At the end of June 2017, an image shocked the minds of the cyber security and business continuity world. An open space, filled with workstations, all displaying the same screen: the NotPetya ransomware message. Even today, 90% of the crises managed by Wavestone CERT are caused by ransomware [1]. How, then, is it possible to begin investigations, reconstruction or enable the business to continue working if all workstations stop functioning? What strategy should be developed to integrate the workstation component into continuity plans, which until now have mainly addressed it from the point of view of disasters affecting buildings? 

Define the needs 

To begin with, it’s important to define the cyber scenario you want to protect yourself against. Is it a “total blackout” scenario, where the entire IS is unavailable? Or a basic Windows ransomware scenario where some Windows servers and workstations are compromised, but network equipment and Linux bricks are still functioning?   

Next, and based on the scenarios selected, it is necessary to segment the populations according to their needs: it is not possible to provide for an infinite number of workstations in a given period, and you need to know where to allocate the first workstations that will be made available. For example, we can distinguish between business-critical teams, whose activity cannot be interrupted for more than 4 hours, and less critical business activities, for which activity can be interrupted for 3 days with acceptable impacts for the company in crisis mode. Similarly, the IT and Cyber teams to be mobilized in the very first hours of a crisis to conduct investigations and begin reconstruction.   

Another point to consider is the minimum business functionality required for the rebuilt workstations to be useful. Some business populations use thick clients on their workstations, which can be complex to install and maintain. Likewise, certain professions need to interact with third parties for their vital activities, via dedicated VPNs or an IP whitelist. It is therefore essential to clearly define how many people have these needs, and in what timeframe, to define the technical solutions that can be implemented.   

We won’t necessarily propose the same solution to IT investigation and reconstruction teams – who need access to the internal network – as to business teams, who may have degraded modes of operation outside the company’s information system (IS) for the first few days of a crisis.  

When all is said and done, we tend to distinguish two clearly differentiated phases in the strategy for providing workstations in the event of a ransomware crisis: 

• A first phase during the very first days of the crisis, for a limited population, which will generally rely on solutions with the least possible adherence to the nominal Information System, in order to ensure critical business activities;  
• A second phase when investigations have progressed, with a massive workstation rebuild using the company’s master workstation, which will have been hardened beforehand by drawing lessons from past investigations.  

Adapting the solution to your context  

Several parameters need to be taken into account when planning your workstation rebuild strategy. One solution may work for one company but be unsuitable for another.   

For example, numerous security and access control measures have been put in place in recent years concerning access to the internal workstation network. NAC (Network Access Control) is increasingly widespread, and in recent buildings, Ethernet sockets accessible to each desk are tending to disappear. Office 365 access is restricted via conditional access, and VPN (Virtual Private Network) gateway authentication is based on a certificate on the workstation. When all these constraints exist, a BYOD (Bring Your Own Device) strategy for the first few days of a crisis cannot be the answer – at least not on its own.   

Also, the way in which workstations are managed is a determining factor and does not necessarily mean that the same technical solutions can be implemented for reconstruction. Generally speaking, there are two main approaches:  

• One, a so-called “historical” approach, with fleet management solutions based on classic architecture such as Microsoft System Center Configuration Manager (SCCM), which is the most widespread solution today.   

• Alternatively, a more “modern” approach (i.e. Modern Management) with Cloud-based fleet management solutions such as Microsoft Intune, which has been gaining ground in recent years. 

Reconstruction methodology also needs to be anticipated. There are two possible methods: restoration and reinstallation. Restoration represents a return to a previous state of the environment (OS and/or applications and/or data) thanks to a backup. Reinstallation, as the name implies, means rebuilding the workstation from scratch, losing local documents.   

In the case of workstations, the number of documents stored locally is generally fewer and is therefore a less critical issue. Most documents are now stored on file servers (NAS or Sharepoint) for shared work, or in the user’s personal OneDrive. As a result, users will be more inclined to reinstall workstations from scratch, rather than take the risk of restoring the system to a previous state, where the ransomware may already have been present but not yet activated. Especially as recent ransomware attacks local restore points [2].   

Choosing the reconstruction methods best suited to your strategy 

There are several different ways of providing workstations, depending on the situation and the formalization of needs discussed above. Here is a list of the main solutions we have encountered in the field, and our opinion on the advantages and disadvantages of each solution. 

• Building up a stock of emergency PCs 

A method often applied in conventional emergency plans (for building/site loss scenarios), crisis PCs are placed in Ergotron-type containers, ready for use in the event of a disaster. They are connected to the local network via the Ergotron, and automatically receive updates. Another strategy may be to rely on IT departments’ rolling stock of workstations, or to keep decommissioned workstations as backup stock.  

Our opinion: While this approach is well-suited to resilience scenarios such as the loss of a building/site, it presents a risk in the face of ransomware, as these PCs would be compromised in the same way as others, since they would be accessible and visible on the local network. These PCs would then have to be managed “off-line”, requiring a higher level of MCO (maintenance in operational condition), since the PCs would have to be manually switched on and updated regularly. What’s more, having unused, dormant equipment raises the question of optimizing resources and carbon footprint. This solution should be considered for a restricted population with a very low acceptable downtime. In addition, for populations using thick clients, it is possible to save time by pre-installing them on these dormant workstations. 

• The use of unmanaged PCs, via BYOD (Bring Your Own Device) or the use of “consumer PCs” purchased in the event of a crisis  

This strategy is generally associated with a “Total IT Blackout” scenario, in which the entire information system is considered compromised, and work must be carried out without any link to it. In this case, unmanaged workstations are used, either personal or mobilized in the event of a crisis via a contract with a supplier.     

