Forum Français

1 - ACCELERATION

Pour illustrer de maniere amusante l’ acceleration dont nous sommes acteurs et spectateurs dans le domaine de la mobilite, on peut faire un parallele interessant avec l' evolution de l' Homme sur notre planete … voir avec notre univers : Apparu il y a 13 Milliards d’ annees, la vie y apparaît il y a 3 milliards d’ annees, et les premiers outils il y a 3 millions d’ annees … …. Mais si on transpose la totalite de l’ aventure humaine sur le calendrier d’ une annee, apres ce premier outil que l’ on decouvre le 1er janvier, l’ homme domestique le feu mi novembre de cette annee, il invente l’ ecriture le 31 decembre, et il marche sur la lune 5mn avant minuit … l’ acceleration des inventions, ainsi que l’ adoption de nouvelles technologies est depuis ce moment fulgurante … les clients qui, en 2003, ont fait confiance en la vision d’ Aruba avaient probablement une idee partielle de ce que serait la revolution numerique qui nous submerge aujourd’ hui.

La vision d’ Aruba en 2003, c’ etait que « puisque les utilisateurs bougent, les reseaux doivent donc les suivre …" ... sans rentrer dans des details techniques, l’ omnipresence d’ un pare feu dans les solutions sans fil allait permettre la prise en compte d’ un environnement numerique de travail qui aujourd’ hui est constitue d’ une multitude de parametres, a la fois humains, materiels mais aussi dematerialises. Detail amusant, qui allait declencher des rapprochement de societes (!) a ce moment, on arrivait quasiment a mieux securiser une architecture sans fil de type Wifi que la plupart des solutions Switching filaires existantes…

Ce qui a en partie motive l’ integration d’ Aruba au sein de HPE, c’ est aussi l’ idee que la mobilite n’ est pas uniquement une affaire de reseau sans fil, mais doit etre prise en compte sur l’ ensemble du reseau d’ une part filaire, sans fil, distant, deporté, et au plus pres de l’ utilisateur ou de la "chose" qui se connecte a ce reseau d’ autre part – avec une reconnaissance dynamique et securisee de tout ce qui se connecte, et une approche des architectures d’ avantage orientee « usages » et « applications » que « caracteristiques techniques ».

Comme cite souvent Idriss Aberkan, toute revolution technologique majeure passe par 3 etapes : Ridicule, Dangereuse, Evidente … quand Aruba a mis sur le marche des controlleurs de mobilite, qui plus est avec un pare feu integre, l’ idee a semble ridicule a certains … maintenant l’ idee d’ un mecanisme intelligent au plus pres de la connexion semble evidente … En revanche, si on reflechi aux impacts de l’ Internet of Everything, on peut raisonnablement penser que dans cette appreciation, nous sommes passes recemment de la phase " Ridicule" a la phase « Dangereuse » …  Les IoT sont en effet de vraies breches potentielles de securite sur un reseau de donnees ... Il va donc falloir gerer cette situation qui peut vite devenir critique dans les entreprises.

Pour adresser tout ces enjeux, Aruba travaille sur plusieurs axes, je vous propose dans ce premier article d’ en evoquer quelques uns : L’ Ouverture, la simplification et la securisation de ces nouvelles architectures. Un prochain article detaillera une des approches possibles en detail concernant la securite ... mais commencons par le debut !

 - OUVERTURE

Cette acceleration que nous venons d’ evoquer vas forcement de pair avec la notion d’ OUVERTURE …. En effet, on ne peut pas tout faire tout seul … l’ union fait la force, et quelle que soit l’ avance technologique qu’ une societe comme HPE peut avoir, quel que soit son niveau d' inventivite et d' adoption rapide de nouvelles technologies, il y aura toujours une nouvelle solution - emergeante -  a laquelle nous n’ avions pas forcement pense ou qui n' est pas encore dans notre cœur de metier … De plus, il se trouve que nos clients ont souvent un existant qu’ ils aimeraient valoriser, que ce soit au niveau des architectures, de la gestion de flotte, de la securisation, de l’ administration, etc …

L’ ensemble du portfolio Aruba, que ce soit en terme d’ architectures, d’ administration, de securisation, ou de mise en place de services oriente Usages et Utilisateurs, beneficie de la faculte d’ etre programmable comme le nouvel OS Aruba AOS-CX, mais aussi de fournir des API permettant de piloter d ‘ autres equipements, ou de recuperer des informations pour enrichir et globaliser dans le S.I.  la gestion de la mobilite.

