Pour une entreprise, les données représentent la base de son activité, la confiance de ses clients, ainsi que la souveraineté numérique de son pays. Or, ces mêmes données peuvent échapper à son contrôle, non pas à cause d’une violation ou d’une erreur humaine, mais simplement parce que l’entreprise a accepté les conditions générales d’un fournisseur de cloud plusieurs années auparavant. Bien qu’elle puisse accéder à ses données et les utiliser, elle n’a désormais plus aucun contrôle sur l’écosystème qui les entoure, ni sur leur évolution et leurs changements.

Loin d’être une simple hypothèse, ce cas de figure est une réalité quotidienne pour des milliers d’entreprises partout en Europe et dans d’autres pays. Cette situation soulève alors une question cruciale : comment garantir aux entreprises la maîtrise de leurs données et la liberté de choix dans un tel contexte ?

La promesse du multicloud : entre attentes et réalité

Face à ce constat, les entreprises, notamment les PME, se sont tournées vers le multicloud. En effet, travailler avec plusieurs fournisseurs permet de gagner en flexibilité, sécurité et portabilité des workloads. L’idée consiste donc à migrer les applications existantes puis à les optimiser pour le cloud.

Or, dans la pratique, cette promesse n’est pas souvent tenue. Les entreprises sont confrontées à la nécessité de « transférer » leurs applications monolithes sur site vers le cloud, tout en composant avec de nouvelles applications cloud-first créées par une toute nouvelle génération d’ingénieurs et des silos de données fédérés et distribués.

Au cœur du problème se trouve également quelque chose de plus fondamental qu’une simple part de marché : il s’agit de l’érosion de la liberté de choix et, par conséquent, de l’érosion de la souveraineté. Cette dépendance croissante vis-à-vis des plateformes externes nuit à l’innovation.

En parallèle, les DSI sont chargés de vérifier le respect de la conformité pour les écosystèmes tiers, ce qui enferme les autorités chargées de la réglementation dans des interfaces propriétaires. L’avenir du numérique se confond alors étrangement avec le passé et se retrouve monopolisé par une poignée de personnes à la logique interne obscure et aux motivations incompatibles avec celles de la société.

Sécurité nationale, innovation et éthique : des enjeux globaux

Cette dépendance vis-à-vis de quelques fournisseurs soulève alors trois grand enjeux.

C’est d’abord une question de sécurité nationale. Les pays européens prennent conscience que dépendre d’hyperscalers étrangers pour entraîner et déployer leurs modèles d’IA représente un risque pour leur souveraineté. Plusieurs questions se posent alors : que se passerait-il en cas de changements géopolitiques ? Que se passerait-il si l’accès d’un gouvernement aux données de ses propres citoyens est restreint en raison d’obligations légales étrangères ?

C’est aussi une question d’innovation. En effet, les start-ups ne peuvent pas se permettre de payer des frais de sortie qui pénalisent l’exploration et les universités ne devraient pas avoir à adapter leurs recherches aux contraintes commerciales d’un seul fournisseur. Si l’IA est l’équivalent du « moteur à vapeur » du XXIe siècle, il est essentiel de veiller à ce que son carburant, à savoir les données et la puissance de calcul, reste à la fois accessible et portable.

Enfin, c’est une question d’éthique. L’une des plus grandes erreurs dans la gouvernance de l’IA est l’idée que l’éthique peut être superposée à des systèmes fermés. Que les biais des modèles, l’équité algorithmique et l’explicabilité peuvent être réglementés, tout en déployant les modèles les plus sensibles via des API tierces exécutées dans des environnements « Black Box ».

La véritable gouvernance de l’IA commence par la gouvernance des infrastructures. Cela signifie qu’il faut savoir où les modèles sont hébergés, qu’il faut enregistrer et auditer chaque inférence, mais aussi s’assurer que les modèles ne franchissent pas les frontières et ne transgressent pas les règles locales en matière de résidence des données. Or, le fait d’être lié à un seul fournisseur ou de dépendre de services managés purs qui fonctionnent comme des boîtes noires rend tout cela possible.

