tendances marché

Le navigateur est au cœur de la stratégie Cloud des entreprises. Le développement des technologies web dans les environnements professionnels a fait de ce logiciel inventé pour le grand public, le client universel d’accès aux applications cloud des entreprises.

Il est vrai que le navigateur web est gratuit et que tout le monde sait s’en servir, ce qui fait 2 excellents arguments pour l’utiliser, surtout quand les budgets informatiques sont en baisse. Mais utiliser un navigateur en entreprise n’est pas anodin du point de vue de la sécurité :

Une technologie grand public. Les navigateurs répondent à un objectif principal : pouvoir être utiliser simplement par le plus grand nombre. Ce qui implique qu’il doit y avoir le moins de contraintes possibles dans l’expérience utilisateur. C’est pour cette raison que les technologies 2.0 qui permettent une meilleure interactivité vont jusqu’à exécuter du code provenant d’internet dans le navigateur lui-même (Ajax, Flash, Java, ActiveX par exemple)… Mais est-ce le comportement attendu d’un logiciel qui sert aussi à se connecter sur les applications les plus sensibles d’une entreprise (Banque, CRM, Comptabilité) ?

Une architecture non sécurisée. Les professionnels de la sécurité sont de plus en plus conscients que le navigateur est un logiciel non sécurisé. Le problème est triple : (i) d’abord il existe des failles dans les navigateurs comme dans tout logiciel complexe, (ii) ensuite le navigateur est plus exposé que les autres logiciels à la menace parce que c’est lui qui accède à Internet, (iii) enfin le comportement du navigateur est également dangereux à cause de ses nombreux plugins (voir plus haut).

La confidentialité des données en question. Utiliser un navigateur à la maison ou dans un cybercafé pour se connecter à des applications Cloud peut se révéler dangereux pour les données d’une entreprise. En effet, l’utilisation du web permettra à un utilisateur mobile de se connecter à ses services cloud depuis n’importe quel poste équipé d’un browser. Le problème c’est que l’entreprise n’a pas forcément envie que des données sensibles se retrouvent sur « n’importe quel poste ». Or, en utilisant un navigateur, on va laisser des traces sur le poste au travers des cookies, de l’historique ou du cache de ce dernier.

Si les entreprises veulent mettre en place une stratégie Cloud, elles doivent prendre en considération la “problématique navigateur”. Elles doivent penser aux questions qui se posent coté utilisateur afin d’apporter des réponses satisfaisantes du point de vue de l’usage et de la sécurité, dans la mise en place du client d’accès au Cloud.

Pour en savoir plus, vous pouvez télécharger nos livres blancs.

C’est une réflexion en cours dans de nombreuses entreprises cette année : “Devons nous passer à Windows 7 ? Si oui, quand et quels seront les problèmes potentiels liés à la migration ?”.

Et dans les éléments à prendre en compte, le navigateur n’est pas le moins important. Il est vrai que d’un coté, Microsoft explique que la version 8 de son Internet Explorer est “plus sûre, plus rapide et plus simple que jamais”… sous entendu que les versions 6 et 7. Mais d’un autre coté, bon nombre d’applications web en entreprise nécessitent encore IE6. Ce sont parfois des applications qui ont été développées en interne, ou par un prestataire externe, elle ne sont plus forcément supportées et en tout cas, le passage des postes de l’entreprise en Windows 7 (et donc en IE8) pose question.

Doit-on faire évoluer ces applications compatible IE6 pour permettre aux utilisateur de s’y connecter avec IE8 ? Est-ce possible ? Combien ça coûte ? Et quelle est la pérennité de ce choix ?

Il y aura forcément des versions de IE après la version 8. Il y aura aussi de nouveaux navigateurs et de nouveaux terminaux (pourquoi pas quelques Mac et quelques smartphones ?). Fatalement, il faudra à nouveau supporter ces navigateurs et donc intervenir sans cesse sur ces applications pour les mettre à jour. A moins que…

A moins qu’une alternative beaucoup plus intéressante économiquement et beaucoup plus pérenne soit possible. Il faudrait pouvoir laisser ces applications en l’état (donc compatibles IE6) et permettre aux utilisateurs d’utiliser indifféremment IE6 et IE8 depuis leur poste Windows 7. C’est précisément ce que permet Virtual Browser.

