Qu’est-ce que la sécurité informatique ?

Lorsque que j’évoque mon intérêt pour la sécurité informatique, la question « Qu’est-ce que la sécurité informatique ? » m’est posée régulièrement.

Avant d’aller lire la définition sur Wikipedia, ou dans les normes concernées (ISO 2700X, RGS, PCI-DSS, ISO 22301), ou les méthodes EBIOS, MEHARI ou le contenu des certifications (CISSP, ISO 2700X, CISA, CISM, GCIA, GSE, GREM, GXPN, etc.), il peut être utile d’identifier les métiers ou activités que recouvrent ces termes.

5 Grandes familles aux frontières entremêlées

    • Tests d’intrusion / Audits de sécurité
    • Sécurité Systèmes et Réseaux
    • Sécurité Applicative / Lutte anti-malwares / Kernel
    • Gouvernance SSI / CERT
    • Analyses forensics

Afin de fixer les esprits, je donne des exemples de compétences demandées et parfois des outils. Il est évident que chaque mission est différente et que les compétences ou les outils dépendent du mandat qui est confié.

De manière générale, ces métiers réclament au minimum la connaissance des aspects théoriques de la sécurité informatique: architecture, protocoles, cryptographie, authentification, vulnérabilités.

Les familles ne sont pas complètes car il existe des ramifications spécialisées. Par exemple, tout le domaine de la cryptanalyse nécessite des compétences très poussées en mathématiques. Finalement, l’informatique n’est qu’un support de cette activité.

Tests d’intrusion / Audits de sécurité

La grande famille des tests d’intrusion consiste à chercher la vulnérabilité d’un système d’information du point de vue d’un attaquant qui voudrait s’infiltrer.

Les cibles sont : les applications web (injections SQL, XSS/CSRF), les systèmes informatiques classiques (Linux, Aix, Windows), les nomades (Android, iOS, Windows Phone), les systèmes industriels et embarqués, le système d’information en général. Ils sont pratiqués par des accès internes et externes.

Les audits de configurations du système d’information nécessitent le même savoir-faire que des tests d’intrusion. Il s’agit d’audits techniques avec la réalisation de bilans de sécurité de systèmes informatiques.

Les audits de code peuvent participer à une mission de tests intrusifs ou d’audits techniques. De même, il peut être nécessaire de développer du code spécifique pour démontrer la présence de vulnérabilités ou pour créer un script nécessaire à un audit. Les audits de code sont détaillés dans le paragraphe Sécurité Applicative.

Les compétences demandées sont la connaissance des techniques de tests d’intrusion comme OWASP ou OSSTMM, ainsi que celle des méthodologies d’audit.

Les compétences techniques sont Linux ou Linux embarqué, AIX, Microsoft Windows ou Microsoft Windows embarqué, les systèmes d’exploitation mobiles comme Android, iOS ou Microsoft Windows Phone, les systèmes d’exploitation temps réels, les protocoles réseau classiques (TCP/IP, routage, IPSec, VPN, HTTP, SMTP, LDAP, SSH, etc.), les protocoles IP spécifiques comme ModBus over Ethernet ou non IP comme les Bus CAN. Des connaissances supplémentaires peuvent être requises en électronique, etc.

Les outils les plus fréquents dans les systèmes informatiques classiques sont Wireshark, Nmap, Nexpose, BURP, Metasploit, Nessus et OpenVAS.

Un conseil: Suivez les DEF CON. Si vous n’êtes pas à l’aise avec l’anglais oral, activez les automatic captions de Youtube sur chaque vidéo.

Sécurité Systèmes et Réseaux

Il s’agit de la surveillance du réseau et les connexions VPN, l’administration des firewalls, la mise à jour des règles de sécurité, la mise à jour des systèmes et des logiciels avec l’application des patchs de sécurité, la gestion pro-active des annuaires d’utilisateurs, la gestion des accès authentifiés et des droits associés.

L’administrateur assure aussi les sauvegardes et le contrôle des restaurations, le maintien en condition opérationnelle et les plans de continuité d’activité. Un travail permanent de rédaction des mises à jour des procédures d’urgence et de restauration est aussi attendu dans ce métier, ainsi qu’un rôle de support auprès des correspondants informatiques.

Les compétences requises dépendent de l’environnement. Il s’agit souvent de compétence en administration Linux, Microsoft Windows, VMWare, Microsoft Exchange, Microsoft SQL Server, Oracle et réseau.

L’administrateur assure la surveillance proactive des fichiers journaux des équipements de sécurité, des systèmes et des réseaux.

Cette activité d’analyste sécurité SOC nécessite des connaissances sur les réseaux (TCP/IP) ainsi que les activités réseaux liées aux attaques (scans, MITM, sniffing, DDoS) et les outils (Wireshark, Nmap), les systèmes IDS (Snort, Suricata), les techniques Security information and event management (SIEM).

Ce spécialiste doit développer ses propres outils à l’aide de scripts écrits en Python, Perl, PowerShell ou Ruby. Dans ce cas, la pratique des expressions régulières est indispensable.

Sécurité Applicative / Lutte anti-malwares / Kernel

C’est une très grande famille. C’est aussi l’activité la plus importante, dans tous les sens du terme.

Au départ, il s’agit de contrôler le niveau de sécurité des applications par des revues de code ou des audits de code. Les revues de code peuvent cibler des applications web, mobiles (Android, iOS, Windows Phone) ou classiques sur PC et Serveurs. Les tests d’intrusion peuvent aussi s’appuyer sur des vulnérabilités de code.

