Catégorie : Veille

LA DÉMARCHE FINOPS

Le Graal pour réaliser des économies tout en réduisant votre impact carbone ?


En quoi consiste l’approche FinOps ?

La démarche FinOps, issue des termes « Finance » et « Opérations », se concentre sur le contrôle et la maîtrise des coûts liés au Cloud : elle s’attache à optimiser l’équation entre performances et coûts.

Le but de cette approche est de trouver le juste équilibre entre les exigences budgétaires, les contraintes opérationnelles et les innovations proposées par les différents fournisseurs. Comme la méthodologie DevOps, la démarche FinOps encourage l’intégration de la gestion des performances et innovations IT avec les activités opérationnelles.

Optimisation financière du Cloud : les leviers de l’expert FinOps

Pourquoi une approche spécifique ? L’optimisation financière de « l’équation cloud » est rendue complexe par l’existence de nombreux coûts indirects, de coûts cachés, et par l’analyse – pas toujours aisée – de l’utilisation réelle qui est faite des ressources. La démarche FinOps repose sur quelques grands principes clés.

  1. La gestion des coûts : l’identification, le suivi et l’analyse des dépenses cloud constituent une apparente évidence quant il s’agit de réaliser des économies. Il n’est pourtant pas toujours simple de réaliser un suivi précis et à moindre effort de ces coûts. C’est la raison pour laquelle nous recommandons, selon les contextes, et en complément des outils natifs proposés par les cloud providers, l’utilisation d’outils dédiés qui collectent les données de consommation, les consolident, afin d’offrir une vision à 360° et un premier niveau d’analyse facilitant la prise de décisions.
  2. L’optimisation des ressources : la connaissance de la consommation n’offre qu’un premier niveau d’analyse, il convient ensuite d’étudier l’’utilisation effective de ces ressources (qu’il s’agisse d’instances, des bases de données, des espaces de stockage et d’autres ressources cloud) afin d’identifier les ressources superflues. L’utilisation d’outils de dimensionnement automatique facilite ce travail en ajustant les ressources en fonction de la demande de manière dynamique. Cette optimisation repose sur la mise en place de politiques définies par les entreprises pour arrêter ou mettre en veille les ressources inutilisées. C’est généralement le deuxième levier majeur permettant d’assurer des économies.
  3. La gestion des « réservations » : les entreprises ont la possibilité de « réserver » des ressources cloud à l’avance en s’engageant sur du moyen ou long terme, pour garantir la disponibilité des ressources, tout en profitant de tarifs négociés plus avantageux (et à prix bloqués sur la période d’engagement). Pour profiter à plein de ce levier, tout en évitant la « sur-consommation », un expert FinOps peut utiliser l’historique des données d’utilisation et des outils prédictifs afin de déterminer les ressources qui peuvent être réservées pour maximiser la rentabilité économique à moyen et long termes.
  4. L’analyse des performances : une analyse approfondie des performances des applications et services cloud permet de détecter les goulots d’étranglement, les inefficacités et les pistes d’optimisation. Cela peut être réalisé en collectant et en analysant des métriques de performance telles que les temps de réponse, l’utilisation du processeur, les délais de latence réseau, etc. Ces résultats aident à identifier les sources de sous-performance et à prendre des mesures correctives, de quoi potentiellement réduire les coûts associés aux ressources surdimensionnées ou aux problèmes de configuration.
  5. La gestion des données : le stockage des données dans le cloud pèse généralement très lourd dans le budget cloud. Il est donc important d’optimiser les politiques de stockage, de transfert et de sauvegarde des données. Cela peut inclure la suppression des données inutilisées ou redondantes, l’utilisation de services de stockage à long terme moins coûteux pour les données moins fréquemment utilisées, et l’optimisation des mécanismes de transfert de données pour réduire les frais de réseau. Une politique de gestion des données optimisée peut vous apporter des gains opérationnels et financiers significatifs.
  6. L’automatisation : la démarche FinOps profite naturellement des leviers d’optimisation qu’apporte la culture DevOps. La mise en œuvre de scripts et l’utilisation d’outils d’orchestration permettent d’automatiser et de rationnaliser le déploiement et l’administration des infrastructures ; cette approche facilite par ailleurs la collecte de données, l’analyse des coûts, la gestion des réservations dans une logique d’optimisation du dimensionnement des ressources.

L’outillage FinOps

Des outils spécifiques facilitent la mise en œuvre des bonnes pratiques FinOps.

Les trois principaux Cloud Providers proposent chacun des outils qui offrent des fonctionnalités avancées de suivi des dépenses et de gestion des coûts dans leurs environnements respectifs : AWS Cost Explorer, Azure Cost Management + Billing et Google Cloud Billing.