Our opinion: the functionalities of this solution are limited, as the workstation has no access to the company VPN, and if NAC is deployed, when visiting the site, the PC will not have access to internal resources that are still functional. It can, however, be considered in conjunction with crisis measures that have been planned in advance and will enable the PC’s functionality to be improved (emergency NAC shutdown; temporary modification of O365 Conditional Access with Internet access; storage of business-critical data in a crisis Vault outside the IS, so that work can continue). In most cases, this solution will be reserved mainly for the business community, and possibly for the IT staff in charge of rebuilding – by coupling it with a return-to-site strategy and a lifting of the NAC, enabling physical access to the internal network. This remains a solution that can be highly effective when well anticipated and combined with the crisis measures mentioned above. 

• Nominal existence of workstations under another OS 

In the event of an attack specifically targeting Windows environments (most encountered in the field), the affected computers can be replaced by the solution running on another OS.   

Our opinion: this solution implies an MCO (Maintaining Operational Conditions) of at least two technologies and does not guarantee that users who normally work under Windows will be able to work under Linux or MacOS (non-compatible thick clients, etc.). It is, however, an entirely feasible solution for very specific populations, such as investigation teams. These teams generally prefer to use specific distributions such as Kali Linux, and these are the people who need to have access to the IS in the first hours of a crisis. 

• Remastering workstations on benches   

In the event of a crisis, the teams go to the various sites with mastering benches with their compromised PCs to be remastered. Even in the largest companies, run remastering benches have limited rebuild capacity (a maximum of a few hundred workstations/day per site). To increase this capacity, additional crisis remastering benches can also be provided as part of a contract with an external supplier.   

Our opinion: the remastering method in nominal mode on a bench requires careful preparation to be effective in the event of a crisis, given the volume of substations to be rebuilt. A plan must be drawn up to organize the return of many people to the site at the same time (distribution by site, communication to users on time slots, etc.), based on the remastering capacity of the benches per physical site. 

• Remastering workstations via USB keys   

In the event of a crisis, USB sticks prepared in advance (or to be generated during the crisis using a predefined procedure) with a Windows OS image are used to reinstall a new OS on the machine. This can be a blank Windows OS, or a company-specific image.   

Our opinion: this is a tried-and-tested method for crisis situations, which can save a lot of time if it is anticipated. You need enough USB sticks, with a recent Windows OS image, and a method for quickly cloning the sticks. You also need to define a way of distributing these keys to users (either before the crisis – but this makes updating the keys more complex, and there is a risk of losing them – or during the crisis, by going to an IT kiosk, as with the benches). It is also necessary to be able to boot on external media. If this functionality is blocked in the BIOS, this method cannot work, or at least not without a procedure to lift this restriction. This method can be combined with the use of benches to maximize the number of workstations to be remastered in parallel on site (some of the PCs run on the benches, while others launch the process via USB key). Similarly, if the workstation bootstrap has been compromised, a USB key with a blank Windows can be combined with Intune remastering at a later stage. 

• The use of crisis VDI (Virtual Desktop Infrastructure)   

Users connect to a remote virtual desktop via a browser. This solution must necessarily be combined with another (BYOD, consumer PC purchased for the occasion, or other) as a PC is required to connect to the remote VDI. VDIs can offer more or less advanced functionalities, depending on their link with the company’s IS (access to the internal network, pre-installation of thick clients, etc.).  

Our opinion: This system enables rapidly operational work environments, while limiting the risk of data leakage, since it is possible to prohibit copy/paste from the VDI to the host workstation. What’s more, by relying on VDIs in the cloud, you can achieve a high level of scale-up potential (from 1 VDI to 200 active VDIs very quickly in the event of a crisis). The main risk remains that the more the VDI infrastructure is correlated with the company’s IS, the greater the likelihood that it too will be compromised by the attack. In this case, relying solely on this solution is a risky gamble. Conversely, a VDI that is completely uncorrelated with the IS will function, but will offer limited functionality without any access to uncompromised parts of the company’s IS. 

• Re-mastering from the cloud via Intune 

The master deployed on workstations is externalized to Intune, a SaaS service hosted in the Microsoft cloud. At start-up or after a factory reset, the workstation asks the user to enter his or her Microsoft email address, thus identifying the user as a member of the company. This triggers the automatic download and installation of the master, with no further intervention required. There is one important prerequisite, however: the fleet must be natively managed via Intune to be able to use these methods. 

Our opinion: This is one of the most effective methods, particularly as it is possible to modify the image (in the event of compromise via a vulnerable protocol/patching flaw), then remotely launch a massive remastering of the compromised workstations from within Intune. It is also possible to carry out this self-service remastering on the user’s side, but a prerequisite will then exist: possession of the workstation’s BitLocker recovery key (or other encryption technology if applicable), if the workstation’s hard disk is encrypted as part of the workstation protection measures deployed by the company. For reasons of practicality on the day of the crisis, mass remastering launched from the Intune console is therefore preferable, as it avoids the BitLocker constraint. To do this, however, administrators must be guaranteed access to Intune – and Intune itself must not be compromised. Last but not least, if the ransomware destroys the workstation’s bootstrap, it won’t be possible to remaster it with Intune alone, and you’ll need to add the installation of a blank Windows on the workstation as a prerequisite (via a USB key, for example).  

It should be noted that there are also a few exceptional crisis situations in which, due to limited response and management resources, some organizations may choose to allow employees to work in degraded mode on compromised machines for a set period, if they are still operational. This may be the case, for example, when only office files have been encrypted, when the malware is passive and does not communicate with a Command and Control system, and by removing Internet access from workstations to prevent any remote takeover. 

To sum up, what are the success factors for an office environment resilience strategy? 

There’s no such thing as a “magic” solution for every situation, and every solution meets the need to get a workstation up and running again, but the choice of the best solution depends on several parameters specific to each organization. To ensure an effective strategy, it is important to :  

• Segment the company’s different populations to prioritize the provision of workstations, and propose solutions adapted to the specific needs of each one. 
• Diversify and adapt solutions. Focusing on a single solution can prove dangerous if it fails. The aim is to have a toolbox of technical solutions, which the crisis unit can choose to activate or not, depending on the exact nature of the crisis encountered. 
• Test solutions: whatever solutions and strategies are implemented to rebuild workstations, they must always be accompanied by planned tests. A solution that is not used regularly is a solution that may not work in the event of a crisis. Whenever possible, therefore, the backup solution should be used on a day-to-day basis to remaster PCs, or if VDIs are involved, they should be used on a regular basis. If this is not possible, the solution should be integrated into a business and/or IT continuity test plan, so that it can be tested in real-life conditions at least once a year. 

