Sécurité des systèmes d’information : actualités normes ISO

« Près de la moitié des entreprises ne disposent toujours pas d’une stratégie adaptée pour lutter contre le piratage informatique »

Jocelyn Grignon, Grant Thornton

Sony, eBay, Home Depot, JP Morgan, Target, VTech… Les cyberattaques se multiplient et n’épargnent aucun secteur d’activité. La révolution numérique s’accompagne de nouveaux risques avec le vol et la fraude de données, les attaques par déni de service jusqu’au « breakdown » total des infrastructures. En 2015, pour la première fois dans l’histoire, les risques IT figurent dans le top 5 des risques globaux identifiés par le Forum de Davos.

Par où commencer ? Audit, analyse des risques, normes et référentiels, cadre juridique et réglementaire, rôle du RSSI, choix de solutions de protection et de supervision, sensibilisation des salariés, budget… Nous avons sollicité l’un de nos experts en sécurité, Pascal Gouache* pour qu’il nous fasse un état des lieux et nous donne ses prévisions sur les  normes ISO 27 001 : 2013 permettant de mettre en place un système de management (SMSI) du risque de la sécurité de l’information. La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information.

Vidéo : Avis d’expert

normes-iso-orsys

* Pascal GOUACHE

Expert en cybersécurité et ingénieur Telecom Paris Tech (ENST), son expérience de la sécurité des technologies de l’Information lui a permis successivement de réaliser des missions d’intégration et de conseil auprès de grands groupes privés et publics, puis de devenir responsable du pôle Intégration de Sécurité IT au sein de Thales. En 2005, il est à l’initiative du développement du premier Appliance pare-feu applicatif français. Depuis huit ans, il assure des missions d’audit de sécurité dans les domaines industriels et financiers. Il est un des référents français sur des projets de sécurité ISO 27001/27002 et sur le standard de sécurité de Visa/Mastercard PCI DSS.

Formations associées :

 

Share Button

5 raisons de se former à BootStrap

Bootstrap

Par Stéphane Brunet*

BootStrap, framework de référence créé par les développeurs de Twitter, rassemble une collection d’outils pour la création de pages web contemporaines. Découvrons cinq bonnes raisons de nous former avec Stéphane Brunet*, consultant sur les outils de développement web et formateur indépendant.

  1. BootStrap répond aux besoins des développeurs.

Aujourd’hui, dans les entreprises, on exige des développeurs qu’ils prennent entièrement en charge l’intranet… design inclus. Or, ce n’est pas leur métier. BootStrap rassemble une collection d’outils utiles à la création web, contenant des codes HTML et CCS, des formulaires, des composants, plug-ins (accordéons, onglets, libellés, miniatures, barres de progression, boutons, outils de navigation…) et encore bien d’autres extensions JavaScript prêtes à être intégrées.

Ceux qui ne raffolent pas de la technique peuvent ainsi s’appuyer sur une base « préfabriquée » bien développée et totalement personnalisable, répondant aux codes esthétiques des sites actuels. Ils peuvent intégrer un bouton, lui donner un habillage particulier afin qu’il ait automatiquement un look spécifique. Une boîte à outils fort utile pour ceux qui n’ont pas particulièrement de connaissances graphiques !

  1. BootStrap répond aux besoins des entreprises.

Si l’entreprise n’hésite pas à investir sur le design d’un site, elle est souvent réticente à investir un budget sur la partie graphique de l’interface administrateur. Avec BootStrap, ce travail sur la partie back-office pourra être pris en charge par n’importe quel développeur. Les fonctions JavaScript intégrées dans BootStrap se basent sur la librairie la plus utilisée dans le monde du web, JQuery.

Bootstrap1
Avec quelques lignes de codes, le développeur pourra, en s’appuyant sur ce framework JQuery, créer quelque chose de très professionnel graphiquement. S’il doit construire un site, il lui suffira d’utiliser les squelettes BootStrap auxquels il ajoutera des fonctionnalités spécifiques.