L’ ouverture permet egalement aux forces de vente d’ identifier des budgets dans des entreprises n’ ayant a priori pas choisi HPE des le debut …

Plutot que d’ adapter au day to day des fonctionnalites au cas par cas ( comme le font certains constructeurs ) au risque de devenir ingerable sur le long terme, on prefere s’orienter vers une posture de compatibilite totale avec l’ existent client et des solutions de niche qui souvent font sens dans une architecture globale.

Cette ouverture nous permet egalement de faire face a des problemes ou des besoins non encore identifies, a de futurs usages ou applications clients/utilisateurs, en permettant l’ interaction avec des technologies que l’ on a pas encore imaginees.

Quelques exemples d’ interoperabilite : la plateforme d’ administration de mobilite HPE Airwave a ete choisies par des clients importants n’ ayant aucune borne HPE Aruba, … Notre solution de securisation Clearpass supporte en standard l’ interoperabilite demontree avec plus de 100 constructeurs differents … notre plateforme orientee usages Meridian fonctionne parfaitement dans un environnement heterogene au niveau du reseau existant … la nouvelle generation de commutateurs de cœur de reseau serie 8000 est capable de declencher des mecanismes de securisation avancee, d’ analyse ou de modification de configuration sur d’ autres materiels en fonction d’ evenements inhabituels …

 - SIMPLIFICATION

De la meme maniere que l’ on change 4 pneus en moins de 5 secondes sur un circuit de F1, on est maintenant capable de reconfigurer des politiques de QoS, de securite, d’ acces applicatif sur l’ ensemble d’ un reseau complexe et constitue d' une multitude de technologies et fournisseurs differents sans avoir a le « reconfigurer », justement … !

On doit aussi etre capable de mettre en place un reseau de classe entreprise de quelques bornes et switchs, sans faire de compromis en terme de fonctionnalites, en permettant une evolution souple vers un reseau de grande ou tres grande taille sans remise en question de l’ existant …

Le modele dont vous avez tous entendu parler, avec plus ou moins de conviction, s’ appele la "programmation logicielle" : Le "Software Defined" xxx … SDN, SDWan, ces architectures font dorenavant enfin partie de notre quotidien, non pour ajouter une complexite, mais au contraire pour permettre la reconfiguration contextuelle et dynamique d’ un reseau en fonction d’ evenements varies, en permettant de le faire sur une multitude de produits d’ acces ou d’ interconnexion sans que ceux-ci proviennent du meme constructeur. On va donc vers une simplification de la mise en place et de l' exploitation des reseaux, tout en permettant une reconfiguration quasi instantanee qui etait encore impossible il y a quelques annees car beaucoup trop longue a executer.

La simplification est donc possible par la combinaison de regles globales decidees en comite de direction par exemple, d’ une description du contexte de travail des utilisateurs, sur une plateforme centralisee comme Clearpass qui va etre responsable de piloter les acces au fil du temps, en prenant en compte precisement l’ environnement numerique de connexion d’ un utilisateur ou d’ un peripherique qui change frequemment …

En resume, l’ administrateur ne programme plus en temps ( presque) reel les equipements, mais il pilote un systeme central comme Clearpass pour faire face a tout les cas de figure de connexion, de maniere systematique et adaptive.en envoyant en temps reel les polices d’ acces ou de QoS vers les equipements d’ acces quelle que soit leur technologie et leur provenance … et quelle que soit la taille de ce reseau.

 – SECURISATION

La plupart des attaques sur un reseau d’ entreprise proviennent souvent de l’ interieur, de maniere repetees et utilisent souvent des acces d’ utilisateurs autorises … Ces attaques passent de plus en plus souvent au dessous du radar des protections perimetriques traditionnelles.

Le reseau est condamne a se proteger et detecter les attaques venant a la fois de l’ interieur et de l’ exterieur du reseau, dans un contexte de Mobilite, d’ IoT, et d’ utilisation massive du Cloud.

