Discussion :

[youtpout978]

1. Que la personne ait une autre fonction dans la boîte (gestion des stocks, gestion des commandes, par exemple)
2. Ou qu'il existe un regroupement régional d'informaticiens qui, lorsqu'ils ont terminé leur CDD, peuvent être néanmoins redemandé par la même boîte, pour une autre mission, et, de ce fait, connaître bien la boîte et être immédiatement opérationnels.

"Mais les mots qu'au vent noir je sème..."

1 il faut trouver l'informaticien qui voudra faire autre chose, encore qu'eux certain en ont parfois un peu marre de faire ça tout le temps
2 Idée pas mauvaise, surtout que ça existe déjà dans d'autre domaine, j'avais passé un entretien pour une boite qui cherchait de la main d'oeuvre pour décharger des camions et comme le besoin était ponctuelle mais qu'il ne voulait pas perdre leurs précieuses ressources, tu avais 4-5 boites qui se partageait les employés en passant par un regroupement, donc on pouvait travailler quelque semaines sur un site puis un autre, après je ne sais plus si c'était un CDI qui m'était proposé ou de l’intérim.

[Aeson]

Ok, ben quand tu seras à l'ASN (Autorité de Sûreté Nucléaire), tu utiliseras Azure pour le SI des centrales nucléaires.

Je ne parle meme pas de Cloud a ce niveau la. Quand tu dois gerer l'IT d'une central nucleaire et que tu confond Backup et HA et que tu fais confience a la garantie du serveur pour rendre ton serveur disponible c'est grave. Désolé. Je me ferai virer pour moin que ca !

[Aeson]

Et je pense que tu devrais relire ton contrat de confidentialité de chez Alstom vu ce que tu dévoile. Imagine que BFM passe dans le coin et découvre tous ça. ....

[RyzenOC]

Et je pense que tu devrais relire ton contrat de confidentialité de chez Alstom vu ce que tu dévoile. Imagine que BFM passe dans le coin et découvre tous ça. ....

J'ai dévoilé quoi ? qu'on avait des calculateurs et des serveurs waouh le scoop du siècle ! tu ne sait même pas à quoi ils nous servent.
Qu'on a crée une distribution linux, qu'on gèrent des centrales électrique (personne ne le sait sa, tu as raisons).

Et puis il s'agit juste de messages poster sur un forum, avec aucunes preuves, aucune captures d'écrans, aucun documents, en faite oui tu as raison, les chaines d'info de pacotillent comme BFM vont probablement colporter ces "news".

Je crois surtout que que tu ne comprend pas que mon serveur a 20000€, il tombe en panne je m'en tamponnent, c'est pas sa qui vas me paralyser. Au pire je recommande la pièce défectueuse, et je la reçois 1 semaine plus tard avec dhl ou tnt express. Si ce serveur était vital, j'en aurais acheter un 2eme et je l'aurais installer dans nos locaux aux UK la prochaine fois que j'irais. 120000€ encore une fois rien, si t'en fait gagner le triple.
Ce qu'il y'a de bien avec les grossent boite c'est qu'on peut investir librement, et travailler dans de bonne condition, sans dépendre d'un tier. Entre le bureau a distance et une utilisation directe du serveur relier a l'écran, le confort n'est pas le même, j'ai du 60 images/secondes, très pratique pour voir mes graphiques.

[Aeson]

Déjà rien que le fait de savoir que les serveurs sont dans le même bâtiment et pas dans des datacenter différents. Vu les événements récents et le type de business pour lesquelles sont utilisé les serveurs...

Et le manquements au règles basique de sécurité et disponibilité des une infrastructure. Confondre HA et backup... ça c'est le top.

Mais bon....

[RyzenOC]

Et le manquements au règles basique de sécurité et disponibilité des une infrastructure. Confondre HA et backup... ça c'est le top.

C'est ton seul argument ?, non parce que tu le sort à tous le monde et a chaqu'un de tes messages.... je crois qu'on a tous compris, "on confond HA et backup", voila t'es content ? je peut l'écrire plus gros ti tu le souhaite histoire le rendre bien visible :

HA =! backup

[Aeson]

C est bon relax. Mâche un Mentos . C est pas si grave que ca. Ce n'est est que de l énergie nucléaire. Lol. On va dire que le reste est mieux gérer que ça et que dans d autres situations t arrive à garder ton calme..... lol

[LSMetag]

La Haute Disponibilité n'a rien à voir avec le Backup. On n'a jamais dit le contraire et le Cloud est justement intéressant pour ça. On ne critique pas l'aspect technique du Cloud !

On préfère créer nos "private cloud" comme tu le dis, parce qu'on ne veut pas dépendre d'un tiers et lui confier certaines clés de notre fonctionnement. C'est pourtant clair. Ca a beau être fiable, ça quitte l'entreprise et certaines tâches métier requièrent aussi de la proximité pour des manips manuelles à un instant "t". Et je ne parle pas de restauration de backup ou de plantage de serveur. Mais de changements brutal nécessaire dans certaines situations. Les solutions ne sont pas toujours des engrenages qui tournent tranquillement sans interventions humaines récurrentes.

