Mise à jour automatique des logiciels

La réduction des risques contre les vulnérabilités nécessitent que les versions vulnérables des programmes soient enlevées de votre ordinateur.

Avec Windows Update, Microsoft proposait la mise à jour automatique de leur système d’exploitation Windows. Ensuite, Microsoft a élargi son offre de mise à jour automatique aux autres produits avec Microsoft Update pour les particuliers et Windows Server Update Services (WSUS) pour les entreprises. Ces mises à jour automatisées visent principalement à améliorer la sécurité.

Toutefois, les attaques se concentrent de plus en plus sur les logiciels périphériques comme eux d’Adobe ou d’autres éditeurs dont les produits sont répandus, victimes de leurs succès.

Ces éditeurs proposent des mises à jour régulières de leurs produits mais comment s’assurer que c’est fait correctement pour toutes les applications tierces ?

Afin d’améliorer sa protection il existe des logiciels qui permettent de vérifier, en une fois, que les applications tierces sont bien mises à jour vers les toutes dernières versions sécurisées.

Aussi, pour identifier les installations vulnérables, j’ai testé plusieurs logiciels gratuits comme CNET TechTracker de CBS Interactive, Software Updates Monitor (SUMO) de KC Software et Personal Software Inspector (PSI) de Secunia.

Ces logiciels commencent par faire une analyse (« scan ») des logiciels installés puis ensuite ils communiquent à leur serveur Web le résultat de l’analyse. Le serveur Web dispose d’un référentiel des dernières versions de logiciels. Il compare les versions installées sur votre ordinateur puis il renvoie l’information sur votre ordinateur qui affiche le résultat.

Malgré plusieurs tentatives, CNET TechTracker a refusé de se connecter à leur serveur Web. Devant les problèmes rencontrés avec CNET TechTracker, j’ai renoncé à l’évaluer.

J’ai ensuite testé SUMO. Ce logiciel demande avec beaucoup d’insistance d’installer différents logiciels présentés comme leurs sponsors. Malgré toutes mes dénégations attentives, il a installé un des logiciels en question. Du coup, j’ai arrêté l’évaluation.

Bien que le logiciel PSI propose aussi l’installation d’un logiciel sponsorisé, il n’a pas insisté devant mon refus. Il a réussi à communiquer avec son serveur Web après redémarrage. Si PSI n’arrive pas à procéder à la mise à jour automatique (« Auto Updating »), il propose un lien direct vers la dernière version de chaque logiciel installé sur votre ordinateur.

Grâce à PSI, j’ai découvert que les versions installées d’Adobe Shockwave Player, VMware Player et PHP n’étaient pas à jour. Pour PHP, je pensais l’avoir désinstallé. C’était bien le cas mais phpDesigner procède à une installation silencieuse de PHP.

Autre avantage de PSI: il détecte tout seul l’installation, ou la désinstallation d’un logiciel.

Un test concluant en faveur de PSI.

Vol d’identité sur Internet

Les données privées sont la nouvelle monnaie d’échange sur Internet.

A ceux qui prétendent n’avoir rien à cacher, un juriste leur répondait: « Pourquoi mettez-vous des rideaux à vos fenêtres ? ».

Si le mot peut faire sourire, malgré sa pertinence, la réalité du Web n’est pas toujours gaie.

Le harcèlement d’un individu peut se propager et s’amplifier avec les réseaux sociaux. Ces persécutions conduisent parfois certains jusqu’au suicide. Même si cette situation est exceptionnelle, elle n’en demeure pas moins dramatique.

Qu’est-ce que le vol d’identité ?

Le vol d’identité, ou usurpation d’identité, a lieu lorsqu’une personne récupère des informations personnelles de la victime pour se faire passer pour elle afin de commettre un délit ou un crime.

Cette technique criminelle consiste donc à usurper une identité afin de « brouiller » les pistes et éviter que les forces de l’ordre « remonte » jusqu’au coupable. Celui-ci bénéficie d’un sentiment d’impunité. Cela lui permet de commettre ces crimes sans être inquiété.

Le vol d’identité est le crime qui augmente le plus vite en Californie en… 2002. Dix ans plus tard, ce phénomène est présent en France, Belgique, Suisse et consorts.

Le vol d’identité numérique est une activité criminelle qui prend de plus en en plus d’ampleur. Le vol d’identité consiste à utiliser les informations d’identité (nom, prénom, date de naissance, téléphone, adresse, etc.) d’une autre personne afin de se faire passer pour elle. L’usurpation de plaques d’immatriculations de voiture est aussi une pratique répandue.

Les renseignements personnels concernent des informations qui permettent d’identifier une personne:

  • Le nom, prénom, date et lieu de naissance,
  • Le numéro de téléphone fixe ou mobile,
  • L’adresse physique personnelle ou l’adresse email personnelle,
  • L’adresse physique professionnelle ou l’adresse email professionnelle,
  • Numéro de la carte d’identité ou du passeport,
  • Numéro d’identification nationale,
  • Numéro de permis de conduire,
  • Numéro de compte bancaire et numéro d’identification personnel.

Vous vous demandez certainement comment ces informations peuvent servir des criminels.

A quoi sert l’usurpation d’identité ?

Le vol d’identité permet à un criminel d’obtenir un crédit ou un prêt personnel à votre nom. Tandis que lui obtiendra le montant du prêt, il ne vous restera plus qu’à payer les mensualités.

Il peut aussi faire ouvrir un compte de téléphone cellulaire en usurpant votre nom.

Le criminel peut aussi usurper votre identité pour obtenir un document officiel, comme un permis de conduire avec sa photo et votre nom et adresse.

Dans le domaine de l’emploi, une femme a découvert qu’elle était victime d’une usurpation d’identité en postulant à un travail. L’employeur l’a informé qu’elle était déjà recensée comme salariée de l’entreprise. Dans cet exemple, l’usurpatrice était une proche de la victime.

Un usurpateur peut aussi louer un appartement sous un nom d’emprunt qui correspond à une personne réelle.

Toutefois, le vol d’identité ne se limite pas à des questions d’argent ou de biens matériels. Il peut être bien plus grave.

A la suite d’un banal contrôle des forces de l’ordre, une personne innocente a eu des ennuis (temporaires mais très désagréables) car un criminel agissait sous couvert de son identité et à son insu.

Comment Internet simplifie-t-il le vol d’identité ?

Avec Internet, il devient de plus en plus facile de se faire voler ses renseignements personnels.