 

Ici, l’outil, techniquement simple, est bien au service de l’utilisateur (qui peut n’avoir qu’une connaissance de base HTML et CSS) et non l’inverse.

  1. BootStrap est particulièrement adapté aux intranets

Force est de constater que rares sont les entreprises qui font appel à un webdesigner pour leur intranet. Or, ce que l’utilisateur perçoit dans un premier temps c’est l’ergonomie, puis le design. Si le graphisme est raté alors que l’utilisateur est tenu de consulter cet intranet, il en freine l’utilisation. De plus, la maquette doit pouvoir être modifiée aisément, car elle évolue régulièrement. On sait pourtant que lorsqu’un développeur intervient sur une maquette de designer, le rendu peut être aléatoire !

Avec BootStrap, tout est simplifié : taille de titre, police, couleur… inutile de s’interroger sur les feuilles de style ou de faire soi-même. BootStrap permet de coller au modèle proposé qui offrira tout de suite un rendu professionnel : une feuille de style principale englobe les feuilles de style des composants. Il suffit alors, pour les développeurs, de sélectionner les composants dont ils ont besoin en modifiant cette feuille principale.

  1. Parce que BootStrap est dans l’air du temps !

Ce qui séduit dans BootStrap : sa modularité. Le framework permet de créer un site intranet ou extranet lisible en différents formats grâce à un système de grille à douze colonnes. Ainsi, le site se réadapte en fonction de la taille de l’écran du terminal de l’internaute : téléphone, tablette, smartphone… Indispensable, car les tablettes arrivent de plus en plus dans les entreprises. L’intranet est donc condamné à s’adapter à leur taille.

Bootstrap-3

De plus, Bootstrap est compatible avec les dernières versions de navigateurs et gère tout autant la rétrocompatibilité des plus anciens. Enfin, le framework contribue aux préoccupations actuelles en rendant les sites plus légers. Par exemple, au lieu d’une icône image, il suffira d’appeler la police icône dédiée, présente dans Bootstrap.

  1. Bootstrap est « le » framework essentiel !

D’aucuns reprochent au framework de tuer la créativité, du fait que tous les éléments sont prêts à être appelés. C’est surtout une solution essentielle lorsque l’entreprise n’envisage pas l’intervention d’un webdesigner ou lorsqu’elle propose à ses collaborateurs ou clients une boîte à outils. Certes, le risque est d’avoir des sites similaires puisque les composants font partie de collections accessibles à tous, gratuitement. Mais entre réaliser un site inesthétique et un site qui peut avoir des similitudes avec d’autres, la deuxième option est préférable… Et n’oublions pas que Bootstrap permet aussi de travailler sur un squelette de site qui reste ensuite à personnaliser.

À quelques semaines d’une nouvelle version, BootStrap s’avère toujours le framework le plus utilisé. La preuve : en trois ans, la communauté a déployé une énergie importante pour faire évoluer l’outil… vers une version 4, toujours plus rapide !

Découvrir la formation : http://www.orsys.fr/formation-bootStrap-developper-des-pages-Web-adaptives.asp

Pour aller plus loin, toutes nos formations « conception et développement Web »

 2869f56

*Stéphane Brunet, est consultant sur les outils de développement Web et formateur indépendant. Il partage son temps entre la formation sur le thème de l’utilisation du Web comme outil de travail et la direction de projets de création d’intranets d’extranets sur un mode CMS.

Share Button

Oracle 12c : une révolution ?

Oracle

Par Razvan Bizoï**

Fort attendue par les développeurs, la version 12c d’Oracle apporte plus de 500 nouveautés. Si certaines, mineures, ne transforment pas radicalement le monde des bases de données, d’autres offrent leur lot de changements. Razvan Bizoï, consultant senior spécialisé dans l’audit, l’optimisation et l’architecture des bases de données Oracle, répond à nos questions.

Toutes les nouveautés se valent-elles pour cette version d’Oracle ?