L'entreprise elle n'est pas forcément que sur un seul site. Mais ça reste dans le VPN de l'entreprise, pas sur Internet !

Ce qui nous gêne c'est cette inconnue de l'internet et du prestataire. Pas la technique du Cloud. Le Cloud public se fait attaquer par des cellules composées de brillants hackers, qui finissent toujours par dépasser même les maîtres. C'est une mine d'or pour eux. Un peu comme les réseaux de drogue qui ont souvent un temps d'avance sur les forces de police. Tu as déjà plus de garanties si ton système est coupé du NET.
D'autre part, la corruption et les transferts d'informations pour des motifs publicitaires ou autres, ça existe, c'est même relativement fréquent, notamment quand il s'agit des gouvernements de pays étrangers pas très sympas ou pleins de fric.

Tu as aussi parfois l'envie d'avoir un contrôle total sur ton système, même si tu n'as pas le niveau de qualité du Cloud Public. C'est idéologique et rassurant pour certains.

Si l'enjeux n'est pas critique, du style créer un méga Adibou connecté dans toutes les écoles, le Cloud Public est génial pour ça. Tout comme la création de supercalculateurs-lite, de sites de VOD ou streaming (le piratage se fait par d'autres biais donc un peu plus ou un peu moins),...

Même s'il y a besoin de HA pour gérer des centaines de millions de transactions avec prévention de plantages, un peu comme pour Paypal ou pour des banques, j'éviterai le Cloud public à tout prix pour ne pas risquer une fuite de coordonnées bancaires. Pareil avec Alstom voire la SNCF. Les transports de Frets ne sont pas indiqués publiquement. Si les informations étaient interceptées ou divulguées, des trains transportant des matières premières ou autres pourraient être pris pour cible, ce qui aurait des retombées économiques.
Pas parce que le Cloud Public n'est pas sécurisé. Mais parce qu'il est une cible, et qu'on ne sait rien de la probité du personnel de ces boîtes.

J'espère avoir été clair. Le cloud, c'est cool, mais sur des secteurs sensibles ou par envie d'un contrôle total, on évite. Je parie qu'une grande majorité de ces 1/3 qui ne migrent pas sur le Cloud bossent dans de grands groupes. Certes il y a l'immobilisme là-bas, mais il y a aussi des choix volontaires, comme pour dans Alstom. On ne sait pas ce qui se cache dans ces Clouds Publics. Voilà le problème.

[Gugelhupf]

ou pour des banques

Il y a de la HA pour les banques et assurances, mais les moyens mis en oeuvre pour cela sont très différents et plutot archaiques comparé à celle d'un vrai Cloud. Ces groupes ont tellement les moyens financier et très peu envie de migrer leurs applicatifs qu'ils misent sur un système centralisé (mainframe) basé sur de la scalabilté verticale pure.

[DotNetMatt]

Le cloud, c'est cool, mais sur des secteurs sensibles ou par envie d'un contrôle total, on évite. Je parie qu'une grande majorité de ces 1/3 qui ne migrent pas sur le Cloud bossent dans de grands groupes. Certes il y a l'immobilisme là-bas, mais il y a aussi des choix volontaires, comme pour dans Alstom. On ne sait pas ce qui se cache dans ces Clouds Publics. Voilà le problème.

Je ne suis pas convaincu par ces arguments (ceux cités et d'autres mentionnés avant dans la discussion), ce n'est qu'une seule face du problème. Et pour remédier à la plupart de ce que tu as mentionné, il suffit de faire un bon usage de la cryptographie. Si tu gères bien tes clés/certificats en ne les laissant pas trainer de partout, et en t'assurant que tu es bien protégé tout au long de la chaîne des traitements, je ne vois pas où est le problème. On est d'accord que ca rajoute une couche de complexité, peut-être est-ce aussi un frein. M'enfin, tout cela est protégé par des contrats et des lois donc je ne vois pas Microsoft ou Amazon risquer de se prendre un procès au sujet des données, ca signerait leur arrêt de mort.

Lors d'un précédent projet professionnel, j'ai travaillé avec 2 grandes banques. Elles ont passé les contrats au crible avec leurs avocats et il n'y avait rien qui clochait. Opérationnellement parlant, sur Azure Storage par exemple, tu es clairement informé que lorsque tu écris un blob en mode Geo Redondant (GRS), celui-ci sera répliqué à plusieurs endroits, mais toujours sur le même continent. Après c'est simplement à toi de décider où tu veux positionner ton blob en fonction de ton client, et le cas échéant si tu veux utiliser Azure Storage pour un client ou non (tu peux aussi avoir ton propre système pour certains clients).

