Louis Naugès

J’ai écrit deux billets sur les chromebooks, en janvier et août 2016 ; ils faisaient le point sur les offres et les usages possibles à ces dates.

Des évolutions intéressantes ont eu lieu depuis, à la fois dans l’offre et dans les usages, ce qui motive ce nouveau texte.

Des entreprises avec qui je travaille ont fait le choix par défaut des chromebooks comme objet d’accès au SI ; des photos qui illustrent ce billet ont été réalisées chez elles.

Chromebook : les fondamentaux

Petit rappel :

• Un chromebook est un PC portable qui fonctionne sous ChromeOS, pas sous Windows ou MacOS.
• L’offre est maintenant très large, avec des tailles d’écrans de 10 à 15 pouces.
• Les prix de vente des chromebooks sont pour l’essentiel compris entre 200 et 500 €. Il existe quelques exceptions très haut de gamme comme le Pixel 2 de Google à 1 000$ (sa photo est au début de ce billet).
• La majorité des fournisseurs de PC proposent des chromebooks : Acer, Asus, Dell, HP, Lenovo, Samsung ou Toshiba.
• L’autonomie vraie est de l’ordre de 7 à 10 heures selon les modèles.
• Des coûts de possession très bas : les mises à jour de ChromeOS sont automatiques, on n’installe pas d’applications et la fiabilité matérielle est forte ; il y a peu de composants et en particulier pas de disques magnétiques.

La société GoWizYou est le principal distributeur de chromebooks en France et… ne commercialise que des chromebooks ! Elle propose une quinzaine de modèles différents sur son site de vente.

Trois modes d’usages

Dans l’immense majorité des entreprises, même celles qui ont une stratégie de migration vers des infrastructures cloud public et des usages SaaS, il existe trois familles principales d’usages :

• Des applications Client/Serveur, pour PC Windows.
• Des applications natives Web, accessibles depuis un navigateur.
• Des applications mobiles, Android et iOS.

Les pourcentages relatifs d’applications Windows, Web ou mobiles sont très variables selon les entreprises ; le mouvement vers plus de Web, plus de mobiles et moins de Windows s’accélère, mais prend du temps…

La réponse traditionnelle actuelle pour répondre à cette variété d’interfaces est d’utiliser :

• Un PC Windows pour les usages Windows et Web.
• Un smartphone pour les usages mobiles et Web.

Aujourd’hui, un chromebook est une option moderne, innovante et pérenne pour répondre à ces trois modes d'usages :

• La raison d’être initiale des chromebooks est l’accès aux applications Web et SaaS ! Ils sont les meilleurs PC portables pour ces usages.
• Depuis quelques mois, Google Play, la place de marché Android aux trois millions d’applications, est accessible depuis un chromebook. Tout n’est pas encore disponible, mais l’offre s’enrichit très vite.
• Il existe plusieurs moyens d’accéder à des applications Windows :
• Le client Citrix est nativement disponible, mais l’on peut aussi utiliser l’équivalent de Microsoft.
• Des bureaux virtuels, comme WorkSpaces sur AWS, sont accessibles depuis un chromebook. La solution WorkSpaces a un avantage financier majeur : on peut payer à l’heure, ce qui correspond bien aux cas d’usages envisagés, des accès peu fréquents à ces applications Windows.

Un cas d’usage

 Une entreprise française a lancé, début 2017, une stratégie ambitieuse de migration vers des solutions cloud public et SaaS, et les chromebooks accompagnent cette stratégie.

L’une des premières actions a été d’équiper de chromebooks tous les dirigeants membres du comité exécutif ! Plusieurs modèles ont été proposés et leur choix unanime c’est porté vers les chromebooks de 11 pouces, faciles à transporter.

Sur ces deux photos, prises dans cette entreprise :

• La première montre le chromebook utilisé simultanément en mode natif Web et avec un client Windows qui permet à chaque collaborateur d’accéder aux applications auxquelles il a droit.
• Sur la deuxième, il y a en plus la fenêtre Google Play, pour les applications Android autorisées.

La DSI met à disposition des collaborateurs plusieurs modèles de chromebooks ; l’un de ceux qui ont le plus de succès est un modèle ASUS de 10 pouces, que l’on peut utiliser de trois manières différentes :

• En mode PC portable classique.
• En mode tablette.
• En mode « pyramide », sur une table.

