Flux RSS
108538 documents trouvés, affichage des résultats 2971 à 2980.
| < Les 10 documents précédents | Les 10 documents suivants > |
(09/08/2011 09:50:45)
Gartner conseille aux entreprises de réviser leurs politiques de confidentialité
(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.
Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».
Cinq points essentiels relatifs à la sécurité
Toujours selon Gartner, ces responsables devront se confronter à cinq points essentiels dans leur politique de confidentialité :
- La violation des données continue d'être une préoccupation majeure.
La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.
- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.
Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.
Aller au delà de la collecte des données
Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.
Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.
- Le cloud computing et la notion de confidentialité ne font pas bon ménage.
Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.[[page]] Il y a des cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.
Trouver l'équilibre en matière de protection de la vie privée
- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.
Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.
- Les modifications réglementaires sont incessantes, mais de portée limitée.
Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.
Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.
(...)
Steven VanRoekel, nouveau CIO de la Maison Blanche
Après le départ de Vivek Kundra, le tenant du titre, Barack Obama a choisi un nouveau CIO (chief information officer) pour son administration fédérale. Son choix s'est porté sur Steven VanRoekel. Depuis deux ans (juin 2009), ce dernier était directeur général de la FCC, l'équivalent de notre Arcep. Auparavant, il avait évolué pendant quinze ans chez Microsoft, occupant différentes fonctions, par exemple assistant de Bill Gates pour les relations extérieures, ou directeur des solutions d'affaires pour les PME et directeur pour Microsoft Server.
Il est bien précisé dans sa lettre de mission que Steven VanRoekel devra utiliser les nouvelles technologies pour aider l'administration à faire des économies, un sujet on ne peut plus d'actualité ! Son prédécesseur, Vivek Kundra, n'avait manifestement pas rempli cette mission, il est devenu professeur à Harvard.
Steven VanRoekel a 41 ans. Il fut contributeur financier à la campagne d'Obama.
Photo : Steven VanRoekel, CIO de la Maison Blanche (crédit : D.R.) (...)
Black Hat : SAP va livrer un correctif de sécurité pour NetWeaver
SAP a averti vendredi qu'il allait corriger rapidement un bug sérieux de sécurité affectant le moteur J2EE (Java 2 Platform Enterprise Edition) inclus dans son offre NetWeaver, architecture de middleware sur laquelle s'appuient les solutions de gestion de l'éditeur.
Le bug a été expliqué jeudi dernier par l'expert en sécurité Alexander Polyakov, directeur technique d'ERPScan, durant l'une des sessions de la conférence Black Hat, à Las Vegas. Dans un billet de blog publié la semaine précédente, celui-ci indiquait que la faille permettait de s'introduire dans les systèmes SAP via Internet en contournant les contrôles d'autorisation d'accès. « Par exemple, il est possible de créer un utilisateur et de l'affecter à un groupe d'administrateurs en se servant de deux requêtes non autorisées au système ». Il ajoute que l'attaque peut aussi se faire sur des systèmes qui sont protégés par une authentification double (clé secrète et mot de passe). ERPscan prépare un outil qui peut détecter le problème sans coût.
« SAP travaille étroitement avec Alexander Polyakov sur cette question, a assuré Andy Kendzie, porte-parole de SAP vendredi, en annonçant la prochaine venue d'un correctif. Ce dernier sera fourni dans le cadre d'une mise à jour de sécurité régulière et ne fera pas l'objet d'un correctif d'urgence particulier.
Cette information arrive peu de temps après la livraison par Oracle de Java SE 7 qui comportait des bugs que les ingénieurs d'Oracle connaissaient, ce qui a suscité une certaine consternation. L'éditeur de Java corrigera le bug dans une mise à jour.
TurboHercules abandonne sa plainte pour pratiques déloyales contre IBM
Le Français TurboHercules ainsi que les sociétés T3 Technologies et Neon Enterprise Software ont toutes trois renoncé à leurs poursuites contre IBM pour avoir illégalement associé ses mainframes à son système d'exploitation, empêchant ses clients d'opter pour d'autres alternatives lors de l'achat du système. Ces plaintes avaient suscité l'ouverture d'une enquête de la Commission Européenne qui peut encore se poursuivre, mais qui devrait sans doute s'essouffler à la suite de cette annonce.