Nous avons aussi inscrit quelques milliers de blobs et commandé un audit indépendant afin de savoir si tout cela était bien respecté, et c'était bien le cas. Pour finir sur ce point, il n'existe pas que Microsoft et Amazon, il y a aussi de plus petits opérateurs de cloud locaux qui fournissent des services sur un seul pays.


Au niveau performances, pour avoir des performances brutes avec une appli desktop, on est d'accord, rien de tel que d'avoir un LAN dans ses locaux. Donc certaines applications à haute performance n'ont pas leur place dans le cloud. Ceci dit, il est possible d'avoir des systèmes hybrides avec un VPN qui englobe le LAN et le réseau dans le cloud, et avec une architecture adaptée + une bonne connexion réseau je pense qu'il est possible de relever certains challenges. Pas tous malheureusement, mais le Web peut en solutionner d'autres, surtout avec des technos comme SignalR.

Au niveau opérationnel, cela crée de nouvelles problématiques. A condition d'avoir un cycle de vie logiciel cohérent, ca n'a absolument rien de plus sorcier que d'avoir son propre data center. Et c'est même plus simple puisque tu peux monter une copie d'un environnement très rapidement, y apporter tes modifs, puis basculer tes utilisateurs de l'ancien vers ce nouvel environnement... Tu peux avoir la main sur tout, du switch aux VMs... Sans parler des containers (Docker...) et autres réjouissances. Il faut rappeler sur ce point qu'on peut utiliser le cloud de différentes manières : SaaS, PaaS ou IaaS ; tout dépend de ce que tu as besoin de contrôler. On peut aussi noter la facilité pour monter en puissance si besoin et downsizer dès que le pic d'activité est passé.


Il y a aussi l'aspect économique : acheter du matos, ca s'appelle investir (capex - est-ce que j'achète ?) ; utiliser un cloud public, ca relève de la dépense opérationnelle (opex - est-ce que je loue ?). La différence est très forte car ca ne passe pas au même endroit dans les bilans des entreprises. Le capex est un indicateur qui permet de juger l’état de l’outil industriel et commercial d’une entreprise. Plus le ratio est faible, plus l'outil industriel est vieillissant. Donc les entreprises ont intérêt à pousser ce ratio vers le haut et ca peut se faire en décidant d'investir sur du matos IT, au détriment du cloud.

L'opex, c'est-à-dire les dépenses opérationnelles (les charges) se trouvent à un autre niveau et elles permettent de mesurer la rentabilité d'une entreprise. Donc l'entreprise a plutôt tendance à vouloir les réduire au maximum afin d'augmenter sa rentabilité sur le bilan comptable.

On assiste de plus en plus à un basculement de Capex vers Opex, mais cela prend du temps, surtout pour les grands groupes car ils ont beaucoup de capex et de "legacy". Si vous voulez approfondir : Informatique : la disparition des investissements par les entreprises !.


Pour finir, il y a aussi des entreprises qui utilisent le cloud uniquement pour développer (lancer un load testing avec des milliers de clients est tellement plus simple à réaliser dans le cloud par exemple...), d'autres uniquement pour avoir leur environnement de prod, d'autres pour tout à la fois.

[RyzenOC]

je ne vois pas Microsoft ou Amazon risquer de se prendre un procès au sujet des données, ca signerait leur arrêt de mort.

Et les révélations de snowden ?

[LSMetag]

Je ne suis pas convaincu par ces arguments (ceux cités et d'autres mentionnés avant dans la discussion), ce n'est qu'une seule face du problème. Et pour remédier à la plupart de ce que tu as mentionné, il suffit de faire un bon usage de la cryptographie. Si tu gères bien tes clés/certificats en ne les laissant pas trainer de partout, et en t'assurant que tu es bien protégé tout au long de la chaîne des traitements, je ne vois pas où est le problème. On est d'accord que ca rajoute une couche de complexité, peut-être est-ce aussi un frein. M'enfin, tout cela est protégé par des contrats et des lois donc je ne vois pas Microsoft ou Amazon risquer de se prendre un procès au sujet des données, ca signerait leur arrêt de mort.

Lors d'un précédent projet professionnel, j'ai travaillé avec 2 grandes banques. Elles ont passé les contrats au crible avec leurs avocats et il n'y avait rien qui clochait. Opérationnellement parlant, sur Azure Storage par exemple, tu es clairement informé que lorsque tu écris un blob en mode Geo Redondant (GRS), celui-ci sera répliqué à plusieurs endroits, mais toujours sur le même continent. Après c'est simplement à toi de décider où tu veux positionner ton blob en fonction de ton client, et le cas échéant si tu veux utiliser Azure Storage pour un client ou non (tu peux aussi avoir ton propre système pour certains clients).

