Archives de catégorie : Non classé

Cybersécurité : La négligence de Trump critiquée

Trump, dessin, caricature, cybersécurité, firewall

 

7 membres sur les 27 du NIAC (National Infrastructure Advisory Council), en charge de conseiller Donald Trump sur les questions de cybersécurité, ont donnés leur démission dans une lettre commune. Ils ont dénoncés notamment la négligence et l’indifférence de Trump pour la sécurité informatique des Etats-Unis.

Source : Le Monde

Remarque : si vous ne savez pas ce qu’est un firewall, je vous invite à regarder cette vidéo

Comprendre le GDPR / RGPD avec des emojis

Si vous travailliez dans l’informatique, vous avez déjà peut être entendu parler du GDPR (ou RGPD en français)

Vous devez savoir savoir qu’il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne.

Mais concrètement :

  • Qu’est ce que c’est?  
  • Quels vont être les impacts?
  • Qui sont les acteurs concernés?

Pour le savoir…

  • Soit, vous vous tapez tout le texte du règlement (disponible sur le site de la CNIL),
  • Soit, vous regardez cette vidéo où je vous fais une synthèse, le tout en quelques minutes et en emoji!

GDPR/RGPD, c’est quoi ?

GDPR veut dire General Data Protection Regulation ou RGPD pour Règlement général sur la protection des données.

Plus concrètement :

  • Il s’agit du texte de référence européen en matière de protection des données personnelles pour les résidents de l’Union européenne. 
  • En gros, le GDPR va harmoniser la gestion des données dans l’ensemble des pays de l’Union Européenne.
  • Et Il sera applicable à partir du 25 mai 2018. Bref, demain quoi!
Qui sont concernés par le GDPR ?

Le GDPR concerne tous les acteurs économiques et sociaux proposant des biens et services sur le marché de l’UE, dès lors que leur activités traitent des données à caractère personnel sur les résidents de l’UE :

  • Les entreprises,
  • Les associations,
  • Les organismes publics,
  • Les entreprises dont le siège est hors UE mais opérant dans l’UE Et sur des données des citoyens de l’UE
  • et les sous-traitants dont les activités rentrent dans ce cadre

Pour la suite je vais juste parler d’entreprise pour simplifier mais faut le comprendre comme englobant tous ces différents acteurs

Les objectifs et les enjeux

L’objectif est de donner aux citoyens de l’UE davantage de contrôle et de visibilité sur leurs données privées, notamment pour savoir quelles sont les données collectées, à quelle fin, et leur durée de conservation.

Le principal enjeu pour les entreprises est donc  de savoir à un instant t où sont les données et comment pouvoir, sur simple demande, les collecter et les transmettre à la personne concernée

Cela suppose qu’une entreprise doit à tout moment savoir de quelles données elle dispose, leur localisation, l’objectif de leur collecte et leur mode de gestion, de stockage, de transfert et d’effacement.

 

Sanctions prévus en cas de non conformité au GDPR

Celles-ci peuvent aller jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros.  La somme la plus importante entre les 2 est retenue.

Et c’est également l’entreprise qui devra payer les Dommages et intérêts pour préjudice subi pour non respect du GDPR suite à un recours en justice au pénal

 

Les 5 principes clés du GDPR / RGPD

Voici les nouveaux principes à mettre en oeuvre dans le cadre du GDPR pour assurer une meilleure protection des données personnelles :

  • le concept d’accountability ;
  • la démarche de « Privacy by design »
  • la démarche de « Security by default »
  • la désignation d’un Data Protection Officer (DPO)
  • l’étude d’impact

 

La logique de responsabilisation ou « accountability »

Le GDPR introduit une logique de responsabilisation, c’est l’”Accountability”. C’est à dire que d’une part c’est à l’entreprise de prendre toutes les mesures pour garantir la conformité au GDPR.

Mais cela implique aussi que l’entreprise doit être capable de démontrer qu’elle a rempli ses obligations en matière de protection des données, ce qui sera notamment le cas lors de contrôle de la CNIL par exemple.

Cela peut aller de la tenue de la documentation, à la mise en œuvre des obligations en matière de sécurité en passant par la réalisation d’une étude d’impact.

 

Le respect de la protection des données dès la conception ou « Privacy by design »

« Privacy by Design » signifie que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service mais aussi d’un système d’information, d’une base de données ou d’une application.

 

La sécurité par défaut ou « Security by default »

Ce principe renforce le rôle de sécurité dans le système d’information et notamment dans son traitement des données,

En effet le SI doit être sécurisé a ses différents niveau, du physiques jusqu’au logique (contrôle d’accès ou un système dde prévention contre les failles de sécurité, etc.).

Mais l’entreprise doit être aussi d’être en mesure de déceler si l’intégrité du SI a été compromise et y remédier

 

La désignation obligatoire d’un Data Protection Officer (DPO)

Il s’agit d’un délégué à la protection des données quidoit être associé aux questions de protection des données à caractère personnel. Son rôle est de veiller à la conformité au GDPR et d’être le point de contact avec l’autorité de contrôle.