Vers un cloud souverain et portable

La prochaine évolution technologique est une plateforme qui ne se contente pas de promettre la portabilité, mais qui la met en œuvre. Là où les moteurs de calcul suivent les données et pas l’inverse. Et surtout, là où l’IA peut être exécutée de manière privée, sécurisée et en toute simplicité. Il n’est pas question d’abandonner le cloud, loin de là. Sa flexibilité, son évolutivité et son potentiel de démocratisation sont révolutionnaires. Mais les révolutions doivent être encadrées et le cloud doit avant tout être un choix.

Aujourd’hui, les entreprises sont confrontées à un choix difficile : continuer à dépendre des fournisseurs, accepter l’augmentation des coûts et la réduction de l’autonomie qui en découle, ou basculer vers un environnement où l’infrastructure est fluide, où l’IA peut être souveraine et où le cloud est une capacité qui leur appartient.

Les DSI, les CTO et les CDO doivent être les garants du contrôle absolu des données au sein de l’entreprise, tant du point de vue budgétaire que de celui de la conformité. Une chose est sûre : le droit de traiter les données doit rester entre les mains des personnes qui sont propriétaires de ces données.

*Sergio Gago est Chief Technology Officer chez Cloudera

The post { Tribune Expert } – Cloud computing : un choix technologique devenu un choix d’avenir appeared first on Silicon.fr.

Si aucun fournisseur d’infrastructure n’est totalement à l’abri d’un feu de datacenter ou d’une catastrophe naturelle majeure, la cyberattaque est aujourd’hui la menace n°1 pour les données. Les sauvegardes sont un moyen de redémarrer le SI… si celles-ci n’ont pas été elles-mêmes détruites par l’attaquant !

« Si les sauvegardes peuvent permettre à une entreprise de repartir, il faut encore que celles-ci soient saines , au risque de repartir sur un PRA déjà infecté. Il est donc aujourd’hui indispensable d’intégrer des solutions de sécurité dans les outils de sauvegarde » explique Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti.

« On retrouve de plus en plus de fonctions cyber  intégrées dans les outils gérant les PRA. Cela va du chiffrement de bout en bout lors d’un PRA externalisé pour garantir que les données ne seront pas lues par le prestataire, à des outils avancés d’inspection des données. » ajoute-t-il.

Illustration de cette convergence entre outils de sauvegarde et cyber, Acronis qui propose désormais une plateforme MSP multi-tenant, pour assurer la sauvegarde des données et la reprise d’activité, l’activité historique de l’éditeur, mais aussi de la cybersécurité avec la protection de la messagerie, de la protection endpoint avec un EDR, du RMM management et du DLP.

Le Cloud, un coup de jeune pour les PRA

L’autre grande tendance forte qui pousse à la refonte des PRA, c’est bien évidemment le Cloud.

« Les PRA modernes s’appuient de plus en plus sur des solutions hybrides combinant cloud, automatisation, et orchestration des processus de bascule » explique Stéphanie Ledoux, PDG et fondatrice d’Alcyconie. « L’automatisation des tests, la réplication temps réel des données critiques et l’utilisation de plateformes d’orchestration permettent de réduire le temps de bascule et de simplifier les tests réguliers — une étape encore trop souvent négligée. »

Et d’ajouter qu’une approche modulaire des PRA par service ou par périmètre critique doit faciliter aussi leur actualisation. « Ces technologies transforment le PRA en un processus dynamique et non plus en un simple document figé. »

Outre les ressources internes, il est devenu nécessaire d’intégrer à ces PRA les données stockées sur les infrastructures IaaS, PaaS et même SaaS.

« Un plan de reprise d’activité efficace doit pouvoir s’appliquer à l’ensemble de l’infrastructure informatique, quels que soient les environnements utilisés » résume Richard Cassidy, Field CISO EMEA de Rubrik. « Notre solution prend en charge les infrastructures sur site, les environnements cloud, hybrides et SaaS (tels que Microsoft 365 ou Salesforce). L’organisation des sauvegardes est structurée selon des règles de gouvernance adaptées aux priorités de l’entreprise, ce qui permet d’optimiser les processus de sauvegarde, de limiter les coûts d’exploitation et de moderniser les architectures existantes. »

L’éditeur pointe l’intérêt d’une solution Cloud offrant une gestion centralisée et une automatisation basée sur des règles préétablies. Un moyen aussi de contenir les coûts liés à la mise en œuvre d’un PRA. Cette approche contribue à simplifier les opérations informatiques, en s’affranchissant des contraintes associées à des outils anciens ou à des infrastructures complexes. »

Le stockage Cloud S3 est aujourd’hui totalement supporté par les principaux logiciels de sauvegarde et un PRA 100 % Cloud et managé apparaît comme une solution particulièrement intéressante pour les ETI et PME dont les moyens de sauvegarde ne sont pas toujours très fiables.