Selon le Financial Times, la Commission européenne avait peu progressé dans son enquête, mais les autorités américaines continuent toutefois à évaluer la concurrence sur le marché. De plus, il existe toujours une enquête menée par l'Union européenne sur les services de maintenance associés aux mainframes. IBM avait réagi avec force à ces plaintes, en blâmant en partie Microsoft qui avait investi dans deux des sociétés qui ont déposé plainte.
Illustration : Le mainframe System Z d'IBM
DefCon : des experts en sécurité donnent trois conseils aux Anonymous
Le mouvement des Anonymous est-il en train de vivre une crise de mi-parcours ? Il ne fait aucun doute que le collectif de pirates, plus ou moins organisé, a gagné des soutiens et de l'attention au cours de l'année, suite notamment aux attaques menées contre PayPal, Sony, l'entreprise de sécurité HBGary Federal qui travaille pour le gouvernement américain, mais aussi grâce aux diverses perturbations créées par son groupe parent, LulzSec. Mais, le groupe a peut-être besoin de gagner un peu en maturité, afin de mieux faire passer son message. A l'occasion de la conférence Defcon, samedi dernier à Las Vegas, des experts en sécurité informatique ont donné trois conseils aux Anonymous, afin qu'ils soient plus efficaces.
1. Attention aux nouveaux membres.
Suite à l'attaque par déni de service (DoS) menée contre le site de PayPal en décembre 2010, l'entreprise avait remis au FBI (Federal Bureau of Investigation) environ 1 000 adresses IP en relation avec l'assaut. Mais les personnes impliquées pensaient sans doute qu'elles téléchargeaient simplement le logiciel LOIC (Low Cannon Ion Orbit) qu'Anonymous utilise pour mener ses attaques. Elles l'ont fait pour se joindre à un mouvement de protestation, et non pour être accusées de commettre un crime fédéral.
« Les Anonymous sont porteur d'une idée qui fait son chemin : n'importe qui peut se joindre à eux et prendre les armes. Mais ils ne préparent pas ceux qui veulent les soutenir à utiliser leurs outils », a déclaré un expert en sécurité, connu sous le pseudonyme de Jericho, et fondateur du site web Attrition.org sur lequel on peut trouver des informations sur la sécurité informatique. « Anonymous doit éduquer ses supporters et bien informer le public sur ses objectifs. »
Gregg Housh, un porte-parole des Anonymous, dit avoir été submergé de courriels pendant les attaques du mois de décembre. Ceux-ci émanaient de néophytes qui cherchaient à rejoindre le mouvement. Tous les courriels disaient : « je ne sais pas ce que vous faites, mais je voudrais vous aider », a t-il raconté. « Pendant plus de deux jours, toutes les heures, j'ai reçu 100 à 150 messages de ce genre. » Mais il ne pouvait même pas répondre aux mails, « car j'aurais pu être accusé de participer à des activités criminelles. » Celui-ci fait remarquer au passage qu'il existait un canal IRC (Internet Relay Chat) du nom de « New Blood », utilisé par les membres d'Anonymous pour communiquer et apporter leur aide.
2. Attention à ce que vous divulguez.
Anonymous a fait connaître au public les campagnes de désinformation menées par HBGary Federal pour discréditer des organisations comme Wikileaks. Mais, selon un autre blogueur, expert en sécurité, connu sous le pseudo de Krypt3ia, l'entreprise de sécurité est loin d'être la seule à mener ce type d'opérations. « Voilà longtemps que ça se passe comme ça dans le secteur privé », a-t-il indiqué. « Ce n'est pas nouveau. Et HBGary est juste une entreprise épinglée parmi d'autres. »
Cela signifie qu'il y a de bonnes chances pour qu'Anonymous soit un jour la cible d'une campagne de désinformation de ce genre. N'importe quel pirate pourrait laisser sur l'ordinateur où il s'est introduit un fichier avec le slogan d'Anonymous, « Nous sommes légion » pour porter préjudice au groupe. Il n'y a aucun moyen de l'en empêcher. « Comment faire la différence entre une vraie action ciblée et une action de désinformation ? », demande Krypt3ia.
3. Attention aux dommages collatéraux.
Lorsque, il y a deux mois, le groupe LulzSec, a publié les noms et mots de passe de milliers d'utilisateurs, il n'a pas fallu longtemps pour que quelques-uns soient touchés. Certains ont vu leurs comptes de messagerie compromis et constaté que des commandes frauduleuses avaient été passées en leur nom sur Amazon suite à la diffusion de cette liste. Les Anonymous disent qu'ils veulent dénoncer l'hypocrisie des entreprises et la corruption des gouvernements. Mais rendre publiques les informations personnelles de gens ordinaires ne contribue pas à servir cette cause.