Non, mais certaines – si l’on veut parodier une phrase désormais célèbre – représentent une « vraie révolution ». La pièce maîtresse de cette nouvelle architecture est ce que j’appelle « l’architecture ouverte mutualisée ». Oracle passe d’une architecture monobase de données, au Multitenant container database (CDB) qui permet de fusionner plusieurs bases de données en une seule, accessible via une instance unique. Rappelons qu’avec la version précédente, réunir ces bases sous un même serveur pouvait créer des conflits d’accès aux données.

Or, aujourd’hui, ces bases sont considérées comme totalement indépendantes, chacune disposant de son propre dictionnaire de données : on peut donc héberger sur les mêmes serveurs deux sociétés aux activités similaires sans que cela ne pose de problème de sécurité.

Une avancée pour les administrateurs ?

Tout à fait. Mutualiser à l’intérieur d’une base centralisée permet à l’administrateur de gagner en performance, puisqu’il s’agit de gérer une base de données globale, même si plusieurs bases sont stockées à l’intérieur du container. L’administrateur n’administre qu’une seule base, fait des sauvegardes centralisées de plusieurs bases à la fois, et effectue leur migration l’une après l’autre ou de façon totalement indépendante… Cette notion de centralisation et de consolidation des bases est particulièrement utile lors de l’application des patchs Oracle : un seul clic suffit pour N machines.

Oracle3

Autre intérêt de cette architecture : on peut mutualiser dans la même base, différents métiers comme la production, la comptabilité, la gestion commerciale… sans possibilité d’accès aux données commerciales pour la production, ou à la comptabilité, etc. Cette architecture offre l’opportunité d’effectuer des opérations totalement distinctes : les DBA* peuvent se centrer sur l’administration et disposer de bases de données qui se gèrent chacune différemment : je peux arrêter la comptabilité car j’ai un traitement plus lourd à lancer par la suite, etc.

Parlez-nous du déplacement de datafile…

C’est en effet une fonctionnalité très pratique : avec la 12c, selon les charges constatées sur la base, vous avez la possibilité de déplacer les fichiers de données d’un emplacement vers un autre.

Imaginons qu’on est à l’étroit sur le stockage actuel, on peut prendre un nouvel espace de stockage et commencer à y déplacer les données. Si un fichier n’a pas été lu depuis six mois, on peut le transférer sur un espace de stockage moins onéreux. Une opération qui peut être également effectuée au niveau des tables et des partitions des tables.

Il est aussi possible de créer une carte des charges au niveau de la base, où l’on va définir des règles qui vont répertorier les charges inhérentes aux différents objets, sur telle table ou telle table space. On peut ainsi décrire les règles automatiques qui s’exécutent à chaud sur la base.

Cette fonctionnalité évite la fenêtre de maintenance. Elle permet en outre de déplacer des parties de la base moins utilisées afin qu’elles ne nous encombrent pas pour les interrogations futures.

D’autres nouveautés majeures ?

L’optimiseur des requêtes SQL a considérablement évolué. Volumétries des différentes tables, des différentes versions… toutes ces informations sont stockées dans les statistiques des différents objets. L’optimiseur tient ensuite compte de ces informations lors des requêtes.

En ce qui concerne les tables, le partitionnement a de nouveau été développé. La syntaxe de compression a été modifiée : on a la possibilité désormais de faire des compressions à chaud au niveau des tables. Par exemple, on peut décider de compresser une partie de table qui n’a pas été lue ou mise à jour depuis trois mois.

Enfin, le référentiel de diagnostic, qui retrace l’activité sur les serveurs, a été amélioré : on a désormais la possibilité de consolider ou de traiter en réseau ce référentiel.

Oracle4Dans l’outil SQL Développeur, un module DBA a été introduit : il reprend toutes ces fonctionnalités qui étaient avant dans la console locale. SQLCL (comme command line), qui ne nécessite aucune installation sur les postes, s’appuie sur le module SQL Développeur, mais seulement pour des lignes de commande.

Cet outil permet notamment de voir au niveau des tables quels sont les index… simplement en interrogeant les informations sur les tables.

En résumé ?

Oracle travaille sur plusieurs axes. Le premier répond au fait que nous ayons de plus en plus de données dans les bases. Les objets permettent de traiter ces données vraiment facilement et le partitionnement des tables, des index… s’est considérablement amélioré avec cette version.