Ensuite, il est possible de se spécialiser dans l’analyse de code. Le rôle de l’analyste de code est d’analyser et traiter les nouveaux malwares, de créer des signatures et des algorithmes pour détecter puis nettoyer les codes malveillants.

Les connaissances sont relatives au reverse engineering: désassemblage et décompilation des programmes informatiques.

Les langages de programmation à connaître sont les langages d’assemblage (x86, ARM, POWERPC), le C / C++, Python, Perl, Ruby, Java. Selon sa spécialité, il peut aussi être nécessaire de connaître aussi les programmes sémantiques, la programmation fonctionnelle (OCaml) et l’analyse statique.

Une autre spécialité concerne l’analyse des dumps et des crashes avec des outils de debugging comme WinDBG, IDA ou SoftIce.

Il est aussi possible de se focaliser sur un seul système d’exploitation comme Windows par exemple. Les connaissances attendues concernent le fonctionnement du noyau Windows: ntoskrnl.exe, hal.dll, gestion des pilotes, des processus, des threads, de la mémoire, des LPC, des I/O, du cache, de l’ordonnancement sont une bonne base. De même que les connaissances des mécanismes d’interception (callbacks, hooks…), de boot (MBR) et de signatures numériques.

Les profils qui identifient les vulnérabilités 0-Days ont ce type de compétences très pointues.

Gouvernance SSI / CERT

La gouvernance de la sécurité informatique concerne essentiellement le conseil en sécurité des SI. Il s’agit d’un rôle d’analyse de risques et de définition de la politique de sécurité informatique.

Le rôle peut être parfois similaire à celui d’un CERT avec des objectifs de centralisation des demandes d’assistance suite aux attaques, de réalisation du suivi d’exploitation et de gestion des incidents sur les actions du traitement.

Analyses forensics

L’objectif d’une analyse forensic (ou investigation numérique) est d’apporter une preuve numérique. C’est une activité qui est souvent reliée au monde judiciaire mais pas seulement. Les experts judiciaires en informatique, ou les forces de l’ordre lorsqu’elles en ont les compétences, procèdent à des analyses à « froid » ou à « chaud » d’ordinateurs et de smartphones.

Dans le cas d’un ordinateur, l’analyse à froid consiste à faire une copie parfaitement exacte des disques durs (commandes dd, dd_rescue) puis de travailler sur la copie afin de rechercher les informations demandées par votre mandataire (juge, avocat, client privé).

Par exemple, un juge peut demander de rechercher la présence d’images pédopornographiques qui auraient été stockées sur le disque dur même une fois qu’elles ont été effacées.

Une analyse à chaud intervient alors que l’ordinateur est toujours actif. L’intérêt est d’analyser le contenu de la mémoire et des différents registres.

Outils: Forensics Windows, Forensics IPads IPhones, Forensics Android.

Tâches à accomplir pour la mise en place de SharePoint 2013

Cet article vient détailler les tâches des étapes décrites dans l’article précédent intitulé Démarche de mise en place de SharePoint 2013.

Rappelons qu’il s’agit d’un simple partage d’expérience et qu’il existe d’autres méthodes. L’une d’entre elles est présentée dans un autre article.

Définition du périmètre du projet

L’objectif est de recueillir les besoins, auditer l’existant, définir le périmètre, les objectifs de la mission et son planning. Cette étape permet aussi de chiffrer les gains attendus et de calculer le retour sur investissement d’un projet SharePoint.

Tâches :

  • Faire les entretiens de recueil des besoins
  • Analyser l’existant organisationnel et opérationnel
  • Chiffrer les gains attendus
  • Rédiger et faire valider le compte rendu de recueil des besoins

Analyser les besoins métiers

L’objectif est d’identifier les outils fonctionnels à mettre en œuvre dans le cadre du périmètre. SharePoint n’est pas une solution. C’est une suite d’outils à choisir et à mettre en oeuvre.

Tâches :

  • Identifier la taxonomie nécessaire pour classifier les documents
  • Définir la structure du site: hiérarchique, thématique, autre
  • Déterminer les modèles de sites nécessaires pour répondre aux besoins
  • Déterminer les fonctionnalités de sites natives utiles
  • Identifier les listes et bibliothèques à créer
  • Sélectionner les webparts natifs nécessaires
  • Identifier les processus métiers et flux de travail à intégrer dans SharePoint
  • Identifier les formulaires à intégrer dans SharePoint
  • Identifier les besoins de sécurité d’accès et de protection des données
  • Rédiger et faire valider le document des spécifications fonctionnelles

Étudier l’impact organisationnel

L’objectif est d’identifier les impacts sur l’organisation, liés à la mise en place de SharePoint et de repenser cette organisation.

Tâches :

  •  Définir le2s plans de nommage des objets métiers
  • Recenser les utilisateurs de SharePoint, par sites et sous-sites
  • Identifier la méthode d’approvisionnement des bibliothèques
  • Identifier les méthodes d’accès aux documents
  • Définir l’ergonomie et la navigation des sites
  • Définir le ciblage d’audience
  • Définir les stratégies de gestion des informations
  • Définir les politiques de quota
  • Définir le plan d’accompagnement et les besoins de formation
  • Rédiger et faire valider le document d’organisation

Définir l’architecture technique

L’objectif de l’architecture technique est de dimensionner l’architecture pour 100 utilisateurs ou 10000 utilisateurs.

Tâches :

  • Identifier le nombre et la configuration des applications web nécessaires
  • Identifier les services et applications de services par applications web
  • Identifier les besoins d’accès anonymes
  • Identifier les sources de contenu externes auxquels SharePoint devra accéder
  • Définir les plans de nommage des objets techniques
  • Rédiger et faire valider le document d’architecture

Étudier la sécurité

L’objectif est de garantir au maximum la sécurité des données de SharePoint.