En effet, avec Virtual Browser, vous pouvez migrer vos postes sur Windows 7 et virtualiser IE6 (et pourquoi pas d’autres navigateurs ?) pour permettre à vos utilisateurs de continuer à accéder aux applications compatibles avec ce navigateur.

L’idée est d’isoler le bon navigateur et les bons plugins (flash, java, …) dans une bulle virtuelle du serveur Virtual Browser. Cette bulle, montée à la volée et unique pour chaque utilisateur, est dédiée à la connexion vers la (ou les) application(s) nécessitant cette configuration de browser. Pour en savoir plus, consultez le témoignage d’un utilisateur.

Les chercheurs de McAfee Labs, la division recherche de McAfee, viennent de publier leur rapport annuel “2010 Threat Predictions”. Sans surprise on y apprend que le navigateur reste le vecteur d’attaque privilégié, plus particulièrement à travers les sites de réseaux sociaux. Ainsi, par exemple, l’utilisation de plus en plus fréquent de raccourcis d’URL (bit.ly, tinyurl.com) pour gagner de la place dans les “tweets” de Twitter permet très (trop) facilement de faire cliquer l’utilisateur, même avertit, sur un lien détourné lançant des attaques sur la machine de l’utilisateur, sur ses autres sessions web (cross-site) et sur le réseau local sur lequel le poste est situé (celui de l’entreprise s’il sur au bureau…). McAfee avertit également sur les risques des extensions du navigateur tels Flash ou Acrobat d’Adobe ainsi que l’arrivée de HTML 5.0, qui font “fondre la ligne entre les applications web et les applications du poste de travail”. La nécessité d’une politique de sécurité d’accès web concrétisée par un cloisonnement des usages et la gestion précise des droits de chacun sera plus que jamais d’actualité en 2010.

Accédez au rapport de McAfee ici.

La dernière version de Virtual Browser amène son lot de nouveautés (comme à chaque nouvelle version… merci à l’équipe de Mathieu ;-)). Mais parmi elles, il en est une qui va donner une nouvelle dimension à notre produit. En effet, il est désormais possible de publier sur le serveur Virtual Browser, aux cotés des différents moteur de navigation que nous intégrons déjà (IE, Firefox, java, flash, …), les clients ICA et RDP. Autrement dit, avec VB, un utilisateur peut se connecter aussi bien à des applications web qu’à des applications virtuelles ou à des bureaux virtuels complets.

La nouveauté est suffisamment importante pour qu’on s’arrête un instant sur sa finalité. Cette nouvelle version offre en fait la possibilité pour un utilisateur de se connecter, à partir d’un client unique, sécurisé, multiplatforme et ne nécessitant aucune installation sur le poste, à toute application webifiée ou virtualisée sans se soucier: (i) ni de ce qu’il y a sur son poste, (ii) ni de la compatibilité entre son client et l’application, (iii) ni du chemin d’accès à l’application en questions. L’objectif que nous poursuivons derrière cela est de faire de VB un browser universel d’accès au cloud.

Le terme de “Cloud” (ou “Cloud Computing“) est assez nouveau et donc pas encore parfaitement défini. Dans notre définition, il recouvre l’ensemble des applications, web ou virtuelles, hébergées par l’entreprise (private cloud) ou par des fournisseurs de service en ligne (Software-as-a-Service). Aujourd’hui, les entreprises vont petit à petit vers le Cloud Computing, ce qui a conduit leur datacenter à se disperser, un peu dans les environnements virtuels (Citrix et consorts), un peu dans les Intranet, un peu sur Internet, chez Google, Salesforce et les autres leaders du SaaS.

En positionnant VB comme un client universel d’accès au cloud, nous voulons accompagner les entreprises dans cette évolution en permettant trois choses fondamentales :

1- La sécurité grâce au chiffrement des flux, à l’authentification des accès et au cloisonnement des différents environnements : (i) Internet, (ii) applications internes, (iii) applications en ligne, (iv) poste de l’entreprise et (v) poste non maîtrisé

2- La centralisation du management et des mises à jour sur un serveur unique, redondant et évolutif

3- L’indépendance entre le poste utilisateur et les applications publiées. Le compatibilité et le chemin d’accès à une application sont totalement indépendants du poste de travail.