Pour une gestion multi-cloud, CloudHealth by VMware et CloudCheckr sont des solutions intéressantes, avec des fonctionnalités d’analyses approfondies des coûts, d’optimisations des ressources et de budgétisation. Apptio Cloudability est une solution complète pour la visibilité des coûts cloud, tandis que Kubecost se concentre spécifiquement sur l’optimisation des coûts pour les environnements Kubernetes.

Enfin, on apprécie CloudSpend pour ses tableaux de bord interactifs et l’intégration possible à différents services cloud. Ces outils constituent une boîte à outils essentielle pour les entreprises souhaitant maîtriser leurs dépenses cloud et optimiser leurs investissements.

Les experts Abbana vous accompagnent et vous conseillent dans la mise en œuvre de cette démarche FinOps et dans le choix des outils les plus appropriés. Forts de notre expertise, nous sommes en mesure de construire avec vous la stratégie la plus adaptée à votre contexte.


Du FinOps vers le Green IT

Le développement du Cloud tel que nous le connaissons depuis plusieurs années ne pourra pas poursuivre sa course folle de manière durable.

Durant la dernière décennie, la capacité de stockage des data centers à l’échelle mondiale, boostée par l’apparition de « méga data centers », a été multipliée par 25 avec une conséquence immédiate : la hausse significative de la consommation électrique. Si rien n’est fait, la consommation électrique des data centers pourrait représenter 10% de la production électrique mondiale d’ici 2030.

En 2030, la consommation électrique des data centers pourrait représenter 10% de la production électrique mondiale.

Dans le même temps, c’est près d’un tiers du total de ces ressources qui sont inutilement gaspillées, avec jusqu’à 25 à 30% de capacité de stockage disponible et pourtant non utilisées par les entreprises. Sachant qu’un serveur classique consomme aujourd’hui jusqu’à 40% de sa puissance nominale même « au repos », c’est un gâchis sans nom !

Dans le grand ballet de la transformation numérique, les démarches FinOps et Green IT, esquissent un pas de deux révolutionnaire : la démarche FinOps, en optimisant l’utilisation des ressources IT, peut avoir un impact significatif sur notre empreinte écologique. On estime ainsi qu’une optimisation de 30% des ressources informatiques grâce à l’approche FinOps peut se traduire par une réduction d’environ 15% de l’empreinte carbone de l’entreprise.

Une optimisation de 30% des ressources informatiques grâce à l’approche FinOps peut se traduire par une réduction d’environ 15% de l’empreinte carbone de l’entreprise.

Alors, que ce soit pour le bien de la planète ou le bien de votre budget, n’hésitez plus et adoptez l’approche FinOps !

L’IA au service des experts : Microsoft Security Copilot

Microsoft Security Copilot

Les progrès fulgurants de l’Intelligence Artificielle ces derniers mois, et l’adoption rapide de ces nouveaux outils par les particuliers et les entreprises préfigurent une nouvelle révolution industrielle. 

Cette révolution en marche bouleverse déjà le monde de la cybersécurité : porteur de nouvelles menaces, l’essor de l’IA offre aussi de nouveaux outils pour la protection des SI. Si l’IA ne remplacera jamais (certains diraient qu’il ne faut jamais dire « jamais » !) le pouvoir de créativité et le libre arbitre humain, elle promet toutefois de modifier en profondeur le rôle des experts cyber au quotidien.

Ainsi, le 28 mars dernier, Microsoft a annoncé l’arrivée prochaine de son nouvel assistant en cybersécurité : Security Copilot. Après avoir intégré l’IA à GitHub, à Bing, puis à M365, le géant américain s’attaque aux outils de sécurité.  Alimenté par l’IA générative GPT-4 d’OpenAI, Security Copilot devient l’un des tous premiers produits de sécurité à doter les équipes défensives d’outils capables de décupler leur réactivité et leur périmètre de couverture à l’échelle permise par la puissance de traitement d’une intelligence artificielle. Security Copilot promet ainsi d’offrir une vitesse de traitement et une capacité de traitement en volume de données sans commune mesure avec les outils actuels : Microsoft Security Copilot permet d’analyser plus de 65 milliards de signaux quotidiens.

Avec cette première version, les équipes sécurités pourront facilement obtenir une cartographie des vulnérabilités et incidents sur le périmètre de leur organisation, profiter de l’analyse par l’IA d’un grand nombre de données empiriques pour déterminer la réponse optimale, pas à pas, à apporter à chacune de ces vulnérabilités. Les utilisateurs pourront bénéficier de modèles prédictifs, d’options de collaboration pour travailler en équipe ou encore intégrer des fichiers, des URL ou des extraits de codes pour réaliser des scans de vulnérabilité automatisés. Son système d’apprentissage intégré permet à Security Copilot d’optimiser et d’améliorer la pertinence de ses réponses en continu. 