The solutions most frequently used in the field include mass remastering on the bench, building up a stock of crisis workstations, using Cloud solutions such as Intune and virtual desktops such as VDI coupled with BYOD. But these solutions, taken one by one, may not be enough, because as mentioned in the principle of diversification, putting all your eggs in one basket can cause problems. We could, for example, imagine a crisis where access to the Intune console is impossible and/or the Intune image itself has been altered by the attack. In this case, having a fallback solution such as external VDI or remastering via USB key is essential.  

[1] https://fr.wavestone.com/fr/insight/cyberattaques-en-france-le-ransomware-menace-numero-1/  

[2] https://attack.mitre.org/techniques/T1490/  

Cet article Cyber Resilience: how to define the best strategy for digital workplace recovery  est apparu en premier sur RiskInsight.

Très largement déployé dans le monde – Gartner parle de plus de 1,6 milliards de machines depuis son lancement en 2001, dont quelques 500 millions encore en activité –  l’OS équipe encore de nombreux postes de travail en entreprise. Dès lors, il est important de comprendre les enjeux de cette fin de support, et les différentes approches pour y faire face.

Quels sont les systèmes concernés et les conséquences de cette fin de support ?

Comme le montre l’illustration ci-dessous, le système concerné par cette date butoir est Windows XP dans sa version pour PC. . Notons que la version Embedded (pour systèmes embarqués), qui équipe par exemple certains distributeurs automatiques de billets, bénéficiera elle des correctifs jusqu’en janvier 2016.

Au-delà de l’arrêt des mises à jour fonctionnelles, l’arrêt des mises à jour de Windows XP signifie la fin des patches de sécurité : lorsqu’une nouvelle faille sera détectée, elle aura les mêmes impacts qu’une vulnérabilité 0-day. Elle sera donc immédiatement exploitable pour des actions malveillantes, et ne sera pas corrigée.

Microsoft a cependant annoncé récemment que certains produits spécifiques de sécurité pour Windows XP (tels que MSRT, l’outil de suppression des programmes malveillants) continueraient, eux, à recevoir des mises à jour de définition antivirales jusqu’en juillet 2015.

Du point de vue de la gestion des risques et de la sécurité, on peut redouter deux impacts majeurs.

En termes de protection,  les postes sous Windows XP, déjà souvent critiqués pour leur piètre niveau de sécurité, deviendront de réels points de faiblesse dans la durée. Même en faible nombre, ils pourront facilement servir de porte d’entrée et de point de rebond pour une attaque plus large.

La plupart des éditeurs d’antivirus arrêteront d’ailleurs de fournir un support pour leurs versions sous Windows XP lorsque cela deviendra techniquement (et commercialement) déraisonnable, contribuant à augmenter mécaniquement la vulnérabilité de ces postes.

Dans le même temps, les entreprises vont se trouver face à un risque de perte de conformité. En effet, certains standards exigent l’utilisation de systèmes supportés par leur éditeur. Ainsi, il semblerait que les postes sous Windows XP après le 8 avril 2014 fassent perdre la conformité HIPAA (données de santé américaines). Pour l’industrie bancaire, le risque de perte d’une certification PCI-DSS apparaîtra également, la norme exigeant une correction des vulnérabilités critiques impossible dans les faits.

Comment les entreprises peuvent-elle gérer ces risques ?

Pour se parer au mieux à toute éventualité après le 8 avril, plusieurs approches peuvent être adoptées.

1)     La montée de version, solution évidente mais à long terme

C’est la solution la plus évidente et, bien sûr, la plus recommandée par Microsoft. L’éditeur préconise le déploiement de Windows 8.1 Pro, là où beaucoup d’entreprises tentent actuellement de terminer (voire de commencer) leur passage à… Windows 7.

La migration vers un OS moderne est l’approche idéale, mais les retards de migration sont souvent dus à la complexité de portage d’applications historiques, à l’obligation de continuer à utiliser Windows XP car il est le seul OS supporté par une application métier critique, voire à la limitation d’un matériel pas assez puissant pour une version plus récente.

Cette situation n’a pas toujours été anticipée, et il est certain que des postes resteront encore sous XP pendant plusieurs mois, voire plusieurs années.

 2) La (coûteuse) botte secrète Microsoft : le custom support

Si le « support étendu » de Microsoft s’arrête, l’éditeur propose toutefois une alternative, à travers son Custom Support Agreement, ou support personnalisé.

Il s’agit d’un contrat complémentaire, accessible uniquement aux grands comptes, et facturé au nombre de postes que l’on souhaite continuer à couvrir. Les chiffres qui circulent publiquement sont de l’ordre de 200$ par poste pour la première année de support, 400$ la deuxième, et ainsi de suite…

L’objectif est ici d’offrir une porte de secours aux grandes entreprises qui n’ont pas encore migré des systèmes critiques, tout en les poussant à le faire rapidement en rendant le coût de support de plus en plus élevé.

 3) Les solutions dédiées pour sécuriser les postes sous XP

Plusieurs mesures de protection spécifiques peuvent, enfin, être mises en œuvre.

•  Figer le système dans une approche liste blanche

Il est possible de figer les systèmes obsolètes, comme cela a parfois déjà été fait avec les prédécesseurs de  Windows XP. Certains outils du marché, tel qu’Integrity Control de McAfee, permettent en effet de limiter la liste des exécutables autorisés sur un poste donné, vérifiant ainsi que seuls des logiciels approuvés et non modifiés sont utilisés.

