Sortir les entreprises des GAFAM - OpenPony

De April MediaWiki
Version datée du 22 juin 2015 à 15:55 par Morandim (discussion | contributions) (Page créée avec « Catégorie:Transcriptions '''Titre :''' Sortir les entreprises des GAFAM '''Intervenant :''' OpenPony '''Lieu :''' Pas Sage En seine 2015 - Paris '''Date :''' Juin... »)
(diff) ← Version précédente | Voir la version actuelle (diff) | Version suivante → (diff)
Aller à la navigationAller à la recherche


Titre : Sortir les entreprises des GAFAM

Intervenant : OpenPony

Lieu : Pas Sage En seine 2015 - Paris

Date : Juin 2015

Durée : 28 min 30

Lien vers la vidéo


00' transcrit MO

Bonjour. Je suis OpenPony, je suis aussi administrateur système. Je voulais faire un petit retour d’expérience, la mienne, donc je n'ai pas forcément la réponse à tout. C’était plus pour partager une vision sur l'idée de sortir les PME des GAFAM et éviter aussi de subir, parce qu'on subit très régulièrement ce genre de rapport. On va faire un essai. Qui utilise IRC ? Qui utilise Tor ? Bon, eh bien vous êtes tous des terroristes selon ce rapport. Voilà, des cybercriminels en puissance. Et, malheureusement, c'est ce genre de rapport que lisent les dirigeants d'entreprises et qui font qu'on a beaucoup de soucis à utiliser d'autres choses que les GAFAM. Pourquoi ? En tout cas ce sont elles qui attirent la confiance, à tort à mon avis, mais, en tout cas, à l'heure actuelle c'est le cas.

Que sont les GAFAM, donc Google, Amazon, Facebook, Apple, Microsoft. Pour moi je fais une généralité également, à tort ou à raison, sur le fait que ce sont toutes les entreprises privatrices ou réductrices des droits et des libertés des utilisateurs. Plusieurs constats dans les entreprises. J'ai repris une enquête Ipsos, de septembre de l'année dernière, qui a été faite auprès des dirigeants de petites et moyennes entreprises :

99 % d'entre elles sont équipées d'informatique, connectées à Internet.

93 % ont accès au Web.

82 % permettent un accès sans restriction.

80 % utilisent des terminaux mobiles connectés à l'Internet, donnant accès au réseau de l'entreprise, sans VPN.

9 sur 10 évaluent l'usurpation des mots de passe et l'usurpation frauduleuse et malveillante de leurs ressources informatiques comme un risque.

7 sur 10 le pensent aussi pour le piratage des données détenues, des données de l'entreprise ou des données clients

et 76 % savent qu'elles sont pénalement responsables de l’utilisation d'Internet dans leur entreprise.

Mais 87 % d'entre elles utilisent une messagerie qui est dans 70 % des cas est un fournisseur d'accès de type Google. Et elles ne savent donc pas où sont stockées leurs pièces jointes, les mails. Pour elles, c'est sur leur ordinateur. Après il y a une partie firewall. Évidemment pas de système de backup, de chiffrement pour 50 % d'entre elles, et, petite part intéressante, 50 % par salarié en budget sécu annuel.

Les outils fréquemment utilisés : j'ai fait un petit état. Il y en a d'autres forcément. On pourrait rajouter également, Nitot, hier, a parlé de Uber aussi, qui est assez privateur de données notamment à partir de la géoloc.

Qui a lu des CGU dans sa vie ? Mais les lire, pas les parcourir ! Celles de Google, par exemple, qui les a lues ?

Donc voila un exemple de ce que nous donne Google dans ses CGU, c'est que tout ce qui transite chez eux, eh bien vous leur donnez une licence d'utilisation, sans restrictions. Ils peuvent utiliser n’importe quoi : vos mails, les pièces jointes, ce que vous dites en privé sur Hangout, tout est réutilisable. Alors, officiellement pour des données de Services, sans limite de durée, Je fais passer assez rapidement, je ne sais pas s'il y en a qui étaient là à la conf de Stan hier sur tosdr.org. C'est un petit site de juristes qui a été développé pour recenser les principaux paramètres des CGU, et ils essayent de donner des notations, un petit peu comme on peut l'avoir sur l'électroménager en classant de A à E. D'ailleurs, ils ont besoin de développeurs pour leurs CSS, donc si vous en éprouvez l'utilité, n'hésitez pas.

Pour moi les alternatives, eh bien il n'y en a pas beaucoup. Il y en a trois : le chiffrement, les logiciels libres et la formation utilisateurs aux bonnes pratiques.