Nous avons aussi inscrit quelques milliers de blobs et commandé un audit indépendant afin de savoir si tout cela était bien respecté, et c'était bien le cas. Pour finir sur ce point, il n'existe pas que Microsoft et Amazon, il y a aussi de plus petits opérateurs de cloud locaux qui fournissent des services sur un seul pays.


Au niveau performances, pour avoir des performances brutes avec une appli desktop, on est d'accord, rien de tel que d'avoir un LAN dans ses locaux. Donc certaines applications à haute performance n'ont pas leur place dans le cloud. Ceci dit, il est possible d'avoir des systèmes hybrides avec un VPN qui englobe le LAN et le réseau dans le cloud, et avec une architecture adaptée + une bonne connexion réseau je pense qu'il est possible de relever certains challenges. Pas tous malheureusement, mais le Web peut en solutionner d'autres, surtout avec des technos comme SignalR.

Au niveau opérationnel, cela crée de nouvelles problématiques. A condition d'avoir un cycle de vie logiciel cohérent, ca n'a absolument rien de plus sorcier que d'avoir son propre data center. Et c'est même plus simple puisque tu peux monter une copie d'un environnement très rapidement, y apporter tes modifs, puis basculer tes utilisateurs de l'ancien vers ce nouvel environnement... Tu peux avoir la main sur tout, du switch aux VMs... Sans parler des containers (Docker...) et autres réjouissances. Il faut rappeler sur ce point qu'on peut utiliser le cloud de différentes manières : SaaS, PaaS ou IaaS ; tout dépend de ce que tu as besoin de contrôler. On peut aussi noter la facilité pour monter en puissance si besoin et downsizer dès que le pic d'activité est passé.


Il y a aussi l'aspect économique : acheter du matos, ca s'appelle investir (capex - est-ce que j'achète ?) ; utiliser un cloud public, ca relève de la dépense opérationnelle (opex - est-ce que je loue ?). La différence est très forte car ca ne passe pas au même endroit dans les bilans des entreprises. Le capex est un indicateur qui permet de juger l’état de l’outil industriel et commercial d’une entreprise. Plus le ratio est faible, plus l'outil industriel est vieillissant. Donc les entreprises ont intérêt à pousser ce ratio vers le haut et ca peut se faire en décidant d'investir sur du matos IT, au détriment du cloud.

L'opex, c'est-à-dire les dépenses opérationnelles (les charges) se trouvent à un autre niveau et elles permettent de mesurer la rentabilité d'une entreprise. Donc l'entreprise a plutôt tendance à vouloir les réduire au maximum afin d'augmenter sa rentabilité sur le bilan comptable.

On assiste de plus en plus à un basculement de Capex vers Opex, mais cela prend du temps, surtout pour les grands groupes car ils ont beaucoup de capex et de "legacy". Si vous voulez approfondir : Informatique : la disparition des investissements par les entreprises !.


Pour finir, il y a aussi des entreprises qui utilisent le cloud uniquement pour développer (lancer un load testing avec des milliers de clients est tellement plus simple à réaliser dans le cloud par exemple...), d'autres uniquement pour avoir leur environnement de prod, d'autres pour tout à la fois.

Merci pour ces éclaircissements ! Ca nous fait enfin une réponse réellement constructive ! Je vois qu'il faut juste bien choisir son fournisseur de Cloud et la localisation de son infrastructure, et faire un encryptage en amont pour se sentir relativement tranquille.

C'est vrai qu'avec le cryptage, même si le fournisseur de Cloud devait se faire attaquer par des hackers, il faudrait encore qu'il décrypte nos données.

La seule question : Est-il sûr d'utiliser le cloud pour des structures liées à la sécurité nationale, même cryptées en amont ? Je ne parle pas forcément pour tout le process, mais quelles seraient les éventuelles contre-indications ?

[DotNetMatt]

C'est vrai qu'avec le cryptage, même si le fournisseur de Cloud devait se faire attaquer par des hackers, il faudrait encore qu'il décrypte nos données.

En effet, après comme partout, le risque est toujours présent. Personnellement, j'aurais quand même un peu plus confiance dans le cloud de Microsoft vu les sommes investies dans la sécurité et la recherche autour de ces sujets, que dans le cloud privé d'une TPE/PME.

La seule question : Est-il sûr d'utiliser le cloud pour des structures liées à la sécurité nationale, même cryptées en amont ? Je ne parle pas forcément pour tout le process, mais quelles seraient les éventuelles contre-indications ?

Bonne question. Je n'ai jamais eu à traiter ce genre de données, donc je fais une tentative de réponse qui pourra probablement être complétée ou discutée Je pense que les données liées à la sécurité nationale sont entourées d'une réglementation très stricte et qu'il doit y avoir enormément de points d'attention, différents dans chaque pays. Peu de clouds sont capables de se conformer à toutes ces réglementations.