« Anonymous a livré les mails de HBGary. Mais historiquement, la meilleure information est toujours venue de sources internes.» Ce fut le cas de Deep Throat (l'agent du FBI Mark Felt) dans le cas du Watergate, ou encore de Bradley Manning, le membre des forces armées qui a livré les câbles diplomatiques et autres documents à Wikileaks. « Ces informations ne sont pas venues des pirates eux-mêmes », a déclaré Krypt3ia. « Les véritables révélations émanaient des initiés. »
Il était prévu que, pendant la conférence où se sont exprimés Jericho et Krypt3ia, l'ancien PDG de HBGary Federal, Aaron Barr, prenne également la parole. Mais suite aux menaces juridiques formulées par son ancien employeur, celui-ci est resté à l'écart du podium. « HBGary essaie de prendre ses distances avec Aaron Barr, mais le fait de l'empêcher de s'exprimer ne va probablement pas plaire aux pirates qui soutiennent les Anonymous », a déclaré Joshua Corman, un chercheur en sécurité, également présent à la conférence. Selon lui, HBGary vient en quelque sorte « de se désigner comme cible. »
Illustration : DefCon (crédit IDGNS)
Trimestriels Acteos, Aedian, Generix, Solucom
Acteos, éditeur, spécialiste des flux logistiques, livre les chiffres de son 1er semestre. Le chiffre d'affaires (CA) total se monte à 5,8 millions d'euros (ME) contre 4,4 lors des six 1ers mois de l'exercice précédent. La société souligne également son niveau de prise de commande, +38% en France, +21% pour l'ensemble du groupe (Allemagne, Etats-Unis), gage d'une croissance régulière.
De son côté, la SSII Aedian publie ses résultats annuels, clos au 30 juin dernier. Le chiffre d'affaires est stable à 40,4 millions d'euros. Le groupe note deux progressions, celle de l'activité de conseil passée en un an de 41 à 43 % du CA et celle des projets à engagement de résultats qui forment 37% de ce CA, contre 27% lors du précédent exercice. Aedian a commencé à déployer son pan stratégique Cap 2014. Objectif essentiel : atteindre les 5% de marge opérationnelle, contre 2,5% actuellement. Plusieurs mesures sont déjà engagées : modernisation des dispositifs d'épargne salariale, réorganisation du suivi des collaborateurs, renforcement de la fonction marketing, rationalisation des processus et outils de CRM, refonte des processus d'élaboration des propositions commerciales.
Pour sa part, l'éditeur Generix publie plusieurs résultats, ceux de son exercice annuel 2010/2011, clos au 31 mars dernier, et celui du 1er trimestre du nouvel exercice annuel, achevé au 30 juin dernier. Pour le dernier exercice annuel, Generix affiche (résultats non audités) un chiffre d'affaires (CA) de 66,2 millions d'euros (ME) en baisse de 2,4%, un résultat opérationnel de -5,2 ME, en baisse de 2,5 ME, un résultat financier positif de 0,1 ME (-0,7 contre -0,8), un résultat avant impôt de -5,9 contre -3,5. Le résultat net part du groupe se situe à -5,7 contre -2,8. Generix explique avoir connu une diminution de son activité licence, non compensée par la croissance de l'activité SaaS ou par la réduction des charges opérationnelles. La société souligne avoir réorganisé ses forces commerciales et amélioré son marketing.
Le conseil et les services en baisse chez Generix
L'éditeur doit ainsi faire face à une situation financière délicate. La prochaine assemblée générale, le 15 septembre, devra statuer sur une augmentation de capital de 8,2 ME. Le 1er actionnaire, Pléiade Investissement, prévoit de garantir cette augmentation à 100%. Le 24 janvier dernier, un accord des banques avait déjà accordé une ligne de trésorerie court-terme de 8,5 ME. Pour le 1er trimestre de son nouvel exercice, Generix annonce un CA de 15,68 ME en baisse de 8%. Les activités « conseil et services », -27% à 5,67 ME et licences, -8% à 1,67 ME, expliquent cette baisse.
Retour à la croissance attendu chez Solucom
Enfin, le cabinet de conseil Solucom affiche un chiffre d'affaires de 26,3 millions d'euros (ME), en recul de 6%. Solucom pour son 1er trimestre fiscal 2011-2012 (avril-mai-juin), Le cabinet explique ce résultat par le tassement de ses effectifs. Le taux d'activité des consultants s'élève à 84%, souligne la société, contre 85% sur l'exercice annuel précédent. Les prix de vente ont retrouvé une tendance positive au cours de ce deuxième trimestre.