L’idée poussée par tous les grands éditeurs de la planète est de développer les services « in the cloud » ou « dans le nuage »… Comprenez que les applications d’entreprises seront disponibles en ligne, sur Internet. Les analystes de Gartner prévoient, dans leur rapport « Sizing the Cloud » de mars 2009, que le marché mondial du Cloud Computing passera de 46,4 milliards de dollars cette année à plus de 150 milliards en 2013. Dans ce schéma, internet deviendra réellement une extension de réseau d’entreprise. Imaginez ça : l’informatique devient un service, comme on appuie sur un bouton pour avoir la lumière, on clique sur un onglet du navigateur web pour accéder à la CRM hébergée « dans les nuages ».

Je crois sincèrement qu’on peut trouver ça formidable. Avec l’avènement du Cloud Computing l’entreprise pourra se concentrer d’avantage sur son métier et consommer l’informatique comme elle consomme de l’eau potable. Mais si toutes les gouttes d’eau se ressemblent et contiennent finalement peu d’informations sensibles, il n’en est pas de même pour les données informatiques. Les informations manipulées par les entreprises sont pour la plupart critiques et c’est bien là le problème. Internet présentent deux perspectives opposées : d’un coté il hébergera bientôt la plupart des applications d’entreprise et d’un autre coté, il est la source de la grande majorité des cyberattaques. Autrement dit, les données d’entreprise migrent vers le réseau le plus stressant au monde, pour qui est conscient de la valeur de ses informations numériques.

Pour que le développement des applications Cloud soit un succès, il va falloir trouver des solutions pour diminuer le stress lié à l’utilisation d’internet. Comme le dit une certaine publicité du moment, « il y a internet et internet », celui qui nous menace et celui qui nous rend plus agiles, plus performants, celui qui nous fait progresser. Nous sommes condamnés à rendre l’internet « stress-free » sans quoi nous devrons inventer un réseau mondial parallèle pour les applications d’entreprises.

Partant du principe que la meilleure solution pour ne pas être contaminé par internet et encore de ne pas s’y connecter, je pense que la seule façon de ne plus avoir peur d’internet est de cloisonner physiquement les applications menaçantes et les applications sensibles. S’il est certain que créer un nouveau réseau internet est une idée farfelue, ce qui est plus crédible et tout aussi efficace, est d’isoler chaque application web en virtualisant la connexion à la source, au niveau du navigateur. Les utilisateurs d’entreprise accèdent toujours à leurs applications web sensibles par internet mais au travers d’images virtuelles en provenance de liaisons point à point étanches, entre un navigateur (le client) et une application sensible (le serveur). Les données ne sortent jamais réellement sur Internet, elles sont présentées dans des navigateurs virtuels hébergés “au plus près” des services sensibles. Avec cette architecture Internet deviendrait alors “stress-free”, non pas parce qu’on le nettoierait de toutes ses menaces (ne rêvons pas) mais parce que les menaces en question ne pourraient atteindre ni les navigateurs d’entreprise ni les applications web sensibles.

On ne parle que de ça : cette semaine, Google a annoncé son OS, le Google Chrome OS. C’était prévisible quand on se souvient de la présentation du navigateur Chrome qui employait nombre de termes issus du système d’exploitation (Process Manager, Adress Space, Garbage Collector,…). Ce n’est pas très étonnant non plus par rapport à la stratégie de Google de pousser les applications vers le Web : une fois qu’on a son mail et son agenda sur GMail, qu’on travaille ses documents bureautiques sur Google Apps, qu’on retouche ses photos avec Picasa et (évidemment) qu’on surfe sur Internet avec Google Chrome, à quoi sert l’OS local si ce n’est à faire tourner le navigateur Web ? D’où cette tentation très (trop ?) forte pour Google de développer son ‘propre’ OS (d’après le communiqué de presse, un système Linux avec une interface utilisateur spécifique).