Les logiciels libres parce que c'est la seule possibilité d’être sûr d'avoir des logiciels qui respectent la vie privée et les droits des utilisateurs. Ils sont programmés, revus, corrigés et audités régulièrement. On n'a pas besoin nous-mêmes d’être auditeurs, mais on peut quand même être sûrs que les logiciels n'ont pas de faille ou, en tout cas, s'il y en a une, elle est détectée très vite et corrigée, parce que les sources sont disponibles. Dans les solutions alternatives il y en a plein d’autres, mais ce sont des exemples de ce que j'ai mis dans l'entreprise où j'étais, alors, pas de manière simple, ça se fait assez violemment, généralement. Après c'est beaucoup d'écoute et de formation des utilisateurs, et ça marche plutôt bien. Il faut tout le temps réexpliquer les mêmes choses, mais ça marche plutôt bien. On a installé des GNU/Linux de base sur tout nouvel appareil qui rentrait dans l'entreprise. Et puis, après, derrière, il y a eu toute l'interface serveur avec les mails qui n'étaient plus auto-hébergés chez Gmail. Ils sont récupérés quand même. Les mails étaient hébergés chez un hébergeur et on récupérait dans Gmail, quand même, les mails.

Petite histoire quand même, quand on est dans une PME, typiquement dans une start-up, quand on discute, on se transmet beaucoup de documents, et notamment, dans certaines startups, ont peut aussi transmettre des brevets. Si vous vous rappelez, je vous ai dit que Google pouvait utiliser tout ce qui transite chez lui. Posez- vous la question pourquoi Google, en ce moment investit beaucoup dans les biotechs, dans l'automobile, dans beaucoup de sujets. Comment ont-ils eu l'information sur des sujets qui ne sont pas forcément leurs sujets de prédilection ? Donc c'est un peu dangereux quand on démarre une activité de faire transiter ce genre d’informations, de rapatrier sa boîte du boulot dans Gmail parce que c'est super cool d'avoir sa boîte perso avec ! Ce sont des choses à ne pas faire.

Le plus compliqué c'est de faire adopter les bonnes pratiques, eh bien il faut les adopter soi-même. Il faut d’auto-discipliner. Ce n'est pas forcément simple tout le temps au départ, parce que c'est vrai qu'il y a des outils, quand même, dans les GAFAMs qui peuvent être utilisés et utiles. Il faut très ouvert au dialogue. Le « je n'ai rien à cacher », le « ah mais moi je m'en fous c'est gratuit ; et puis de toutes façons je veux un truc simple, il faut que je clique » . « Oui, mais enfin, tu peux aussi pendre le temps. Viens, on se prend un sandwich ce midi, on en parle et on fait ensemble »

Pour la direction ça peut un petit levier, qui a bien marché là où j'étais, d'expliquer que le libre est gratuit. Donc du coup, ça aide.

Former les utilisateurs en étant très disponible au boulot, les repas du midi, l' afterwork, tout le temps parler, passer pour l'anarchiste extrémiste, exégète amateur. Ne pas avoir peur de répéter. Il faut adapter le langage à l'utilisateur, mais il faut quand même rester crédible : à trop vulgariser on finit aussi par prendre un peu la personne, elle peut se sentir diminuée, il faut quand même rester technicien sans trop vulgariser. Voilà.

Et il faut proposer des alternatives libres en parallèle des habitudes, proposer des sessions d'initiation et de formation.

Mettre un tuto d'entreprise en place, un wiki avec des tutos.

Un blog. On met en place un blog et on met les alertes CERTA qui, au final, commencent à être lues, même par des gens qui ne sont pas forcément habitués de le faire. Des infos de sécurité. Il y a pas de mal de flux RSS qui peuvent être rajoutés pour les habituer à avoir des choses qui soient un peu plus maîtrisées au niveau des flux que le rapport qu'on peut lire précédemment.

Montrer que la communauté du Libre n'est pas une secte de barbus autistes.

Pour moi, en fait, c'est pour ça que j'ai fait un peu cette conférence, c'est que ma vision c'est que l'informatique est rentrée dans les mœurs, s'est démocratisée, parce qu'elle est d'abord rentrée dans les entreprises et les gens l'ont ramenée chez eux. Et je pense que les bonnes pratiques en termes de logiciel libre, de cryto et autres, il faut les faire rentrer par le travail, donc c'est souvent, eh bien nous, les informaticiens qui devons pas mal ramer. Et une fois qu'ils sont habitués à l'utiliser au boulot de manière quotidienne, ils feront la même chose chez eux. Enfin j'espère. Voilà.

Est-ce que vous avez des questions ?

11' 20

Public : C'est une vraie question.