Il existe des programmes qui sont spécialisés dans la récupération d’informations personnelles. Ces programmes (spywares) s’installent souvent à votre insu. Vous pouvez les éliminer à l’aide d’un anti-virus généraliste:

ou spécialisé comme ceux-là:

Le vol d’identité simplifié

Le vol d’identité devient de plus en plus simple grâce aux informations personnelles laissées volontairement à la disposition du grand public par les internautes eux-mêmes, les sociétés et même les administrations publiques sur le web.

De manière générale, il est estimé qu’environ 90% des informations sont ouvertes au public. En langage de renseignement, il s’agit d’informations blanches. Une information blanche est une information aisément et licitement accessible.

A titre d’exemple, la toute nouvelle stratégie secrète d’une entreprise peut se trouver publiée dans l’annexe du rapport des commissaires aux comptes. Ce rapport est directement téléchargeable à partir du site Web de l’entreprise concernée.

Pour en revenir au vol d’identité, les sources deviennent littéralement innombrables. Vous allez pouvoir le vérifier par vous-même.

Important. Avant tout, téléchargez, installez et exécutez le logiciel CCleaner qui vous permet d’effacer les cookies de votre ordinateur avant de faire les recherches:
CCleaner
Maintenant, lancez les recherches suivantes sur vous même en combinant les critères.

Par exemple, si je suppose que vous vous nommez John Doe et que vous résidez à VilleBidon, vous pouvez essayer dans Google, puis Yahoo et enfin Bing, les recherches suivantes:

  • John Doe
  • Doe John
  • JohnDoe
  • John Doe VilleBidon
  • etc.

Vous avez peut-être déjà récupéré un âge, une date de naissance, une ancienne adresse email oubliée.

Faites aussi une recherche à partit de votre adresse email. Par exemple, si votre adresse email est john.doe@emailbidon.com:

  • john.doe@emailbidon.com
  • john.doe (at) emailbidon.dom
  • john.doe (at) email (point) com
  • etc.

Pensez à élargir à d’autres moteurs de recherche que Google. Malgré sa pertinence, il lui arrive de passer à coté de résultats que Yahoo peut trouver par exemple.

La moisson sera encore meilleure avec les sites spécialisés comme:

ou les sites de réseaux sociaux:

Les américains disposent de sites web encore plus intrusifs:

Le premier site permet notamment d’obtenir des informations personnelles comme votre revenu annuel, la valeur de votre maison ou vos antécédents juridiques.

Dans un prochain article, vous saurez comment détruire les preuves de votre présence sur le web.

Bonnes adresses pour la sécurité informatique

En matière de sécurité informatique, la France se dote de plus en plus de moyens pertinents. En particulier, les sites gouvernementaux se révèlent de précieux alliés pour lutter contre la cybercriminalité organisée ou la divulgation non autorisée d’informations confidentielles.

L’Agence nationale de la sécurité des systèmes d’information s’adresse au grand public mais aussi aux entreprises.

Ce site riche propose des auto-formations sur des thèmes comme: Administration électronique et SSI, l’authentification, les certificats électroniques, la cryptologie, les mots de passe, la signature numérique, la sécurisation des réseaux, la sécurité du poste de travail, etc.

Il propose aussi des fiches de vulgarisation sur de nombreuses questions liées à la sécurité. Il s’agit souvent de bonnes pratiques avec des informations parfois très précises.

Les sujets couverts sont par exemple: l’achat d’un nom de domaine, les anti-espiogiciel, les antivirus, comment bien utiliser sa carte bancaire, le Bluetooth, les bonnes pratiques de navigation sur l’internet, comment calculer la ’force’ d’un mot de passe, les canulars par messagerie, comment configurer son point d’accès Wi-Fi, etc.

En complément à ces bonnes pratiques, vous trouverez quelques guides de configuration de firewall, d’Ubuntu, Windows Vista, du Wi-Fi.

Enfin, si vous partez en mission à l’étranger, vous trouverez des conseils très pertinents et très précieux sur les précautions à prendre à l’étranger. Notamment, la réglementation de certains pays permet aux autorités de contrôler tous vos documents. Notez que les conseils prodigués sur ce site pour vos voyages à l’étranger peuvent aussi s’appliquer souvent sur le sol français.

Le site de l’agence ANSSI se révèle aussi précieux. Comme indiqué sur leur site: « L’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. » Il s’agit donc de se défendre et non d’attaquer.

Dans la partie Bonnes pratiques, les thèmes abordés couvrent de nombreux aspects de la sécurité: comprendre et anticiper les attaques ddos, sécuriser l’administration des systèmes d’information, recommandations de sécurité concernant l’analyse des flux https, poste de travail, messagerie, médias amovibles, liaisons sans fil, copieurs ou imprimantes multifonctions, réseaux, applications WEB, etc.

Les Logiciels préconisés par l’ANSSI concernent: l’administration de la sécurité, le chiffrement IP, les infrastructures de Gestion de Clés (IGC), les Pare-feu, la protection du poste de travail, les ressources cryptographiques, les signatures électroniques et la gestion de la preuve, les titres d’identité électroniques, etc.

Enfin, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), qui dépend aussi de l’ANSSI, alerte sur les vulnérabilités des systèmes d’information.

Compte tenu de la richesse des informations recueillies par le CERTA et l’ANSSI, le mieux est de s’abonner à leurs flux RSS.

Comment protéger ses informations personnelles avec un mot de passe ?

Certains sites web vous demandent un mot de passe pour protéger vos informations personnelles: sites financiers ou marchands, comptes emails, etc. Ce mot de passe est associé à un compte ou à une adresse email.

Le mot de passe est la clef de voûte de votre sécurité.

Si vous voulez augmenter la sécurité de vos mots de passe, vous trouverez ci-dessous les conseils sur ce qu’il ne faut pas faire et ce qu’il est préférable de faire. Les explications détaillées sont présentées avec les outils.

Ce qu’il ne faut pas faire

  • Connaître ses mots de passe ou choisir des mots de passe faciles à se rappeler,
  • Choisir le même mot de passe pour tous les sites,
  • Utiliser une série de mots de passe identiques; chaque mot de passe est associé à des sites de niveaux de confidentialités similaires,
  • Utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques,
  • Stocker ses mots de passe dans une feuille Excel protégée elle-même par un mot de passe.