Est-ce que Google est le premier à avoir cette idée ? Evidemment non, on peut par exemple citer Good OS ou jolicloud. Mais Google a évidemment beaucoup plus de moyens que tous les autres d’imposer son OS client d’accès au cloud…

Que pensons-nous chez commonIT de cette annonce ? Vous l’aurez compris, nous ne sommes absolument pas surpris. Cela nous conforte dans l’idée que nous sommes à l’aube d’une révolution dans le domaine de l’architecture des systèmes d’information : recentralisation des applications et des données, accès depuis un navigateur Web. Et nous ouvre de nombreuses perspectives… mais nous en reparlerons plus tard

Une page web infectée est découverte toutes les 4,5 secondes… Ce n’est pas moi qui le dit mais Sophos dans son dernier rapport sur la cybercriminalité. Et en ce mois de janvier tous les leaders de la sécurité informatique sortent leurs statistiques annuelles et ils sont d’accord sur une chose : les attaques informatiques arrivent par Internet et ciblent les applications web.

A ce sujet, je vous recommande de lire cette compilation intéressante des différents rapports.

Ce constat annonce une bonne et une mauvaise nouvelle… Pour finir sur une note positive, je commence par la mauvaise : Avec le développement des applications sensibles sur le web (grâce aux applications Web 2.0 et autres Cloud Computing) Internet va rester le terrain de jeu préféré des hackers pour quelques années. La bonne nouvelle c’est que l’innovation Virtual Browser est plus que jamais une réponse adaptée pour protéger les internautes et les entreprises. Stress-free internet !

A l’échelle mondiale, Datamonitor estime qu’une entreprise sur cinq a adopté une démarche Green IT ou écoresponsable. Cette démarche (dont les motivations sont autant écologiques qu’économiques) passe par une utilisation plus durable de l’informatique, en allant d’une utilisation modérée du papier (contrôle des impressions par exemple) à la maîtrise énergétique de son système d’information.

S’il est vrai que mes associés et moi-même voulons faire de commonIT est une entreprise écoresponsable, la question que je me pose est la suivante : “notre produit Virtual Browser peut-il contribuer au développement du Green IT ?”… Et à mon avis, la réponse se situe à plusieurs niveaux.

On peut d’abord considérer que tout ce qui favorise le développement (1) du travail à distance et (2) de la centralisation des applications (virtualisation, cloud computing) contribue indirectement à faire des économies d’énergie en limitant les déplacements et en réduisant les consommations énergétiques des parcs informatiques (selon VMWare la consolidation de 10 machines sur un même serveur virtuel permet de réduire de 80 à 90% la consommation électrique associée). En ce sens, la souplesse et la sécurité qu’apporte Virtual Browser dans une utilisation (mobile notamment) des applications web peut aider les entreprises à aller dans la bonne direction.

Mais le lien le plus direct entre Virtual Browser et le Green IT est probablement l’opportunité que le produit représente pour les terminaux légers comme les Netbooks. En effet, le développement de ces terminaux peu coûteux et visiblement ”écolos” (voir cette discussion intéressante sur greenit.fr) est en partie freinée par les ressources matérielles dont les navigateurs web ont besoin. Un Netbook peut manquer de puissance pour exécuter des applications web complexes. Or Virtual Browser, en déportant l’éxécution des navigateurs sur un serveur permet de résoudre ce problème de performance : l’agent logiciel déployé sur le poste (ou le Netbook) est très peu gourmand en ressources (il peut tourner sur une simple clé USB), toute la puissance étant centralisée et mutualisée sur le serveur.

L’usine nouvelle a publié récemment un article intitulé “IBM réinvente le PC en client/serveur pour réduire les coûts“. La démarche d’IBM (virtualiser le poste client en utilisant des composants open-source) est tout à fait conforme à notre vision du marché et à ce qu’a écrit David dans son article sur le Minitel 2.0.

Certains diront peut-être “si le poste de travail de l’utilisateur est virtualisé, à quoi bon virtualiser le navigateur Internet ?” ; et bien, la réponse est assez simple : si virtualiser le poste de travail a de nombreux avantages (économique notamment), cela ne régle en rien la problématique de sécurité du navigateur Web ; la menace est simplement déplacée d’un poste physique à un environnement virtuel et tant que le navigateur s’exécute dans le même environnement que les autres applications et les données confidentielles, on ne résoud pas le problème.

C’est pourquoi, dans tous les cas nous préconisons une virtualisation du navigateur, quitte à avoir une “double virtualisation” : un navigateur virtualisé à l’intérieur d’un poste de travail virtualisé. Au moins tant que les applications ne sont pas toutes web ; une fois que ce sera le cas, Virtual Browser pourra devenir le moyen unique d’accès sécurisé au SI de l’entreprise en se passant de l’OS client…