Les entreprises privées (qui gèrent des données sensibles) et publiques ont des problématiques différentes. De ce que j'en sais, dans certains pays (Argentine, Australie, UK, USA, Chine, Japon, Espagne...) il y a des programmes gouvernementaux spécifiques qui permettent aux entreprises publiques de passer en Opex et d'utiliser le cloud public. Ces programmes sont audités régulièrement pour s'assurer que ca reste conforme à toutes les normes. Il est possible de trouver plus d'info ici : Microsoft Trust Center // Compliance.

Pour les entreprises privées qui gèrent des données de ce type, il doit y avoir un contrat établi entre l'Etat et l'entreprise, et j'imagine que celui-ci doit impliquer de se conformer aux standards établis pour les programmes gouvernementaux et subir des audits.

Comme tu l'as indiqué, on n'est jamais à l'abris d'une attaque. Imaginons que je dispose de lingots d'or : je les stocke où ? Chez moi dans ma cave avec une simple alarme anti-intrusion (i.e. Cloud privé TPE/PME) ? Ou dans le coffre fort d'une banque (i.e. Azure / Amazon) ? Surtout quand on voit par exemple la fuite de données qu'il y a eu il n'y a pas si longtemps aux US, concernant les données fiscales de millions de citoyens américains. Cela pose la question, est-ce qu'une entreprise publique est en mesure de réellement assurer la sécurité de ses données ? Est-ce qu'un prestataire qui gère ces données (entreprise privée) dont la sécurité informatique n'est pas la spécialité peut assurer la sécurité de ces informations ?

Quand on lit des articles sur la sécurité, on se rend compte que certaines mesures de protection ne visent pas forcément à empêcher une attaque, mais à la retarder/la rendre la plus compliquée possible. Si quelqu'un attaque la cave, ca sera beaucoup plus simple pour lui de se barrer avec le butin. Par contre s'il doit s'attaquer à un coffre-fort, il faut déjà qu'il arrive à l'ouvrir et à passer les systèmes d'alerte de la banque, ce qui laisse plus de temps pour détecter et tenter d'endiguer l'attaque.

==> Je suppose que même pour des données liées à la sécurité nationale, personne n'a trouvé une parade qui puisse éviter une attaque à 100%...

Pour la détection, Microsoft a mis en place une solution Security Center qui permet de détecter des patterns anormaux. Alors certes, ce n'est pas le graal et c'est encore un outil jeune, mais ca permet déjà d'avoir un oeil assez haut perché sur ce qu'il se passe... Autre point à noter, toujours sur Azure il est possible de faire une demande de Test de Pénétration par Microsoft, ou de mener des pen tests indépendants pour s'assurer de sa sécurité.

Dans le projet professionnel que j'ai mentionné plus haut avec les 2 grandes banques, il y avait aussi un régulateur financier impliqué. Nous avons proposé à ce dernier une solution totalement cloud-based pour lui simplifier la vie autour de la gestion de documents financiers, certains étant confidentiels et sensibles. Quand j'ai quitté ce projet les discussions étaient toujours en cours, mais ils semblaient très intéressés à condition que le Cloud (Azure dans ce cas) soit conforme à la réglementation du pays, et que des audits réguliers indépendants puissent être menés. Après on parle de documents financiers, pas de données liées à la sécurité nationale... Quoi que, on parle de gros sous.



* Je précise que je fais souvent référence à Azure car c'est le cloud sur lequel j'ai le plus d'expérience. J'ai aussi travaillé sur AWS, mais mon périmètre était bien plus réduit donc je n'ai pas le même niveau de connaissances sur ce dernier.

[herdans]

Je ne suis pas convaincu par ces arguments (ceux cités et d'autres mentionnés avant dans la discussion), ce n'est qu'une seule face du problème. Et pour remédier à la plupart de ce que tu as mentionné, il suffit de faire un bon usage de la cryptographie. Si tu gères bien tes clés/certificats en ne les laissant pas trainer de partout, et en t'assurant que tu es bien protégé tout au long de la chaîne des traitements, je ne vois pas où est le problème. On est d'accord que ca rajoute une couche de complexité, peut-être est-ce aussi un frein. M'enfin, tout cela est protégé par des contrats et des lois donc je ne vois pas Microsoft ou Amazon risquer de se prendre un procès au sujet des données, ca signerait leur arrêt de mort.

La modification unilatérale et arbitraire de règles/clauses/lois (... américaines) sans consentement existe. Dès lors que le rapport de force, et la concurrence sont faussés. On se retrouve face au fait accompli. Si ton FAI/prestataire augmente son tarif ou coule. Il n'y a pas de négociation. (Tu paies ou) tu pars.

Microsoft et Amazon ne prendrait pas le risque d'un procès? Et les guéguerres de Apple / Samsung / Android / Google / Java / Oracle?

Encore faut-il être au courant de la compromission... Il n'y a pas de procès, si la fuite est passée sous silence. S'il y a vol chez le prestataire, mais que le prestataire l'ignore ou ne veut pas perdre sa réputation et un procès, et ne le déclare pas. Comment lance-t-on un procès?