Ce qu’il faut faire

  • Ne pas connaître ses mots de passe (cf. plus bas),
  • Avoir un mot de passe généré aléatoirement,
  • Générer aléatoirement un mot de passe à partir d’une combinaison de lettres MAJUSCULES, minuscules, de chiffres et de symboles (par exemple: % $ ! etc.), si c’est autorisé par le site web. Les caractères spéciaux doivent se trouver aussi au milieu du mot de passe et pas seulement au début ou à la fin du mot de passe,
  • Quand c’est possible, avoir un mot de passe d’au moins 28 caractères,
  • Avoir un mot de passe différent par site web,
  • Stocker tous ces mots de passe dans un gestionnaire de mots de passe. Le gestionnaire de mots de passe est une sorte de coffre-fort logiciel.

Outils gratuits

Plus un mot de passe est long et plus il est difficile de s’en souvenir avec exactitude. Pourtant un mot de passe long est aussi plus difficile à percer. Actuellement, il est estimé qu’un mot de passe complexe et aléatoire de 64 caractères résisterait aux attaques de force brute menées par les organismes gouvernementaux.

Dans la pratique, les sites web acceptent rarement d’aussi long mots de passe. Ils limitent souvent à 20 caractères et parfois moins, la longueur des mots de passe. Toutefois, vous avez tout intérêt à utiliser des mots de passe de 28 caractères minimum quand c’est possible. Attention de ne pas prendre trop à la lettre le fait d’avoir un mot de passe de 28 caractères. Une longueur de 27, 30, 31 ou 43 fait aussi l’affaire.

Les outils présentés ci-dessous, vont vous permettre de mettre en application le principe d’avoir des mots de passe longs, complexes et aléatoires. Ils vous permettent même d’utiliser vos mots de passe sans jamais les connaître !

Gestionnaire de mots de passe

Il s’agit d’utilitaires de base de données de mots de passe. Les utilisateurs peuvent conserver leurs mots de passe cryptés sur leurs ordinateurs. Une seule combinaison du coffre les déverrouille tous.

Dans la vraie vie, il n’est pas possible de se rappeler tous les mots de passe: connexion au réseau Windows, compte e-mail, compte FTP de votre site web, etc.

En outre, vous devez utiliser un mot de passe différent pour chaque compte. Si vous utilisez un seul mot de passe sur tous les sites, ou sur une certaine catégorie de sites, il suffit qu’un cybercriminel vole le mot de passe sur un site peu protégé pour se connecter sur d’autres sites comme celui que vous utilisez pour gérer vos emails ou votre compte bancaire.

Stocker ses mots de passe dans un document Excel, ou Word, protégé lui-même n’est pas suffisant non plus. Bien que Microsoft ait largement renforcé la sécurité des documents dans les nouvelles versions (Office 2007 et surtout Office 2010 / 2014), ce n’est pas le cas des versions anciennes (2003 et avant) qui restent facilement « crackables ».

Les gestionnaires de mot de passe vous aident à gérer vos mots de passe de manière sécurisée. Vous pouvez mettre tous vos mots de passe dans une base de données, qui est verrouillée avec une clé maître et / ou un fichier clé et / ou votre compte Windows. Il suffit donc de se rappeler un mot de passe principal et / ou de sélectionner le fichier clé pour déverrouiller la base de données avec les mots de passe cryptés.

KeePass Password Safe
KeePass est certifié par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Password Safe
La communauté autour de Password Safe est aussi très active. Password Safe affiche peu d’informations à l’écran, ce qui est positif.

L’avantage d’un gestionnaire de mot de passe est de pouvoir les générer automatiquement. Il est aussi possible de copier-coller le mot de passe, ainsi que l’identifiant du compte, l’URL et d’autres informations. De cette manière, vous n’êtes pas obligé de connaître votre mot de passe.

Démonstration avec KeePass

keepass-creation-compte Une entrée est créée dans Keepass pour stocker le mot de passe du compte email. Un mot de passe est généré automatiquement.

keepass-generation-mot-de-passe Un nouveau mot de passe peut être généré. Dans Keepass, la complexité est exprimée en bits. Plus le nombre de bits est grand, plus la complexité est importante. Par défaut, le mot de passe n’apparaît jamais.

keepass-nouveau-mot-de-passe Un nouveau mot de passe a été généré. Par défaut, il n’apparaît pas en clair. Pour connaître sa valeur il faut cliquer sur les 3 points en face de Password.

keepass-copie-mot-de-passe Grâce à un copier-coller, il est possible de copier le mot de passe sans le connaître.

Il est important de ne pas connaître le mot de passe, car il n’est pas rare d’entendre un utilisateur le dire, au moins partiellement, pendant qu’il le tape.

Il n’est pas toujours possible de coller un mot de passe. Certains site, comme par exemple PayPal à la création d’un compte, n’autorise pas la copie dans la zone de mot de passe. D’autres sites génèrent un clavier numérique aléatoire, comme par exemple le site de la Caisse d’épargne ou celui de Boursorama lors de l’accès à son compte.

Certains sites interdisent aussi l’utilisation de caractères spéciaux et même parfois des lettres accentuées (!). Toutefois, grâce aux paramètres et aux options des gestionnaires de mot de passe, il est possible de s’adapter à chaque exigence particulière des sites web.

Démonstration avec Password Safe

password-safe-entree Une nouvelle entrée pour stocker un compte et son mot de passe a été créée dans Password Safe.

Modification de la stratégie de mot de passe dans Password Safe Il est possible de s’adapter à une stratégie de mot de passe propre à un site en jouant sur ces critères.

Vérification de la complexité des mots de passe

Les études qui portent sur l’analyse des mots de passe utilisés par les internautes révèlent l’utilisation intensive de mots du dictionnaire. Ce qui est une erreur car les cybercriminels vont pouvoir faire des attaques sur les mots de passe en utilisant des dictionnaires gigantesques. Outre les mots des dictionnaires usuels, ces dictionnaires contiennent aussi des noms propres, des noms figurés, des prénoms, des personnages de dessins animés, des jurons, etc.

Cela est vrai aussi pour les altérations de mots du dictionnaire:

  • mots au pluriel,
  • lettres inversées (totalement ou en partie),
  • rajout d’un ou plusieurs chiffres ou caractères spéciaux ($ % ! …) en début ou en fin de mot de passe,
  • abréviations habituelles (Sté pour Société, h pour heure, …)
  • conversions connues (€ pour e, @ pour a, 2 pour de, …)

Idem pour l’utilisation de mots d’une langue étrangère à la vôtre: les cybercriminels sont très ouverts au monde…

La complexité d’un mot de passe dépend de l’usage ou pas de mots du dictionnaire, mais aussi d’autres critères. Par exemple, l’utilisation des lettres adjacentes du clavier est connue aussi. Tout comme la répétition (aaaaaaa) ou la séquence (abcd, 1234, …).

