Avant d’aborder quelques principes permettant d’aiguiller le choix, il convient de rappeler les éléments techniques primordiaux dans les accès internet.

Le premier est la latence, que l’on peut résumer au temps mis pour qu’un message aille de sa source à sa destination. Ce temps est défini par de nombreux éléments comme le temps de circulation (que ce soit la fibre optique, ou les câbles électriques, la vitesse au sein des deux supports est sensiblement la même, à savoir environ 75 % de la vitesse de la lumière dans le vide), du nombre d’équipements que l’on traverse. Ces derniers peuvent être plus ou moins performants et donc avoir un impact plus ou moins important. Généralement, il y a peu d’actions permettant d’influencer ce temps, les joueurs connaissent bien cette contrainte et les ajustements possibles offerts par quelques box internet.  Cependant ce temps permet d’avoir relativement facilement une information sur une possible dégradation (saturation du réseau, problème de traitement sur un équipement…) par rapport à une valeur référence en situation nominale.

Ordre de grandeur de la latence :

(Https://wondernetwork.com/pings/paris)

Le second principe est le « débit internet », il est parfois inter changé avec la bande passante. C’est un petit abus de langage, le débit internet est la mesure de la vitesse à laquelle les informations sont transmises ; tandis que la bande passante désigne la capacité d’une liaison. Le débit internet ne peut pas dépasser la bande passante d’une liaison.

La bande passante est exprimée en bit par second (kbps, Mbps, Gbps…).

Dans le cas des offres d’accès internet, on parle également de débits montants et de débits descendants. Il s’agit simplement du sens de communication, suivant l’activité, l’asymétrie de ces débits pouvant être une contrainte.

Sans être exhaustif, voici un rapide rappel de débits des liens réseau que l’on rencontre fréquemment :

Ordre de grandeur des débits proposés :

Débit théorique montant/descendant par technologie

Comment choisir

Dans le cadre d’une utilisation personnelle, les critères sont souvent le prix, le débit et les services associés. Mais dans le cadre d’une utilisation professionnelle, comment choisir son réseau internet ? Quels sont les éléments les plus significatifs ?

Il n’existe pas de solution magique, mais juste quelques axes permettant d’orienter le choix.

Le débit

Le premier critère est sans aucun doute, le débit. Le débit nécessaire est différent pour un système de Visioconférence en haute définition et pour de la consultation de mails. En effet, la Visioconférence nécessite un débit important et une faible latence. Le mail supportera plus facilement une légère congestion. C’est à dire un ralentissement dans l’acheminement du message. Ces problématiques sont souvent gérées via des mécanismes de QoS (Quality Of Service)

Une étude du SETDA (The State Educational Technology Directors Association) de 2016 indique qu’un débit de 4,3Mbps (http://www.fibre-pro.fr/2019/05/21/debit-internet/) par utilisateur est une bonne approche pour l’usage professionnel.

Il existe quelques outils proposés par les opérateurs de service Saas ou des fournisseurs d’accès internet qui peuvent aider à faire une estimation de la bande nécessaire. Ils reposent sur de simples calculs d’un usage type multiplié par le nombre d’utilisateurs. Pour l’usage de ces outils il convient de connaître précisément ses besoins.

(https://oneringnetworks.com/bandwidth-calculator ; https://www.sd-wan-experts.com/o365-bandwidth-calculator/)

Le débit symétrique est de base dans les offres qui s’adressent aux entreprises. Dans l’hypothèse de l’utilisation d’une offre pour les particuliers, l’asymétrie du trafic sera une contrainte supplémentaire à prendre en compte. Le tableau présenté précédemment montre le décalage important entre le flux montant et descendant.

Les engagements de service

Le second critère est les engagements de services.

En cas de forte utilisation, il peut y avoir des périodes de congestions, c’est à dire un ralentissement du réseau en raison d’une surconsommation, pendant lesquelles, le débit disponible peut être inférieur au débit nominal. Ces fluctuations peuvent, dans les cas de flux sensibles (vidéo par exemple) avoir un impact sur la qualité du service. La garantie de bande passante vers internet par l’opérateur permet de disposer en permanence de la bande passante achetée. Les offres pour les particuliers ne disposent pas de cette garantie. Celle-ci a bien évidemment un coût, les opérateurs devant réserver cette bande passante sur leurs infrastructures. Cette garantie est plus ou moins importante selon les besoins de l’entreprise. Il est donc nécessaire de bien comprendre le besoin pour anticiper ces besoins.

Le second aspect des engagements de service concerne les moyens que l’opérateur devra mettre en œuvre pour la résolution des incidents. Les deux critères sont le temps d’intervention (durée pour la prise en compte de votre incident et le début de la résolution) et le temps de rétablissement (durée avant le retour du service) permettant d’avoir une implication plus forte des opérateurs lors d’un incident. Généralement, ces engagements s’accompagnent de pénalités.

La résilience

Dans le cas d’une utilisation domestique, une interruption de service est agaçante mais ne prête que très rarement à conséquence. Dans le cas d’une entreprise, l’interruption est souvent bien plus préjudiciable. Si l’activité de l’entreprise est directement liée à des ressources accessibles via internet, il peut être nécessaire de mettre en œuvre des mécanismes permettant de disposer d’un accès de secours. La mise en place de ce second lien nécessite la mise en place d’outils pour assurer le fonctionnement sur ces deux liens (routage dynamique, répartiteur de liens, SDWAN…). Il faut également prendre en compte le fonctionnement attendu : le cas le plus simple est généralement l’actif / passif. Un seul lien est utilisé pendant que le lien de secours est dormant.

Le prix

Le dernier critère est le coût de la solution répondant au mieux aux critères précédents. En effet, ce coût peut être important. La richesse des offres disponibles est variable selon la région. Dans les zones denses, les opérateurs sont généralement nombreux et concurrents ce qui permet d’avoir des offres plus nombreuses, mais ce n’est pas une généralité.

L’évolution des usages

Pour bien estimer les critères de choix précédents, il convient de prendre en compte les changements d’usage.

Si on revient quelques années en arrière, les données, les applications étaient dans des Datacenters connectés avec des liens dédiés (MAN, MPLS…) voire hébergées sur place, mais les offres de service en cloud changent ce paradigme. Il est fréquent d’avoir une partie, voir l’ensemble de ses outils dans les cloud ou dans des offres de type Saas (Software As A Service). Dans ce cas, l’accès internet n’est plus un lien pour les échanges externes à l’entreprise, mais devient un moyen interne de communication entre les utilisateurs et les ressources.

Cela change deux éléments majeurs :

• La criticité de l’accès internet : auparavant, une perte pouvait dans bien des cas être acceptable car elle n’empêchait pas de travailler, certes elle limitait les échanges avec des clients et les fournisseurs, mais bien souvent cela était tolérable. Avec ces services cloud, est-ce bien toujours le cas ?