L'audit peut raconter ce qu'il veut. A la fin s'il y a un problème, qui paie? On peut prendre une assurance. Mais repartir de rien, le plan B cela a un coût et cela prend du temps. Ca rajoute une complexité dans le processus, si t'as pas les compétences en interne pour repartir de zéro.

Le Cloud peut être rentable si tout va bien

La sécurité a un prix. Tout comme les économies sur le matériel et l'entretien. Maintien en condition opérationnel avec matériel et personnel interne ou externalisation? Choix de conception, comme diraient mes profs.

Ajouter un maillon ou remplacer un maillon dans la chaine, n'est pas anodin en terme de coût, fiabilité, et vitesse.

[LSMetag]

Quand on lit des articles sur la sécurité, on se rend compte que certaines mesures de protection ne visent pas forcément à empêcher une attaque, mais à la retarder/la rendre la plus compliquée possible. Si quelqu'un attaque la cave, ca sera beaucoup plus simple pour lui de se barrer avec le butin. Par contre s'il doit s'attaquer à un coffre-fort, il faut déjà qu'il arrive à l'ouvrir et à passer les systèmes d'alerte de la banque, ce qui laisse plus de temps pour détecter et tenter d'endiguer l'attaque.

==> Je suppose que même pour des données liées à la sécurité nationale, personne n'a trouvé une parade qui puisse éviter une attaque à 100%...

Merci pour toutes ces informations très intéressantes. Non les Audits on ne leur fait pas dire ce qu'on veut, si l'on choisit bien son prestataire ou qu'on le fait sois-même (je parle pour herdans).
Pour l'histoire de la cave, c'est parce que justement une banque est un ensemble de coffre-forts. La cave a de fortes chances d'être moins sécurisée en cas d'attaque. Mais par la banque, tes données peuvent être prises alors qu'elles n'étaient pas visées.

C'est l'effet de bord qui reste un peu gênant. Mais tu m'as quand même convaincu.

[RyzenOC]

Sauf que la banque en question, la NSA peut débarquer et voir tous tes comptes (même si ta banque est en Irlande). Et "aidés" leur "entreprises locale" (Boeing, Apple...) contre les méchants Airbus, Samsung...

Ta cave en France, elle risque pas grand chose de se coté la.

Et enfin qu'es ce qui vous dit que ma cave est moins sécurisé que la le coffre fort d'une banque ? Ma cave à peut être une porte blindé, un mur en béton de 6M et 1 garde armée devants l'entré.

Et contrairement a ma banque qui a une porte qui ouverte sur le monde (internet), ma cave n'a peut être pas de porte ouverte sur le monde justement.

[Chauve souris]

1 il faut trouver l'informaticien qui voudra faire autre chose, encore qu'eux certain en ont parfois un peu marre de faire ça tout le temps
2 Idée pas mauvaise, surtout que ça existe déjà dans d'autre domaine, j'avais passé un entretien pour une boite qui cherchait de la main d'oeuvre pour décharger des camions et comme le besoin était ponctuelle mais qu'il ne voulait pas perdre leurs précieuses ressources, tu avais 4-5 boites qui se partageait les employés en passant par un regroupement, donc on pouvait travailler quelque semaines sur un site puis un autre, après je ne sais plus si c'était un CDI qui m'était proposé ou de l’intérim.

1. A part un informaticien qui fait un truc ultra pointu et donc ultra prenant je crois qu'il serait bien qu'il voit la réalité de sa boîte, les aspects techniques, les aspects commerciaux, etc. Dans le court temps où j'ai travaillé à Béton de France qui, comme son nom ne l'indique pas, est devenu une boîte anglaise, j'ai appris plein de choses sur le béton. Et j'aime bien apprendre quelque soit le domaine. Les différents ciments qu'on utilise, les granulats qui donne des aspects et des couleurs et donc les "modes" en vigueur chez les clients. Sans oublier que les "centrales à béton" ont une large autonomie et que le siège se contente d'enregistrer leurs initiatives (nouveaux composants par exemple, ce qui impacte les bases de données pour lesquelles ces nouvelles références ne s'appliquent qu'à une centrale qui se ravitaille à la carrière proche). Tous ces aspects étant "informatisables" en définitive. Alors qu'un jeune et brillant informaticien qui n'aura aucun vécu professionnel outre que des stages en informatique sera quelque peu largué dans les aspects métiers.