Tâches :

  • Identifier les autorisations d’accès par groupes d’utilisateurs
  • Identifier les autorisations des applications
  • Identifier les groupes SharePoint ou Active Directory à créer ou à utiliser
  • Proposer des solutions de redondances des données
  • Proposer des solutions de chiffrement des échanges
  • Proposer des solutions de lutte contre les malwares
  • Proposer des solutions de lutte contre les intrusions non autorisées
  • Proposer des solutions de chiffrement des données
  • Proposer des solutions de sauvegarde des données
  • Rédiger et faire valider le plan de sécurité

Installer l’environnement SharePoint de développement

L’objectif est de disposer d’un environnement de type « bac à sable » pour les tests, formation et développement. Pour des raisons de sécurité, cet environnement doit être totalement déconnecté de l’environnement de production.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Créer le mirroring des bases de données
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Prototyper sur le site de développement

L’objectif est de réaliser un prototype opérationnel avec SharePoint afin de montrer à quoi va ressembler le futur site et à quoi il va servir. C’est aussi l’occasion de tester toutes les hypothèses précédentes.

Tâches :

  •  Créer les pages maîtres
  • Créer les gabarits (layouts)
  • Créer les collections de sites et les sites (par script PowerShell)
  • Créer les pages supplémentaires
  • Créer les modèles de sites
  • Créer les termes, ensembles de termes et groupes des métadonnées gérées
  • Créer les colonnes de sites et types de contenu
  • Créer les règles de l’organisateur de contenu
  • Paramétrer les propriétés gérées de la recherche
  • Paramétrer le concentrateur de métadonnées
  • Paramétrer les quotas et les stratégies de gestion des informations
  • Créer les listes et bibliothèques
  • Créer les formulaires
  • Créer les flux de travail
  • Développer les interfaces d’alimentations
  • Développer les interfaces de sorties
  • Développer les traitements spécifiques
  • Faire valider le prototype

Installer l’environnement SharePoint de production

L’objectif est de disposer d’un environnement réel de production pour SharePoint.

Concernant l’automatisation d’une installation et d’une configuration complète de SharePoint, l’article remarquable de Ashkan Jabbari est un excellent point de départ.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Paramétrer les caches d’objet et de sorties
  • Créer les clusters des bases de données
  • Paramétrer les variantes de sites
  • Paramétrer la recherche
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Paramétrer le catalogue d’applications
  • Déployer le contenu de DÉVELOPPEMENT en PRODUCTION
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Suivre la ferme SharePoint

L’objectif est de s’assurer de la pertinence de la solution mise en œuvre et de surveiller la ferme SharePoint afin de contrôler sa sécurité.

Tâches :

  • Étudier les rapports et tendances de popularité
  • Suivre les rapports d’audits
  • Suivre les rapports d’utilisation
  • Suivre les journaux de variantes
  • Suivre les journaux internes de SharePoint (usage, santé, diagnostic)
  • Suivre les journaux d’événements Windows

Former et accompagner

L’objectif est de sensibiliser la Direction Générale à l’arrivée de SharePoint et de former les utilisateurs à l’utilisation de ce nouvel outil.

Tâches :

  • Animer des ateliers de présentation
  • Former le personnel technique
  • Former les utilisateurs
  • Créer des fiches pratiques
  • Créer des forums
  • Créer des modes d’emploi sous forme de vidéos
  • Créer des questionnaires d’évaluation

Démarche de mise en place de SharePoint 2013

Cet article présente une démarche de mise en place de SharePoint 2013. Il s’agit d’un simple partage d’expérience.

Comme tous les partages d’expérience, il mériterait d’être commenté et expliqué amplement. L’article suivant intitulé Tâches à accomplir pour la mise en place de SharePoint 2013 vous donne le détail précis des tâches.

Notez aussi qu’il existe d’autres approches. En particulier, il existe aussi la possibilité de transposer intelligemment les documents stockés sous Windows dans SharePoint. Il s’agit d’une technique qui est présentée dans un autre article.

Dans l’immédiat, cette démarche s’appuie sur les étapes suivantes:

  • Définition du périmètre du projet
  • Analyser les besoins métiers
  • Étudier l’impact organisationnel
  • Définir l’architecture technique
  • Étudier la sécurité
  • Installer l’environnement SharePoint de développement
  • Prototyper sur le site de développement
  • Installer l’environnement SharePoint de production
  • Suivre la ferme SharePoint
  • Former et accompagner

Ces étapes peuvent se chevaucher.

Définition du périmètre du projet

L’objectif est de recueillir les besoins, auditer l’existant, définir le périmètre, les objectifs de la mission et son planning. Cette étape permet aussi de chiffrer les gains attendus et de calculer le retour sur investissement d’un projet SharePoint.

A priori, il semble difficile d’évaluer le retour sur investissement d’un projet collaboratif car les gains espérés portent généralement sur l’augmentation de l’efficacité des utilisateurs. Ce qui paraît compliqué à mesurer.

Pourtant, il existe des métriques factuelles. Ainsi, la mise en place du portail collaboratif peut conduire à la diminution du nombre de documents à manipuler,  la diminution du volume de stockage ou la diminution du temps à chercher un document.

À titre d’exemple, la diminution du volume de stockage peut atteindre 30 % des documents existants, sans perte d’informations. La diminution du temps de recherche d’un document peut passer de 30 minutes en moyenne à moins de 3 minutes (mesures faites chez un client).