 

L’ étude d’impact

Le GDPR demande aux entreprise de réaliser une étude d’impact sur la protection des données personnelles avant à la mise en œuvre des nouveaux traitements de données qui pourraient présenter des risques d’atteintes aux droits et libertés individuelles.

Le cas échéant, l’étude d’impact devra aussi prévoir les mesures pour diminuer l’impact des dommages potentiels à la protection des données personnelles.

 

J’espère que cette post vous a plu et vous a aidé

N’hésitez pas à partager ce post ou ma vidéo, ça m’aiderait mais tellement!

Dis moi ce que vous en avez pense dans les commentaires!

 

Pour finir, sachez que la CNIL a publié un guide pratique et simple pour se préparer à une mise en conformité en six étapes (si vous souhaitez approfondir le sujet.

 

 

Le serveur informatique pour les nuls

Dans cette vidéo, je vais vous expliquer ce qu’est un serveur informatique et vous montrer son rôle dans l’informatique moderne et dans le fonctionnement d’Internet.

Un serveur, c’est quoi ?

Le rôle des serveurs informatique est de fournir des services autour des données.

Par exemple, le serveur peut :

Du cpup tout les services auquel vous accéder en ligne, comme vos musiques via Spotify, vos mails via Gmail, cette vidéo que vous regardez sur Youtube ou vos photos sur Instagram… Tout ça c’est géré et hébergé sur des serveurs

 

La relation « client-serveur »

Et tous ces services sont accessibles via des requêtes que font des clients. On parle alors de relation “client-serveur”. Il faut comprendre par là, “client du service” et “serveur ou fournisseur du service”.

Mais attention : les clients peuvent être soit des utilisateurs, soit d’autres serveurs. Rien n’empêche un serveur d’être le client du service d’un autre serveur: par exemple  un serveur web peut demander à un serveur base de données les informations à afficher sur ses pages web au client.

 

Serveur et datacenter

Concrètement, un serveur c’est un peu un super ordinateur qui possède des composants similaires à ceux d’un ordinateur comme des ventilos, des barrettes de mémoires RAM, des processeurs, mais tout ça en beaucoup beaucoup plus performant. Parce que ce sont des machines qui traitent énormément de données de manière automatique et simultanée et qui en plus tournent 24h/24 7j/7

Juste une petite remarque : rien n’empêche d’utiliser un ordinateur comme serveur mais c’est clairement pas le même niveau de performance 

Les serveurs sont hébergés dans des datacenters quand il s’agit de grandes entreprises. En résumé, un datacenter c’est un site sécurisé qui va héberger plein de serveurs et leur fournir des services pour garantir un fonctionnement optimal et continu (comme équipements réseau, infrastructure de sécurité incendie, de refroidissement des serveurs, etc).

Prenez soin de vos mots de passe (ils vous le rendront bien)

Dans cette vidéo, je vais vous sensibiliser à l’importance des mots de passe :

  • Pourquoi est ce important d’être vigilant avec les mots de passe?
  • Comment les sécuriser?
  • Les bonnes pratiques et les pièges à éviter

 

Bonnes pratiques pour un mot de passe fort

Voici en résumé les bonnes pratiques pour avoir de bons mots de passe :

  • Inclure dans chaque mot de passe
    • des lettres majuscules,
    • des nombres,
    • des caractères minuscules,
    • des ponctuations/caractères spéciaux,
  • Mettre un mot de passe long  (10 caractères minimum conseillé).
  • et surtout utiliser un mot de passe différent pour chaque compte !

Pour compléter ces mots de passe forts, voici 2 dernières recommandations.

 

Les gestionnaires de mots de passe

Le premier c’est sur la gestion de ces mots de passe. C’est déjà difficile de devoir se rappeler de plusieurs mots de passe, alors si en plus ils sont tous complexes, ça relève juste de l’impossible. Et je te le dis tout de suite : les post-it, les fichiers texte  ou votre boite mail : c’est NIET!

Et c’est pour ça que je recommande d’utiliser des gestionnaires de mots de passe, les plus connu sont keypass, LastPass et Dashlane.

Pour ma part, j’utilise Dashlane qui est vraiment très complet mais les 3 font la même chose. Le principe c’est que vous n’ayez plus qu’à retenir un seul mot de passe maitre hyper complexe pour accéder à l’application et depuis cette application, vous pouvez retrouver tous les autres mots de passe dans ce coffre fort de mot de passe

Et en plus cerise sur le gateau : ça propose des services assez sympas de generateur de mots de passe sécurisé. Il n’y même plus besoin de se prendre la tête à trouver des mots de passe sécurisés.

Pour essayer Dashlane, voici un lien de parrainnage : https://www.dashlane.com/fr/cs/ycrr_7_6KUB1

Validation en 2 étapes

Et enfin, derniere recommandation, c’est que lorsque tu peux, active la validation en 2 étapes. Dans ce cas là, en plus du mot de passe pour se connecter, il faut entrer un code unique qui est envoyé par téléphone. Ce qui ajoute une étape de validation supplémentaire pour confirmer que tu es bien le propriétaire du compte.