Le mot de passe ne doit surtout pas utiliser des informations personnelles ou de vos proches ou même de vos animaux domestiques:

  • Prénom, surnom, …
  • Date de naissance, d’anniversaire, …
  • Numéro de sécurité sociale, de passeport, de permis, ..
  • etc.

Tous les sites n’offrent pas la possibilité de vérifier la complexité des mots de passe. Les outils de vérification qui existent permettent d’étalonner la complexité mais ils ne garantissent pas la sécurité absolue.

Password Checker

Contrairement à une idée fausse, Microsoft est très soucieux de la sécurité de ses produits. L’outil Password Checker permet de tester la complexité d’un mot de passe en tenant compte de plusieurs critères: longueur globale du mot de passe, mélange de caractères aléatoires, existence du mot dans un dictionnaire, etc.

Si vous ne connaissez pas la réputation de l’éditeur du site web, soyez prudent aussi vis à vis des outils de vérification de mots de passe. Il serait facile pour des cybercriminels de se faire passer pour une honnête organisation en vous proposant de vérifier la solidité de votre mot de passe. Une fois que vous aurez trouvé un mot de passe fort, il pourrait vous proposer un cadeau en échange d’un email et (pourquoi pas !) du nom de votre site web préféré. Restez attentif !

Algorithme de création de mots de passe

Pour les raisons qui viennent d’être évoquées, il ne faut pas utiliser des mots de passes qui sont créés à partir d’algorithme ou de procédés automatiques.

Cependant, il est parfois impossible de faire autrement. Notamment, lorsque vous utilisez un logiciel de cryptage de données (ce qui sera vu dans un autre billet) ou un gestionnaire de mots de passe (vu plus haut).

En effet, les mots de passe du gestionnaire de mots de passe sont cryptés. Leur décryptage nécessite de déverrouiller la base grâce à un mot de passe que vous devez savoir par cœur.

Il est vrai que les logiciels de cryptage de données ou les gestionnaires de mots de passe vous offrent la possibilité de crypter avec un fichier, par exemple une photo, et donc sans la nécessité d’un mot de passe.

Cependant, il est préférable d’avoir un mot de passe en plus du fichier. Ce mot de passe doit avoir les caractéristiques suivantes:

  • Il ne doit être connu que de vous-même,
  • Vous devez vous en rappeler ou le retrouver aisément,
  • Il doit être très difficile de le découvrir,
  • Il doit être très difficile de le déduire même en vous connaissant bien.

La tâche n’est pas aisée. Aussi, pour vous aider, vous pouvez utiliser la technique décrite ci-dessous. Il est important comprendre que la description d’un procédé automatique de calcul de mot de passe est facilement programmable par un cybercriminel.

Si vous faites preuve de la prudence la plus élémentaire

Sélectionnez une phrase tirée d’un texte que vous connaissez par cœur: chanson, poésie, proverbe, autre. La phrase doit faire au moins une trentaine de caractères, espaces compris. Ne prenez pas une phrase que vous répétez souvent !

Par exemple: Pour le meilleur et pour le pire !

Si vous êtes conscient des dangers potentiels d’internet

Supprimez les espaces entre les mots :
Pourlemeilleuretpourlepire!

Si vous savez qu’il existe des cyber-criminels

Insérer après le second ou le troisième mot, un ou plusieurs chiffres. Par exemple, ce chiffre peut représenter le nombre de mots que vous avez « sautés » ou le nombre de lettres précédentes:
Pourlemeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés

Les spécialistes du crackage du mot de passe savent que les utilisateurs les plus avertis ont l’habitude de mettre une majuscule en début d’un mot de passe et le caractère spécial ou le chiffre à la fin. Aussi, ne laissez pas la majuscule en début du mot de passe. Déplacez la majuscule sur un des mots:
pourleMeilleur3etpourlepire!

Si vous savez qu’il existe des cyber-criminels organisés et dotés de moyens importants

Ne laissez pas le caractère spécial en fin de mot de passe. Déplacez le ailleurs:
pourleMeilleur3etpourle!pire

Quand vous aurez terminé, n’oubliez pas de vérifier la complexité de votre mot de passe ainsi créé avec Password Checker !

Password Checker

Un dernier conseil: n’utilisez surtout pas les mots de passe de cette page !

Comment supprimer ses traces de Google ?

Google Dashboard est un programme de Google qui enregistre toutes les activités liées à votre compte Google. Par exemple, à chaque fois que vous faites une recherche dans Google, vos recherches sont stockées. Il est alors facile pour Google de connaître vos sujets d’intérêts et vos goûts.

Mais cela va encore plus loin. Le site de vidéos Youtube appartient à Google qui connaît aussi vos chanteurs préférés. Bien évidemment, l’activité sur gmail est aussi enregistrée dans Google Dashboard, ainsi que Google Documents et bien d’autres produits de Google : Google AdWords, Google AdSense, Google Maps, etc.

Pour trouver vos informations personnelles stockées dans Google Dashboard, connectez-vous à votre compte Google avec votre nom d’utilisateur et votre mot de passe.

Une fois connecté, cliquez sur votre nom (en haut à droite) puis sélectionnez Paramètres de compte Google.

Dans la page qui s’ouvre, sous Paramètres personnels, cherchez le lien en face de Dashboard qui s’intitule Afficher les informations associées à ce compte: la page affiche les informations stockées dans Dashboard, classées par produit. Pour chaque produit (GMail, Youtube, etc) vous pouvez modifier le paramétrage afin de garder ou non, l’historique de votre activité. Vous contrôlez donc le stockage de ces informations.

D’autres informations personnelles sont stockées au profit de Google mais elles n’apparaissent pas dans Google Dashboard

Un fichier, déposé par Google sur votre ordinateur, stocke des informations relatives à votre navigation. Ce fichier s’appelle un cookie. Ce cookie publicitaire catégorise vos centres d’intérêt en fonction des sites Web que vous avez visités récemment.

Ensuite Google vous propose des publicités Google AdWords basées sur ce cookie.Vous pouvez désactiver la diffusion d’annonces basées sur les centres d’intérêt à partir de la page Google Préférences pour les annonces.

Sur la page en français, apparaît les catégories.

Par exemple: Industrie du divertissement, Internet & Telecom, Recherche de personnes, qu-estions sociales et défense, Protection des données etc.

Le bouton Désactiver désactive ce cookie et les centres d’intérêt ainsi que les catégories démographiques ne sont plus associées à votre navigateur Internet.