• L’utilisation du lien internet est également changée. Auparavant, avoir un débit dégradé pour l’émission des messages mails pendant que les salariés effectuaient des recherches d’informations sur internet pouvait être acceptable, mais avec l’utilisation de solutions Saas et cloud, cela ne l’est plus. Les outils collaboratifs, que nous utilisons de plus en plus nécessitent une bonne réactivité. Travailler sur un document de manière collaborative sans voir en temps réel les actions réalisées limite l’intérêt de l’outil. C’est encore plus marqué sur les outils de visioconférence et de VoIP (Voice over IP). La qualité de la liaison devient primordiale.

Ces deux points montrent le besoin d’adapter son infrastructure d’accès internet lors des changements de fonctionnements.

L’augmentation du recours au télétravail peut également avoir un impact significatif sur l’usage des liens internet.  Selon son fonctionnement, les utilisateurs accèdent aux ressources hébergées en data center par des liens, des accès dédiés depuis les locaux de l’entreprise. Avec le télétravail, ces accès passent par internet. Ce changement de cinématique de communication impacte la consommation de ce lien.

Si l’entreprise utilise les services cloud et Saas, ce changement de fonctionnement ne devrait pas avoir d’impact significatif, les acteurs du marché ayant des capacités d’évolutions très rapides.

Pour bien choisir sa solution d’accès internet, il convient donc de bien connaître son usage, ses applications et le positionnement des applications. La richesse des offres peut être déroutante lors du choix, mais les critères indiqués devraient en simplifier la lecture.

Cet article Bien choisir son accès internet est apparu en premier sur iDNA.

Au cours de cet article, nous allons aborder l’orientation actuelle des architectures en data center. Mais commençons par présenter l’architecture qui était très courante jusqu’à présent.

Les design historique / évolution….

Le trio cœur, distribution et accès

Le design réseau des datacenters repose historiquement sur une organisation à trois grands niveaux.

Le premier, l’accès, assure la connectivité aux serveurs. Ce niveau peut être mis en œuvre de différentes manières. Allant d’une approche très centralisée, avec des solutions, qui regroupent toutes les connexions dans un point unique du data center, impliquant la concentration du câblage dans cette zone, à des alternatives de type top of row et top of rack permettant de rapprocher les commutateurs des serveurs et donc de réduire ces points de concentration du câblage.

Dans les architectures dites top of row, un ou plusieurs commutateurs sont installés pour irriguer une rangée de baies serveurs. Ces derniers sont donc connectés vers ce point de concentration relativement proche.

L’architecture top of rack repose sur la même idée, seulement cette fois-ci, les commutateurs sont mis au plus proche des serveurs, c’est-à-dire directement dans les baies.

Il est à noter que les deux dernières approches coexistent, l’approche centralisée étant en perte de vitesse.

Cette couche d’accès, existe toujours dans les architectures plus récentes, mais son fonctionnement a évolué. Dans les architectures à trois niveaux, elle sert avant tout à offrir une connectivité aux ressources informatiques sans vraiment apporter de traitement.

Le niveau de distribution/agrégation permet l’agrégation des accès. Ce niveau est généralement utilisé pour faire de la commutation et offrir un niveau de résilience avec les commutateurs d’accès.

Sa constitution dépend directement des choix et des besoins. Généralement, ce niveau permet de pallier les pannes via la multiplication des liens d’interconnexion vers les commutateurs d’accès. Selon les technologies utilisées, certains liens d’interconnexions ne sont utilisés qu’en cas de panne. Ce fonctionnement est de plus en plus rare dans les architectures modernes compte tenu de cette sous-utilisation des liens.

Enfin le dernier niveau, le cœur (core), assure le routage. C’est-à-dire le passage d’un réseau à un autre. Des variantes existent, mais c’est souvent sur ce niveau de l’architecture que l’on branche les interconnexions vers d’autres réseaux, les équipements de filtrages….

Ce design est souvent évoqué sous la dénomination Nord / Sud. L’origine de ce terme vient de l’habitude de représentation de ces réseaux. En haut, le nord, l’extérieur (internet, les sites distants…) puis les cœurs (avec quelques équipements de sécurité intermédiaire…), en bas, le sud avec les commutateurs d’accès et les serveurs.[/vc_column_text]

Sur le schéma ci-dessus, les liens en rouge représentent des liaisons généralement inactives.

Cette approche qui subsiste encore, ne répond plus aux besoins des applications modernes.

Les technologies comme l’hyper-convergence, la virtualisation, le big data… ont complètement changé notre manière d’interagir avec les données.

Avec l’évolution des usages, le trafic reste principalement à l’intérieur du DC (Data Center) circulant entre les différents serveurs pour nourrir différentes applications. Ce type de trafic est dit de type Est/Ouest. Cette terminologie est rentrée dans les usages, elle est d’ailleurs reprise dans les solutions de SDN, mais constitue le pendant du Nord/Sud que l’on vient d’évoquer.

Une autre contrainte du design 3 tier (Cœur/Distribution/Accès) est son manque de souplesse. Pour augmenter la capacité, il faut augmenter les couches de distribution/agrégation et/ou le cœur. Ce type de changement, dit scale up, nécessite des investissements importants qui peuvent être un frein à une évolution rapide des besoins.

Leaf and spine

Le design que l’on rencontre de plus en plus est de type leaf and spine, feuille et colonne vertébrale dans la langue de Molière. Dit comme cela, cela n’éclaire pas sur le fonctionnement. Concrètement, les commutateurs leaf représentent les commutateurs TOR (Top Off Rack) et les spines sont les commutateurs de distribution. Les commutateurs leaf ne sont pas connectés entre-deux.[/vc_column_text]

Exemple de design leaf and spine

La couche cœur (core) disparaît dans cette architecture. La couche spine est constituée de commutateurs assurant également le routage. Dans les architectures Leaf-Spine, les commutateurs de la couche leaf sont connectés à plusieurs, voire tous les équipements de la couche spine.

Les spines assurent le routage comme pouvait le faire la couche cœur du modèle 3 tier, mais ils permettent aussi un échange vers les leafs sans avoir de liens bloqués. Ce qui permet une meilleure utilisation de la bande passante. Les puristes pourront arguer que cela était faisable dans les architectures 3 tier. Oui, c’est effectivement possible, mais ce n’est pas le fonctionnement natif des architectures 3 tier, ce sont des adaptations, des améliorations.

Pour les communications serveur à serveur, dans une architecture à trois niveaux, les échanges vont de l’accès/distribution/cœur/distribution et enfin accès. Alors que la chaine de communication dans le modèle Leaf-Spine est nettement plus court (leaf/spine/leaf). Cela permet une amélioration de la latence car le trafic traverse moins d’équipements.

Un autre élément significatif est la réduction des goulets d’étranglement, dans une architecture 3 tier, un grand nombre d‘échanges transitent par les cœurs, ils constituent donc des points de concentrations. Ce problème est réduit dans une architecture Leaf-Spine.