2. Oui ! Ca s'appelle "équipe de réserve". Je prends l'exemple de la Sécurité Sociale. Un centre de Sécu ne peut se permettre qu'un chef de centre ou même son adjoint soit HS (maladie ou autre) donc il va demander son équivalent à l'équipe de réserve qui est composé de gens d'un haut niveau technique et très adaptables. Etant bredouille dans mes recherches de CDI (j'étais un vieillard repoussant de plus de 40 ans) j'ai donc cherché des boîtes d'intérim, spécialisées en informatique, qui aurait un peu cet aspect "équipe de réserve". Mais je n'ai rien trouvé. Et de l'avis d'un directeur d'une boîte les demandes allaient, selon ses termes, de "très peu" à "pas du tout". Il faut dire que c'était l'époque du jeunisme et des "stages en entreprises" pas payés où les jeunes informaticiens étaient taillables et corvéables à merci.

[Chauve souris]

Sauf que la banque en question, la NSA peut débarquer et voir tous tes comptes (même si ta banque est en Irlande). Et "aidés" leur "entreprises locale" (Boeing, Apple...) contre les méchants Airbus, Samsung...

Ta cave en France, elle risque pas grand chose de se coté la.

Et enfin qu'es ce qui vous dit que ma cave est moins sécurisé que la le coffre fort d'une banque ? Ma cave à peut être une porte blindé, un mur en béton de 6M et 1 garde armée devants l'entré.

Et contrairement a ma banque qui a une porte qui ouverte sur le monde (internet), ma cave n'a peut être pas de porte ouverte sur le monde justement.

Autre aspect : si tu n'en parles à personne que t'as 20 lingots d'or qui dorment dans ta cave, les hackers n'en sauront rien et n'auront pas idée d'y venir. Alors que les dits hackers sont sûrs de faire une bonne moisson s'ils s'attaquent à une banque, même sans savoir ce qu'il y a spécialement dans les coffres des clients qu'ils défoncent.

Corollaire : s'il n'y a que des gens de confiance dans votre boîte vous pouvez être - relativement - tranquille de ce côté là, mais si c'est la pétaudière à stagiaires il y a de sacrés risques (les stagiaires ne sont pas tous stupides même s'ils acceptent d'être payé des clopinettes il peut y avoir de très bons hackers parmi eux). Dans la description des "failles de sécurité" il y en a de très sérieuses et néanmoins négligeables - normalement - car il faut avoir accès physiquement à l'ordi, fut-il client. Dépend donc de l'accès aux dits ordis.

[DotNetMatt]

Autre aspect : si tu n'en parles à personne que t'as 20 lingots d'or qui dorment dans ta cave, les hackers n'en sauront rien et n'auront pas idée d'y venir. Alors que les dits hackers sont sûrs de faire une bonne moisson s'ils s'attaquent à une banque, même sans savoir ce qu'il y a spécialement dans les coffres des clients qu'ils défoncent.

Corollaire : s'il n'y a que des gens de confiance dans votre boîte vous pouvez être - relativement - tranquille de ce côté là, mais si c'est la pétaudière à stagiaires il y a de sacrés risques (les stagiaires ne sont pas tous stupides même s'ils acceptent d'être payé des clopinettes il peut y avoir de très bons hackers parmi eux). Dans la description des "failles de sécurité" il y en a de très sérieuses et néanmoins négligeables - normalement - car il faut avoir accès physiquement à l'ordi, fut-il client. Dépend donc de l'accès aux dits ordis.

On est bien d'accord sur ces points, mais le cloud implique des comportements différents. Je ne pense pas qu'il soit raisonnable de se mettre sur un pied d'égalité le cloud et le LAN. Sur un LAN, je ne crypterai que les données les plus sensibles et ne mettrait pas forcément en place des communications internes avec des protocoles sécurisés (je parle des communications internes, entre des machines sur mon LAN). Par contre je prendrai la peine de le faire systématiquement sur le cloud, car je ne souhaite pas que Microsoft, la NSA ou quiconque puisse intercepter les flux.

Et à mon sens il n'est pas très compliqué de mettre n'importe quelle agence d'espionnage en échec en utilisant de la cryptographie car ils ne peuvent pas tout cracker. Après bien sûr la cryptographie n'est pas une fin en soi, il faut avoir des process adaptés, car si les clés trainent de partout ou sont faciles à obtenir, alors autant ne rien crypter. Si le stagiaire a accès aux clés de la production alors on a un gros problème. Donc on en revient au point qu'on ne fait pas du LAN comme on fait du Cloud, il faut s'adapter.

Sauf que la banque en question, la NSA peut débarquer et voir tous tes comptes (même si ta banque est en Irlande). Et "aidés" leur "entreprises locale" (Boeing, Apple...) contre les méchants Airbus, Samsung...

Ta cave en France, elle risque pas grand chose de se coté la.

Il y a beaucoup de TPE/PME qui se croient au top en matière de sécurité juste parce qu'elles ont mis Norton Antivirus et parce qu'elles se disent "c'est bon, je suis une petite entreprise perdue au fin fond de la France, personne ne viendra m'attaquer"... Je réalise des prestations de conseil sur mon temps libre pour ce genre d'entreprises en France et en Allemagne, et quand on voit que la majorité de ces patrons ne sait même pas ce qu'est un firewall, ce genre d'argument me fait rire. Après, c'est une généralité, ca m'est aussi arrivé d'être agréablement surpris et de voir des caves au top avec un budget sécurité conséquent. Mais c'est plutôt l'exception. J'ai aussi vu quelques petites entreprises couler suite à un vol de données.