Si cette méthode peut s’avérer efficace pour les postes métier ou de production industrielle subissant peu de changements, elle montrera vite ses limites avec des postes de travail bureautiques.

•  Déployer des solutions spécifiques de réduction du risque

Certains éditeurs offrent des solutions ciblées, à l’instar d’Arkoon avec sa solution ExtendedXP. Dans ce cas, il s’agit alors de cumuler un service de veille dédié aux failles touchant l’OS, et un outil de détection d’intrusion (HIPS) sur les postes de travail concernés, afin de réagir en temps réel à toute nouvelle vulnérabilité, d’adapter les règles de détection de l’outil, et de réduire ainsi le risque de compromission ou d’attaque.

•  Se préparer à l’éventualité d’une crise… en attendant la migration

Quelle que soit l’approche retenue, couvrir le risque tout en conservant des postes sous Windows XP sera difficile. Il peut donc être utile d’anticiper une gestion de crise, en intégrant ce cas spécifique aux processus existants : prévention auprès des utilisateurs et du Helpdesk, alerte des équipes IT, et formalisation d’une chaîne d’escalade adaptée.

Ces étapes sont déjà en cours chez nombre de nos clients. Même si elles peuvent représenter des solutions d’attente, la migration est aujourd’hui plus que nécessaire !

Cet article Que devient la sécurité de Windows XP après la fin de son support ? est apparu en premier sur RiskInsight.

Certes, les attaques évoluent, exploitant de plus en plus des vulnérabilités non dévoilées (type 0-days), ou faisant appel à des méthodes de phishing avancées contre lesquels les antivirus paraissent bien impuissants.

Même s’ils sont aujourd’hui loin d’être suffisants, leur utilité est pourtant toujours réelle.

 De l’antivirus au client unique de sécurité, les éditeurs ont fait évoluer leur offre

L’outil désigné par « antivirus » couvre en fait, dans la majorité des cas, plusieurs fonctions : antivirus (et de manière plus générale, antimalware), mais aussi pare-feu personnel, Host IPS (HIPS), outil de contrôle des ports USB…

C’est ce que l’on appelle le « client unique de sécurité » sur le poste de travail.

Il constitue aujourd’hui un rempart évident contre les infections, en particulier celles qui sont involontaires (clé USB infectée) ou récurrentes (virus anciens qui réapparaissent ponctuellement).

L’expérience des nombreux audits menés par Solucom montre qu’il protège parfois aussi contre des attaques plus complexes. Il peut par exemple détecter l’ exploitation d’une vulnérabilité pour laquelle le système n’aurait pas reçu le correctif, de type Conficker.

Il suffit d’ailleurs de se connecter à une console antivirus d’entreprise pour s’en convaincre : les détections/suppressions de virus sont encore nombreuses et régulières. En particulier, on constate souvent un pic lors des fameux scans hebdomadaires, souvent décriés par les utilisateurs pour les ralentissements qu’ils provoquent sur les postes (et leur manque d’efficacité supposé).

Plusieurs initiatives de grands comptes visant à diminuer leur fréquence ont d’ailleurs vu le jour.Elles n’ont jamais abouti, tant ces scans paraissent aujourd’hui encore  nécessaires – ne serait-ce que dans un rôle de « voiture-balai » afin de nettoyer le résidu récurrent de logiciels malveillants en tout genre. En revanche, une approche réaliste pour réduire le temps de scan est possible : réaliser un scan différentiel. Seuls les fichiers modifiés par rapport à la semaine précédente sont scannés.

 Le futur des antivirus est… dans le Cloud !

 Pour autant, les limites des antivirus ne font que s’affirmer depuis des années :

•  Les malwares sont de plus en plus complexes, leurs variantes innombrables, et même les éditeurs les plus réactifs ne sont plus capables de suivre la cadence.

• Dans les meilleurs cas, les définitions virales sont mises à jour quotidiennement sur les postes de travail : c’est déjà trop au vu des vitesses de propagation.

Un problème d’historique apparaît également : comment cumuler toutes les définitions de virus anciens et nouveaux, sans que la taille des fichiers contenant ces définitions n’explose, ralentissant encore le poste de travail, tout en nécessitant de plus en plus de temps à déployer ?

Les éditeurs d’antivirus commencent à proposer une réponse à ces problématiques, à travers le Cloud. Plutôt que de scanner un fichier sur le poste de travail, il s’agit d’en faire un hash (empreinte unique pour chaque fichier), qui est envoyé sur un serveur de l’éditeur, dans le Cloud. Il est alors comparé à une base de données mondiale, et peut même faire l’objet d’une note de « réputation » selon sa probabilité d’être ou non malveillant. L’information est alors renvoyée à l’antivirus sur le PC, qui prend les actions nécessaires le cas échéant.

Cette méthode prometteuse a toutefois ses contraintes : la nécessité d’une connexion internet, de qualité et le manque de maîtrise de la réaction de l’antivirus en cas de faux positif.

 Des changements de plateforme structurants

 Un dernier élément vient s’ajouter à la question de l’évolution des antivirus : il s’agit de l’évolution des systèmes d’exploitation eux-mêmes.

Les OS modernes intègrent en effet un certain nombre de mécanismes de sécurité natifs, qui rendent les attaques plus difficiles : isolement inter-applicatif, applications et drivers signés, mécanismes de cryptographie…

 Les deux principales plateformes mobiles en sont un bon exemple : tandis que l’efficacité des rares antivirus reste à démontrer sur Android, ils sont tout simplement interdits par Apple sur iOS. Pourtant, à part quelques vulnérabilités médiatisées, les cas d’infection dans le cadre d’une utilisation normale sont anecdotiques.

Ceci reste cependant à nuancer : les attaquants évaluent au final les coûts/bénéfices de chaque type d’attaque. Lorsque le développement de virus sur smartphone sera plus lucratif que l’exploitation d’une faille de navigateur Web, il deviendra sans doute à la mode…

Le cas de Windows 8 est encore différent : s’il dispose d’un environnement « nouvelle génération » avec les applications du Windows Store, il propose une rétrocompatibilité avec les programmes plus anciens… y compris malveillants.