Comment dimensionner son architecture Leaf-Spine ?

Avant de répondre à cette épineuse question, il est nécessaire d’introduire la notion de sursouscription. C’est un concept relativement simple, mais prenons un exemple, un commutateur de 48 x 1Gbps port d’accès et 2 x 10Gbps pour les interfaces d’uplinks. La bande passante globale des interfaces d’accès est de 48Gbps (48×1) et celle des uplinks de 20Gbps (2×10). Donc le taux de souscription est de 48 : 20 ou 2,4:1.

Dans le cas d’un design idéal, un taux de 1 garantit l’absence de congestion. Dans la pratique, ce taux varie, mais il est souvent égal ou inférieur à 3 : 1

Pour définir une architecture leaf and spine, il convient de connaitre précisément le nombre d’équipements qui seront connectés, cela permet de définir la couche leaf. Celle-ci dépendra également de l’urbanisation du data center (top of row, top of rack…). Une fois la couche leaf définie, la couche spine pourra être dimensionnée en prenant en compte le taux de sursouscription. À noter que ce taux peut aussi être adapté pour quelques parties du réseau comme les espaces de stockages. Bien évidemment, d’autres éléments (les interconnexions, les technologies de SDN, les outils de sécurité…) sont à prendre en compte pour mettre en œuvre un design adapté et évolutif.

L‘un des intérêts de l’architecture Leaf-Spine est notamment la souplesse pour augmenter le débit ou la connectivité en ajoutant simplement des leads ou des spines.

Le design Leaf-Spine constitue, notamment via son maillage, un point de départ pour la mise en place de service de type SDN (Software Define Network) au sein du data center.

Enfin pas si novateur ce design…

L’architecture leaf and spine peut aussi se nommer Clos Fabric. Elle fait référence à Charles Clos, qui en 1952, pour des contraintes financières, a créé ce design pour les commutateurs électromécaniques utilisés dans les communications téléphoniques.

Les architectures réseau en data center ne se résument pas à ces designs, il y a de nombreux autres facteurs à prendre en compte qui dépassent largement le cadre de cet article. Si vous souhaitez plus d’informations ou tout simplement faire évoluer votre infrastructure réseau, n’hésitez pas à nous contacter : contact@idna.fr

Cet article L’évolution des architectures réseaux en data center est apparu en premier sur iDNA.

L’incident survenu chez OVH début mars a rappelé à beaucoup qu’un Datacenter n’était pas éternel. Pour rappel, un incendie a détruit un ensemble de salles, et par effet de bord, les autres salles ont dû être éteintes plusieurs jours, pour sécuriser l’opération des pompiers dans un premier temps, et ensuite le temps de reconstruire les capacités électriques et réseau. Résultat : des centaines d’entreprises ont été impactées à différents niveaux : messageries, sites web, membres de cluster d’hyperviseur, voire perte de serveurs ou d’accès aux données sauvegardées, au moins temporairement ! Suite à cet incident, un plan de reprise d’activité a été activé.

Comment bien se préparer en prévision d'un sinistre ?

Cet incident, rare dans le monde des Datacenters, pose un certain nombre de questions. Je ne m’attarderai pas sur les causes d’un tel sinistre, d’une part car il est trop tôt, d’autre part parce que, quelles qu’en soient les causes, cela peut arriver à n’importe qui.

C’est là que nous devons nous interroger sur nos capacités à faire face à un tel sinistre : la perte d’un site. Ceux qui ont été directement impactés peuvent maintenant y répondre, mais à quel prix ? N’attendons pas d’être au pied du mur pour s’interroger sur notre capacité à le franchir ?

Quelles sont les données que je perdrai ? Comment je reconstruirai mon infrastructure ? Comment je réinjecterai mes données ? Avec quel niveau de pertes ? En combien de temps ? Avec quelles ressources matérielles et humaines ?

Ces questions permettent de construire son PRA (Plan de Reprise d’Activité), d’apporter des réponses fonctionnelles, de mettre en œuvre des solutions techniques, de construire un processus, mais il ne faut pas s’arrêter là.

En effet, il faut tester son plan de reprise d’activité régulièrement pour identifier ce qui est passé entre les mailles du filet, mais aussi les nouveaux besoins, les modifications sur l’infrastructure ou les applications, et ainsi évaluer la connaissance du process par les équipes, afin que celui-ci ne soit pas découvert juste au moment de la crise.

Ces éléments ont bien un coût, mais qui est à mettre en corrélation avec la perte d’activité qu’engendrerait la perte des outils et données. A l’image de nombreuses entreprises qui se sont outillées contre les malwares et rançonwares après avoir vu les impacts réels de tels événements auprès de sociétés touchées, l’incident d’OVH va, à n’en pas douter, faire bouger les lignes des décisionnaires. A minima, ils se poseront la question de l’efficacité de leur PRA, et pour ceux qui n’en sont pas encore équipés, s’interroger sur la manière d’assurer la continuité d’activité de leur entreprise.

Pour conclure

Les réponses qui peuvent être apportées sont nombreuses, parfois complexes, parfois simples, mais dépendent toutes de l’activité de l’entreprise. On pourra ainsi identifier la résilience des infrastructures (synchronisation des données multisites, réplications via des outils de sauvegarde; les mécanismes de routage réseau, …), la remise en ligne des services sur des sites prévus à cet effet (Disaster Recovery as a Service), le questionnement sur les services CLOUD IaaS ou SaaS, le positionnement des données de sauvegardes (stratégie 3 2 1), les procédures d’activation du PRA (les équipes ont-elles toutes les informations ?), le plan de test du PRA (simulation de la perte d’un ou plusieurs éléments), la vie de ces procédures (amélioration continue après chaque exécution : PDCA),  et bien sûr, sans oublier le retour à l’état nominal ou sa reconstruction quand c’est impossible.

Tous ces éléments poseront des questions, amèneront, à n’en pas douter, des modifications dans l’entreprise, mais se poser ces questions avant, c’est assurer la pérennité de l’entreprise, tout en espérant ne jamais y avoir recours … comme une assurance !

Toutes les équipes d’iDNA sont à votre service pour vous aider dans cette démarche, du design à la mise en application en passant par l’intégration. Alors n’hésitez plus, contactez-nous !

Cet article Plan de reprise d’activité, ça n’arrive pas qu’aux autres ! est apparu en premier sur iDNA.

L’internet des objets (IoT) se développe au sein des foyers et de plus en plus dans les entreprises.

On y trouve des détecteurs de présence, des tablettes de réservation de salle, des écrans de signalétique, des lecteurs de badge etc.

Ces dispositifs sont souvent reliés à d’autres composants du SI diffusant des informations nécessaires aux utilisateurs. Mais comment sécuriser et relier ces dispositifs à un réseau ?

Intégration de l'IoT au sein du réseau informatique

En fonction de leur utilisation et de leurs caractéristiques, les objets connectés pourront être reliés à différents réseaux informatiques. Le réseau LAN de l’entreprise et le réseau LPWAN en filaire ou non ont chacun leurs spécificités et leurs enjeux de sécurisation.