Analyser les besoins métiers

L’objectif est d’identifier les outils fonctionnels à mettre en œuvre dans le cadre du périmètre. SharePoint n’est pas une solution. C’est une suite d’outils à choisir et à mettre en oeuvre.

Cette étape nécessite de connaître le besoin défini dans l’étape précédente, l’existant et les possibilités natives de SharePoint.

Le choix des outils à une conséquence directe sur le coût total du projet.

Par exemple, un besoin utilisateur comme vouloir gérer un stock de biens peut se  traduire par une liste personnalisée avec les métadonnées ad’hoc (2 jours), ou bien par la création d’un formulaire InfoPath et d’un flux de travail SharePoint Designer (<10 jours), ou d’un développement spécifique (>20 jours).

Par ailleurs, la taxonomie est une tâche indispensable dans un projet collaboratif réussi.

En science, la taxonomie sert à classer ou organiser les animaux, les plantes selon leurs caractéristiques. Dans SharePoint, la taxonomie consiste à classer et organiser les objets d’un site en cherchant leur hiérarchie et leurs relations entre eux.

Ce travail consiste à identifier les caractéristiques des objets manipulées dans SharePoint. Une facture a des caractéristiques différentes d’un devis, qui lui-même est différent d’une note de frais ou d’une demande de congés.

Cela revient à chercher les propriétés d’un document, ou plus précisément ses métadonnées. Ces métadonnées servent à ranger les documents à leur place. Elles servent aussi à les retrouver plus rapidement.

Si les métadonnées sont mal analysées, voire pas analysées du tout, les utilisateurs risquent de se détourner de SharePoint car ils ne verront pas son intérêt par rapport à Windows. Et ils auront raison.

Pratiquement, tous les projets SharePoint qui ont été délaissés par les utilisateurs souffrent d’un manque d’analyse des métadonnées. Ces sites avaient été construits pour faire du « windows-like ».

La taxonomie représente environ 20% du coût du projet.

Étudier l’impact organisationnel

L’objectif est d’identifier les impacts sur l’organisation, liés à la mise en place de SharePoint et de repenser cette organisation.

SharePoint introduit de nouvelles façons de penser les documents à travers l’Organisateur de contenu, les ensembles de documents ou les stratégies de gestion des informations.

Il faut tirer profit de ces nouveaux paradigmes bureautiques pour simplifier les tâches de l’utilisateur. Concrètement, un utilisateur peut alimenter la bonne bibliothèque au bon endroit d’un site SharePoint en connaissant uniquement l’existence de la Bibliothèque de remise, sans rentrer dans les détails du site.

L’alimentation peut aussi se faire par l’envoi d’un email avec le document en pièce jointe à SharePoint.

Quel que soit la solution retenue, elle devra toujours obéir à la règle du « no content duplicate ». Si l’information a besoin d’être dupliquée, ça sera à travers une réplication synchronisée.

L’autre besoin concerne l’accès aux documents. Avec un site SharePoint intelligemment conçu,  un utilisateur peut trouver un document sans être obligé de parcourir tous les sites, grâce au panneau d’affinement du centre de recherche.

Définir l’architecture technique

L’objectif de l’architecture technique est de dimensionner l’architecture pour 10000 utilisateurs ou 10 utilisateurs.

Il s’agit d’une étape technique où des hypothèses sont faites sur l’utilisation future de SharePoint.

L’intérêt certain de SharePoint est sa « scabilité ». Concrètement, l’architecture peut évoluer d’un serveur unique à une ferme de 30 serveurs sans perdre le travail déjà réalisé, à quelques exceptions près.

Cette étape permet aussi de poser les bonnes questions comme par exemple, sur les accès anonymes (autorisés ou non), qui accédera à SharePoint (utilisateurs de l’Active Directory ou pas).

L’étape de définition de l’architecture technique permet aussi d’identifier les sources de contenu externes auxquels SharePoint devra accéder, soit pour les indexer, soit pour les lire ou les mettre à jour. Dans tous les cas, les méthodes d’accès sécurisées sont à définir.

Étudier la sécurité

L’objectif est de garantir au maximum la sécurité des données de SharePoint.

Les utilisateurs confient leurs précieuses données à SharePoint. Il faut donc s’assurer qu’elles restent disponibles. De plus le coffre-fort de données que contient SharePoint devient appétissant pour de nombreux prédateurs.

Les solutions à étudier couvrent donc les autorisations des utilisateurs et des applications,  la sauvegarde et la redondance des données, le chiffrement des données et des échanges, la lutte contre les malwares et les tentatives de pénétration.

Dès la phase de conception, il est nécessaire d’intégrer les besoins de sécurité, car ils ont un impact certain sur le « design » global des sites SharePoint. Il s’agit d’un outil collaboratif mais cela ne signifie pas que tout le monde peut accéder à tout sans discernement.

Installer l’environnement SharePoint de développement

L’objectif est de disposer d’un environnement de type « bac à sable » pour les tests, formation et développement. Pour des raisons de sécurité, cet environnement doit être totalement déconnecté de l’environnement de production.

N’acceptez jamais de travailler directement sur l’environnement de production. De même, n’acceptez pas non plus que l’environnement de développement devienne le futur environnement de production. Dans ce cas, vous allez récupérer toutes les scories liées au développement.

Cette étape est très opérationnelle. Il s’agit de créer et paramétrer l’environnement. C’est l’occasion de s’habituer à automatiser les tâches à accomplir avec PowerShell.

Prenez aussi l’habitude de mettre en place des outils pour vous faire des remontées automatiques en cas de changement de la configuration : droits, services, etc. Au début, certains font des manipulations hasardeuses sans le savoir.