N’enterrez donc pas tout de suite votre antivirus, il pourrait encore vous servir pendant des années !

Cet article Un antivirus sur votre PC entreprise en 2013 ? Pour quoi faire ? est apparu en premier sur RiskInsight.

Alors que l’on estime le TCO d’un poste de travail classique à environ 1400 € par an (sur 4 ans), les perspectives d’économies peuvent sembler importantes. Qu’en est-il réellement ? Le BYOD est-il l’avenir de la réduction de coûts ?

Poste de travail BYOD sponsorisé : une équation à résoudre entre subvention, coûts d’infrastructure et support

Le calcul du TCO d’un poste de travail varie d’une entreprise à l’autre mais prend généralement en compte les coûts de matériel, d’infrastructures, de logiciels et de service (installation, support, etc.).

Assez logiquement, on pourrait considérer que le BYOD permet d’exclure les coûts de matériel, de certains logiciels et une partie des coûts liés au service. S’agit-il pour autant d’une formule magique ? Pas si sûr. La législation française impose en effet aux entreprises de fournir à leurs collaborateurs leur outil de travail… et dans le cas contraire, de leur donner les moyens de l’acquérir, par le biais d’une subvention leur permettant de s’équiper (achat d’un PC, d’une suite Office, d’un antivirus et d’un contrat de support). Les sociétés ayant fait cette expérience sont encore peu nombreuses – les chiffres qu’elles communiquent permettent néanmoins d’estimer cette subvention à environ 1600 € (lissé à environ 400 € / an).
Un coût de financement initial important est à prévoir si de nombreux collaborateurs « adhèrent » en même temps à une solution BYOD, la subvention devant être accordée au démarrage.

De la même manière en ce qui concerne les coûts logiciels, il convient d’être prudent dans les prévisions d’économie. Ainsi, certains logi­ciels gratuits pour une utilisation personnelle deviennent payants pour une utilisation professionnelle (antivirus par exemple). Certains éditeurs (tel Microsoft) permettent de renégocier le droit d’utilisation de leurs licences dans le cadre d’un poste BYOD. Dans tous les cas, les éditeurs risquent de faire évoluer les conditions d’utilisation de leurs logi­ciels afin de prendre en compte cette tendance et de préserver leur chiffre d’affaires et leur marge.

Enfin, au-delà même de l’aspect subvention,  l’analyse de la rentabilité écono­mique du poste BYOD nécessite d’étudier avec soin les questions d’infrastructure et de support. Ces deux éléments sont des variables clés permettant de définir a priori des scénarios favorables à la réalisation d’économies.

Deux problématiques liées aux infrastructures : accès sécurisé au SI et mise à disposition des services applicatifs.

• Il s’agit de mettre en œuvre des technologies permettant de donner un accès sécurisé depuis des postes non maîtrisés. Certaines de ces technologies peuvent être pré-existantes, au moins sur certains sites. Dans le cas contraire, leur mise en place peut impliquer des refontes en profondeur.
• Mettre à disposition des services applicatifs : les applications web sont intéressantes de ce point de vue car indépendantes du poste de travail, sous  réserve de leur compatibilité avec les navigateurs utilisés. Une autre piste est d’avoir recours à une solution d’infrastructure de type déport d’affichage (Citrix, VMware, Microsoft) qui permet d’utiliser tout type d’applications quel que soit le poste. Ce scénario est pertinent, mais complexe et coûteux à mettre en œuvre s’il n’a pas été mis en place au préalable pour d’autres besoins.

 Optimiser ses coûts de support en rendant l’utilisateur autonome

Le BYOD suppose un contrat tacite entre la DSI et l’utilisateur : celui-ci travaille avec des outils qu’il a choisis.En contrepartie, il se responsabilise quant à leur support. De ce fait, il est fortement conseillé de cibler en priorité des populations motivées et technophiles, à même d’être le plus autonomes possible. Il est également conseillé de proposer des outils self-service (connexion automatisée, changement de mot de passe, ) et  favoriser la collaboration entre les utilisateurs (par la création de communautés pouvant échanger sur leurs problèmes).

Une piste à explorer : le BYOD prestataires ?

Assez proche du précédent, ce scénario consiste à ne plus  fournir aux prestataires de postes de travail. Pas de subvention à verser dans ce cas là – c’est au propre employeur de ces derniers de fournir à ses collaborateurs des outils de travail adaptés. Au-delà de l’intérêt économique évident de prime abord, ce cas présente l’avantage de simplifier le traitement des questions juridiques. Le contrat établit avec le fournisseur permet de préciser ce point. On peut cependant apporter une nuance à cette balance en apparence très positive : il est envisageable que cela ait des répercussions sur le coût de la prestation.  

Si la promesse est alléchante, la réalité est comme souvent plus nuancée…

Dans la plupart des cas, des surcoûts apparaissent pour mettre à jour les infrastructures, pour financer tout ou partie des terminaux, pour définir le cadre juridique et assurer la conduite du changement. La diminution de coût est réelle seulement dans des contextes très favorables – modernité du SI et des applications, sécurité bien intégrée, appétence des utilisateurs – ou à travers la contractualisation avec des prestataires.

Surtout, quel que soit le contexte, il apparaît surtout que le BYOD nécessite une transformation importante, que la recherche de gains économiques ne saurait justifier à elle seule.

Cet article Le BYOD, un moyen pour réduire les coûts du poste de travail en entreprise ? est apparu en premier sur RiskInsight.