Vous pouvez aussi désactiver en une seule fois, la publicité ciblée par centres d’intérêt en allant sur le site en français de Google Publicité et confidentialité – Centre de confidentialité.

Suppression de contenu des services Google

En vous connectant sur le site de Suppression de contenu du Centre d’aide Google, vous pouvez signaler à Google un contenu que vous souhaitez supprimer des services Google.

A ce jour, les services concernés sont AdSense, AdWords , Android Market, Blogger/Blogspot , Google+ , Gmail , Google Images , orkut, Picasa , Recherche sur le Web Google, YouTube, etc.

Notez qu’une copie de votre requête, à l’exception de vos informations personnelles, sera transmis à Chilling Effects pour publication. Chilling Effects est un site web créé pour protéger les activités en ligne contre les menaces juridiques iniques ou disproportionnées.

Connaître les nouveautés d’un site

De nombreux sites ou blogs intéressants n’offrent pas toujours la possibilité de recevoir leurs mises à jour avec les flux RSS (Really Simple Syndication). Il s’agit pourtant d’un système commode et simple à mettre en œuvre.

Toutefois, en son absence, vous pouvez utiliser le service gratuit du site sécurisé Follow That Page.

Son créateur hollandais Onno Zweers a développé un automatisme qui vous permet de recevoir une simple notification par courriel lors de la modification d’un site web Internet quelconque.

Les usages de Follow That Page sont nombreux : trouver de nouvelles annonces d’emploi, des prix en baisse, ainsi que toute information qui peut changer sur n’importe quel site Web.

Il permet aussi de surveiller vos propres sites. Vous saurez ainsi quand votre site a été modifié ou endommagé, avant que votre communauté ne l’apprenne.

Onno Zweers a aussi développé une extension Firefox. Vérifiez que cette extension est compatible avec la dernière version de Firefox.

Quelle est la différence entre un Serveur et un Server ?

La notion de serveur fait référence soit un ordinateur physique, qui est qualifié de « serveur », soit à une version ou une édition d’un logiciel, comme, par exemple, Windows Server 2012 ou SQL Server.

Dans le cas d’un logiciel, le mot serveur pourra s’écrire « serveur » (en français) ou « server » (en anglais).

Généralement, un serveur-ordinateur est caractérisé par :

  • Plusieurs disques durs, certains pouvant être en attente en cas de besoin: notion de « spare »
  • Des mécanismes de tolérances de pannes avec la redondance de disques, d’alimentation, de ventilation, etc.
  • La présence de 2, 4, 8 voire 64 processeurs
  • Une grande quantité de mémoire vive (RAM)

L’objectif du serveur-ordinateur est d’offrir une meilleure résistance aux pannes, ainsi que des performances élevées.

Les ordinateurs qui ne sont pas des serveurs sont qualifiés de postes de travail, voire d’ordinateur personnel ou individuel.

Un logiciel serveur s’installe aussi bien sur un serveur-ordinateur que sur un poste de travail, si celui-ci répond aux conditions de compatibilité matérielle et logicielle, notamment pour les pilotes.

Par exemple, il est possible d’installer Windows Server 2012 R2 sur un portable.

L’éditeur du logiciel n’a pas la possibilité d’obliger l’utilisateur à installer son logiciel sur un serveur-ordinateur. En revanche, il peut vous obliger à l’installer sur un ordinateur doté d’un système d’exploitation serveur, comme Windows Server 2012 R2.

Par exemple, Microsoft SQL Server existe en plusieurs déclinaisons, appelées éditions, dont certains ne peuvent pas s’installer sur Windows 8.1. Les éditions Entreprise et Standard de SQL Server 2012 s’installent uniquement sur les versions serveurs du système d’exploitation. Tandis que l’édition Personnelle fonctionne sur Windows 8.1.

Les systèmes d’exploitation récents de Microsoft se déclinent en deux grandes familles : Windows 8.1 et Windows Server 2012 R2.

Généralement, Windows 8.1 est installé sur un poste de travail et Windows Server 2012 R2 sur un serveur.

En réalité, il s’agit du même programme, uniquement différencié par le type de produit. Le type de produit est enregistré dans la base de donnée interne appelée la base de registres. La gestion des différentes versions se fait grâce à deux variables stockées dans la base de registres : ProductType et ProductSuite.

La licence d’utilisation interdit de modifier ces valeurs.

Les versions de Windows Server 2012 R2 permettent d’avoir des fonctionnalités supplémentaires, comme la notion de domaine Active Directory, que n’offrent pas les versions de Windows 8.1.

Commande systeminfo

Dans une invite de commande (« cmd »), tapez la commande systeminfo.

Cette commande affiche diverses statistiques du système tels que le nom d’hôte, le nom du système d’exploitation, la version du système, la date d’installation, l’heure de démarrage du système, les correctifs installés et plus encore.

Parmi ces nombreuses informations figure la Configuration du système d’exploitation.

Celle-ci indique si le système d’exploitation hébergé par l’ordinateur est de type Serveur ou Station de travail.

Commande Windows systeminfo

Installer Visual Studio pour ASP.NET (développeur C# débutant) #01

Cette vidéo est la première d’une série de vidéos qui est dédiée à l’apprentissage du développement d’une application web.

Il existe déjà une autre série sur ce site qui permet d’apprendre le langage c#.

Toutefois, j’ai souhaité à travers cette nouvelle série de vidéos vous faire découvrir le langage C# de manière plus concrète grâce au développement d’une véritable application web et ne plus avoir seulement la console d’applications, vous savez ce petit carré noir, dans lequel vous aviez les résultats de vos applications.

Il s’agit d’apprendre à développer une application web, et plus particulièrement une application web en ASP.NET.

Cette application en ASP.NET sera écrite grâce au langage C# mais aussi vous verrez aussi un petit peu de HTML, des feuilles de styles CSS de façon à voir panorama le plus large possible sur le développement d’une application .Net.

Vous apprendrez aussi à manipuler Visual Studio. Souvent, ce qui bloque les développeurs dans le monde Microsoft c’est justement l’apprentissage de Visual Studio.

Visual Studio est un outil très riche et très puissant mais qui nécessite son propre apprentissage.

Aussi, je vous invite fortement à faire les manipulations grâce à la dernière version Microsoft qui s’appelle Visual Studio Community 2013.

C’est un outil entièrement gratuit, que vous pouvez télécharger gratuitement à partir du site Microsoft, ça va être vu en détail dans la vidéo. Ainsi, vous pourrez bénéficier des fonctionnalités de Visual Studio de façon gratuite et vous pourrez expérimenter le développement.