Bien qu’un réseau local (LAN) apporte une sécurité native plus importante, il sera cependant plus difficile à déployer et moins flexible à l’usage.

A l’inverse, les équipements utilisant des réseaux LWPAN seront plus faciles à déployer mais nécessiteront une attention particulière sur la sélection des équipements et des dispositifs de sécurité.

Les réseaux LWPAN utilisent des réseaux déjà déployés comme SIGFOX ou LoRa, qui ne sont pas dédiés aux entreprises c’est pourquoi ces réseaux nécessiteront d’être sécurisés.

Entre les réseaux SIGFOX et LoRa nous pourrons déployer des équipements comme des tablettes de réservation de salle ou des équipements de communication dans les salles de réunion en utilisant le réseau LAN de l’entreprise

Tous ces dispositifs nécessitent d’être interconnectés à d’autres composants de l’entreprise comme la messagerie, l’annuaire, voir même à internet.

Cette nécessité soulève des réflexions. Quelles sont les informations que l’entreprise doit rendre accessible, quelles sont leurs classifications ? Comment mettre à jour et sécuriser les dispositifs ?

Pour conclure

Comme nous pouvons le voir, les usages évoluent et les équipements fournissent des services de plus en plus évolués qui sont interconnectés dans des services CLOUD.

Il est nécessaire de sécuriser ces dispositifs et de se poser la question de la sécurité dès la définition des besoins pour l’intégrer dans le cahier des charges.

Le choix d’un composant aussi performant soit-il ne saurait être validé s’il compromet la sécurité du système d’information.

En termes de sécurisation, nous pourrions envisager un cloisonnement dédié par type d’équipement, auquel on ajoutera un filtrage serré communications. Pour ce faire, la première étape est d’obtenir toutes les interdépendances des composants.

Bien que les SI d’entreprise aient pris en compte depuis plusieurs années la nécessité de la sécurité, ce n’est pas toujours le cas pour des équipements destinés initialement aux particuliers ou issus de l’industrie du bâtiment.

Au-delà d’un filtrage réseau classique, certains équipements ont besoin de s’interconnecter avec l’annuaire de l’entreprise ou les calendriers par exemple. La généralisation d’Office 365 offre beaucoup de fonctionnalités, mais doit être manié avec précaution. Il faut appliquer dans ce cas le principe de juste droits afin que les équipements puissent accéder aux informations qui leur sont utiles pour délivrer le service aux utilisateurs, et juste à celles-ci.

Et vous, quels IoT avez-vous déployés dans votre entreprise ? Sont-ils correctement sécurisés ? Parlons-en ensemble !

Cet article IoT : et la sécurité ? est apparu en premier sur iDNA.

Historique

1850-1900

Le premier câble sous-marin de télécommunication date de 1850, c’était un câble coaxial. Il était posé entre le cap Gris-Nez (entre Boulogne-sur-Mer et Calais) et le cap Southerland (Angleterre). Il a fonctionné pendant 11 minutes.

Le premier câble transatlantique est posé en aout 1858 entre Valentia (Irlande) et Trinity Bay (Terre-Neuve), par deux navires militaires reconvertis en câbliers. Au total, 4 200 km de câble, sont posés. La transmission du premier message de 100 mots entre la reine Victoria et le président des Etats-Unis, M. Buchanan, dura 1 heure et 7 minutes (le télégraphe ne sera inventé qu’en 1876). Malheureusement, la ligne ne fonctionna que 20 jours.

Le premier câble sous-marin reliant la France et les États-Unis fut posé en 1869 par la Compagnie Française des Câbles Télégraphiques. Il reliait Brest à Cap Cod près de Boston via Saint-Pierre-et-Miquelon.

En 1870, suite à une requête du gouvernement britannique, un câble sous-marin reliant Londres à Bombay est installé. Cette mise en place fût initiée par le navire le plus long à l’époque : le Great Eastern.

En 1882, l’Angleterre détenait près de deux tiers des câbles du monde.

Côté français, la compagnie française des câbles télégraphiques (CFCT) installe en 1898 un câble reliant Brest et New-York. La résistance électrique totale du conducteur était d’environ 5 269 ohms.

1850- à nos jours

1,2 millions de mots par semaine c’est ce que permettaient de transférer les 21 câbles reliant l’Angleterre et la France en 1917.

1927 est l’année des premiers services téléphoniques publique transatlantiques cependant tout le monde n’y avait pas accès car les coûts étaient prohibitifs.

En 1950, les répéteurs immergés apparaissent et permettent de réamplifier régulièrement le signal.

En 1955, le TAT1 (Trans-Atlantic Telephonic cable), premier câble téléphonique coaxiale à modulation de courant et fréquence, dispose de 48 canaux. Chaque canal dispose d’un débit de 64kbps (soit 3Mbps).

Depuis, la fibre optique a remplacé les câbles en cuivre. Le premier câble optique transatlantique (TAT8), entre la France, l’Angleterre et les États-Unis date de 1988. Il permettait l’échange de 40 000 voies téléphonique.

La distance actuelle estimé des câbles optiques sous-marins est de 1,3 million de  km. Leur nombre évolue sans cesse, aujourd’hui il est de l’ordre de 428. Les câbles ont une référence mais bien souvent un nom (Arcos, Celtic, Malbec, Ulysse2…). De nombreux sites fournissent des cartes géographiques de ces câbles (https://www.submarinecablemap.com).

Structure physique

La fibre est courante dans les datacenters, le câblage des bâtiments, et désormais la maison, mais dans tous ces utilisations les distances sont relativement courtes. Quant aux liaisons fibre fournies par les opérateurs, la distance est généralement masquée par la présence d’équipement répétant le signal. Il en va de même pour les câbles sous-marins.

Pour couvrir de grande distance, il est nécessaire de répéter le signal. En effet, le transport d’information sur une fibre optique subit une atténuation avec la distance. Cette contrainte physique nécessite de réamplifier le signal régulièrement. Les fibres sous-marines ne font pas exception. Il est nécessaire de mettre des répéteurs tous les 50 à 80km. Ces répéteurs ont besoin d’une alimentation électrique qui est fournie par des câbles cuivre qui sont inclus dans le câble optique. Compte tenu des conditions de fonctionnement, ces répéteurs sont intégrés dans des  boitier pour les protéger, d’où un  poids pouvant atteindre 300 à 400 kg. Ils peuvent ainsi coûter jusqu’à 880 000 euros l’unité.

Chaque câble est différent par sa capacité de transport, les technologies utilisées pour leur fabrication, néanmoins le fonctionnement et généralement le même.