Le client, objet de tous les efforts

Là réside le paradoxe : alors que le client dispose d’outils self-service supra ergonomique (services en ligne, réseaux sociaux, comparateurs, e-boutique, chat, web-call-back, FAQ….), le collaborateur avec qui il interagit parfois dispose d’un poste de travail obsolète qui ne lui permet pas d’être à la hauteur de ce qu’attend le client. Sans compter sur la rupture culturelle qui s’installe entre eux. Alors, oui, le collaborateur dispose d’une information plus riche, plus dense, plus complète. Mais le client a fait l’objet de tous les efforts en matière de simplicité, d’ergonomie, de cohérence et au final pourrait presque penser qu’il en sait plus que le collaborateur sur l’entreprise et ses produits. En tous cas, il reste perplexe devant le peu de valeur ajoutée apportée par le collaborateur alors qu’il attend de celui-ci une intervention experte et efficace.

Empilement d’applications sur le poste de travail et profusion d’informations clients

L’empilement des applications sur le poste de travail (référentiel clients, outils de gestion de la relation client, système de gestion des contrats, outils de mailing, etc.), la profusion d’informations clients non hiérarchisées et, paradoxalement, la différence d’interface entre services en ligne et applicatifs collaborateurs génèrent incompréhension et…contre-performance. Il n’est ainsi pas rare de compter 15 à 20 applicatifs métiers majeurs sur un poste de travail en centre d’appels, là où les impératifs de productivité sont par ailleurs les plus élevés !

Le diagnostic étant posé, comment exploiter plus efficacement l’information disponible, réduire le coût de maintenance et d’appropriation des outils pour les nouveaux collaborateurs ?

Tout simplement en intégrant la problématique du poste de travail à la réflexion sur la relation client digitale.

Construire le poste de travail de demain

La réponse suppose d’intervenir en parallèle sur trois grands axes.

Tout d’abord contribuer à simplifier la vue des informations client. Les informations clients sont aujourd’hui nombreuses, éparses et quelque fois incohérentes. La mise en œuvre d’indicateurs composites, de scorings ou d’alertes permet de synthétiser une situation et de faciliter la mise en œuvre d’une réaction appropriée.

Second axe de travail, faire converger l’information client sur un même support ou poste de travail. Ce dernier étant adapté à la fonction (centre de contacts téléphoniques, écrits, accueil en agence ou point de vente ou poste de travail nomade). Il privilégie l’ergonomie et trouve sa valeur dans la facilité d’usage et la rapidité d’accès à l’information. Il suppose un effort de convergence autour de la valeur d’usage des outils et nécessite de revisiter la performance du collaborateur à l’aune de sa capacité à exploiter efficacement les informations qui lui sont mises à disposition.

Enfin, troisième axe, faire partager aux collaborateurs les préoccupations et outils utilisés par les clients. Combien de centres de contacts n’ont pas accès aux visuels, à la cinématique et aux informations contenues dans les espaces personnels des clients sur internet ? Dès lors, comment prétendre enrichir « l’expérience client » par rapport aux services en ligne ? Formation, initiation aux outils mais aussi accès. Notamment à travers l’usage de « passe-partout » permettant aux collaborateurs d’accéder aux espaces personnels à l’identique du client un peu à la manière d’un room-service. Les réseaux sociaux devront au moins faire l’objet d’un décryptage, voire d’une intégration complète aux outils de relation clients afin de donner aux collaborateurs les moyens de remplir leur mission à la hauteur de la valeur attendue par les clients.

Pour lire la synthèse : “DSI : comment obtenir le triple A de la relation client digitale ?”

Cet article Le conseiller, parent pauvre de la relation client digitale est apparu en premier sur RiskInsight.

Annoncée début avril, l’acquisition de Wyse Technology par le constructeur Dell replace la virtualisation du poste de travail au cœur de l’actualité IT. Sur quels axes Dell oriente-t-il sa stratégie VDI (Virtual Desktop Infrastructure) pour faire face à la concurrence ?

Le rachat de Wyse : un positionnement stratégique pour Dell

En rachetant le leader sur le marché du client léger, Dell complète son offre sur la virtualisation du poste de travail. Ces terminaux qui embarquent une configuration allégée permettent l’accès aux postes de travail et applications virtuels.

Baptisée Desktop Virtualization Solution (DVS),  l’offre Dell présentée lors du Citrix Synergy 2012 inclut l’ensemble des briques logicielles et matérielles nécessaires pour franchir le pas de la virtualisation.

Dell prend le parti de la simplicité et rend les infrastructures de virtualisation – souvent complexes – plus accessibles grâce à ses offres intégrées supposées faciliter le déploiement.

S’adressant aussi bien aux PME avec l’offre DVS Simplified, qu’aux grandes entreprises via l’offre DVS Enterprise, Dell propose un déploiement complet sur site des serveurs, logiciels et terminaux légers. Un hébergement dans le cloud sous la forme d’une offre Desktop-as-a-Service (DaaS) est également proposé à partir de 30$ par poste et par mois.

La riposte des concurrents

Le géant HP, numéro deux mondial du client léger, a répondu dans la foulée en présentant ses nouveaux modèles de thin-clients et zero-clients.

Cette annonce n’est pas anodine puisque HP qui se positionne sur l’ensemble de la chaîne des infrastructures de virtualisation, des serveurs aux terminaux, vient d’annoncer le lancement d’une offre DaaS hébergée dans ses datacenters.

L’engouement suscité par le marché est tel que plusieurs entreprises viennent emboîter le pas aux deux leaders. Fort du rachat de Sun Microsystems, qui dispose de sa propre gamme de terminaux légers, Oracle construit progressivement son offre VDI intégrée, en capitalisant sur ses infrastructures de stockage et ses serveurs.

L’américain IBM suit lui-aussi de près l’actualité de ses concurrents. Et pour cause : son offre de virtualisation repose sur des terminaux légers issus d’un partenariat avec nul autre que… Wyse ! L’acquisition de Dell fait ainsi planer la menace sur l’avenir de cette alliance et sème le trouble du côté d’IBM.

Le regain d’intérêt pour ce marché peut être annonciateur d’une mutation IT beaucoup plus profonde. C’est le paradigme du poste de travail qui est remis en cause : il devient aujourd’hui virtuel et se désolidarise progressivement du matériel.