———————————————————————

Régis Karakozian, directeur Cloud chez KDDI France  « L’analyse d’impact métier est cruciale » « Avant tout, il est crucial d’opérer une analyse d’impact métier (BIA) pour identifier les services critiques, les priorités de reprise, et les délais tolérables d’interruption (RPO/RTO). Cette étape doit se faire en étroite collaboration avec les directions métier, car un PRA n’est pas qu’une question IT. La documentation du plan, son automatisation, ainsi que la régularité des tests sont aussi essentielles. Un PRA n’a de valeur que s’il est testé régulièrement (au moins 1 fois par an), maintenu à jour et capable d’être activé rapidement. Il faut également prévoir une communication de crise, incluant les parties prenantes internes et externes. »

————————————————————————

Maxime Baudout, Manager de l’équipe Infrastructure de Jiliti « L’automatisation permet d’orchestrer un PRA de bout en bout.» « Les nouvelles technologies ont fait fortement évoluer la gestion des PRA. L’évolution la plus intéressante est pour moi l’automatisation qui permet d’orchestrer un PRA de bout en bout. Cela permet de tester beaucoup plus facilement son PRA et de limiter les erreurs humaines. » « Le second point clé est l’utilisation du Cloud et de l’hybridation. Il est maintenant facile d’avoir sa production On-Premise et son PRA dans le cloud, ou son infrastructure cloud et le PRA dans un autre Cloud. Cela permet de simplifier grandement les besoins en infrastructure et de limiter les investissements tout en répondant aux exigences réglementaires qui imposent d’avoir son PRA dans un environnement isolé de la production ou distant de X kilomètres. »

—————————————————————————–

Stéphanie Ledoux, PDG et fondatrice d’Alcyconie « Externaliser la solution ne doit jamais signifier externaliser la responsabilité de la continuité.» « Un PRA 100% Cloud, 100% managé peut être pertinent, à condition de bien maîtriser les risques associés. Le cloud managé apporte agilité, scalabilité et externalisation des contraintes techniques. Mais attention aux dépendances critiques, à la localisation des données, à la conformité réglementaire et à la capacité réelle du fournisseur à garantir la disponibilité en cas de crise. Le tout managé ne dispense pas de conserver la gouvernance, le pilotage des tests et la maîtrise des scénarios. »

The post Le PRA se réinvente à l’heure du Cloud et de l’automatisation appeared first on Silicon.fr.

Ne dites plus Cameyo, mais Cameyo by Google.

En parallèle de ce changement de marque, la communication autour du produit évolue. Elle se porte plus sensiblement sur les intégrations avec l’écosystème Chrome.

En la matière, on ne partait pas de zéro. Mi-2024, lorsque Google avait annoncé acquérir Cameyo, des jonctions étaient déjà en place. Essentiellement vis-à-vis de ChromeOS (intégration avec le système de fichiers local, gestion du presse-papiers, livraison d’apps en tant que PWA…).

Est désormais mise en avant l’idée d’expérience unifiée au sein de Chrome Enterprise. Les applications client lourd virtualisées avec Cameyo bénéficieraient, d’un côté, du même contexte de sécurité que le SaaS (filtrage d’URL, DLP, protection contre les menaces…). Et de l’autre, de la même couche IA, à travers l’assistant Gemini for Chrome.

La virtualisation Linux, moins mise en avant sous l’ère Google

À l’exception de quelques renvois vers chez Google, le site Internet de Cameyo est demeuré tel qu’il était avant l’acquisition.

Parmi les promesses d’alors, il y avait celle de pouvoir virtualiser des applications Linux et des web apps internes sans avoir besoin d’une licence Windows Server.