Prototyper sur le site de développement

L’objectif est de réaliser un prototype opérationnel avec SharePoint afin de montrer à quoi va ressembler le futur site et à quoi il va servir. C’est aussi l’occasion de tester toutes les hypothèses précédentes.

Cette étape est très opérationnelle. Il s’agit de créer ou paramétrer tous les objets identifiés précédemment.

Le livrable est un ensemble de sites SharePoint.

Vos interlocuteurs ont tendance à préférer voir des petites parties opérationnelles rapidement plutôt  que d’attendre longtemps pour voir un résultat « parfait ».

Une mise en œuvre progressive permet également d’introduire des corrections mineures de trajectoire au fur et à mesure, ce qui
conduit finalement à un meilleur résultat.

Dans cette étape, il est malin de chercher à automatiser le plus possible. En effet, le processus de création est itératif car les utilisateurs modifient leurs perspectives au fur et à mesure de l’avancement du prototype.

C’est aussi un entraînement utile lors du futur passage en production.

Installer l’environnement SharePoint de production

L’objectif est de disposer d’un environnement réel de production pour SharePoint.

Cette étape est très opérationnelle. Il s’agit de créer et paramétrer l’environnement.

L’utilisation de scripts PowerShell pour automatiser le plus possible l’installation est indispensable. Certaines tâches, comme la configuration des serveurs de cache, ne peuvent se faire qu’avec PowerShell.

Le passage de l’environnement de développement en production mérite une attention particulière. En particulier, chaque nouveau cycle de mise à jour ne doit pas être destructif en production. C’est évident mais cela va mieux en le disant.

Le suivi de votre ferme SharePoint est indispensable pour son contrôle et sa sécurité.

Suivre la ferme SharePoint

L’objectif est de s’assurer de la pertinence de la solution mise en œuvre et de surveiller la ferme SharePoint afin de contrôler sa sécurité.

Dans cette étape, il s’agit d’activer avec discernement les très nombreux journaux et rapports liés à SharePoint.

La lecture manuelle de tous les journaux est impossible. Il faut disposer d’outils maisons ou d’éditeurs, afin d’avoir une remontée pertinente et automatique sur des activités anormales de la ferme.

Outre les aspects sécurité, le suivi de la fréquentation des sites, ainsi que les requêtes de recherche des utilisateurs permet de s’assurer de la pertinence des informations contenues dans SharePoint.

Il n’est pas rare qu’un utilisateur recréé une information déjà existante parce qu’il ne sait pas utiliser correctement SharePoint. Les besoins de formation peuvent être aussi détectés par l’analyse des requêtes de recherches.

Former et accompagner

L’objectif est de sensibiliser la Direction Générale à l’arrivée de SharePoint et de former les utilisateurs à l’utilisation de ce nouvel outil.

Pour la Direction Générale, il est suffisant de procéder à quelques démonstrations bien introduites. Ces démonstrations doivent plus mettre en valeur les avantages de SharePoint que ses fonctionnalités.

Outre les formations présentielles, il faut penser à mettre à disposition des utilisateurs des mémos, fiches pratiques et modes d’emploi afin de prévenir les questions qu’ils vont se poser.

Par expérience, l’utilisation de la vidéo est bien vécue, y compris dans les milieux les plus revêches.

Qu’est-ce que Google AdWords ?

Google AdWords est le système de Google qui permet de créer des annonces publicitaires. Ces annonces publicitaires apparaissent en haut ou sur la droite du site Google, après avoir fait une recherche Google.

Les annonces publicitaires créées avec Google AdWords apparaissent plus ou moins distinctement des résultats de la recherche. En effet, elles apparaissent en haut du résultat de recherche sont avec un fond de couleur rosée (code couleur #FBF0FA) et le mot « Annonce » est affiché en haut à droite. Les annonces AdWords apparaissent aussi sur la droite de la page de résultat, sous le mot « Annonces », séparées par une barre verticale grise.

Comme toute forme de publicité, l’intérêt des annonces Google AdWords est de faire connaître son produit. D’autant que les publicités Google AdWords sont aussi diffusées par le réseau des partenaires grâce à un autre système nommée Google AdSense.

L’inscription à Google AdWords est gratuite. Souvent Google offre un crédit publicitaire, par exemple 75 €, pour débuter. Car, bien évidemment, faire de la publicité sur un site comme Google coûte de l’argent.

Les responsables de Google ont mis en place un système original concernant le coût des publicités. Leurs objectifs est de faire en sorte que chacun puisse s’offrir de la publicité sur Google. La méthode pour créer une publicité Google AdWords est simple.

Elle se fait en 3 temps:

  • Vous choisissez votre budget
  • Vous créez des annonces
  • Vous sélectionnez des mots clés qui font correspondre vos annonces à des clients potentiels

C’est vous qui fixez votre budget.

Vous fixez votre dépense quotidienne (par exemple 1 € / jour), la somme maximale à ne pas dépasser (par exemple 20 €) et ensuite, le plus important, le coût par mot-clef (par exemple 10 centimes). Le coût par mot-clef détermine le coût réel de votre annonce. Car, à chaque fois qu’un internaute clique sur votre annonce, Google déduit le coût par mot-clef, soit 10 centimes dans notre exemple.

Dans le jargon Google AdWords, le coût par mot-clef est le CPC: coût par clic. Plus le CPC est élevé, plus cela vous coûte cher.

Toutefois n’oubliez pas que vous pouvez être en concurrence avec d’autres annonceurs sur les mêmes mots-clefs. Plus le CPC est élevé, plus votre annonce sera visible. Vous devez donc trouver un équilibre entre le coût du CPC et ce qu’il vous rapporte.