Au cœur des câbles ont retrouvent des fibres optiques. Il y a toujours un tube plastique qui protège une gaine en cuivre qui contient les fibres optiques. Un tube de cuivre permet le transport de l’électricité nécessaire aux répéteurs. Enfin une gaine d’acier, de silicone et d’un gel anti-pression assure la protection et l’étanchéité du réseau. Le diamètre de la fibre optique n’excède généralement pas 1,4 cm de diamètre, et une fois recouverte, le câble peut atteindre environ 10 cm de diamètre.

Fonctionnement

Les  fibres optiques sous-marines sont des fibres monomodes.

Afin d’optimiser la transmission sur la fibre, des mécanismes de multiplexage comme DWDM ou OTN (Optical Transport Network) sont mis en œuvre.

Cela permet de faire transiter sur un même support physiques plusieurs signaux à des longueurs d’ondes différentes (couleurs), atteignant des débits de plusieurs Téra bit par seconde.

La fibre Dunant, est composé de 12 paires de fibres (contre 6 ou 8 habituellement). Ce changement permettra d’atteindre un débit de 250Tbps. Le débit moyen des câbles sous-marins est de 30Tbps.

Mise en œuvre

La mise en place des câbles sous-marin se fait via des navires câbliers qui déposent le câble au fond de l’océan ou l’enterrent.

Pour l’enterrer, ils utilisent une « charrue » qui, tiré par le navire câblier, va déposer le câble dans une tranchée et la reboucher.

L’enfouissement est une mesure de protection, mais elle n’est utilisée que lorsque cela est nécessaire, comme par exemple en eau peu profonde, où les chaluts et les ancres risquent de l’endommager.

Le positionnement au fond de l’océan ne protège pas des actes délictueux, comme cela été le cas en 2007, où des « pêcheurs » au Vietnam ont coupés 50km de câbles pour revendre les matériaux.

En 2015, c’est une ancre qui fût à l’origine d’une section de câble privant presque toute l’Algérie d’Internet pendant deux semaines.

Près des côtes, l’ensevelissement est effectué à l’aide de jet d’eau haute pression (20bars environs). Cette action se fait généralement avec des plongeurs.

Combien ça coûte ?

Le prix des câbles dépend de nombreux facteurs. Un câble de 50 à 100 km, qui ne nécessite pas de répéteur, coûte autour de 30 millions d’euros.

Pour les câbles plus longs, sur des milliers de kilomètres, qui disposent régulièrement de répéteur(s),  le coût  peut atteindre 700 millions d’euros.

Qui finance ?

Historiquement, les liens étaient financés par des opérateurs télécom (Level3, Verizon …), qui fournissaient ensuite le service à leurs clients.

Toutefois, cette situation a évolué, avec la participation des géants du net. Ces derniers sont de très gros consommateurs : plus de la moitié du trafic sur les liaisons transatlantiques et transpacifiques proviennent des GAFAM. Voici quelques-unes de ces réalisations :

• CURIE, qui relie le Chili à la Californie par l’océan Pacifique, est le premier câble sous-marin intercontinental appartenant entièrement à une compagnie non-télécom, puisque Google en est l’unique investisseur.
• En septembre 2017, Facebook, Microsoft et Telxius (filiale de Téléfonica) ont achevé le câble MAREA de 6000 Km entre Virgina Beach (Etats-Unis) et Bilbao (Espagne). Il fonctionne depuis février 2018 à un débit de 160TBps.
• “HAVFRUE” (du danois “sirène”) qui relie le Danemark aux Etats-Unis. Il est co-financé par Google et Facebook.
• Le projet SIMBA de Facebook vise à permettre l’accès à internet sur toute l’Afrique.

Au total, Facebook participe à au moins six consortium de câble sous-marins et Google détient des intérêts dans au moins 13 câbles depuis 2010.

Les enjeux

Les fibres optiques sous-marines constituent une infrastructure critique. Elles sont nécessaires dans les accès internet mais plus largement dans l’activité économique des pays, cependant elles sont fragiles. Nous avons déjà évoqué les risques accidentels ou le vol pour revendre les matériaux, mais il reste les risques d’espionnage ou de sabotage en  cas de conflit.

Les opérateurs sont en mesure de déceler et de localiser une éventuelle coupure ou une dégradation.

Dans l’espace maritime français, la surveillance est assurée par la marine nationale, en particulier dans les zones économiques exclusives (ZEE). Il faut savoir qu’en principe, aucun autre bâtiment n’a le droit de s’approcher lorsqu’un navire câblier est en opération. Dans la ZEE, l’état côtier ne peut pas contrôler la pose de câble, de pipe-lines par d’autres pays.

Les écoutes via des équipements directement branchés sur les câbles peuvent être une source de tension diplomatique. Certains états et opérateurs disposent de moyens de collecte comme cela a été divulgué par l’ex-agent de la NSA Edward Snowden.

Pour conclure

Les câbles sous-marins sont l’un des composants essentiel d’internet et constituent, de ce fait, un élément sensible. L’augmentation des échanges de données va renforcer l’importance de ces liens. L’implication croissante des GAFAM est une évolution majeure. Le nombre d’acteurs limités est/sera à prendre en compte dans les problématiques de sécurisation des échanges.

Cet article Les câbles sous-marins est apparu en premier sur iDNA.

Quels que soient leurs usages, ils ont tous besoin d’une connexion pour interagir. Ce besoin a fait émerger des nouvelles technologies réseaux, mais concrètement où en sommes-nous ?

Les contraintes

Le réseau dans le monde de l’IoT est soumis à une contrainte énergétique forte. Les objets fonctionnant sur batterie ont généralement une autonomie limitée par la capacité de celles-ci, et il apparaît donc crucial que les mécanismes de communication soient les moins énergivores possibles. Quant à elle, la distance de communication n’est généralement pas un problème, si la technologie retenue est adaptée à l’usage. Enfin le débit est généralement faible, les objets n’échangeant que peu d’informations avec les applications.

Les familles de réseau

Les technologies réseau permettant de communiquer en utilisant peu d’énergie peuvent être regroupées en deux grandes familles. Ce découpage se fait par rapport à la portée de communication. Une balise en pleine mer aura besoin d’une technologie de communication longue distance bien plus grande que votre bracelet d’activité physique :

• Les réseaux à courte portée comme le WIFI, le Z-Wave…, qui permettent le transfert de données sur de faibles distances. Ils sont utilisés dans la domotique, les montres, les bracelets, etc
• Les réseaux à longue portée et basse consommation (LPWAN). Les technologies cellulaires (GSM, 2G, 3G…) en font aussi partie comme Sigfox ou Lora. Ces réseaux sont utilisés par les entreprises qui veulent connecter leurs infrastructures à Internet, à des km de leur site d’origine.

Les familles de réseau > Réseaux à courte portée

Dans la famille des réseaux à courte portée, nous avons les réseaux « personnels ». Ils sont globalement associés aux objets connectés que nous sommes amenés à transporter, dans le cadre d’une activité sportive par exemple. Ces réseaux sont souvent associés aux smartphones ou à d’autres dispositifs portables.