Un marché plein de promesses

Depuis plusieurs mois le poste de travail informatique fait couler beaucoup d’encre dans la presse spécialisée : “Le PC est mort !” ou “L’ère post-PC” sont autant de gros titres que nous pouvons lire.

Une chose est certaine, le poste de travail connaît actuellement une réelle mutation et se transforme en un environnement construit autour des besoins utilisateurs. Cette évolution est suivie de près par les DSI pour qui le poste de travail constitue encore aujourd’hui le premier centre de coûts IT.

Au cœur des entreprises étendues, l’agilité est de mise. Collaborateurs, filiales, prestataires, fournisseurs, tous ont des besoins croissants en termes d’usages informatiques : mobilité, BYOD (Bring Your Own Device), télétravail font plus que jamais partie de leur quotidien. En dissociant les services utilisateurs du matériel informatique, les technologies de virtualisation supportent les nouveaux usages tout en rationalisant les coûts informatiques.

En prenant position sur un marché fortement concurrentiel, Dell cherche à tirer son épingle du jeu en vue de devenir un acteur incontournable de la virtualisation. La firme texane ne compte cependant pas s’arrêter là et entend bien se positionner sur l’ensemble de la chaîne du matériel informatique. Avec le lancement de tablettes sous Windows 8 à l’automne prochain, le message du constructeur est clair : la conquête des entreprises ne fait que commencer.

Cet article La virtualisation du poste de travail : Dell entre dans l’arène est apparu en premier sur RiskInsight.

Le BYOD, une réflexion globale qui reste encore à mûrir

Le BYOD (Bring Your Own Device) repose sur l’utilisation par le salarié de son matériel informatique personnel dans le cadre professionnel. Le support matériel par l’entreprise est alors limité, voire inexistant. Actuellement, l’utilisation de terminaux personnels dans les entreprises est déjà une réalité, mais force est de constater qu’elle reste peu encadrée et expose les grands comptes à des risques de sécurité.

Dans la majorité des entreprises, le BYOD est développé au travers d’une approche « Add & Use Your Own Device » en complément de l’offre « poste de travail » de l’entreprise. Ces terminaux personnels restent majoritairement des smartphones et l’utilisation de PC personnels se limite souvent à des populations préfiguratrices (ex. mise à disposition de PC virtuels pour des prestataires ou partenaires) ou à des déploiements au sein de PME, start-up ou sociétés dont l’IT est le cœur de métier (et le BYOD une vitrine).

Depuis 2011, le challenge posé par le BYOD a conduit la plupart des grands comptes à définir leur stratégie pour en maîtriser l’émergence. Ceci se traduit, pour les plus avancés, par l’utilisation d’un smartphone personnel pour accéder à la messagerie et au calendrier (JP Morgan et UBS), voire d’un PC personnel en remplacement de celui de l’entreprise (Cisco et Kraft Food).

S’adapter aux besoins utilisateurs… tout en réduisant les coûts

Le BYOD répond tout d’abord aux nouveaux modes de travail (mobilité, télétravail…) et de consommation IT des utilisateurs (usages grand public) et permet ainsi une transformation de l’image de l’offre de la DSI (innovation, ouverture, attractivité…).

Ce changement de modèle induit également une réduction du TCO (Total Cost of Ownership) à travers :

• Un changement de périmètre de responsabilité et d’activités pour la DSI (transfert de coûts). Une partie de la charge actuellement confiée à l’exploitant informatique est transférée à l’utilisateur qui devient responsable de son terminal et autonome pour son support (ex. renouvellement de matériel, migration d’OS, etc.) à l’aide d’outils simplifiés (ex. self-support, booklets, FAQ…)

• Un gain estimé de 10 à 25% du TCO, principalement sur l’exploitation et le support dans le cadre d’un périmètre de responsabilité clairement défini et d’une offre standardisée (ce gain inclut une valorisation de la compensation financière versée par l’entreprise à l’utilisateur, de l’ordre du coût matériel/logiciel actuellement supporté par l’entreprise)

Une problématique majeure : les ressources humaines

Cette démarche implique quatre chantiers à mener en parallèle (RH/juridique, infrastructures, standard d’accès aux applications et management des terminaux – support, outillage…).

Les deux prérequis incontournables à la généralisation du BYOD au sein de l’entreprise sont :

• La nécessité de mener un chantier RH et juridique : à anticiper dans un contexte encore vierge de toute jurisprudence (ex. respect de la vie privée, discrimination interpersonnelle, risques et impacts sur les modalités de temps de travail, conventions collectives, accords télétravail entreprise/branche, responsabilités entreprise / utilisateur, charte d’utilisation…)

•  L’évolution des infrastructures réseau et sécurité (accès au SI depuis des locaux internes et externes) nécessitant des investissements initiaux conséquents

Il reste encore quelques étapes à franchir avant que le concept devienne le quotidien de tous les salariés. Une chose est cependant certaine : le BYOD est déjà là, pour en tirer partie, il faut s’y mettre maintenant !

[Article rédigé en collaboration avec Ronan Caron et Adrien Calvayrac]

Cet article BYOD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

Le concept de virtualisation existe depuis plus de 40 ans (avec les mainframe et systèmes IBM), mais s’est véritablement démocratisé dans les années 2000 lorsqu’il est devenu possible d’exécuter simultanément plusieurs systèmes d’exploitation sur un même poste de travail. C’est essentiellement grâce à la virtualisation système (Microsoft, VMware) qu’il est aujourd’hui connu et son succès a atteint des sommets avec le développement du « cloud computing » (Amazon, Google Apps…).

La virtualisation consiste à faire fonctionner sur une machine physique unique plusieurs systèmes comme s’ils fonctionnaient sur des machines physiques distinctes. Ceci repose sur un concept simple : des instances virtuelles sont orchestrées par un hyperviseur, garant de l’accès, la répartition des ressources et l’isolation entre les instances.