Qu’est-ce que Google AdSense ?

Google AdSense est le système d’affichage des annonces ou publicités créées à l’aide de Google AdWords. Grâce à Google AdSense, les propriétaires de sites web peuvent générer ainsi des revenus supplémentaires qui peuvent être parfois importants.

En effet, les annonces de Google AdWords sont diffusées aussi bien sur le site Google que sur les sites web dont le webmaster a accepté de le faire. Si vous êtes webmaster, vous êtes rémunérés si vous diffusez des annonces Google AdWords sur lesquels vos internautes cliquent. Plus vos internautes cliquent sur les publicités Google de votre site, plus vous gagnez de l’argent cash.

Le montant gagné dépend aussi de la valeur de l’annonce. Cette valeur est définie lors de la création de l’annonce AdWords par l’annonceur.

La valeur de l’annonce est déterminée par le CPC (Coût Par Clic) que fixe l’annonceur. Plus le CPC est élevé, plus l’annonce coûte cher à l’annonceur mais plus elle a des chances d’être vue par les internautes. L’objectif d’une annonce est d’être vue par le plus grand nombre de personnes intéressées.

On estime que Google reverserait 50% du prix fixé du clic dans AdWords. Autrement dit, si l’annonceur a fixé à 10 € le CPC, à chaque clic d’un internaute sur une annonce Google AdWords sur votre site web, cela vous rapporterait 5 euros environ.

Les publicités Google AdSense s’adaptent automatiquement au contenu de votre site. Toutefois, vous pouvez rajouter des mots supplémentaires pour orienter le choix des publicités qui s’afficheront sur votre site.

Vous avez aussi la possibilité d’être rémunéré sur les recherches Google qui sont faites à partir de votre site. Dans ce cas, Google vous fournit un script qui intègre sa page de recherche dans votre site.

Certains webmasters combinent astucieusement Google AdSense et Google AdWords

Pour démultiplier leurs revenus, des webmasters combinent AdSense avec AdWords.Supposons que votre site concerne les voitures hybrides:

  • Vous créez votre site sur ce sujet
  • Vous vous inscrivez gratuitement à Google AdSense puis vous incorporez les scripts fournis dans vos pages HTML,
  • Vous vous inscrivez gratuitement à Google AdWords puis vous achetez les mots clefs associés au terme « voiture hybride » pour créer vos annonces.

Grâce à ce mécanisme, cela vous génère du trafic sur votre site et donc des clics sur vos publicités comme par exemple pour les constructeurs de voitures hybrides.

Malgré la simplicité du mécanisme, méfiez-vous pour deux raisons distinctes.

D’une part ce principe est utilisé à outrance par certains sites qui vous vendent des modèle de sites « prêts à l’emploi » (sur l’assurance, les crédits, etc…) avec du contenu identique.

D’autre part, Google applique des règles très strictes et parfois complexes pour utiliser Google AdSense.

D’une manière générale, vous pouvez vous voir retirer votre agrément Google AdSense si vous ne respectez pas les règles. Dans ce cas, vous ne pourrez plus utiliser la régie publicitaire, ni même toucher l’argent des clics. Cela est d’autant plus rude que Google, pour des raisons de confidentialité liées à leur activité, ne donne pas les raisons précises de ce désaveu.

Dans ces conditions il devient difficile, voire impossible, de se défendre.

Outlook 2010: Comment vider le cache de saisie semi-automatique ? [résolu]

Une petite astuce bien pratique pour apprendre comment vider le cache de saisie semi-automatique d’Outlook 2010.

Le cache de saisie semi-automatique garde les adresses emails de vos destinataires. Ce cache est utile mais il peut aussi se révéler gênant. Par exemple, quand vos destinataires changent d’adresse email ou lorsque vous avez envoyé par erreur un email à un homonyme.

Suppression individuelle

Dans la boîte Destinataire d’Outlook, commencez à entrer l’adresse email que vous voulez enlever du cache jusqu’à ce qu’elle apparaisse.

Ensuite, appuyez sur la flèche du bas pour sélectionner l’adresse.

Puis appuyez sur Supprimer.

Suppression totale

Cette méthode permet d’effacer toutes les entrées du cache des adresses.

Fermez Outlook en cliquant sur Fichier puis Quitter.

Patientez quelques secondes pour laisser à Windows le temps de fermer Outlook proprement.

Copiez la chaîne de caractères suivante: %APPDATA%MicrosoftOutlook

Cliquez sur le bouton Démarrer

Dans la zone Rechercher les programmes et fichiers qui est juste au-dessus du bouton Démarrer, collez %APPDATA%MicrosoftOutlook puis appuyez sur entrée: l’explorateur Windows s’ouvre en montrant des fichiers qui commencent tous par Out.

Dans la liste des fichiers, supprimez le fichier outlook.nk2

Ouvrez à nouveau Outlook.

Autorisations dans Project Server

Dans Project Server, une autorisation est la possibilité d’effectuer une action spécifique au sein de Project Server.

Le calcul des autorisations est instantané. Il n’est pas nécessaire de fermer la session. Il suffit de rafraîchir la page de l’utilisateur pour qu’il voit l’application des nouvelles autorisations.

Types d’autorisations

Il existe 2 types d’autorisations dans Project Server.

  • Les autorisations globales
  • Les autorisations par catégorie

Autorisations globales

Les autorisations globales accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur tous les objets de Project Web Access (PWA).

Il s’agit d’autorisations indépendantes des projets ou des ressources.

Toutes les autorisations globales peuvent être attribuées aux utilisateurs ou à des groupes d’utilisateurs. Il est plus facile de les gérer lorsqu’elles sont attribuées à des groupes plutôt qu’à des utilisateurs individuels.