ANT+ est un protocole propriétaire qui appartient à une filiale de la société Garmin (les sportifs la reconnaitront, pour les autres, il s’agit d’une entreprise spécialisée dans les équipements hi-tech du sportif). D’autres fabricants ont conclu des accords pour être interopérables (exemple : Polar). Il s’agit d’une transmission radio permettant des échanges de 20kbps.

BLE (Bluetooth Low Energy) est une variante de la norme Bluetooth conçue pour ne consommer que peu d’énergie, avec en contre partie des distances plus faibles (50m vs 100m pour le Bluetooth classique) et un débit moindre.

ANT+ et BLE utilise la fréquence de 2,4GHz comme le WIFI.

ANT+ fonctionne aussi bien en mode point à point qu’en « topologie  en  étoile » (un appareil est connecté à de multiples autres), le BLE ne fonctionne qu’en mode point à point. Un capteur ANT+ pourra être utilisé simultanément sur plusieurs terminaux de collectes (téléphone, montres…),  à l’inverse du capteur Bluetooth qui ne pourra être utilisé que sur un seul appareil à la fois. L’écoute ou l’interception d’une communication BLE est plus délicate, théoriquement.

Il y a bien d’autres technologies comme Nike+, qui reposait aussi sur la fréquence de 2,4Ghz pour l’interconnexion avec des articles de sport comme des podomètres. Cette solution a été finalement délaissée par les fabricants.

Le WIFI s’avère être une alternative aux protocoles évoqués ci-dessus, mais sa consommation devient un frein dans ce cas d’utilisation. Le WIFI étant très consommateur sur le plan énergétique.

Egalement, il existe des réseaux courte portée davantage associés au bâtiment, aux objets disposant d’une source d’alimentation ou aux environnements professionnels. On peut citer le BLE industriel qui couvre des distances plus importantes que le BLE. Le RFID Active, qui est compatible avec le BLE, mais libre de droit et sur un protocole non propriétaire.

Le protocole Zigbee (fréquence de 868Mhz et 2,4GHz en Europe), quant à lui, est développé par une alliance de constructeur. Un des intérêts de ce protocole est le fonctionnement en réseau maillé permettant aux objets de se connecter de proche en proche. Cela permet d’étendre le réseau malgré des obstacles, comme les murs.

Z-Wave est un réseau maillé similaire à Zigbee. Il est issu d’une autre alliance de constructeurs. Comme Zigbee, le protocole Z-Wave est très présent dans les solutions de domotiques.

Le 802.11ah, connu sous le nom de WIFI HaLow, est une variante du WIFI sur la bande de 900MHz soutenue pas la WIFI Alliance. Cette fréquence est adaptée pour de faibles débits mais avec une meilleure portée que les réseaux WIFI habituels (2,4GHz et 5GHz).

Enfin, le DASH7 est une nouvelle forme de transmission sans fils sur la fréquence radio de 433MHz et 868MHz permettant un débit de 27,77ko/s. Il est porté par le consortium Dash7 Alliance, à but non lucratif. La portée annoncée est de 1000m. Cette bande de fréquences est partagée avec d’autres protocoles comme la technologie LoRa (Long Range).

Les familles de réseau > Réseaux longue portée

Les réseaux Low Power WAN (LPWAN) sont prévus pour transmettre les données entres les appareils sur de longues distances. Les réseaux GSM, 2G, 3G, etc. font partie de cette catégorie. Cependant, il existe d’autres protocoles moins connus comme LoRa ou Sigfox, qui sont déployés ou en cours de déploiement par différents acteurs, dont les opérateurs historiques.

On distingue deux catégories de réseau LPWAN :

• les réseaux non cellulaires (Sigfox, LoRa, Qowisio, …) considérés comme des réseaux dédiés à l’IoT,
• les réseaux (LTE-M, NB-IoT…) s’appuyant sur les réseaux cellulaires existants.

Ces nouveaux réseaux sont dédiés aux objets connectés. Ils sont prévus pour remonter des informations simples de capteurs et de localisation. Les principaux objectifs de ces protocoles sont :

• Une faible consommation
• Une grande distance de communication (plusieurs km)
• La très forte densité d’objets connectables

Comme pour les protocoles à courte portée, la contrepartie sera un débit limité.

Sigfox est un opérateur IoT français propriétaire de sa technologie qui a été créé en 2009. Il repose sur une technologie radio UNB (« Ultra narrow band ») qui permet de bâtir un réseau cellulaire bas-débit, économe en énergie. En Europe, la bande de fréquence ISM utilisée est celle de 868 MHz. Les objets connectés avec ce protocole peuvent émettre 12 octets max et cela 140 fois par jour, et recevoir 8 octets. La portée atteint 10km en ville et 30 à 50km en milieu rural.

Un des atouts de Sigfox est la garantie de compatibilité du réseau avec les objets intégrant une puce Sigfox. Par ailleurs, des accords permettent des déploiements simples dans différents pays sans problème de roaming. Il s’agit de 65 pays, actuellement couverts.

D’autres acteurs existent sur des technologies similaires comme Qowisio.

LoRa est un réseau radio bas débit concurrent de Sigfox dédié aux objets connectés. LoRaWAN est l’acronyme de “Long Range Wide-area network” que l’on peut traduire par « réseau étendu à longue portée ». Ce protocole permet de transmettre des données jusqu’à 15 km en ville et peut atteindre les 45 km en milieu rural. C’est un protocole ouvert porté par la LoRa Alliance. Il repose sur la technologie de modulation LoRa, créé initialement par une société grenobloise (Cycléo) avant son rachat. Un réseau LoRa peut être déployé en interne (ex : un site industriel) ou bien utiliser les différents réseaux nationaux et internationaux des opérateurs ( Objenious de Bouygues Télécom et  Orange en France ).

Un équipement pouvant se connecter à un réseau LoRa pourra le faire sur celui d’un autre opérateur comme c’est le cas avec les téléphones.

L’utilisation du réseau Sigfox dépend uniquement du déploiement du réseau Sigfox par Sigfox.

Il faut retenir que ces deux solutions reposent sur des techniques de transmission différentes :

• Le réseau Sigfox fonctionne sur une technologie UNB (Ultra Narrow Band) : technologie de modulation à spectre étroit. Cette technique de transmission est utilisée dans la transmission TV (le fameux signal Herzien).
• LoRa, se base sur le protocole LoRaWan (Long Range Wide-area) : technologie de modulation à étalement du spectre. Cette technique de transmission est utilisée également dans le WIFI et le bluetooth.

Une alternative au nouveau réseau repose sur l’utilisation des infrastructures des réseaux mobiles déjà en place. L’avantage de cette approche est de disposer de bande de fréquences dédiées aux opérateurs et donc, non encombrées. Les opérateurs télécom ont donc collaboré étroitement au développement de ces protocoles.

