Innovaud Connect: échange entre start
Transcription
Innovaud Connect: échange entre start
LES NEWS ENTERPRISE AGREEMENT Lors de sa présentation à l’Innovaud Connect du 5 novembre à Y-Parc, André Bourget, CISO à l’Etat de Vaud, a pointé du doigt les menaces d’intrusions liées aux updates. Source: Appsec Forum Windows se met aux licences par utilisateur ych. Microsoft a effectué un important changement dans son mode d’attribution de licences aux entreprises. La firme de Redmond a en effet annoncé son intention de proposer des licences par utilisateur, plutôt que par machine, comme c’était jusqu’à présent le cas. La nouvelle option «Windows Software Assurance per User» regroupe l’accès à Windows via une multitude d’appareils compatibles Windows 7/8/8.1 Pro et Enterprise (dont les tablettes, dans le cas où elles n’excédent pas 10,1 pouces de diagonale). Y compris les PC et périphériques Mac et Android d’une infrastructure VDI. La firme de Redmond explique que les entreprises obtiennent avec ces nouvelles offres la possibilité de déployer Windows Enterprise sur les périphériques par le biais d’installation locale, via une Virtual Desktop Infrastructure (VDI) ou avec Windows To Go. Favoriser le BYOD Microsoft a en outre souligné que ce changement d’attribution de licences permettra aux CIO de déployer plus aisément une stratégie Bring Your Own Device (BYOD). Analyste chez Forrester, Ducan Jones salue l’initiative de la firme de Redmond: «Auparavant, Microsoft tentait de décourager les clients à utiliser une infrastructure de desktops virtualisée (VDI) sur des systèmes d’exploitation concurrents en appliquant des règles d’octroi de licences complexes. La licence par utilisateur simplifie cela.» Offre exclusive au programme Volume Licensing Branch Manager chez Comsoft direct Suisse, spécialiste en matière de licences Microsoft, Edi Albrecht précise que ce changement s’adresse aux entreprises qui obtiennent leurs licences via le programme Volume Licensing de Microsoft. Contacté par la rédaction, le spécialiste détaille: «Cette nouveauté va concerner dans un premier temps les grandes entreprises disposant d’un Enterprise Agreement et d’un Enterprise Agreement Subscription. Aux entreprises ayant déjà un contrat Software Assurance, Microsoft va proposer ce qu’elle appelle un Add-On Windows SA per User, afin de pouvoir faire la transition vers cette offre qui apporte plus de flexibilité, notamment dans le cadre d’infrastructure hybride.» 10 décembre 2014 – janvier 2015 CONFÉRENCE ET TABLE RONDE Innovaud Connect: échange entre start-up et responsables de la sécurité ych. La conférence Innovaud Connect, le 5 novembre à Y-Parc (Yverdon), dans le cadre de l’Appsec Forum, a proposé des présentations de responsables de la sécurité IT de Romandie Energie, de Swissquote et de l’Etat de Vaud. En charge d’infrastructures critiques, ils ont exposé les défis qu’ils devaient relever. Quatre jeunes pousses du cru ont ensuite présenté leurs solutions en matière de cybersécurité: Sysmosoft, spécialisée dans la sécurité mobile; Crossing Tech, qui propose aux banques une solution pour interfacer leurs systèmes hétérogènes; Grapseo, qui développe un outil web sécurisé de collaboration à distance; Netguardians, éditeur de logiciels d’analyse comportementale. Les dangers des mises à jour Devant un auditoire attentif, André Bourget, CISO à l’Etat de Vaud, a expliqué que l’institution publique se devait de faire le maximum pour protéger les données personnelles des citoyens et les processus de l’Etat. Pour assurer cette mission, l’Etat de Vaud a mis en place l’an passé un security operations center (SOC). «Ce SOC doit être protégé contre une forme d’intrusions dont on parle peu, celles des fabricants de hardware et software qui récupèrent des informations lors des updates de vos systèmes. Ce sont les mêmes fabricants – américains, chinois et israéliens pour la plupart – qui fournissent les protections contre ces menaces, ce qui pose problème», a observé André Bourget. Pour limiter ces risques, l’Etat de Vaud travaille notamment avec une société tierce suisse, qui s’occupe d’analyser les softwares avant téléchargement pour y repérer d’éventuelles failles. Le maillon faible: l’humain Une table ronde animée par Rodophe Koller, rédacteur en chef d’ICTjournal, a succédé aux présentions. L’occasion de revenir entre autres sur les intrusions liées aux updates. Marc Furrer, Heat IT & Security de Swissquote, a révélé à ce propos: «Nous avons une politique de connexion avec l’extérieur extrêmement stricte. Nos systèmes clés sont fermés et les mises à jour automatiques bloquées.» Les intervenants ont en outre partagé leur point de vue sur les risques liés aux collaborateurs négligents. Pour Raffael Maio, COO de Netguardians, l’humain est clairement le maillon faible face aux cyber-menaces: «On voit aujourd’hui de plus en plus d’entreprises qui travaillent sur la formation de leur personnel, mais qui agissent également en amont, en faisant passer des tests psychologiques lors du recrutement pour repérer les penchants à la fraude des candidats.» Autre question discutée: les aspects relatifs à la sécurité sont-ils considérés suffisamment tôt au cours du développement d’un projet informatique? Pour James Nauffray, CEO de Crossing Tech, la réponse est négative: «Il faut veiller à penser à la sécurité au plus tôt dans le design de l’application et de l’intégration.» L’Appsec Forum change de nom En clôturant l’événement, Sylvain Maret, co-fondateur de l’Application Security Forum, a annoncé du changement pour l’an prochain. La conférence a vécu son ultime édition et va faire place à la Cyber Security Conférence, qu’organisera la CyberSec Alliance. Celle-ci se tiendra du 3 au 5 novembre 2015, toujours à Y-Parc. www.ictjournal.ch © netzmedien ag