L'espionnage industriel a toujours existé, et je ne crois pas que cela fasse une différence d'être dans le cloud ou en LAN : les données sensibles de l'entreprise doivent être protégées correctement, que ce soit dans le cloud, sur le lan, sur les PC, sur les clés USB, sur les comptes dropbox, etc. Sinon il y a un risque... Il ne faut pas croire que seuls les américains font de l'espionnage industriel, tout le monde en fait sauf que les médias en parlent moins. Surtout les médias Francais qui ont tendance à considérer que tout tourne autour de la France

En Novembre 2015, Microsoft a annoncé l'ouverture de data centers en Allemagne. Ce pays de par son histoire est extrêmement tatillon avec toutes les questions liées à la vie privée (je crois qu'avec la Suisse, ce sont probablement les 2 plus attentifs à ces questions). Donc j'imagine mal Microsoft arriver à faire du business dans ce pays s'ils ne sont pas respectueux de ce concept. D'ailleurs chose intéressante, les data centers seront opérés par T-Systems qui est une filliale de Deutsche Telekom, et non par Microsoft. Je vois cela comme une garantie supplémentaire du respect à la vie privée.

Et enfin qu'es ce qui vous dit que ma cave est moins sécurisé que la le coffre fort d'une banque ? Ma cave à peut être une porte blindé, un mur en béton de 6M et 1 garde armée devants l'entré.

Oui je ne doute pas que ta cave sera correctement protégée puisque tu as des connaissances dans ce domaine donc tu sais quoi faire, mais je doute que la cave de monsieur tout le monde ressemble à la tienne. Il y a énormément de monde qui se dit qu'au final ca ne vaut pas la peine de se protéger. Même dans le monde IT, combien y'a-t-il de SSII qui ont à peine un firewall à peu près bien configuré, aucun backup, des serveurs/switchs accessibles à tous, pas d'antivirus sur les PC ni sur les serveurs... ? Pourtant ces gens sont au courant de ce qu'il peut se passer. Leur cave est loin d'être au top.

A côté il y a aussi une grande banque francaise, quand j'y ai bossé, ils coupaient la connexion internet de certains services (portails Web, API...) en pleine journée afin de contrer des attaques venues de Russie et de Chine. Dans ces environnements, oui la cave est au top et il y a des gens qui savent ce qu'ils font et qui sont au courant que des attaques sont en cours sur leurs systèmes.

Et contrairement a ma banque qui a une porte qui ouverte sur le monde (internet), ma cave n'a peut être pas de porte ouverte sur le monde justement.

C'est un bon point, est-ce que cela ne rejoint pas la question posée plus haut - quel est l'intérêt d'avoir une cave sans porte ouverte, si ce n'est pour protéger des informations très sensibles (du genre sécurité nationale) ?

[RyzenOC]

Oui je ne doute pas que ta cave sera correctement protégée puisque tu as des connaissances dans ce domaine donc tu sais quoi faire, mais je doute que la cave de monsieur tout le monde ressemble à la tienne. Il y a énormément de monde qui se dit qu'au final ca ne vaut pas la peine de se protéger. Même dans le monde IT, combien y'a-t-il de SSII qui ont à peine un firewall à peu près bien configuré, aucun backup, des serveurs/switchs accessibles à tous, pas d'antivirus sur les PC ni sur les serveurs... ? Pourtant ces gens sont au courant de ce qu'il peut se passer. Leur cave est loin d'être au top.

Oui je suis d'accord, mais je réagissait à une réponse de Aeson, qui parce que je bosse dans une grosse boite on fait du gaspillage d'argent inutile. Ce qui est faux.

Les grosses boites on les capacités financières et on un besoin en puissance de calcule/espace de stokage, mais ici il ne s'agit de la boulangerie du coin, dans ma boite on est d’après wikipedia 307 000 salariés. Je suis convaincue qu'investir dans du cloud privée sur mesure et économique et plus safe vue le nombre d'utilisateur final.

Sinon pourquoi toutes les grosses boites le ferais si c'était pas rentable ?

Pour la PME, si c'est juste pour faire des sauvegardes, des disques dur USB sous le lit du patron suffisent je pense.
Pour ce qui est de la sécurité, de toute façon cloud ou pas, il y'aura toujours des failles sur le pc de l'utilisateur, si le pirate peut accéder au pc de l'entreprise, il peut voler les identifiants d'azure avec un keylogger je vois donc pas ce que sa apporte d'utiliser le cloud au final niveau sécurité ? (le comble et si le mots de passe et sur un post it )