YuZKO

YüZKO rentre au Le Village by CA Atlantique Vendée ! une nouvelle phase d'accélération pour l'entreprise, 2025 sera belle année !!!

Il y a un mois, on a relevé lors d'un audit client un serveur sur base Debian dans une release de début 2024.   Alors on préfère prévenir tout de suite, on ne va pas rentrer dans le sujet pour ou contre l'open source, donc on se calme.   On voit le serveur, donc, et on se met à paniquer. Mais visiblement, dans les locaux, il n'y a que YüZKO qui s'inquiète. Le RSSI est hyper content d'avoir une infra Palo Alto hyperconvergée, et le DSI de ne pas avoir eu de faille critique depuis 2 ans.   Et c'est là qu'on s'est dit qu'il fallait que l'on vous parle de la faille qui a secoué début 2024 parce qu'a priori ça n'a pas fait assez de bruit.   Il y a d'ailleurs plusieurs articles qui en font l'actu en ce moment.   Pour savoir s'il faut que vous paniquiez, commencez par vérifier si vous avez un de ces OS qui tourne dans votre infrastructure : Fedora 40 Fedora 41 et Rawhide Debian Alpine Edge Kali OpenSUSE Arch Linux.   Globalement, le point commun de tous ces systèmes d'exploitation est qu'ils sont Open Source. Et dans le monde de l'open source, pour créer des système d'exploitation, on s'appuie sur des briques déjà programmées, aussi open source. Ça permet d'accélérer les choses, plutôt que de tout redévelopper.   Et il y a un utilitaire hyper connu dans le monde de l'Open Source qui est commun à tous ces OS > XZ Utils.   C'est un programme qui a plus de vingt ans et qui est utilisé pour compresser des fichiers. Très clairement, ce fichier est présent PARTOUT dans le monde magique de l'OPEN SOURCE.   En 2021, le développeur principal et bénévole de cet outil indispensable décide de passer la main, car, en gros, il n'a plus le temps. Et il passe le relais à Jia TAN.   Et bien, je vous passe les détails, mais le Jia Tan, en fait, ce n'est pas vraiment un type bien. Et pendant deux ans, il a introduit une faille dans le code de l'utilitaire XZ.   Et cette backdoor permet de prendre le contrôle de certains OS, à la demande et sans être vu.   Si vous voulez avoir plus d'informations sur l'histoire en elle-même, je vous invite à voir la vidéo de la chaine YouTube de Micode sur le sujet, il en parle parfaitement bien.   Mais ce qui est fou, c'est le peu de bruit que cette attaque a fait. Des banques utilisent Debian, des assurances, des hôpitaux, les plus gros faiseurs peuvent avoir une VM en Debian.   Si la faille a été trouvée, c'est uniquement sur un énorme coup de chance. Il ne reste de cette histoire qu'une porte béante ouverte sur des dizaines de milliers de serveurs pas à jour dans le monde et une image, qui est la signature de celui dont on ne sait à l'heure actuelle toujours rien.   Chez Yuzko, on ne propose pas d'Open Source, mais on peut vous accompagner à trouver votre nouvelle infra pour remplacer celle potentiellement infectée :) #cybersecurité #opensource #xz #DSI #Hacking #piratage

Ce n'est pas parce qu'ils se ressemblent qu'ils sont capable des mêmes choses. Equiper un utilisateur avec le bon PC est probablement l'un des exercices les plus compliqués. Quand on compare deux ordinateurs de taille et de poids équivalents, on va comparer la configuration.   La configuration d'une machine repose classiquement sur 4 éléments :  - Le processeur ou CPU - La quantité de mémoire vive installée - La taille et la technologie des disques - La carte ou chipset graphique   Intéressons nous simplement au processeur. Dans 100 % des cas, dans le cadre d'un ordinateur pro, il n'y a que deux marques possibles, Intel ou AMD.   Partons du principe que nous n'allons comparer que des machines équipées d'un processeur Intel.   Vous savez combien de processeurs INTEL existent en ce moment à la vente ? Un peu plus de 300.   Séparé en 5 familles, du moins puissants aux plus puissants : Intel Core Intel Core I3 Intel Core i5 Intel Core I7 Intel Core i9   Rien que dans la famille Intel Core I5, on retrouve 109 produits actuellement en vente.   Et il peut y avoir un écart de 100 % de puissance si on devait comparer deux CPU de la même famille.   Regardons le Intel Core i9-11900T. Il fait donc partie de la famille des I9, les plus puissants de chez Intel.   Comparons le à un Intel Core i5-14600KF qui lui fait partie de la famille des i5 milieu de gamme de chez Intel.   Si on reste sur cette logique, l’i9 sera plus puissant. Dans la réalité, le i5-14600F est 2.086 fois plus puissant que son cousin i9.   Et si on va encore plus loin, vous trouverez sur Internet des Lenovo P350 équipés d'un processeur Intel Core i9-11900T à 2300 €.   Et vous trouverez des Lenovo LOQ équipés d'un processeur Intel Core i5-14600KF à 1200 €.   L’une des différences majeures entre ces deux processeurs est que le i9 est sorti en 2021 et le i5 est sorti en 2023.   En deux ans, un processeur d'une même famille multiplie par 4 ses capacités de calcul. Cette évolution a été théorisée par Gordon E. Moore en 1965 et reste quasiment d’actualité : « Celui-ci postule une poursuite du doublement de la complexité des semi-conducteurs tous les ans à coût constant. »   Donc, tous les ans, Intel et AMD sortent de nouveaux processeurs qui sont deux fois plus puissants que l'année précédente. Cette course à la performance est top pour permettre à n'importe qui d'utiliser des outils qui semblaient être inaccessibles il y a 10 ans (reconnaissance faciale, vocale, IA, GPS, outil de santé, etc.). Et tous les ans, les constructeurs de PC sélectionnent certains CPU pour créer de nouvelles gammes de PC. Ou juste pour faire évoluer des gammes existantes… Mais les fabricants de RAM font presque pareil. Et les fabricants de SSD aussi. Et les fabricants de cartes graphiques aussi. Chez Yuzko, on passe des heures sur des benchmarks, des tests de BIOS, des tests de diffusion de températures, etc. pour garantir à nos clients une machines qui correspondent parfaitement aux usages.