Cette série s’adresse à des débutants en développement, vrais ou faux débutants. Les faux débutants ont des notions mais qui ils n’ont peut-être pas su les assembler pour construire un vrai programme.

Ces vidéos seront progressives et surtout fourniront les explications de façon à ce que vous puissiez progresser pas à pas.

Vous apprendrez si vous manipulez par vous-même.

Regarder les vidéos sans les pratiquer n’est pas suffisant pour progresser.

Pour débuter la première chose à faire est d’installer Visual Studio Community 2013. Pour cela c’est très simple.

Dans votre navigateur vous faites une recherche sur Visual Studio Community 2013.

Vous cliquez sur le lien visualstudio.com et là vous arrivez sur la version Community 2013. Cherchez bien la version Visual Studio Community 2013.

Sur cette page vous cliquez sur Downloads puis Visual Studio Downloads.

Ça  vous permet d’arriver sur la page qui présente toutes les versions de Visual Studio 2013.

Vous descendez un petit peu et là vous trouvez Visual Studio Community & Express, et en particulier Community 2013 with Update 4.

Cliquez dessus.

Quand vous arrivez sur cette page là, vous pouvez soit installer directement la version Visual Studio Community 2013 en cliquant sur ce lien mais moi je vous conseille plutôt de télécharger l’image iso. C’est sûr que ça va prendre du temps parce que ça fait à peu près 7 Go à télécharger.

L’avantage: vous serez autonome.

Si vous avez le moindre problème et que vous devez refaire l’installation ou une mise à jour, ou réparer, vous avez tout ce qu’il faut sans être obligatoirement connecté à Internet.

Aussi, je vous invite à  télécharger cette version-là.

Cette version est en anglais.

Vous pouvez ensuite appliquer le module logistique dans la langue de votre choix, par exemple en français en le téléchargeant.

Ça  fait deux téléchargements distincts.

Il faudra d’abord installer la version anglaise et éventuellement si vous le souhaitez, vous pouvez installer la version française.

Cela étant, compte-tenu du nombre très important d’information et de guides qui existent sur le web, je vous suggère de rester sur la version anglaise.

Maintenant, si vous êtes un irréductible gaulois, rien ne vous empêche évidemment d’installer la version française.

Donc, vous cliquez sur ce lien et vous allez avoir un téléchargement qui va débuter de l’image ISO.

Comme vous avez effectivement 7Go à télécharger ça prend du temps.

Je vais couper momentanément la vidéo, le temps que le téléchargement se termine.

Donc la version ISO est téléchargée, ainsi que le pack de langue en français. Ouvrez d’abord le fichier ISO en double-cliquant dessus.

Ça nous permet de lancer l’installation à travers vs_community.exe.

Si vous ne voyez pas d’extension il faut régler l’affichage.

Il faut dans Affichage Options Modifier les options des dossiers de recherche.

Décochez Masquer les extensions des fichiers dont type est connu.

Vous lancez vs_community.exe.

L’assistant d’installation s’ouvre.

Vous approuvez les termes du contrat.

Vous pouvez éventuellement modifier l’endroit où va être stocké les fichiers d’installation, si c’est nécessaire.

Vous cliquez sur Next.

Vous avez ici tous les outils qui vont s’installer En particulier, ce qui nous intéresse c’est Microsoft Web Developer Tools, mais laissez les autres outils car dans l’immédiat, on ne fera pas de développement Windows Phone.

Laissez donc les options puis cliquez sur Install.

L’installation va aussi durer un certain temps.

Je mets la vidéo en pause et je reprends dans quelques instants.

À la fin de l’installation, vous avez cet écran.

Normalement tout s’est bien passé.

Cliquez sur Launch: il est possible que vous ayez ce message.

Ce n’est pas grave: cliquez sur ok et vous avez effectivement Visual Studio qui  termine son installation.

Vous pouvez avoir des outils supplémentaires qui viennent s’ajouter.

C’est normal.

Dans la vidéo suivante, vous ferez  quelques manipulations de base pour mieux comprendre cet environnement riche qui est Visual Studio.

 

Qu’est-ce que la sécurité informatique ?

Lorsque que j’évoque mon intérêt pour la sécurité informatique, la question « Qu’est-ce que la sécurité informatique ? » m’est posée régulièrement.

Avant d’aller lire la définition sur Wikipedia, ou dans les normes concernées (ISO 2700X, RGS, PCI-DSS, ISO 22301), ou les méthodes EBIOS, MEHARI ou le contenu des certifications (CISSP, ISO 2700X, CISA, CISM, GCIA, GSE, GREM, GXPN, etc.), il peut être utile d’identifier les métiers ou activités que recouvrent ces termes.

5 Grandes familles aux frontières entremêlées

    • Tests d’intrusion / Audits de sécurité
    • Sécurité Systèmes et Réseaux
    • Sécurité Applicative / Lutte anti-malwares / Kernel
    • Gouvernance SSI / CERT
    • Analyses forensics

Afin de fixer les esprits, je donne des exemples de compétences demandées et parfois des outils. Il est évident que chaque mission est différente et que les compétences ou les outils dépendent du mandat qui est confié.

De manière générale, ces métiers réclament au minimum la connaissance des aspects théoriques de la sécurité informatique: architecture, protocoles, cryptographie, authentification, vulnérabilités.

Les familles ne sont pas complètes car il existe des ramifications spécialisées. Par exemple, tout le domaine de la cryptanalyse nécessite des compétences très poussées en mathématiques. Finalement, l’informatique n’est qu’un support de cette activité.

Tests d’intrusion / Audits de sécurité

La grande famille des tests d’intrusion consiste à chercher la vulnérabilité d’un système d’information du point de vue d’un attaquant qui voudrait s’infiltrer.

Les cibles sont : les applications web (injections SQL, XSS/CSRF), les systèmes informatiques classiques (Linux, Aix, Windows), les nomades (Android, iOS, Windows Phone), les systèmes industriels et embarqués, le système d’information en général. Ils sont pratiqués par des accès internes et externes.

Les audits de configurations du système d’information nécessitent le même savoir-faire que des tests d’intrusion. Il s’agit d’audits techniques avec la réalisation de bilans de sécurité de systèmes informatiques.

Les audits de code peuvent participer à une mission de tests intrusifs ou d’audits techniques. De même, il peut être nécessaire de développer du code spécifique pour démontrer la présence de vulnérabilités ou pour créer un script nécessaire à un audit. Les audits de code sont détaillés dans le paragraphe Sécurité Applicative.