Le LTE-M (Long Term Evolution for Machines) est une évolution permettant, en supprimant ce qui n’est pas utile à l’IoT, de créer un protocole moins énergivore tout en adressant des débits importants (~1Mb/sec). La technologie prévue pour l’IoT, date de 2018. Elle fonctionne sur les bandes de fréquences 4G déjà utilisés/attribués aux opérateurs. Elle dispose des avantages des technologies de téléphonie mobile (connectivité en temps réel, itinérance à l’international). Le débit important, jusqu’à 10Mbps permet d’envisager cette solution pour le transport d’image ou de la voix avec l’inconvénient d’être plus énergivore.

Le NB-IoT, (Narrow Band IoT) est une solution standardisée qui repose sur les infrastructures 4G. Elle se rapproche des protocoles SigFox et Lora en termes d’autonomie. Son débit est limité à 250Kbit/s avec une portée de 1km en ville et de l’ordre de 10km en milieu rural.

Les réseaux cellulaires GSM (2G, 3G, 4G, 5G) peuvent constituer une solution avec des débits plus importants, mais le besoin en énergie rend pour le moment l’utilisation de ces réseaux limités dans le cas de l’IoT. L’utilisation des réseaux 2G sera limitée à moyen terme, l’abandon de cette technologie est en cours, et elle a déjà été arrêtée dans certains pays comme Australie ou le réseau 2G est déjà arrêté.

Le schéma ci-dessous présente le positionnement des différentes technologies présentées dans cet article :

Pour conclure

Les différents protocoles présentés dans cet article ne constituent pas une liste exhaustive des solutions existantes, mais elle présente les plus significatifs actuellement.

Chaque réseau a ses limites (portée, débit, couverture) ce qui leur permet de coexister pour le moment. Une évolution possible serait de disposer d’objets toujours plus intelligents et compatibles avec plusieurs réseaux. A noter également, une bonne partie de ces technologies vient d’alliances ou de fabricants. Si des accords pour rendre les produits inter-opérables permettent cette coexistence actuellement, n’assisterons-nous pas, comme cela a déjà été le cas dans des nouvelles technos, à l’émergence de standards de fait, dans les années à venir ?

Vous souhaitez intégrer des objets connectés au sein de votre réseau d’entreprise ? Les équipes d’iDNA peuvent vous aider.

Cet article Les technologies réseaux au service de l’IoT est apparu en premier sur iDNA.

Une chose est certaine, ce scénario a surpris un grand nombre de personnes, et les effets sont immenses.

Les entreprises ayant testé leur PCA l’avait fait dans des conditions maitrisées. Ainsi, une entreprise avait testé la robustesse du concentrateur VPN, en fonction d’abaques définis par les équipes réseau, de même pour ses serveurs VDI, et en avait déduit la capacité de télétravailleurs absorbables. Sauf que le service VPN fourni par un tiers s’appuyait sur une solution mutualisée prise d’assaut par l’ensemble des clients en cette période. Dans ce cas précis, la capacité du PRA s’est donc révélée amoindrie, sans parler du ressenti utilisateur.

Bien évidemment, on se dit que cette partie aurait pu être anticipée … mais qu’en est-il des liens Internet, de la mutualisation des usages à la maison, quand plusieurs personnes doivent utiliser la liaison Internet pour des besoins impérieux : double télétravail, cours des enfants ! Dans les faits … qui avait prévu dans son PCA que les collaborateurs devraient assumer le rôle d’enseignant(e) ?

Alors pour pallier les problématiques internes, on prône déjà l’usage intensif du Cloud. Le Cloud va en effet pouvoir apporter grand nombre de réponses à beaucoup d’usages : outils de communication, partage de fichiers, hébergement d’applications support … Qu’en est-il des applications sensibles ou lourdes ?

Mais pourrons-nous tout héberger dans le Cloud ? Techniquement on répondra oui (ou presque) tant les solutions proposées par les fournisseurs sont innombrables et ingénieuses. Mais il reste des questions à élucider : le coût, la sécurité des données, et l’aspect fonctionnel / ressenti utilisateur. Ce seront les mêmes questions qu’avant, mais le poids des critères de choix évoluera.

On voit en effet que les providers de CLOUD sont eux aussi atteints par des dysfonctionnements ou des ralentissements.

Pas grand-chose, aurait-on envie de répondre. D’un point de vue factuel et statistique, le risque d’être à nouveau confronté à une situation de cette ampleur est très limité. En effet, nous devrions passer 99,8% de notre carrière hors période de confinement, et nous sommes en train de vivre les 0,2% restant.

Faut-il ne rien changer ? Non, il faudra prendre en compte l’évolution des risques. Faut-il alors tout changer ? Probablement pas, non plus !

Cette période est l’occasion pour toute entreprise de tester ses processus d’exception et sa capacité à réagir devant l’imprévu. Nul doute que chaque entreprise se posera la question d’intégrer la pandémie dans son PCA ou d’y apporter des améliorations.

Chez iDNA, nous sommes toujours présents pour vous aider dans la définition et l’évolution de votre stratégie IT, incluant tout type de risque, dans la reprise comme dans la continuité de votre activité. Rien n’étant immuable, chaque entreprise doit faire vivre ses processus et les adapter régulièrement.

Cet article La continuité d’activité face à la pandémie est apparu en premier sur iDNA.

Lors de la construction d’un Datacenter, l’infrastructure est conçue en tenant compte de cet enjeu ; les architectes IT doivent pouvoir concevoir leurs solutions en se basant sur ce modèle de résilience.

D’un point de vue alimentation électrique, il est nécessaire de double alimenter les équipements IT pour se calquer sur le design des infrastructures Datacenter et garantir ainsi une continuité de service en cas de pannes.

Malheureusement, par contraintes techniques ou financières, les équipements mono-alimentés sont toujours présents dans les Datacenter.

Mais alors, comment sécuriser un service lorsqu’un équipement de ce type se trouve au sein de la chaine électrique ?

Pour certains équipements, il est possible de rajouter physiquement un second bloc d’alimentation électrique ou d’ajouter une alimentation extérieure permettant de sécuriser certains types d’équipements réseaux (système RPS Cisco).

Pour les autres cas, les STS  semblent être la seule solution. Lorsque je parle de STS, j’exclus les versions bas de gamme, qui, lors d’une défaillance électrique sur leur charge, laissent le défaut électrique se propager sur les sources électriques de la baie. Les protections en amont sont alors sollicitées, provoquant la coupure des alimentations de la baie et la perte de l’ensemble des équipements présents dans la baie.

Pour les versions de faible puissance, inférieures à 64A, de nouveaux modèles arrivent sur le marché ; plus performants, ils sont capables d’identifier un défaut électrique et de le gérer. Ces équipements sont plus coûteux, plus imposants et plus lourds à mettre en place. En cas de court-circuit en sortie de l’un des équipements alimentés, le STS inhibera la fonction de transfert de sources. Cette propriété empêche de transmettre le court-circuit sur l’autre voie et évite ainsi de perturber l’autre source. Les équipements double sources présents dans la baie resteront sous tension (pas de perte de file system, BDD, etc.)