Il dispose d’un écran tactile et son prix de vente est de l’ordre de 500 €.

Chromebook, le nouveau PC portable par défaut ?

L’entreprise présentée dans le paragraphe précédent était encore, en 2016, équipée à 100 % de PC Windows, avec, comme souvent, un « Master » pour tous les collaborateurs !

Pour organiser une gestion sereine et efficace de la transition vers un monde qui sera 100 % Web et mobile avant la fin de l’année 2018, les chromebooks sont les PC portables les mieux adaptés.

Toutes les entreprises devront, plus ou moins vite, gérer des migrations de ce type. Elles sont encore trop peu nombreuses à penser aux chromebooks ; elles restent sur l’image initiale de ces PC, lors de leur lancement en 2011, quand ils n’étaient utilisables que pour des usages Web.

Le choix d’un chromebook avec un écran tactile s’impose aujourd’hui ; toutes les applications Google Play sont prévues pour un usage tactile, et elles ne seront pas toutes modifiées pour s’adapter à un mode de travail plus ancien, clavier et souris.

On commence aussi à trouver quelques modèles avec un stylet, une option utile pour de nombreux usages, et pas seulement dans le monde de l’éducation.

Je vous recommande trois sites francophones qui permettent de suivre l’activité du monde chromebook :

• Mychromebook
• Chromebooklive
• Chromebookeur

Synthèse 

Fin 2017, les chromebooks sont des PC encore très minoritaires dans les entreprises ; leur part de marché est de l’ordre de 5 %. Leur principal succès, on le trouve dans le monde de l’éducation, en particulier aux USA, où ils ont pris plus de 50 % du marché.

Quelle sera la part de marché des chromebooks dans les PC portables en 2021 ? 30 % ? 50 % ? 70 % ? Difficile de le prévoir.

On devrait, à cette date, rencontrer deux familles d’entreprises :

• Les innovantes, qui ont basculées dans le cloud et où les chromebooks sont dominants.
• Les « traditionnelles », encore arc-boutées sur leurs solutions informatiques  du siècle dernier : SAP, Microsoft Office, Oracle… et où seront réfugiées les derniers PC Windows.

Le cloud public n’est pas sécurisé ! Mes données ne sont pas protégées dans un cloud public ! AWS, Google, Microsoft Azure ne sont pas des fournisseurs sérieux, capables d’offrir la même sécurité que les acteurs historiques : IBM, HP, Cisco, Dell…

Cela fait dix ans que j’entends ces rengaines, transmises par des DSI, des dirigeants et des RSSI (Responsables de la Sécurité des SI).

L’un des thèmes dominants est celui de la protection de son « territoire », au sens physique du terme, comme le faisaient les châteaux forts du Moyen Âge, entourés de grandes murailles.

Cette démarche de protection périmétrique, qui était raisonnable au « Moyen Âge de l’informatique », n’a plus aucun sens aujourd’hui.

Voyons pourquoi.

Sécurité périmétrique entreprise

 Dans l’ancien monde informatique, les choses étaient simples : l’essentiel de l’activité se passait à l’intérieur de l’entreprise :

• Les serveurs étaient hébergés dans un centre de calcul appartenant à l’entreprise.
• Les postes de travail, des PC Windows, étaient reliés à un réseau Ethernet filaire, géré par les équipes internes.
• Les accès informatiques à l’extérieur de l’entreprise par les salariés n’étaient que rarement nécessaires, souvent bloqués.
• Un firewall, ou pare-feu était mis en œuvre, pour protéger les ressources et personnes présentes à l’intérieur de l’entreprise de toute attaque venant des « barbares » présents à l’extérieur.

Aujourd’hui, tout a changé !

• Les infrastructures sont gérées par des industriels du cloud public, AWS, Google ou Microsoft.
• De plus en plus d’applications SaaS, Software as a Service, sont utilisées, et elles sont toutes, par nature, hébergées à l’extérieur de l’entreprise.
• Les postes de travail sont variés, mobiles, smartphones, tablettes, PC portables ou Chromebooks, et reliés à des réseaux mobiles, 3G, 4G ou WiFi.
• Les collaborateurs ont besoin et exigent l’accès à leurs applications en tout lieu, à toute heure.