Le deuxième axe touche l’évolution liée aux données. On peut travailler sur la même base simultanément pour l’analyse et l’alimentation des données. Imaginons un magasin où la quasi-totalité des vendeurs, dotés de terminaux, alimenteraient la base de données. Les commerciaux veulent voir en même temps comment les vendeurs travaillent afin d’analyser les ventes en temps réel. Cette analyse posait problème sur les versions antérieures. Désormais, les calculs statistiques sont effectués colonne par colonne (sommes, moyennes, min, max…) ; la base traite le tout au niveau de l’enregistrement. Dans notre exemple, avec une analyse colonne par colonne, on va pouvoir regarder les chiffres d’affaires, le nombre de ventes réalisées, etc.

Avec In-Memory, introduit avec la version 12, on peut aussi stocker dans la mémoire un cache par colonne. Dans ce cas, tout ce qui est calcul statistique va être effectué beaucoup plus rapidement, et sans impacter les performances de toute la partie transactionnelle. Ce positionnement sur le décisionnel est une nouvelle direction pour Oracle.

Le troisième axe de travail concerne la sécurité d’accès tant d’un point de vue accès aux données qu’à l’intérieur de la base. Dans le ce cas de l’architecture mutualisée, si une base de données devient inaccessible, un mécanisme permet de récupérer uniquement cette base et de retrouver les éléments de la base de données initiale. De plus, les dictionnaires de données de chacune des bases ont été bien séparés grâce à l’architecture mutualisée.

Oracle1Concernant la sécurité des données, l’outil RMAN, outil de sauvegarde standard dans toute version d’Oracle, a été bien amélioré dans cette version. Il permet d’exécuter directement des scripts SQL dans l’outil, ce qui n’était pas possible avant. Des privilèges au niveau du système d’exploitation ont été mis en place, donnant la possibilité à un ingénieur système de sauvegarder, restaurer la base de données sans pour autant avoir accès à la base en elle-même.

Dans ce cas, l’architecture mutualisée est tout à fait adaptée au transport de volumétries importantes d’une base vers une autre. Le temps de traitement, de transport des données, est très efficient. On gagne en temps de manipulation, de maintenance de la base…

Oracle 12 ne présenterait-il que des avantages ?

Il existe toutefois quelques bémols, car une partie de l’architecture n’a pas été décentralisée. C’est le cas, notamment, de la journalisation et de la gestion de segments d’annulation… On peut donc perdre en performance : cela nécessite bien entendu une grande attention d’un point de vue administration.

De plus, on retrouve dans la version 12 la politique d’Oracle qui, avec ces trois licences – standard one, standard, enterprise –, ne permet d’accéder au meilleur qu’en optant pour une licence enterprise. C’est, sans nul doute, un frein à l’implémentation dans les entreprises de taille moyenne…

*Database administrator (DBA), administrateur de base de données

 

BIZOI2**Razvan Bizoï, ingénieur de l’Institut polytechnique de Bucarest, est consultant senior spécialisé dans l’audit, l’optimisation et l’architecture des bases de données Oracle et la mise en œuvre des systèmes décisionnels.

Il est auteur de treize ouvrages sur Oracle et animateur de l’ensemble des formations de la filière Oracle chez Orsys.

 

 

Oracle2

Formations associées :

Oracle 12c, les nouveautés, 2 jours (réf. ORN)

Oracle 12c/11g, nouveautés pour développeurs, 3 jours (réf. EOD)

Oracle 12c, administration, 5 jours (réf. OMD)

Oracle 12c, nouveautés pour administrateurs, 4 jours (réf. ONA)  

Oracle 12c, sauvegarde et restauration, 5 jours (réf. OSR)

Oracle 12c, administration avancée, 5 jours (réf. OAD)

Oracle 12c, tuning, 4 jours (réf. ORU)

Oracle 12c, architecture de haute disponibilité, 3 jours (réf. DTB)