Dans le menu Project Web Access Permissions vous avez la liste des autorisations globales autorisées pour tout Project Server. Si vous décochez une autorisation de la colonne Enable (Permettre), cette autorisation sera refusée à tous les utilisateurs de la ferme Project Server, y compris l’administrateur Project Server.

Groupes

Les autorisations peuvent être accordées à un utilisateur ou à un groupe auquel appartient l’utilisateur. Un utilisateur peut appartenir à plusieurs groupes.

Des groupes par défaut sont proposés dans PWA. Toutefois, vous pouvez modifier les autorisations des groupes par défaut en fonction de vos besoins. Vous pouvez aussi créer autant de groupes que nécessaire.

La population d’un groupe Project Server peut se faire en sélectionnant les utilisateurs ou en synchronisant les membres du groupe à un groupe de l’annuaire Active Directory. La mise à jour du groupe Active Directory sera appliquée automatiquement au groupe correspondant dans Project Server.

Autorisations par catégorie

Les autorisations par catégorie accordent ou refusent aux utilisateurs et aux groupes la possibilité d’effectuer des actions sur des projets, des ressources et des affichages spécifiques.

Une catégorie est un ensemble de projets, ressources et affichages.

Ce type d’autorisation introduit une gestion dynamique des autorisations, car l’autorisation accordée ou refusée s’appliquera à l’utilisateur en fonction de son rôle à l’intérieur du projet.

Vous pouvez assigner des autorisations différentes à des utilisateurs différentes, sur n’importe quel projet, grâce aux catégories.

Des catégories par défaut sont proposées dans PWA. Toutefois, vous pouvez créer autant de catégories que nécessaire.

Vous pouvez sélectionner les catégories qui seront accessibles à vos utilisateurs.

Il est préférable de faire l’association avec des groupes d’utilisateurs plutôt que des individus pour pouvoir les gérer plus facilement. L’association par défaut entre groupes et catégories est présentée dans le tableau de la page Default categories in Project Server.

A l’intérieur d’une même catégorie, deux groupes peuvent avoir des autorisations différentes.

Les autorisations accordées à un groupe, à l’intérieur d’une catégorie, peuvent se manipuler à partir de la catégorie ou à partir du groupe. Toutefois, il est plus pratique de manipuler les autorisations par catégorie à partir de la page catégorie.

Projets concernés

Vous avez deux possibilités pour définir sur quels projets les autorisations par catégorie s’appliquent:

  • soit tous les projets
  • soit des projets nommément désignés

Les autorisations par catégorie ne s’appliquent au projet que s’il répond à des critères supplémentaires.

Par exemple, si vous êtes membre d’un projet, vous aurez les droits en question. En revanche, si vous n’êtes pas membre du projet, vous n’aurez aucun droit sur le projet, même si l’autorisation de la catégorie vous donne des droits.

Ressources concernées

C’est à peu près identique aux projets. Vous avez deux possibilités pour définir sur quelles ressources les autorisations par catégorie s’appliquent:

  • soit toutes les ressources
  • soit des ressources (personnes) nommément désignées

Les autorisations par catégorie ne s’appliquent à la ressource que si elle répond à des critères supplémentaires: est-ce que la ressource est membre d’un projet de l’utilisateur ?,  est-ce que la ressource est un descendant de l’utilisateur via Resource Breakdown Structure (RBS) ?, etc.

Le RBS est une structure de sécurité hiérarchique qui est généralement basée sur la structure de l’organisation. Le RBS est utilisé pour attribuer dynamiquement des autorisations.

Modèles de sécurité

Les modèles de sécurité Project Server définissent les autorisations par défaut.

Il existe un modèle de sécurité pour chaque groupe de sécurité par défaut de Project Server. Même si les autorisations du groupe par défaut sont modifiées, le modèle de sécurité correspondant reste inchangé.

Vous pouvez utiliser un modèle de sécurité pour appliquer les droits correspondants à un groupe que vous avez créé. Une fois que les droits ont été appliqués au groupe, vous pouvez les modifier.

Vous pouvez créer autant de nouveaux modèles de sécurité que vous en avez besoin. En revanche, il est vivement recommandé de ne pas modifier les modèles de sécurité par défaut afin de pouvoir retrouver les paramètres par défaut de ces modèles.

Règles de fonctionnement des autorisations

Les autorisations désactivées au niveau de PWA sont refusées à tout les utilisateurs de PWA, indépendamment des droits qu’ils peuvent avoir par ailleurs.

Les autorisations sont cumulatives car les autorisations d’un utilisateur sont calculées par Project Server en cumulant toutes les autorisations accordées dans tous les groupes et catégories auxquels appartient l’utilisateur.

Si pour une autorisation donnée, celle-ci n’est cochée dans aucun groupe ou catégorie auxquels appartient l’utilisateur, celui-ci ne dispose pas de cette autorisation.

Un droit refusé « l’emporte » toujours sur des droits accordés. Si une autorisation est accordée dans un groupe et refusée dans un autre groupe pour un utilisateur donné, l’autorisation sera refusée à cet utilisateur.

Windows USMT

Avec Windows XP, est apparu un outil attendu depuis très longtemps USMT (User State Migration Tool).

Lors de l’installation de Windows XP, deux possibilités s’offraient à vous : soit vous faisiez une mise à jour de votre système d’exploitation (par exemple, Windows 98) et vous gardiez vos paramètres personnalisés (comme par exemple le dictionnaire Word) mais vous risquiez aussi de « traîner » des dysfonctionnements ; soit vous faisiez une nouvelle installation avec repartitionnement et formatage mais vous aviez perdu vos paramètres personnalisés.

