archive | 9 juillet 2018

Le gouvernement Français présente sa nouvelle stratégie Cloud

Cloud GouvernementA l’occasion de la Cloud Week, Mounir Mahjoubi, secrétaire d’État au numérique a officialisé la nouvelle stratégie cloud du gouvernement français. Nous avions lors d’un précédent Briefing Calipia eu l’occasion de faire un bilan assez cruel de la stratégie de Cloud souverain proposée par le gouvernement Fillon en 2009, et c’est avec curiosité et impatience que nous attendions quelques informations sur les orientations étatiques concernant un sujet qui devient central dans le domaine des technologies de l’information et de la communication.

Manifestement la nouvelle stratégie est plus subtile, identifiant trois besoins et donc trois réponses concernant les directives Cloud envisagées.

La première consiste en un Cloud dit “Interne”. Réservé aux données et aux applications sensibles, il sera accessible à l’ensemble des ministères depuis un portail interministériel. Ce Cloud sera hébergé par l’administration, répondra aux “exigences régaliennes de sécurité” et reposera sur un socle open source OpenStack.

La deuxième solution est un cloud dédié cette fois-ci hébergé par des tiers tandis que la virtualisation sera réalisée en interne. Associé aux applications et aux données de sensibilité moindre, il bénéficiera de briques FranceConnect Plateforme afin de simplifier les développements de services. L’ANSSI, l’agence de sécurité des systèmes d’information aura la charge d’assurer la sécurité sur cette infrastructure.

Enfin, la troisième offre sera dédiée aux données et aux applications peu sensibles. Ce cloud externe sera composé d’un catalogue d’offres Cloud accessibles sur Internet depuis des centrales d’achat public. En clair, les administrations auront accès à des solutions Cloud public de prestataires extérieurs.

Le gouvernement se donne trois ans pour faciliter le développement de nouveaux usages administratifs. La numérisation de 100 % des démarches administratives prévue pour 2022 entre dans ce cadre. Il s’agit également de simplifier les achats informatiques de l’État, en réorganisant l’utilisation de l’enveloppe de 6 milliards d’euros par an allouée à cet effet.

De fait, les appels d’offres qui seront lancés à la rentrée en direction des acteurs du Cloud seront ouvertes à tous. Le gouvernement ne refuse pas de travailler avec AWS, Microsoft ou IBM, des fournisseurs qui hébergent les données en dehors du territoire français, du moment qu’ils répondent aux exigences du gouvernement en matière de sécurité. Pour justifier cette stratégie Cloud, le secrétaire d’État chargé du numérique évoque pourtant une meilleure maîtrise des données. Cependant l’État devra réaliser des aménagements réglementaires pour permettre l’hébergement des données à l’étranger.

Sécurité : Deux nouvelles initiatives de Microsoft concernant les mots de passe

Nous avons traité le sujet des mots de passe lors du Briefing Calipia de Juin, en essayant d’avoir une approche globale qui a mené et des conclusions assez simples dont voici un résumé :

  • Un mot de passe doit être « fort », c’est-à-dire ne pas pouvoir être deviné par des attaques de type dictionnaire (au sens large), et résister à des attaques de type force brute en augmentant son entropie, celles-ci étant de plus en plus efficaces du fait de la disponibilité de pré-calculs des condensés cryptographiques appelés les Rainbow Tables.
  • Un mot de passe peut être donné ou volé assez facilement par des techniques d’ingénierie sociale assez basiques ou d’hameçonnage informatique (le phishing) de plus en plus efficaces.
  • Différentes offres de gestion de mots de passe ont été décrites.
  • Il existe une alternative basée sur la cryptographie asymétrique (clé publique / clé privée) qui se développe et est à la base des solutions d’authentification multi-facteurs.
  • Il y a une volonté des acteurs de l’informatique d’éradiquer les mots de passe, avec par exemple pour Microsoft la combinaison de Azure Active Directory, les comptes Microsoft, Hello For Business, et Microsoft Authenticator.

Cela dit les mots de passe on encore un avenir notamment du fait de leur simplicité de mise en œuvre et de leur compatibilité avec des systèmes anciens, donc il est important de s’assurer qu’au moins ils soient forts.

Et c’est ce problème des mots de passe faibles que Microsoft se propose d’adresser, avec Azure AD Password Protection et Smart Lockout.

Azure AD Password Protection, vous aide à concevoir des mots de passe forts, tout en vous interdisant l’usage de mots de passe répertoriés dans une liste noire.

061918_0620_AzureADPass2

L’outil est capable d’identifier des caractères de substitution tels que « $ » pour « S », ou « 3 » pour « E », par exemple. Les administrateurs système peuvent, en sus, ajouter leur propre liste de mots de passe à bannir.

Microsoft lance également un second outil, Smart Lockout. Celui vient en complément de Azure AD Password Protection, en cela qu’il permet d’identifier la provenance des tentatives de connexion, et donc de déceler d’éventuelles actions malveillantes.

Les vidéos du Windows Server Summit 2018 sont disponibles

Win Server Pour fêter les 25 ans de Windows Server, Microsoft a le 26 juin organisé le Windows Server Summit et publié des vidéos concernant les quatre thèmes abordés qui correspondent sans surprises aux axes stratégiques concernant l’évolution de ce système d’exploitation :

  • Hybride : Détaille comment exécuter les charges de travail Windows Server de manière On-Prem et dans Azure, l’utilisation des services Azure peuvent pour gérer les charges de travail Windows Server s’exécutant dans le Cloud ou On-Premise.
  • Sécurité : Présentation des nouvelles fonctions de sécurité.
  • Plateforme d’application : Les conteneurs changent la façon dont les développeurs et les équipes d’exploitation exécutent les applications aujourd’hui et sont un axe important d’évolutions de Windows Server, notamment dans une stratégie de Cloud hybride.
  • Infrastructure « hyperconvergée » : Windows Server 2019 apporte de nouvelles capacités en s’appuyant sur Windows Server 2016 et ses capacités de contrôle de la mémoire, de la CPU et surtout du stockage qui étaient présentées sous l’acronyme de SDDC (Software Defined Data Center).