectuelle (6% en 2008) et 13% des atteintes à l'image (6% en 2008). La situation est plutôt meilleure en France que dans le reste du monde, ceci dit.



Selon le cabinet d'audit, quatre bonnes pratiques divisent par deux les risques observés. Mais seulement 13% des entreprises (11% en France) les appliquent toutes les quatre. Tout d'abord, il s'agit de définir une stratégie de sécurité de l'information au lieu d'une simple politique technique de sécurité informatique. La différence résulte surtout de la volonté d'utiliser la technologie au lieu de la subir.

La deuxième bonne pratique est liée à la mise en place de la stratégie : il s'agit pour les dirigeants d'être en relation directe avec les experts afin d'être informés autant des risques que des opportunités afin de prendre les bonnes décisions. Le rattachement de la sécurité au Top Management n'existe que dans 47% des cas. Ce point est jugé comme le plus critique par 25% des entreprises, juste après le manque de moyens budgétaires (27%). Les RSSI préfèrent citer le manque de compréhension et de vision par la direction des enjeux et l'excès de complexité des SI comme sources des problèmes (respectivement : 37% et 30%).

Bien entendu, la stratégie de sécurité doit être révisée régulièrement. Dans son troisième point, PWC préconise une revue annuelle afin de s'assurer que les risques du moment sont bien couverts. Enfin, mais ce dernier point devrait peut-être se situer en premier, il s'agit d'être en mesure d'identifier les incidents, leurs causes et leurs conséquences afin de prendre les décisions adéquates.

Sources externes d'incidents

La France considérait ses relations externes habituelles (par opposition à des pirates inconnus ou des collaborateurs) plutôt moins sévèrement que le reste du monde en 2009. La tendance s'est aujourd'hui inversée. Ainsi, les clients n'étaient identifiés en 2009 comme une source de menace que dans 6% des cas en France (contre 10% dans le monde), 5% pour partenaires et fournisseurs (8% dans le monde). En 2011, 17% des entreprises, autant en France que dans le monde, accusent les clients et 17% en France les partenaires et fournisseurs contre 15% dans le monde.

Le marché des services de sécurité informatique se joue de la crise selon Gartner

Le marché des services délivrés autour des produits de sécurité informatique ne connaît pas la crise et ne devrait pas la connaître avant quelques années. Selon le cabinet d'études Gartner, la fourniture de ce type de prestations devrait représenter un chiffre d'affaires mondial de 35,1 milliards de dollars cette année contre 31,1 milliards un an plus tôt. L'an prochain, les revenus du secteur devraient progresser de 9% et atteindre enfin 49,1 milliards de dollars en 2015. « Le marché des services de sécurité a évolué rapidement ces dernières années avec [...] des clients qui préfèrent souvent souscrire à des prestations. Cela leur permet de baisser leurs coûts d'exploitation pendant qu'ils consacrent leurs ressources à des problématiques de sécurité plus stratégiques », indique Lawrence Pingree, directeur de recherche chez Gartner.

La gestion des ressources IT : premier poste de dépenses en 2015

Parmi les différents services proposés, le développement et l'intégration est celui dont les revenus seront les plus importants, 11,3 milliards de dollars en l'occurrence. Un montant qui devrait atteindre 13,8 milliards de dollars en 2015. Arrivent en seconde position les services de conseil avec 9,6 milliards en 2011 (12,1 milliards en 2015). La gestion des ressources IT, le support logiciel ainsi que le support et la maintenance matériel devraient dégager quant à eux 8, 5 et 1 milliard de dollars de revenus cette année. A noter que la croissance du segment des services de gestion des ressources IT sera telle dans les années à venir que ses revenus devraient passer à près de 15 Md$ en 2015. A cette date, il s'agira du poste de dépense le plus important consacré par les entreprise aux services de sécurité IT.

Comme l'indique Gartner, c'est en Amérique du Nord que les fournisseurs de services de sécurité IT trouvent les plus importants débouchés. Outre-Atlantique, le chiffre d'affaires du secteur devrait en effet atteindre 14,6 Md$ en 2012 puis 19 Md$ en 2015. Pour l'Europe de l'Ouest, Gartner table sur des revenus de l'ordre de 12 Md$ l'an prochain et de 14,4 Md$ en 2015.

EMC étoffe son écosystème de partenaires

« Le moteur de notre croissance c'est notre écosystème», souligne Jean-Michel Giordanengo, président d'EMC France.  Depuis le début 2011, EMC France a recruté plus de 80 nouveaux partenaires en two tiers, il en comptait une centaine auparavant. L'objectif est d'arriver à 250 pour développer la récente stratégie en direction des PME, par exemple avec VNXe. Avant l'été, EMC s'est également adjoint un deuxième VAD, TechData Azlan, il avait déjà Magirus, sans oublier Arrow, mais qui ne relaie pas les offres VNXe en France.

« Ce dispositif a impliqué pour nous une année intense en distribution que ce soit en matière de recrutement, de certification, de formation de partenaire et de génération de leads », note Jean-Yves Pronier, directeur marketing.   EMC débute également un Tour de France, la semaine prochaine, en sept étapes. Tour de France destiné d'abord aux avant-vente des partenaires, regroupés depuis longtemps dans le club SE, le club des sales engineer. La matinée de chaque étape leur est dédiée. L'après-midi est davantage tourné vers les commerciaux.

Le programme Fast Start leur est destiné, lancé en début d'année, il assure l'accompagnement des partenaires. EMC a aussi installé un deal registration avec réponse sous trois jours.

Toujours pour la cible PME et les partenaires two tiers, EMC France a annoncé ce 9 novembre DD160, un système de back up, complémentaire de l'offre de stockage VNXe. Les deux sont vendues en exclusivité dans le réseau de distribution d'EMC. Autre annonce, le programme quick ship, d'expédition rapide qui permet de raccourcir les délais de livraison de produits et donc la conclusion des affaires.