Dans le giron de Google, cette possibilité n’est pas exclue, mais elle est nettement moins mise en avant, jusque dans l’assistance en ligne.

Le modèle de licence n’a pas non plus changé (abonnement par utilisateur), mais le nombre minimal d’utilisateurs a augmenté : 50 dorénavant, contre 25 auparavant (voire 15 sur la version autohébergée de Cameyo).

La version managée n’est plus déployable sur Azure : Google Cloud est maintenant l’hébergeur exclusif. Il est, dans ce cadre, responsable du déploiement des VM et de leur mise à l’échelle. Mais pas des logiciels – y compris l’OS – qui fonctionnent sur ces VM.

Des jonctions avec Drive et l’annuaire Google Workspace

Sur GCP, un serveur Cameyo peut exploiter 6 niveaux de capacité, variant en vCPU (1 à 16), en RAM (3,75 à 60 Go) et en réseau (pas d’accès Internet sur les deux premiers niveaux). Des clusters peuvent être mise en place pour l’autoscaling.
Pour l’autohébergement, il faut compter au moins 2 CPU et 8 Go de RAM, avec au minimum Windows Server 2019 (Windows Server 2025 n’est pas encore pris en charge).

D’autres jonctions avec l’écosystème Google ont été établies pour l’authentification des utilisateurs (SSO avec compte Google) et la configuration des permissions (annuaire Google Workspace). Drive a par ailleurs été intégré directement dans les sessions (explorateur et fenêtres de dialogue spécifiques).

Cameyo ne gère pas les applications qui ont besoin d’un accès direct à des périphériques locaux (webcams, imprimantes…). Ni celles qui dépendent de fonctions système (enregistrement d’écran, compression de fichiers…).

Illustrations © Google

The post Google relance un Cameyo plus intégré à l’écosystème Chrome appeared first on Silicon.fr.

Entre Ngrok et Pinggy, pas de jaloux : les attaquants qui s’en sont pris au centre hospitalier Stell de Rueil-Malmaison ont exploité l’un et l’autre de ces services de tunneling.

C’était en mars dernier. Au bout, le déploiement d’un ransomware qui avait chiffré des serveurs Windows. La gestion administrative des patients, entre autres, s’en était trouvée indisponible pendant un temps. Des données personnelles ont par ailleurs possiblement été exfiltrées.

Un compte de test admin de domaine

Le point d’entrée fut un ancien compte de test, réactivé le 4 mars 2025 pour un audit Wi-Fi. Ce compte au mot de passe faible avait des privilèges d’admin de domaine et disposait d’un accès VPN.

L’accès initial, via ce vecteur, a lieu le 17 mars (un lundi). Le 22, une latéralisation est mise en œuvre par connexion RDP sur le contrôleur de domaine. Un mécanisme de persistance est ensuite déployé, en ajoutant Pinggy pour établir une connexion SSH sur le port 443.

Vendredi 28 mars, un canal est mis en place entre le contrôleur de domaine et le serveur de l’attaquant grâce à Ngrok. Le même jour, le ransomware est déployé et exécuté. Le lendemain, les traces de l’attaque sur les systèmes sont supprimées.

Le CH de Rueil-Malmaison passe au tiering AD

Le chiffrement n’est constaté que lundi 31 mars. À partir de là, les flux VPN sont coupés ; les serveurs impactés, isolés. Le lendemain, les sauvegardes sont mises hors réseau en vérifiant leur intégrité. L’ANSSI et le CERT Santé se déplacent sur site.

Le 2 avril, l’analyse des serveurs compromis démarre. Et du matériel (postes, clés 4G…) est demandé à l’ARS.

La reconstruction AD débute le 7, parallèlement à la fin des analyses. Le 10, la bascule est achevée. Le service de sauvegarde est relancé, les services métiers impactés sont restaurés et une formation d’administration sécurisée est dispensée.

La période d’avril-mai est marquée par le rétablissement progressif des services RH et d’admission, ainsi que le déploiement de nouveaux postes. Entre juin et septembre, un modèle par niveaux de privilège est mis en place pour l’AD.

Illustration générée par IA

The post Comment un ransomware s’est infiltré au CH Rueil-Malmaison appeared first on Silicon.fr.