Et même si le hacker a ton mot de passe, sans ton téléphone, c’est impossible pour lui de se connecter.

Personnellement, j’utilise la validation en 2 étapes pour mes compte Gmail et compte bancaire et iCloud.

Comprendre le DevOps en 8 minutes et en emojis!

 

Qu’est ce que le DevOps?

Pour mieux comprendre le DevOps, voyons d’abord un fonctionnement traditionnelle d’entreprise sans DevOps :

  • Les Développeurs (abrégé Dev) collectent les exigences du métier pour ensuite en développer le code.  
  • Ensuite cette même équipe de Dev teste le nouveau code de l’application puis la livre à l’équipe Production et Exploitation (abrégé Ops pour Operationnals).
  • Les Ops se charge de la mettre en production, puis de gérer son exploitation.

Cependant ce modèle pose des problèmes car les 2 équipes Dev et Ops donc ont objectifs complétement différents :

  • D’un côté, l’équipe Dev doit faire évoluer les applications le plus rapidement possible. C’est la recherche d’un time to market réduit, le time to market étant le délai entre l’idée initiale et sa concrétisation en production,
  • De l’autre côté, l’objectif principal d’une équipe Ops est de garantir la stabilité du système. Cela passe par un contrôle sévère des changements apportés au Système d’information. Une panne de la production peut coûter cher à l’entreprise (business perdu, image écornée, contraintes légales non respectées…).

L’antagonisme de ces objectifs cree des conflits d’intérêts entre ces 2 équipes :

  • Les Devs blament les Ops pour les retards et problèmes de livraison.
  • Les Ops tiennent l’équipe des Dev pour responsable des incidents en production liés à une mauvaise qualité du code

Bref c’est pas joli à voir…

L’approche DevOps cherche justement donc à réconcilier ces 2 mondes (d’où la contraction du terme DevOps). Le but est d’aligner leurs objectifs court terme différents  autour d’un objectif commun long terme : celui de la création de valeur pour l’entreprise.

Et cette création de valeur passe par 3 canaux:

  • Un time to market plus rapide
  • Des produits de qualité
  • Des équipes plus efficaces

 

Les grands principes du DevOps 

Cette approche DevOps repose sur 5 grands principes :

  • La culture de collaboration
  • L’automatisation
  • La création de valeur comme objectifs
  • La mise en place de métriques à tous les niveaux
  • Le partage comme valeur forte

Culture de collaboration :

  • Créer une culture de collaboration est très importante car elle permet de donner à toutes les équipes une vision globale du système d’information.
  • Le but ultime est de fluidifier et faciliter l’intercommunication entre Dev et Ops.

La recherche systématique de valeur ajoutée pour client :

  • Elle se décline à travers la mise en place d’un cycle d’amélioration continue, et donc la suppression des taches sans valeur ajoutée.
  • Mais aussi en les incitant les équipes à se concentrer sur la création de valeur business et la satisfaction client.

La mise en place de métriques :

  • Les métriques sont nécessaire car on ne peut parler d’amélioration que si l’on est capable de mesurer l’état initial, l’état final et l’évolution entre les 2 états.
  • Ce sont des métriques à tout les niveaux :  métriques, métriques d’équipe et la mesure de la satisfaction client)

Principe de partage au sens large :

  • Il s’agit de partager un objectif commun, mais aussi les problèmes, les connaissances et les REX.
  • Cela permet de faire émerger un sentiment d’entraite mais aussi des idées nouvelles.

 

Automatisation des processus :

Il se décline sur plusieurs niveaux :

  • Provisionning d’environnements automatisé pour les devs
  • Tests automatisés pour valider la qualité d’un nouveau code
  • Déploiements automatisés une fois que ce code est validé comme conforme à la qualité attendue

Tout ceci en vue de tendre vers le déploiement continu :

  • Le déploiement continu est une approche qui considère qu’une application doit être construite de telle manière à ce  qu’elle puisse être envoyée en production à tout moment (déploiement en production après validation par les tests)
  • L’idée est d’accélérer les cycles de mise en production pour une accélération du time to market.

 

 

 

Et en pratique?

Dans une entreprise Devops, on a alors la situation suivante :

  • Les Devs collectent les besoins métiers et développent un nouveau code de l’application pour répondre à ces besoins.
  • L’application est automatiquement compilés et testés à différents niveau. Si le code atteint le niveau d’exigences demandées en termes de qualité, l’évolution est livrés en production automatiquement et rapidement
  • En cas d’incident en prod, la nouvelle évolution peut être désactivée rapidement pour retourner sous l’ancienne version tout en remontant l’incident à corriger à l’équipe de dev
  • Le travail des Ops est quant à lui facilité  car les dev ont compris les contraintes de l’equipe de production et ont intégré ces problématiques d’exploitation et de production dans son code. Par exemple, le dev a intégré dans la conception de son application des métriques d’exploitation permettant de surveiller l’état de santé de l’application.
  • Les équipes opérationnelles comprennent ainsi mieux les besoins des développeurs pour permettre une meilleure optimisation des ressources de la production, un meilleur monitoring et une meilleure remontée d’erreur.