Innovaud Connect: échange entre start

LES NEWS
ENTERPRISE AGREEMENT
Lors de sa présentation à l’Innovaud
Connect du 5 novembre à Y-Parc,
André Bourget, CISO
à l’Etat de Vaud, a
pointé du doigt les
menaces d’intrusions liées aux updates. Source: Appsec Forum
Windows se met aux
licences par utilisateur
ych. Microsoft a effectué un important changement dans son mode d’attribution de licences aux entreprises. La firme de Redmond
a en effet annoncé son intention de proposer
des licences par utilisateur, plutôt que par machine, comme c’était jusqu’à présent le cas.
La nouvelle option «Windows Software
Assurance per User» regroupe l’accès à
Windows via une multitude d’appareils compatibles Windows 7/8/8.1 Pro et Enterprise
(dont les tablettes, dans le cas où elles n’excédent pas 10,1 pouces de diagonale). Y compris
les PC et périphériques Mac et Android d’une
infrastructure VDI. La firme de Redmond
explique que les entreprises obtiennent avec
ces nouvelles offres la possibilité de déployer
Windows Enterprise sur les périphériques
par le biais d’installation locale, via une
Virtual Desktop Infrastructure (VDI) ou avec
Windows To Go.
Favoriser le BYOD
Microsoft a en outre souligné que ce changement d’attribution de licences permettra aux
CIO de déployer plus aisément une stratégie
Bring Your Own Device (BYOD). Analyste chez
Forrester, Ducan Jones salue l’initiative de la
firme de Redmond: «Auparavant, Microsoft
tentait de décourager les clients à utiliser une
infrastructure de desktops virtualisée (VDI)
sur des systèmes d’exploitation concurrents en
appliquant des règles d’octroi de licences
complexes. La licence par utilisateur simplifie
cela.»
Offre exclusive au programme Volume
Licensing
Branch Manager chez Comsoft direct Suisse,
spécialiste en matière de licences Microsoft,
Edi Albrecht précise que ce changement
s’adresse aux entreprises qui obtiennent
leurs licences via le programme Volume Licensing de Microsoft. Contacté par la rédaction, le spécialiste détaille: «Cette nouveauté
va concerner dans un premier temps les
grandes entreprises disposant d’un Enterprise Agreement et d’un Enterprise Agreement Subscription. Aux entreprises ayant
déjà un contrat Software Assurance, Microsoft va proposer ce qu’elle appelle un Add-On
Windows SA per User, afin de pouvoir faire la
transition vers cette offre qui apporte plus de
flexibilité, notamment dans le cadre d’infrastructure hybride.»
10
décembre 2014 – janvier 2015
CONFÉRENCE ET TABLE RONDE
Innovaud Connect: échange entre
start-up et responsables de la sécurité
ych. La conférence Innovaud Connect, le 5 novembre à Y-Parc (Yverdon), dans le cadre de
l’Appsec Forum, a proposé des présentations
de responsables de la sécurité IT de Romandie
Energie, de Swissquote et de l’Etat de Vaud. En
charge d’infrastructures critiques, ils ont exposé les défis qu’ils devaient relever. Quatre
jeunes pousses du cru ont ensuite présenté
leurs solutions en matière de cybersécurité:
Sysmosoft, spécialisée dans la sécurité mobile; Crossing Tech, qui propose aux banques
une solution pour interfacer leurs systèmes
hétérogènes; Grapseo, qui développe un outil
web sécurisé de collaboration à distance; Netguardians, éditeur de logiciels d’analyse comportementale.
Les dangers des mises à jour
Devant un auditoire attentif, André Bourget,
CISO à l’Etat de Vaud, a expliqué que l’institution publique se devait de faire le maximum
pour protéger les données personnelles des
citoyens et les processus de l’Etat. Pour assurer
cette mission, l’Etat de Vaud a mis en place l’an
passé un security operations center (SOC). «Ce
SOC doit être protégé contre une forme d’intrusions dont on parle peu, celles des fabricants de hardware et software qui récupèrent
des informations lors des updates de vos systèmes. Ce sont les mêmes fabricants – américains, chinois et israéliens pour la plupart –
qui fournissent les protections contre ces menaces, ce qui pose problème», a observé André
Bourget. Pour limiter ces risques, l’Etat de
Vaud travaille notamment avec une société
tierce suisse, qui s’occupe d’analyser les
softwares avant téléchargement pour y repérer d’éventuelles failles.
Le maillon faible: l’humain
Une table ronde animée par Rodophe Koller,
rédacteur en chef d’ICTjournal, a succédé aux
présentions. L’occasion de revenir entre autres
sur les intrusions liées aux updates. Marc
Furrer, Heat IT & Security de Swissquote, a
révélé à ce propos: «Nous avons une politique
de connexion avec l’extérieur extrêmement
stricte. Nos systèmes clés sont fermés et les
mises à jour automatiques bloquées.» Les intervenants ont en outre partagé leur point de
vue sur les risques liés aux collaborateurs négligents. Pour Raffael Maio, COO de Netguardians, l’humain est clairement le maillon
faible face aux cyber-menaces: «On voit aujourd’hui de plus en plus d’entreprises qui travaillent sur la formation de leur personnel,
mais qui agissent également en amont, en faisant passer des tests psychologiques lors du
recrutement pour repérer les penchants à la
fraude des candidats.» Autre question discutée: les aspects relatifs à la sécurité sont-ils
considérés suffisamment tôt au cours du développement d’un projet informatique? Pour
James Nauffray, CEO de Crossing Tech, la réponse est négative: «Il faut veiller à penser à la
sécurité au plus tôt dans le design de l’application et de l’intégration.»
L’Appsec Forum change de nom
En clôturant l’événement, Sylvain Maret,
co-fondateur de l’Application Security Forum,
a annoncé du changement pour l’an prochain.
La conférence a vécu son ultime édition et va
faire place à la Cyber Security Conférence,
qu’organisera la CyberSec Alliance. Celle-ci se
tiendra du 3 au 5 novembre 2015, toujours à
Y-Parc.
www.ictjournal.ch © netzmedien ag