Les compétences demandées sont la connaissance des techniques de tests d’intrusion comme OWASP ou OSSTMM, ainsi que celle des méthodologies d’audit.

Les compétences techniques sont Linux ou Linux embarqué, AIX, Microsoft Windows ou Microsoft Windows embarqué, les systèmes d’exploitation mobiles comme Android, iOS ou Microsoft Windows Phone, les systèmes d’exploitation temps réels, les protocoles réseau classiques (TCP/IP, routage, IPSec, VPN, HTTP, SMTP, LDAP, SSH, etc.), les protocoles IP spécifiques comme ModBus over Ethernet ou non IP comme les Bus CAN. Des connaissances supplémentaires peuvent être requises en électronique, etc.

Les outils les plus fréquents dans les systèmes informatiques classiques sont Wireshark, Nmap, Nexpose, BURP, Metasploit, Nessus et OpenVAS.

Un conseil: Suivez les DEF CON. Si vous n’êtes pas à l’aise avec l’anglais oral, activez les automatic captions de Youtube sur chaque vidéo.

Sécurité Systèmes et Réseaux

Il s’agit de la surveillance du réseau et les connexions VPN, l’administration des firewalls, la mise à jour des règles de sécurité, la mise à jour des systèmes et des logiciels avec l’application des patchs de sécurité, la gestion pro-active des annuaires d’utilisateurs, la gestion des accès authentifiés et des droits associés.

L’administrateur assure aussi les sauvegardes et le contrôle des restaurations, le maintien en condition opérationnelle et les plans de continuité d’activité. Un travail permanent de rédaction des mises à jour des procédures d’urgence et de restauration est aussi attendu dans ce métier, ainsi qu’un rôle de support auprès des correspondants informatiques.

Les compétences requises dépendent de l’environnement. Il s’agit souvent de compétence en administration Linux, Microsoft Windows, VMWare, Microsoft Exchange, Microsoft SQL Server, Oracle et réseau.

L’administrateur assure la surveillance proactive des fichiers journaux des équipements de sécurité, des systèmes et des réseaux.

Cette activité d’analyste sécurité SOC nécessite des connaissances sur les réseaux (TCP/IP) ainsi que les activités réseaux liées aux attaques (scans, MITM, sniffing, DDoS) et les outils (Wireshark, Nmap), les systèmes IDS (Snort, Suricata), les techniques Security information and event management (SIEM).

Ce spécialiste doit développer ses propres outils à l’aide de scripts écrits en Python, Perl, PowerShell ou Ruby. Dans ce cas, la pratique des expressions régulières est indispensable.

Sécurité Applicative / Lutte anti-malwares / Kernel

C’est une très grande famille. C’est aussi l’activité la plus importante, dans tous les sens du terme.

Au départ, il s’agit de contrôler le niveau de sécurité des applications par des revues de code ou des audits de code. Les revues de code peuvent cibler des applications web, mobiles (Android, iOS, Windows Phone) ou classiques sur PC et Serveurs. Les tests d’intrusion peuvent aussi s’appuyer sur des vulnérabilités de code.

Ensuite, il est possible de se spécialiser dans l’analyse de code. Le rôle de l’analyste de code est d’analyser et traiter les nouveaux malwares, de créer des signatures et des algorithmes pour détecter puis nettoyer les codes malveillants.

Les connaissances sont relatives au reverse engineering: désassemblage et décompilation des programmes informatiques.

Les langages de programmation à connaître sont les langages d’assemblage (x86, ARM, POWERPC), le C / C++, Python, Perl, Ruby, Java. Selon sa spécialité, il peut aussi être nécessaire de connaître aussi les programmes sémantiques, la programmation fonctionnelle (OCaml) et l’analyse statique.

Une autre spécialité concerne l’analyse des dumps et des crashes avec des outils de debugging comme WinDBG, IDA ou SoftIce.

Il est aussi possible de se focaliser sur un seul système d’exploitation comme Windows par exemple. Les connaissances attendues concernent le fonctionnement du noyau Windows: ntoskrnl.exe, hal.dll, gestion des pilotes, des processus, des threads, de la mémoire, des LPC, des I/O, du cache, de l’ordonnancement sont une bonne base. De même que les connaissances des mécanismes d’interception (callbacks, hooks…), de boot (MBR) et de signatures numériques.

Les profils qui identifient les vulnérabilités 0-Days ont ce type de compétences très pointues.

Gouvernance SSI / CERT

La gouvernance de la sécurité informatique concerne essentiellement le conseil en sécurité des SI. Il s’agit d’un rôle d’analyse de risques et de définition de la politique de sécurité informatique.

Le rôle peut être parfois similaire à celui d’un CERT avec des objectifs de centralisation des demandes d’assistance suite aux attaques, de réalisation du suivi d’exploitation et de gestion des incidents sur les actions du traitement.

Analyses forensics

L’objectif d’une analyse forensic (ou investigation numérique) est d’apporter une preuve numérique. C’est une activité qui est souvent reliée au monde judiciaire mais pas seulement. Les experts judiciaires en informatique, ou les forces de l’ordre lorsqu’elles en ont les compétences, procèdent à des analyses à « froid » ou à « chaud » d’ordinateurs et de smartphones.

Dans le cas d’un ordinateur, l’analyse à froid consiste à faire une copie parfaitement exacte des disques durs (commandes dd, dd_rescue) puis de travailler sur la copie afin de rechercher les informations demandées par votre mandataire (juge, avocat, client privé).

Par exemple, un juge peut demander de rechercher la présence d’images pédopornographiques qui auraient été stockées sur le disque dur même une fois qu’elles ont été effacées.

Une analyse à chaud intervient alors que l’ordinateur est toujours actif. L’intérêt est d’analyser le contenu de la mémoire et des différents registres.

Outils: Forensics Windows, Forensics IPads IPhones, Forensics Android.

Tâches à accomplir pour la mise en place de SharePoint 2013

Cet article vient détailler les tâches des étapes décrites dans l’article précédent intitulé Démarche de mise en place de SharePoint 2013.

Rappelons qu’il s’agit d’un simple partage d’expérience et qu’il existe d’autres méthodes. L’une d’entre elles sera présentée dans un autre article (en cours de rédaction).

Définition du périmètre du projet

L’objectif est de recueillir les besoins, auditer l’existant, définir le périmètre, les objectifs de la mission et son planning. Cette étape permet aussi de chiffrer les gains attendus et de calculer le retour sur investissement d’un projet SharePoint.