Dans ce nouveau monde, obliger les transferts de données à transiter par l’intérieur de l’entreprise pour ressortir ensuite vers le cloud n’a aucun sens.

Sécurité périmétrique pays

C’est plus récent, mais encore plus ridicule ! De trop nombreuses voix s’élèvent pour exiger une protection périmétrique autour de chaque pays. On pousse même l’absurdité jusqu’à exiger que les données d’un pays soient stockées dans ce pays !

C’est une approche suicidaire et qui n’a aucun sens. Il faut remonter à nos grands stratèges militaires qui avaient imaginé la « Ligne Maginot » pour trouver une démarche aussi inutile et inefficace.

En 2012, la France a frappé fort en imaginant que deux fournisseurs de « Clouds souverains », Numergy et CloudWatt allaient bouter dehors les envahisseurs AWS ou Google ; ils avaient tous les deux disparu en 2015.

Je préfère la démarche moderne d’un acteur français du cloud public qui n’a jamais demandé 1 € à l’état, Outscale.

Comme l’illustre la carte de leurs centres de calcul, ils sont présents dans le monde entier, et non pas retranchés dans l’hexagone.

Nouveau modèle : triple confiance

Je suis probablement l’une des personnes les plus sensibles à la sécurité des SI et à la protection des données ; c’est pour atteindre ces objectifs que je milite pour une approche différente, aujourd’hui indispensable.

Comment créer la « confiance » ? La bonne démarche consiste à segmenter le problème en trois composants :

• Confiance accès.
• Confiance transport.
• Confiance partage.

Cette démarche par composants a comme avantage supplémentaire la modularité et la flexibilité dans le choix des solutions. On peut à tout instant modifier l’un des outils utilisés sans remettre en cause tous les autres.

Hypocondriaques de la sécurité des SI, j’ai une mauvaise nouvelle pour vous ! Il existe des dizaines de solutions de haute qualité qui répondent très bien à ce besoin de confiance aux trois niveaux. Vous ne pourrez plus vous plaindre de l’absence de sécurité !

Il vous restera toujours la possibilité de vous retrouver entre vous, dans ces très nombreuses conférences sur la sécurité des SI qui ont pour principal objectif de transmettre des messages de peur et de maintenir les emplois de pseudo-professionnels de la sécurité arcboutés sur des démarches démodées et dangereuses.

J’ai proposé de regrouper ces solutions sous le nom TaaS, Trust as a Service. Ceci permet d’utiliser un mot positif, Trust - Confiance pour remplacer des mots à consonance négative comme sécurité.

Confiance Accès 

Ce premier niveau de confiance doit permettre :

• De garantir l’identité de la personne qui se connecte.
• De vérifier que l’objet utilisé peut le faire sans risques.
• De moduler les droits en fonction des lieux et heures de connexion.

Cette confiance d’accès doit être garantie pour les «5 A» en anglais, ou en français :

• Toute personne
• Tout objet d’accès
• À tout moment
• En tout lieu
• Pour tout contenu

Les entreprises disposent aujourd’hui de tous les outils nécessaires pour garantir cette confiance d’accès. Quelques exemples :

• MDM Mobile Device Management : gestion des outils mobiles, séparation des données et applications professionnelles et privées..
• Authentification forte : code aléatoire, SMS, empreintes digitales…
• Chiffrement des contenus sur les objets d’accès.
• Vérifier que les mises à jour d’OS et d’applications sont réalisées.

Les challenges majeurs à régler ne sont plus dans le domaine de la confiance, mais dans :

• L’ergonomie des solutions, pour les rendre raisonnablement transparentes pour tous les collaborateurs.
• Le coût élevé de trop nombreux produits.

Confiance Transport

Aujourd’hui, créer les conditions de « Confiance Transport » ne pose plus de difficultés majeures.

L’objectif est simple : transporter en sécurité des données, depuis un objet d’accès vers un espace de partage. 