Pour des besoins plus importants, des STS d’infrastructures capables de commuter jusqu’à 250A, peuvent être déployés pour sécuriser plusieurs baies. La protection est alors gérée par la sélectivité du disjoncteur se trouvant entre la charge mono-alimentée et le STS.

Même si des solutions existent, chaque déploiement d’une architecture IT en Datacenter doit se faire en tenant compte du niveau de redondance que l’on souhaite atteindre.

En tant qu’urbaniste, je privilégie la mise en œuvre d’une architecture basée sur la redondance matérielle et l’utilisation des mécanismes comme le clustering, la répartition de charge, la sécurisation des données, etc.

Il est aussi important d’adapter les procédures pour réduire les possibilités d’erreurs, et accélérer la reprise de l’activité dans le cas d’avarie sévère.

iDNA, forte de son expérience en datacenter, accompagne ses clients pour les aider à penser ce type d’intégration; n’hésitez pas à nous contacter pour en discuter.

Cet article to be or not to be ? est apparu en premier sur iDNA.

L’objectif d’un outil Data Loss Prevention (DLP) est de limiter la fuite de données sensibles, que cette dernière soit accidentelle ou intentionnelle. Pour cela il va découvrir, contrôler et protéger les données sensibles d’une entreprise sur les postes de travail et dans les datacenters.

Toutes les actions se font en général à partir d’une console qui permet de créer des règles de détection (ou matching) de façon à protéger le Système d’Information de l’entreprise, d’avoir des tableaux de bord et des alertes. En effet, lorsqu’une règle est « matchée », un incident est créé, montrant le détail de ce que l’utilisateur a voulu sortir comme données sensibles.
Il faut trouver un équilibre sur la configuration des règles pour ne pas laisser passer de données sensibles mais, il faudra faire attention aux faux positifs, comme par exemple le numéro de Siret qui peut matcher comme une carte bancaire car utilisant tous les deux le même algorithme de contrôle (formule de Luhn).

De plus, pour avoir une protection encore plus complète, on pourra aussi interfacer le DLP avec d’autres éléments d’infrastructure de votre SI comme le Proxy sortant vers internet (https://fr.wikipedia.org/wiki/Proxy ), la passerelle de messagerie et le CASB (Cloud Access Security Broker).

Les premières étapes à réaliser dans un projet de DLP :

Premièrement, il faut définir une politique de classification des données (personnelles, business et techniques) afin d’identifier clairement ce qui est sensible et nécessitant d’être géré dans le DLP.
La classification des données devra être réalisée avec les différents métiers de l’entreprise et en général s’inscrit dans une démarche plus globale de « gouvernance de la donnée ».

Puis, la cartographie (ou le datamapping) des données peut-être réalisée, tant dans les bases de données structurées que dans les différents espace de stockage d’information (serveurs de fichiers bureautique onpremise ou cloud par exemple).
Ce Datamapping va permettre de cartographier l’emplacement réel des données et leur valeur qui pourra être rapprochée de la politique de classification.
Un plan de remédiation peut permettre de remettre à niveau les bases de données, et aussi de former les utilisateurs afin que les données personnelles ne se trouvent que dans des zones autorisées.

Finalement la mise en place des règles dans l’outil DLP peut alors commencer, en prévoyant évidemment une phase de test pour réduire les faux positifs et surtout des processus et une gouvernance de la gestion des incidents de fuite de donnée.
Dans le cas des données personnelles, la mise à jour du registre des traitements, et le passage devant les instances représentatives du personnel seront nécessaires pour la mise en place de ce type de projet.

En conclusion, un outil comme le DLP va être d’une grande aide pour réaliser cette surveillance et cette protection des données sensibles de votre entreprise, tant dans le cadre de la RGPD mais aussi pour protéger votre propriété intellectuelle ou pour respecter d’autres réglementations (Loi de Programmation Militaire, Secret / confidentiel défense…)

Pour vous aider à faire votre choix le Gartner® a publié un Magic Quadrant sur les différentes solutions du marché et nos équipes pourront aussi vous conseiller dans ce choix.
https://www.gartner.com/reviews/market/enterprise-data-loss-prevention

Cet article DLP : l’outil d’aide au RGPD est apparu en premier sur iDNA.

Pour se connecter à votre téléphone portable, à votre ordinateur, à votre compte bancaire, à votre compte professionnel ou personnel, aux différentes plateformes de votre entreprise ou faire des achats en ligne, le mot de passe est devenu incontournable pour protéger l’accès aux données, aux systèmes d’informations et plus généralement à sécuriser les différentes transactions sur internet.

Bien que d’autres systèmes commencent à apparaître (identification biométrique notamment), le mot de passe reste la « master key » pour accéder à votre vie numérique.

Se pose alors la question suivante : Comment avoir des mots de passe suffisamment complexes pour protéger chacun de nos comptes tout en ayant la capacité de tous les mémoriser facilement ?

Quel calvaire !!!

De nombreux experts ont tenté de répondre à cette question en concoctant « des recettes miracle de bonnes pratiques » pour rendre votre mot de passe complexe et sécurisé, mais cette volonté de complexité et de sécurité est souvent inhibée par les risques majeurs d’oubli ou de perte de la confidentialité des mots de passe.

Combien parmi nous n’ont pas déjà oublié un mot de passe ? Combien parmi nous ont, à cause d’une politique de mot de passe trop rigide ou trop complexe, écrit leur mot de passe sur un post-it collé sur le l’écran de leur ordinateur (ou sous le clavier !) ou dans un bloc-notes numérique en clair ?

En parallèle, beaucoup d’entreprises sont aujourd’hui confrontées à la nécessité voire l’obligation de devoir sécuriser fortement les mots de passe de leurs millions de clients, avec des enjeux légaux importants.

Des outils de gestion des mots de passe existent sur le marché depuis plusieurs années, tant opensource que commerciaux, pour aider à gérer les mots de passe : Keepass, Lastpass, Dashlane, Keeper, Roboform…

Cependant, la mise en place de ces outils peut s’avérer complexe pour l’entreprise. Car le choix de chaque outil dépend du secteur d’activité, de son degré de maturité en matière de sécurité, de son orientation stratégique, de sa capacité à absorber le changement et bien sûr des besoins métiers.

D’où l’importance de se faire accompagner dans l’élaboration d’une stratégie qui spécifie les règles de création, de composition et de saisie des mots de passe, dans le choix de la meilleure solution de stockage en fonction de votre business et vos types de clients, du chiffrement et de l’archivage de vos mots de passe requis, et la manière de sensibiliser vos collaborateurs pour en faire des « key Player » à la bonne gestion de leurs mots de passe.

N’hésitez pas à nous contacter pour en discuter.

Cet article La Gestion des mots de passe : Complexité vs Mémorisation est apparu en premier sur iDNA.