Intégré à l’écosystème Microsoft, Security Pilot s’exécute sur l’infrastructure hyperscale d’Azure et intègre les données issues d’autres outils de cybersécurité, comme Sentinel, Defender ou encore Intune. Sur l’épineuse question de l’utilisation des données collectées, Microsoft se veut rassurant et promet d’assurer la confidentialité des données qui pourraient être collectées par l’IA en limitant leur utilisation au périmètre de l’organisation. Les entreprises, comme avec n’importe quel outil, devront toutefois rester vigilantes pour maîtriser leur souveraineté sur leur data. Elles devront par ailleurs veiller à maintenir le niveau de compétences en cyber au sein de leur organisation pour garantir leur niveau de maîtrise et limiter leur dépendance à l’outil.

Security Copilot sera disponible dans les mois à venir et promet déjà de marquer un tournant dans l’industrie de la cybersécurité. À court terme, on peut voir ce produit comme une réponse (partielle) aux pénuries de compétences cyber ; sur le long terme, l’intégration de l’IA aux outils de sécurité représente un enjeu vital pour équilibrer les capacités de détection et de réponse des entreprises, face à des attaques cyber toujours plus sophistiquées.

Microsoft le promet, Security Copilot incarne l’avenir de la sécurité, un avenir qui associe l’intelligence humaine à la puissance de l’IA.

Rendez-vous dans quelques mois pour un premier bilan !

Les MDP : Vos clés contre les Cyber Attaques

Astuce pour gérer vos mots de passe en toute sécurité

Un compte = Un mot de passe

De nombreuses démarches de notre vie quotidienne, notamment à l’approche de l’été (banque, réservation de vacances, administration, messagerie…) passent via internet et par la création de comptes sur différents sites. Afin d’éviter des piratages multiples, tous vos comptes doivent être verrouillés avec un mot de passe unique.

Un mot de passe en béton

Un bon mot de passe dont être long et complexe. Afin que sa sécurité soit optimale, il doit contenir au moins 16 caractères et 4 types spéciaux : minuscules, majuscules, chiffres et caractères spéciaux. Ils peuvent également prendre la forme d’une phrase afin de faciliter sa mémorisation. N’oubliez pas, votre mot de passe ne doit jamais être communiqué de vive voix.

Impersonnel mais personnel

Votre mot de passe, ne doit rien divulger de votre vie personnelle ! Votre identité ne doit pas transparaître : nom de votre chien, film préféré, date de naissance…

Il en est de même pour les réponses aux questions de sécurité : ne mettez jamais de bonnes réponses, comme par exemple le véritable nom de jeune fille de votre mère. Préférez un mot de passe chiffré aléatoire et surtout soyez créatifs.

Des solutions pour les retenir

  • Générez un mot de passe solide grâce à la CNIL et son générateur de mots de passe : https://www.cnil.fr/fr/generer-un-mot-de-passe-solide
  • Utiliser un gestionnaire de mots de passe ou un trousseau d’accès chiffré. Nous vous recommandons Keepass accessible depuis: https://keepass.info (sécurité évaluée par l’ANSSI).

Le noter c’est l’abandonner

Que cela soit sur un post-it, sur un carnet, sur un fichier texte, sur votre smartphone ou votre messagerie, gardez en tête que ces différents outils ne sont pas conçus pour sécuriser le stockage de vos mots de passe. Si vous êtes en panne d’inspiration ou si vous ne souhaitez pas faire appel à vos méninges : Optez pour un gestionnaire de mdp.

Un c’est bien, deux c’est mieux !

Lorsque cela est possible, choisissez la double authentification et activez les notifications : De cette manière, lors d’une tentative de piratage, le site lié à votre compte vous préviendra par sms/e-mail.

Renouvellement périodique

Selon la nature des données et la compléxité du mot de passe demandé, il est recommandé de renouveller votre mot de passe selon une périodicité pertinente et raisonnable.

Pour votre organisation, cela peut être effectué de manière automatique ou bien nécessiter l’intervention d’un administrateur.

Stocker les mots de passe dans les navigateurs = mauvaise idée ?