Aruba adresse le besoin de protection dans ce nouvel environnement avec Clearpass Policy Manager. Vous l' avez compris, c’ est en effet Clearpass qui va analyser l’ ensemble des parametres d’ une demande de connexion, le type de peripherique, l’ endroit ou se trouve l’ utilisateur, son passe de connexion, les systemes AV, la technologie sur laquelle il pretend se connecter ( etc ) … pour créer un profil de connexion unique et dynamique et autoriser l’ acces au reseau – on passe d’ une protection perimetrique ( le bureau, le role dans l’ entreprise) a une protection qui prend en compte un environnement numerique de connexion constitue de parametres multiples. Et ceci pour une multitude de technologies d’ acces au reseau.

A ce systeme deja en avance sur son temps, HPE complete son offre de securisation avec un produit issu du rachat de Niara, et qui s’ apelle Introspect.. Introspect est un systeme d’ analyse comportementale , qui s’ appuie sur l’ intelligence artificielle, sur du big data, et une capacite d’ apprentissage dynamique des comportements. Nous reviendrons sur ce tte solution dans un prochain article.

Ce produit nous permet d’identifier une attaque ou vulnerabilite avant que celle-ci ne fasse des degats dans l’ entreprise. Ce systeme est capable d’ identifier des anomalies dans le comportement des utilisateurs ou des objets connectes, et ainsi de modifier une regle decidee par un systeme de securite centralisee comme Clearpass.

Evidemment, ce systeme est interoperable avec l’ existant d’ un client, et nous permet d’ adresser le marche de l’ UEBA ( User Entity Behavior Analytics) sur l’ ensemble des clients soucieux d’ ameliorer leur reactivite face a des attaques reseau.

Dans la proposition de valeur HPE, cet ecosysteme de securite s’ apelle 360 Secure Fabric, il comprend a la fois Clearpass Policy Manager, et Introspect.

L’ approche « METIERS »

En conclusion, on peut reflechir sur ce que va nous apporter cette vision « Mobile First » qui s’ appuie sur un contrôle centralise ( le SDN) et de l’ intelligence a la peripherie…

En terme de CONNECTIVITE: L’Intelligent Edge est partout où quelquechose où quelqu’ un se connecte … CAMPUS, SITES DISTANTS, DU WAN au CLOUD, sur des sites REMOTE, ou dans certains cas il va y avoir plus de “ choses” que de “ personnes” connectees …. la puissance d’ architectures en mode SDN etant potentiellement limitee par le maillon le plus faible, certains equipements peuvent etre en dissonance par rapport au modele de mobilite visé … une mise a jour en fonction des besoins de mobilite sera peut etre necessaire dans certains cas .... mais la bonne nouvelle, c' est que si le client a choisi des solutions " ouvertes" pour l' ensemble de son architecture, il sera probablement pret pour entrer dans cette nouvelle generation de reseaux mobiles sans rien changer de l' existant.

Cette transformation de l’ experience digitale se retrouve dans une multitude de contextes:

ENTREPRISE: Amelioration des conditions de travail en espaces partages, avec le support du bureau mobile, partage ou distant – On va parler de BYOD, de Skype For Business, de reservation d’ espaces …

RETAIL: On va parler d’ engagement client, d’ analyse de frequentation, d’ aide a la decision d’ achat, de mise en relation avec un vendeur …

HOPITAUX et ACCEUIL PUBLIC: On va parler d’ ameliorer l’ experience visiteur ou patient, de reduction du stress, de geo guidage, de mise a disposition plus rapide d’ elements de conforts comme les chaises roulantes dans un aeroport, les brancards ou des pompes connectees dans un hopital, de remplacer l’ audio guide dans un musee

INDUSTRIEL: Automatiser et anticiper les detections de pannes sur une chaine de connexion numerique, faire face a l’ IoT qui genere une quantite de trafic importante pas toujours controllee, permettre de l’ asset tracking pour localiser des biens dans un espace important sans changer l’ architecture

VILLES CONNECTEES: On va parler de securisation d’ espaces, de services a valeur ajoutee aux visiteurs , etc …

En resume, l' architecture SDN + Intelligent Edge connecte les utilisateurs et les objets dans le respect de leur applications respectives, dans la surveillance des risques lies aux nouvelles technologies, et en s’ integrant dans les reseaux de donnees existants.