Tâches :

  • Faire les entretiens de recueil des besoins
  • Analyser l’existant organisationnel et opérationnel
  • Chiffrer les gains attendus
  • Rédiger et faire valider le compte rendu de recueil des besoins

Analyser les besoins métiers

L’objectif est d’identifier les outils fonctionnels à mettre en œuvre dans le cadre du périmètre. SharePoint n’est pas une solution. C’est une suite d’outils à choisir et à mettre en oeuvre.

Tâches :

  • Identifier la taxonomie nécessaire pour classifier les documents
  • Définir la structure du site: hiérarchique, thématique, autre
  • Déterminer les modèles de sites nécessaires pour répondre aux besoins
  • Déterminer les fonctionnalités de sites natives utiles
  • Identifier les listes et bibliothèques à créer
  • Sélectionner les webparts natifs nécessaires
  • Identifier les processus métiers et flux de travail à intégrer dans SharePoint
  • Identifier les formulaires à intégrer dans SharePoint
  • Identifier les besoins de sécurité d’accès et de protection des données
  • Rédiger et faire valider le document des spécifications fonctionnelles

Étudier l’impact organisationnel

L’objectif est d’identifier les impacts sur l’organisation, liés à la mise en place de SharePoint et de repenser cette organisation.

Tâches :

  •  Définir les plans de nommage des objets métiers
  • Recenser les utilisateurs de SharePoint, par sites et sous-sites
  • Identifier la méthode d’approvisionnement des bibliothèques
  • Identifier les méthodes d’accès aux documents
  • Définir l’ergonomie et la navigation des sites
  • Définir le ciblage d’audience
  • Définir les stratégies de gestion des informations
  • Définir les politiques de quota
  • Définir le plan d’accompagnement et les besoins de formation
  • Rédiger et faire valider le document d’organisation

Définir l’architecture technique

L’objectif de l’architecture technique est de dimensionner l’architecture pour 100 utilisateurs ou 10000 utilisateurs.

Tâches :

  • Identifier le nombre et la configuration des applications web nécessaires
  • Identifier les services et applications de services par applications web
  • Identifier les besoins d’accès anonymes
  • Identifier les sources de contenu externes auxquels SharePoint devra accéder
  • Définir les plans de nommage des objets techniques
  • Rédiger et faire valider le document d’architecture

Étudier la sécurité

L’objectif est de garantir au maximum la sécurité des données de SharePoint.

Tâches :

  • Identifier les autorisations d’accès par groupes d’utilisateurs
  • Identifier les autorisations des applications
  • Identifier les groupes SharePoint ou Active Directory à créer ou à utiliser
  • Proposer des solutions de redondances des données
  • Proposer des solutions de chiffrement des échanges
  • Proposer des solutions de lutte contre les malwares
  • Proposer des solutions de lutte contre les intrusions non autorisées
  • Proposer des solutions de chiffrement des données
  • Proposer des solutions de sauvegarde des données
  • Rédiger et faire valider le plan de sécurité

Installer l’environnement SharePoint de développement

L’objectif est de disposer d’un environnement de type « bac à sable » pour les tests, formation et développement. Pour des raisons de sécurité, cet environnement doit être totalement déconnecté de l’environnement de production.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Créer le mirroring des bases de données
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Prototyper sur le site de développement

L’objectif est de réaliser un prototype opérationnel avec SharePoint afin de montrer à quoi va ressembler le futur site et à quoi il va servir. C’est aussi l’occasion de tester toutes les hypothèses précédentes.

Tâches :

  •  Créer les pages maîtres
  • Créer les gabarits (layouts)
  • Créer les collections de sites et les sites (par script PowerShell)
  • Créer les pages supplémentaires
  • Créer les modèles de sites
  • Créer les termes, ensembles de termes et groupes des métadonnées gérées
  • Créer les colonnes de sites et types de contenu
  • Créer les règles de l’organisateur de contenu
  • Paramétrer les propriétés gérées de la recherche
  • Paramétrer le concentrateur de métadonnées
  • Paramétrer les quotas et les stratégies de gestion des informations
  • Créer les listes et bibliothèques
  • Créer les formulaires
  • Créer les flux de travail
  • Développer les interfaces d’alimentations
  • Développer les interfaces de sorties
  • Développer les traitements spécifiques
  • Faire valider le prototype

Installer l’environnement SharePoint de production

L’objectif est de disposer d’un environnement réel de production pour SharePoint.

Concernant l’automatisation d’une installation et d’une configuration complète de SharePoint, l’article remarquable de Ashkan Jabbari est un excellent point de départ.

Tâches :

  • Installer SharePoint Server (script PowerShell)
  • Créer les applications web (script PowerShell)
  • Créer et configurer les services et applications de services (script PowerShell)
  • Répartir les services et applications de services par applications web
  • Créer les autorisations nécessaires par groupe d’utilisateurs
  • Créer les groupes SharePoint ou Active Directory
  • Paramétrer les caches d’objet et de sorties
  • Créer les clusters des bases de données
  • Paramétrer les variantes de sites
  • Paramétrer la recherche
  • Paramétrer le chiffrement des échanges
  • Paramétrer l’anti-virus
  • Paramétrer les pare-feu
  • Paramétrer Rights Management Server
  • Paramétrer les sauvegardes
  • Paramétrer le catalogue d’applications
  • Déployer le contenu de DÉVELOPPEMENT en PRODUCTION
  • Surveiller les changements de configuration de la ferme
  • Faire valider l’installation

Suivre la ferme SharePoint

L’objectif est de s’assurer de la pertinence de la solution mise en œuvre et de surveiller la ferme SharePoint afin de contrôler sa sécurité.

Tâches :

  • Étudier les rapports et tendances de popularité
  • Suivre les rapports d’audits
  • Suivre les rapports d’utilisation
  • Suivre les journaux de variantes
  • Suivre les journaux internes de SharePoint (usage, santé, diagnostic)
  • Suivre les journaux d’événements Windows

Former et accompagner

L’objectif est de sensibiliser la Direction Générale à l’arrivée de SharePoint et de former les utilisateurs à l’utilisation de ce nouvel outil.

Tâches :

  • Animer des ateliers de présentation
  • Former le personnel technique
  • Former les utilisateurs
  • Créer des fiches pratiques
  • Créer des forums
  • Créer des modes d’emploi sous forme de vidéos
  • Créer des questionnaires d’évaluation

Créateur de Produits Numériques