Tout est disponible pour créer les conditions de cette confiance transport :

• 
• HTTPS : les échanges entre l’objet d’accès et le serveur sont chiffrés de manière transparente pour les utilisateurs. Offre une excellente protection depuis des dizaines d’années.
• Chiffrement des contenus : si, pour un tout petit nombre de données hypersensibles, on souhaite aller au-delà de HTTPS, il est très facile de rajouter une fonction de chiffrement des contenus. Dans ce domaine aussi, de remarquables solutions existent depuis longtemps : PGP, racheté par Symantec, en est un bon exemple.
• Pare-feu dans le cloud : pour remplacer les pare-feu anciens, périmétriques, il est possible de déployer des « pare-feu cloud » qui protègent les collaborateurs, où qu’ils soient. Zscaler est la solution dominante, aujourd’hui.

Confiance transport : problème réglé.

 
Confiance Partage 

C’est dans ce domaine que les fantasmes sur la non-confiance à accorder au cloud public sont les plus virulents :

• Le grand méchant Google va lire mes mails.
• La NSA va pirater mes données commerciales et les envoyer à mon concurrent américain.
• Mes données personnelles vont se retrouver chez Microsoft maintenant qu’ils ont racheté LinkedIn.
• ….

Oui, bien sûr, des risques majeurs existent lorsque des données sensibles sont stockées dans des centres de calcul. Oui, mais :

• Ces risques sont beaucoup plus élevés dans des centres de calcul passoires, que certains continuent à appeler « clouds privés ». Toutes les failles importantes de sécurité de 2016 et 2017 ont eu lieu lorsque les entreprises géraient elles-mêmes leurs centres de calcul.
• Les grands acteurs industriels du cloud public ont des moyens techniques et humains pour assurer la sécurité et la confidentialité des données qui leur sont confiées sans commune mesure avec ceux des entreprises, même les plus grandes.

Lisez attentivement ce que proposent AWS ou Google pour protéger leurs centres de calcul. Ensuite, posez-vous une question simple : est-ce que je suis capable d’offrir le même niveau de sécurité ?

Prenons deux exemples, le chiffrement et la réglementation européenne GDPR.

AWS, Google ou Microsoft chiffrent toutes les données qui leur sont confiées. Quand je l’explique à mes interlocuteurs, il y en a toujours un pour me rétorquer : « Oui, mais ce sont eux qui ont la clef et ils la donneront si une autorité politique ou policière en fait la demande ». Les conditions dans lesquelles ils acceptent de le faire sont exceptionnelles, comme le montre cette victoire de Microsoft dans un procès avec le gouvernement américain.

Je ne résiste jamais au plaisir de poser à mon tour une question : quel est le pourcentage de vos données qui sont chiffrées dans vos centres de calcul ? La réponse que j’obtiens le plus souvent : 0 %.

Pour rassurer leurs clients, nos champions du cloud public sont allés encore plus loin : ils proposent tous, comme AWS dans cet exemple, de chiffrer vos données avec une clef qui vous appartient, à laquelle ils n’ont pas accès.

 Fin mai 2018, la directive européenne sur la protection des données personnelles, la GDPR, s’imposera à toutes les organisations présentes en Europe, et c’est une excellente initiative. Cela a créé de superbes opportunités « business » pour juristes, professionnels de l’informatique et sociétés de services qui proposent d’aider les entreprises à être en règle avec la GDPR.

L’essentiel des données de mes entreprises est dans des clouds Google. J’ai reçu il y a quelques jours ce sympathique message de Google :

• M’informant que tout était déjà prêt, en novembre 2017.
• Me donnant le texte des nouvelles règles qui s’appliqueront, pour que j’aie le temps de les étudier.
• Me confirmant que je n’aurai rien à faire le jour de la mise en vigueur de la GDPR, ils vont l’activer pour moi.

Dois-je rajouter que les mises en conformité GDPR de mes entreprises ne m’auront pas coûté 1 €, ni occupé une seule journée de travail d’un collaborateur ?

Synthèse

Cette démarche simple, pragmatique, des « trois confiances » permet à toute organisation, quelle que soit sa taille, de créer un exceptionnel niveau de confiance pour accélérer sa transformation numérique.

Elle peut le faire en utilisant des solutions industrielles du marché, de haute qualité et qui seront de plus en performantes dans les mois et années qui viennent.

Libre à vous de rester sur vos vieilles démarches périmétriques, mais ne comptez pas sur moi pour vous accompagner… Le « passe muraille », célèbre monument de Montmartre à Paris : une excellente illustration de vos firewalls passoires si vous continuez dans cette voie sans issue.