Il est très facile aujourd’hui de sauvegarder les nombreux mots de passe que nous avons tous, et nous le faisons simplement dans les navigateurs Web. C’est sans compter l’existence du logiciel malveillant de vol d’information Redline Stealer. Ce trojan, apparu pour la première fois sur le dark web russe en mars 2020, collecte les identifiants de compte enregistrés ciblant particulièrement des navigateurs Web po- pulaires tels que Chrome, Edge et Firefox.

Un utilisateur pirate aurait mis en ligne un article promotionnel expliquant les différentes fonctionnalités incluses dans Redline Stealer et vendant l’outil de piratage pour 150 à 200 dollars sur des forums de cybercriminalité et pouvant être déployé sans nécessiter beaucoup de connaissances ou d’efforts. Tout utilisateur peut être victime de cette attaque et se retrouver sans son mot de passe, donnant aux attaquants l’accès à des informations sensibles et privées.

Une propagation rapide et indolore

Sa propagation est simple et arrive par e-mail, dans les publicités diffusées par Google, voire même dans les applications de retouche d’images.
Même si vous avez déjà un logiciel anti-malware installé sur l’ordinateur infecté, il n’arrivera pas à détecter, ni à supprimer RedLine Stealer.

Dans n’importe quel navigateur basé sur Chromium, les mots de passe sont stockés dans une base de données SQLite, où les données sont enregistrées, Redline Stealer se concentre sur ce fichier et vole les informations qui y sont présentes. Ce malware est également capable de voler des cookies, des données de remplissage automatique et des cartes de crédit.

Bien que les bases de données de mots de passe des navigateurs soient cryptées, comme celles utili- sées par les navigateurs basés sur Chromium, les logiciels malveillants peuvent décrypter la base de données de manière programmée tant qu’ils sont connectés en tant que même utilisateur. Comme RedLine s’exécute sous le nom de l’utilisateur qui a été infecté, il pourra extraire les mots de passe de son profil de navigateur.

« Google Chrome crypte le mot de passe à l’aide de la fonction CryptProtectData, intégrée à Windows. Maintenant, bien que cette fonction puisse être très sécurisée en utilisant un algorithme triple-DES et en créant des clés spécifiques à l’utilisateur pour crypter les données, celles-ci peuvent toujours être décryptées tant que vous êtes connecté au même compte que l’utilisateur qui les a cryptées ».

Même lorsque les utilisateurs refusent de stocker leurs informations d’identification sur le navigateur, le système de gestion des mots de passe ajoute une entrée pour indiquer que le site Web en question est « sur liste noire ».
Après avoir collecté les informations d’identification volées, les acteurs de la menace les utilisent dans d’autres attaques ou tentent de les monnayer en les vendant sur les marchés du Dark Web.

Un exemple de la popularité de RedLine auprès des pirates est l’essor de la place de marché “2easy” sur le dark web, où la moitié des données vendues ont été volées à l’aide de ce malware.
Un autre cas récent de la propagation de RedLine est une campagne de spam de formulaires de contact sur un site Web qui utilise des fichiers Excel XLL qui téléchargent et installent le malware de vol de mot de passe.

Article Pourquoi stocker vos mots de passe dans les navigateurs est une si mauvaise idée

On a l’impression que RedLine est partout en ce moment, et la principale raison en est son efficacité à exploiter une faille de sécurité largement répandue que les navigateurs Web modernes refusent de combler.
Les escroqueries ont ligne ont grimpé en flèche lors du premier confinement en mars 2020 en France et continuent d’affluer partout dans le monde, les cybercriminels étant toujours plus créatifs lorsqu’ils s’attaquent aux particuliers comme aux entreprises. (* D’après une récente étude depuis la fin février 2020, un pic de 667% du nombre de ces attaques a été observé.)

Les bons gestes pour éviter le piratage de vos mots de passe.

Il est en effet tentant et pratique d’utiliser votre navigateur Web pour stocker vos identifiants de connexion, ou autres informations importantes et sen- sibles mais cette pratique est risquée, même sans infection par des logiciels malveillants.

En agissant ainsi, un acteur local ou distant ayant accès à votre machine pourrait voler tous vos mots de passe en quelques minutes.
Au lieu de cela, il serait préférable d’utiliser un gestionnaire de mots de passe dédié qui stocke tout dans un coffre-fort crypté et demande le mot de passe principal pour le déverrouiller.

De plus, pour les sites Web sensibles, tels que votre banque en ligne ou les pages d’accès internet de votre entreprise, vous devriez configurer des règles spécifiques qui nécessitent une saisie manuelle des informations d’identification.

Enfin, activez l’authentification à multi facteurs lorsqu’elle est disponible, car cette étape supplémen- taire peut vous protéger contre les incidents de prise de contrôle de compte, même si vos informations d’identification ont été compromises.