Oracle 12c ASM, administration, 2 jours (réf. ASM)

Share Button

Tour d’horizon des systèmes embarqués

systemes embarques 1

Par Christophe Blaess*

Le terme « système embarqué » est une traduction un peu maladroite de« embedded system » qui signifie plutôt système incorporé, intégré, enfoui. Prenons garde à ce mot « embarqué » qui est trop souvent connoté « mobilité ». Bien qu’un panneau d’affichage urbain, un réfrigérateur ou un écran de commande de pompe à essence soient plutôt statiques par nature, ils répondent parfaitement aux critères des systèmes embarqués…

Notion de système embarqué

J’aurais tendance à décrire un système embarqué plutôt comme un ensemble informatique qui se trouve intégré dans une entité plus complexe dont il devient une pièce parmi d’autres. Ainsi une carte à microprocesseur (système informatique complet) devient un simple composant d’un tableau de bord, d’un panneau de contrôle industriel, d’un objet grand-public, etc.

Une caractéristique commune à la plupart des systèmes embarqués est le fait qu’ils sont conçus pour répondre à un ensemble de contraintes imposées par leur environnement de fonctionnement ou leur destination. En voici quelques exemples courants :

contraintes matérielles : l’encombrement maximal du système (taille et poids) impose des limitations à l’autonomie (volume des batteries), au refroidissement (radiateurs et ventilateur) et par conséquent à la puissance processeur utilisable ;

contraintes logicielles : le fonctionnement du système dans des environnements hostiles, soumis à des utilisateurs inexpérimentés ou malintentionnés, sa résilience face à des coupures d’alimentation intempestives et la possibilité de réaliser des mises à jour distantes et automatiques sont des problèmes complexes, et doivent impérativement être pris en considération lors de la conception d’un système embarqué ;

contraintes fonctionnelles : pour qu’un système soit en avance face à la concurrence, il est nécessaire de minimiser les coûts – donc la puissance matérielle disponible – tout en optimisant les fonctionnalités proposées à l’utilisateur. Le logiciel doit tirer parti de toutes les ressources disponibles via des techniques de programmation spécifiques (temps réel, multi-threading, IHM avancée, etc.). lire la suite

Share Button

« Digital : c’est aux dirigeants de se poser les questions ! »

nellestechnos1

BYOD, big data, cloud… Les nouvelles technologies numériques ouvrent des opportunités de croissance sans pareilles aux entreprises. Celles-ci doivent toutefois repenser leur organisation… Commentaires avec Yannick Delsahut*, fondateur de la société GoldStark et spécialiste du digital.

L’entreprise est-elle « numérique » ou « digitale » ?

Si le terme « numérique » fait référence aux technologies – site web, Facebook, appli mobile…–, le digital évoque plutôt l’utilisation que l’on va en avoir : il résulte du mix technologie et du marketing client. Aujourd’hui, je vais sur un site, on collecte mes données, mon profil, mon comportement… ces données seront analysées afin de me faire des offres adaptées. Le digital, c’est en fait l’usage qu’on fera, dans une stratégie globale de communication et d’utilisation, de ces données. Quand Nike vous propose des chaussures avec des connecteurs pour suivre votre activité, c’est une technologie, mais quand Nike commence à mieux comprendre votre profil, votre comportement, et vous offre des services pour mieux vous accompagner au quotidien, c’est du digital.

nellestechnos2Quel impact réel sur l’entreprise ?

Deux « révolutions » me semblent majeures. La première, c’est que les moyens de collecte des données sont de plus en plus diversifiés en plus des moyens « classiques » (formulaires, visites de site…). Objets connectés, montres, lunettes… ces technologies envahissent notre environnement au quotidien. La deuxième, c’est que ces objets vont communiquer quasiment en permanence. Il y aura des masses de données colossales à traiter, d’où le terme « big data ». Les entreprises veulent aujourd’hui collecter des informations en quantité afin de les analyser, prendre des décisions le plus rapidement possible. Mais un grand nombre d’entre elles ne seront prêtes ni financièrement ni techniquement. lire la suite

Share Button