La virtualisation doit avant tout son utilisation aux gains financiers qu’elle apporte en favorisant la consolidation des infrastructures et l’optimisation des ressources utilisées. Elle engendre en même temps des bénéfices opérationnels importants en permettant la mise en place rapide de solutions en haute disponibilité : le passage au “tout logique” apporte une facilité de déploiement et une souplesse de provisionning non offerts dans le monde physique.

En 40 ans, au vu de ces bénéfices, les technologies de virtualisation se sont orientées vers des utilisations diverses, s’étendant à d’autres composants du SI que les systèmes d’exploitation d’origine : postes de travail (sessions virtuelles, VDI…), réseaux (VDC, VRF…), équipements de sécurité (Firewalls, IDS-IPS…).

Des risques technologiques … à relativiser !

Les premières craintes des entreprises vis-à-vis de la virtualisation sont liées à la fiabilité des nouveautés technologiques impliquées : les nouveaux composants introduits, en particulier l’hyperviseur, me garantissent-ils l’étanchéité des systèmes supportés par une même machine physique ?

Il existe effectivement un certain nombre de vulnérabilités exploitables sur ces technologies… mais les risques associés sont finalement peu rencontrés : les technologies phares du marché sont des technologies éprouvées et ces risques peuvent être traités, comme pour tout système, par des mesures de gestion opérationnelles de la sécurité qui sont déjà en place dans les entreprises (patch management, durcissement…). Attention cependant ces processus doivent fonctionner avec efficacité vu l’impact en cas d’incident sur les infrastructures de virtualisation.

Des risques humains … à ne pas négliger !

Si les risques les plus courants de la virtualisation ne proviennent pas de la technique elle-même, ils se situent plutôt dans la gestion de ces nouvelles technologies. La virtualisation introduit dans le SI de nouveaux composants (hyperviseur, consoles…), de nouvelles notions d’infrastructure (réseau virtuel…) et les principaux risques de la virtualisation sont le plus souvent issus d’un défaut d’encadrement liés à ces nouveautés :

• Mauvais usage des consoles d’administration, avec des impacts immédiats « effet boule de neige » en cas de mauvaise configuration : arrêt multiple d’instances, activation de fonctions de décloisonnement…
• Mauvaises pratiques de gestion de la plate-forme de virtualisation, notamment sur les aspects de gestion des inventaires et de capacity planning qui doivent être redéfinis.
• Défaut de séparation des tâches entre les équipes système et réseau, avec tous les risques d’erreur, voire de malveillance, dus à la concentration de ces responsabilités.

Les risques “humains” (erreur, malveillance, absence de séparation des responsabilités) prédominent donc sur des risques “technologiques” relativement moins probables et pouvant être limités grâce à des recommandations classiques.

Un projet de sécurisation de la virtualisation, c’est donc bien entendu un projet d’intégration des nouvelles technologies dans la gouvernance opérationnelle de la sécurité pour traiter les risques techniques liés à son utilisation… Mais aussi et avant tout un projet de réflexion sur les rôles, les responsabilités et les compétences de ses administrateurs, afin de traiter les principaux risques de la virtualisation, à savoir les risques humains ! 

Cet article La virtualisation ne virtualise pas les risques humains ! est apparu en premier sur RiskInsight.

Tous les analystes constatent que la rentabilité de la division PSG a toujours été moindre que la rentabilité globale de HP : la marge opérationnelle de PSG tourne autour de 6% contre presque 10% pour le groupe, en baisse pour la première fois depuis 5 ans. En se séparant de cette division, HP cherche à rassurer les marchés et ses actionnaires. Mais le marché ne semble pas réagir favorablement à cette annonce.

Les smartphones et les tablettes sont les deux produits de l’informatique personnel qui ont le plus fort potentiel de croissance. Avec le rachat de Palm, HP aurait pu occuper ce segment de marché prometteur.

Mais le paysage des OS pour les matériels mobiles est déjà bien encombré avec trois acteurs majeurs : Apple/iOS, Google/Android, qui occupent toujours plus de parts du marché (à deux ils représentent 75 % du marché américain) et RIM/Blackberry (23 %). Il ne reste que peu d’espace pour d’autres OS, et malgré les annonces rassurantes de HP concernant l’avenir de WebOS, le choix de s’appuyer sur celui-ci a probablement été une erreur stratégique qui lui a coûté les échecs des lancements de ses derniers produits.

Le retard pris par HP sur ce marché risquant de peser sur les résultats de l’entreprise sur le court terme, externaliser ou céder l’activité de la division PSG, permet à celle-ci de reprendre le temps de rattraper les autres acteurs et redevenir profitable.

Quelles peuvent être les conséquences pour les clients HP ?

La situation est aujourd’hui assez floue, les premiers retours montrent bien que les équipes opérationnelles ont été autant surprises que le marché. Et elles l’ont d’ailleurs fait savoir en modifiant les sites internet du groupe pour faire passer leur message de manière temporaire. Pour les clients, le passé montre que des mouvements similaires, en particulier celui d’IBM, a bien été accompagné. Mais ce mouvement était franc et orchestré. Le problème aujourd’hui c’est l’incertitude qui règne coté HP.

Quel serait un scenario envisageable?

Un critère clé dans ce secteur reste l’innovation. Le poste de travail connaît, ou va connaître prochainement, de fortes ruptures : arrivée en force des tablettes, premières initiatives de consumerization / Bring Your Own Device, l’acteur en charge de la division PSG devra à la fois s’emparer de ses évolutions, les porter auprès des grands acteurs et continuer à faire évoluer ses gammes classiques. Le challenge est important, et au-delà de la forme juridique que prendra la future structure, l’important sera d’évaluer son autonomie, ses moyens et son ambition pour décupler le succès historique d’HP.

Article publié sur le JDNet : http://www.journaldunet.com/solutions/systemes-reseaux/changement-strategique-chez-hp/benoit-paroissin-solucom.shtml

Cet article HP arrête sa division PC est apparu en premier sur RiskInsight.