Solucom prévoit un retour à la croissance pour le second semestre et confirme son objectif annuel d'un CA compris entre 110 et 115 ME, d'une marge opérationnelle située entre 10 et 12%. Solucom confirme également vouloir réaliser une opération de croissance externe.
(...)
Wikipedia recherche 5 000 contributeurs
L'encyclopédie en ligne participative Wikipedia est en quête de nouveaux bénévoles. Avec aujourd'hui 82.000 contributeurs, un chiffre en baisse continue depuis deux ans, Wikipédia a besoin de sang neuf et se fixe comme objectif le recrutement de 5 000 nouveaux collaborateurs d'ici à juin 2012.
C'est Jimmy Wales, le fondateur de Wikipedia, qui a fait cette annonce à l'occasion de la conférence Wikimania qui s'est déroulée à Haïfa (Israël) du 4 au 7 août. Il propose notamment de revoir l'ergonomie du site, ainsi que sa ligne éditoriale, afin de séduire de nouveaux collaborateurs. Il en va de la pérennité du modèle libre et gratuit de Wikipédia, qui fête cette année ses 10 ans.
Depuis deux ans, le site ne cesse de perdre des contributeurs (ils étaient 90 000 en 2008) et surtout n'arrive pas à se diversifier. Selon Jimmy Wales, l'immense majorité des bénévoles contribuant au succès de Wikipédia sont des hommes, geeks et âgés en moyenne de 26 ans. Cela a comme effet de limiter le développement de certaines thématiques comme les biographies de femmes célèbres ou encore tout ce qui est relatif à la petite enfance.
Illustration: Jimmy Wales, fondateur de Wikipedia. Crédit photo: Wikimedia
(...)
Stockage : Fusion-IO rachète IO Turbine pour 95 millions de dollars
L'Américain Fusion-IO, fabricant de cartes PCIe équipées de mémoire flash, vient d'annoncer qu'il rachetait l'éditeur de logiciels IO Turbine pour 95 millions de dollars. En passant cet accord, Fusion-io compte étendre ses solutions de cache au secteur des environnements virtualisés. Les logiciels développés par IO Turbine, sous le nom d'Accelio, permettent en effet au stockage en cache sur des serveurs d'être partagés sur plusieurs machines virtuelles. Ils viendront compléter les produits de Fusion-IO, qui utilisent des disques SSD comme un cache pour les données massivement utilisées, afin de réduire la quantité de données qui transitent sur les réseaux de stockage. Jusqu'à présent, les solutions de Fusion-io se bornaient à fonctionner avec des applications exploitant des données de façon intensive dans des environnements non virtualisés, a rappelé David Flynn PDG de Fusion-io, dans un communiqué. Dans le domaine des mémoires flash attachées aux serveurs, ce rachat va donc permettre à la société de doubler le marché auquel elle peut s'adresser. « A présent, il n'existe plus aucune application qui ne puisse tirer profit de Fusion-io », considère son PDG.
Une transaction importante pour Fusion-io
Fusion-IO va verser 95 millions de dollars en cash et en actions pour s'offrir IO Turbine, avec une part en espèces qui ne devrait pas excéder les 35 millions de dollars. La transaction devrait être conclue d'ici la fin du mois. La société intégrera les 25 employés de IO Turbine (dont le siège est situé à San José), à ses équipes d'ingénieurs. Fusion-io, dont le siège social est situé à Salt Lake City (Utah), dispose aussi de bureaux à San José où Le Monde Informatique s'est rendu en juin 2010.
C'est un achat important pour Fusion-IO, qui est entré en bourse en juin dernier et a levé 218,9 millions de dollars. Mais il devrait aider l'entreprise à faire son entrée sur un segment qui constitue l'une des plus grandes tendances de l'informatique d'entreprise et pourrait aussi l'aider à pousser la technique d'accélération de données qu'elle a lancée. En ce moment, la concurrence devient plus vive dans ce domaine. Jeudi dernier, Le fabricant de SSD (solid-state disk), STEC vient d'annoncer la sortie de mémoires flash intégrées à des cartes PCIe et d'une plate-forme logicielle pouvant être utilisée avec n'importe quel disque SSD.
Illustration : le logiciel Accelio d'IO Turbine (...)
| < Les 10 documents précédents | Les 10 documents suivants > |