Avec USMT vous combinez les avantages des deux méthodes. En effet, USMT aide à transférer les fichiers et les paramètres des utilisateurs (raccourcis, historique, mails, carnet d’adresses, Proxy, documents, lecteurs partagés, …) d’un ordinateur exécutant Windows 95 ou ultérieur, vers un ordinateur exécutant Windows XP.

Prenons l’exemple d’un ordinateur sur lequel Windows 98 s’exécute. Le point de départ est le cd-rom d’installation de Windows XP, car dans le dossier Valueadd msft usmt se trouve l’exécutable SCANSTATE.EXE.

Cette commande sauvegarde les paramètres systèmes et utilisateurs dans un fichier que vous gardez précieusement.

Une fois la nouvelle installation de Windows XP terminée, vous lancez l’Assistant Transfert de fichiers et de paramètres [dans Démarrer / Tous les programmes / Accessoires / Outils système] qui vous guide pour récupérer les paramètres sauvegardés dans le fichier créé par SCANSTATE.EXE.

Une fois l’opération terminée, vous avez récupéré la personnalisation de Windows 98.

Si vous le souhaitez, cette procédure peut être automatisée avec la commande LOADSTATE.EXE qui est aussi dans le dossier Valueadd msft usmt.

Sur le poste Windows XP : LOADSTATE /I migsys.inf /I miguser.inf //nomserveur/nompartage

Cette commande permet d’appliquer les paramètres Windows sauvegardés précédemment.

Qu’est-ce qu’un domaine Windows ?

Dans un groupe de travail Windows, l’accès à un ordinateur exige une authentification par rapport à la base des comptes de l’ordinateur. Cette base est stockée dans un fichier intitulé SAM (Security Account Manager).

Si le groupe de travail est constitué de 10 ordinateurs avec un utilisateur par ordinateur et que tous les utilisateurs doivent accéder à tous les ordinateurs, l’administrateur doit créer 100 comptes au total. C’est d’autant plus lourd que l’opération doit être renouvelée partiellement lors de la perte d’un mot de passe.

Pour remédier à cette lourdeur, Microsoft propose d’utiliser un domaine Active Directory. Un domaine centralise la base des comptes dans un fichier intitulé NTDS.DIT. Cette base des comptes contient, entre autres informations, les comptes des ordinateurs qui font partie du domaine et les comptes des utilisateurs qui sont membres de ce domaine.

Pour créer un domaine Active Directory, il faut un ordinateur sur lequel est installé Windows 2000 Server, Windows Server 2003 ou Windows Server 2008. Ensuite, la création du domaine se fait à l’aide d’un assistant qui s’exécute avec le programme DCPROMO.EXE.

L’assistant vous interroge et vous demande notamment un nom de domaine, par exemple MONDOMAINE.STE. Notez que nous n’avons pas écrit MONDOMAINE.FR ou MONDOMAINE.COM afin de différencier l’Internet de l’Intranet. Une fois le domaine créé, vous créez les comptes utilisateurs (ALICE, BOB, CHARLES, etc.). Vous créez (ou vous rattachez) les comptes d’ordinateurs (ETOILE, MARS, VENUS, etc.) qui font partie du domaine.

Lorsque BOB cherche à se connecter au domaine MONDOMAINE.STE, il utilise l’ordinateur VENUS sur lequel il saisie son nom de compte (BOB), son mot de passe et son intention de se connecter sur le domaine MONDOMAINE.STE.

Selon un protocole défini au préalable, le contrôleur du domaine MONDOMAINE.STE vérifie les informations transmises lors de la demande d’ouverture de session par rapport à la base NTDS.DIT. Si ces informations sont correctes, le contrôleur de domaine renvoie un jeton (c’est une suite de caractères binaires) qui contient son accord d’ouverture de session, ainsi que la liste des groupes auxquels BOB appartient.

Lorsque BOB cherche à accéder à une ressource (par exemple un dossier partagé) du domaine MONDOMAINE.STE, son jeton est présenté à l’ordinateur (par exemple MARS) qui détient la ressource. MARS va aussitôt vérifier ce jeton auprès du contrôleur de domaine. Si MONDOMAINE.STE confirme son authenticité, MARS accepte la connexion demandée par BOB. Autrement dit, MARS ne contrôle pas l’authenticité de la demande de connexion par rapport à sa propre base SAM mais par rapport à la base NTDS.DIT du contrôleur de domaine.

Que se passe-t-il si le contrôleur de domaine a un crash ? Il est conseillé d’avoir plusieurs contrôleurs de domaine sur le même domaine afin d’assurer une meilleure robustesse au crash d’un contrôleur de domaine. Pour installer un second contrôleur de domaine, il est nécessaire d’avoir un autre ordinateur sur lequel est installé Windows Server 2008. Lors du lancement de DCPROMO.EXE, vous indiquez que le contrôleur de domaine que vous êtes en train d’installer est un nouveau contrôleur de domaine d’un domaine existant.

L’assistant cherche à contacter le contrôleur de domaine existant. Quand il a réussi, il recopie intégralement la base NTDS.DIT. A la fin de l’installation du nouveau contrôleur de domaine celui-ci se comporte exactement comme le premier, pour le service d’authentification. Attention, il existe d’autres services d’architecture qui font que les deux contrôleurs de domaine ne sont pas exactement équivalents.

Toutefois, afin d’avoir des mécanismes de résistance de panne et d’assurer un meilleur équilibrage des ressources, il est nécessaire d’installer plusieurs contrôleurs de domaine dans un même domaine.