Chez Yüzko, on aide aussi nos clients à trouver le meilleur accès Internet possible.  Mais au fur et à mesure des interrogations clients, on s'est dit qu'il fallait clarifier.  Et comme maitriser c'est comprendre, on va essayer d'être clair, et vous allez voir, c'est très simple.  Tout d'abord, comment un terminal se connecte à Internet : Via un câble Ethernet : rien de sorcier, donc je ne vais pas approfondir. Via le WIFI : OK. Tout le monde le sait, mais le Wi-Fi, c'est une onde radio, oui, comme rire et chanson. Pour faire simple, il a été décidé de dédier deux spectres radio au Wi-Fi. Donc, quand on voit à quel point la radio dans sa voiture est instable, on comprend pourquoi il ne faut pas installer une borne Wi-Fi n'importe comment. Via la 4G : deuxième scoop, la 4G, c'est aussi… De la radio. Mais sur une autre plage de fréquence. Et pareil sur la 5G… Et physiquement, il faut comprendre que pour que vous ayez accès à Internet via la 4/5G, on tire des fibres très performantes que l'on branche sur des antennes qui diffusent l'onde.    Pour bien comprendre, suivons les cables :   De mon PC, je remonte via un câble RJ45 jusqu’à : Ma box ou un routeur. Cette boite me donne mon identité sur le réseau national sous forme d'adresse IP. C'est votre prénom sur Internet. En remontant le fil depuis la box, on arrive sur un boitier qu'on appelle l'ONT. Son boulot est uniquement de traduire le langage lumineux qu'il reçoit de la fibre optique vers le langage électrique que comprend la box. On remonte depuis l'ONT en suivant le câble et on se retrouve dans la rue dans ce que les spécialistes appellent un PM ou point de mutualisation. C'est là où on va raccorder toutes les maisons de la rue, peu importe l'opérateur. Dans cette grosse armoire, les opérateurs ont des espaces réservés. Et de là, on continue notre chemin vers le NRO de chaque opérateur. Au fait, NRO, ça veut dire nœud de raccordement optique.   Pour le moment, là, ce sont uniquement des câbles qui transportent de la lumière vers des grosses multiprises. Encore une fois, pour les spécialistes, on schématise. ++ Petite info, pour relier les USA à la France, et plus précisément la Virginie à Saint-Hilaire-de-Riez, Google a investi 500 millions de dollars dans un câble : – 6600 km de long – capacité de transmission de 250 Térabits par seconde – Aucun partenaire français ou européen pour le cofinancer. Les NRO sont connectés entre eux grâce à un réseau dédié appelé Backbone. C'est la colonne vertébrale du réseau de votre opérateur, en gros ce sont des câbles Au-dessus, on va rajouter des DNS, des NOC, des DC et des CDN. On ne va pas s'attarder, sauf si vous me le demandez   Pour être plus clair, Internet, ça marche pareil que les parties de jeux vidéo qu’on faisait en LAN dans les garages des copains dans les années 2000, mais avec plus de moyens (un PM en photo pour que vous puissiez mieux comprendre que ce n'est qu'une histoire de câble)

Quelle différence entre Bernard Kouchner et la norme NIS 2 ?   Et bien, Bernard Kouchner est le terme le plus recherché sur Google aujourd'hui, plus de 20 000 fois depuis ce matin.   La norme NIS 2.0 (qui pourrait couter à votre entreprise 10 millions d'euros ou 2 % du chiffre d'affaires selon le montant le plus élevé), n'a elle été recherchée que 100 fois depuis ce matin.   Mais même si Google Trend nous prouve que vous vous en fichez royalement, on va quand même vous donner notre avis :)   Il y a de gros points communs entre NIS 2.0 et la RGPD, par la structure des sanctions et la volonté d'amélioration de la cybersécurité.   Pourtant, concernant la RGPD, seuls les très gros ont vraiment été sanctionnés. Google et Amazon représentent 80 % du montant de la centaine d'amendes infligées par le gendarme du numérique.   En réalité, pourquoi se retrouve-t-on avec de nouvelles règles toujours plus strictes ?   L'un des éléments de réponse est qu'il s'agit d'une nouvelle norme européenne. Et tous les pays européens n'ont pas le même niveau de maturité. Analysons les obligations :    - Extension du champ d'application : inclut de nouveaux secteurs comme les télécommunications, les réseaux sociaux et les administrations publiques. Les entités de taille moyenne et grande de ces secteurs sont désormais soumises à la directive. - Stratégie nationale de cybersécurité : Les États membres doivent établir des stratégies pour maintenir un haut niveau de sécurité. - Mesures de sécurité obligatoires : les entités doivent analyser les risques, détecter et remédier aux vulnérabilités et gérer les incidents. - Notification des incidents : Obligation de signaler tout incident de sécurité dans les 24 heures, avec un rapport complet à fournir dans le mois suivant.   L'Europe oblige les États membres à établir des stratégies de sécurité efficaces.   Et on pense que c'est surtout ce qu'il faut retenir. En effet, cela montre que la cybersécurité devient un outil de mesure pour l'Europe au même titre que la dette…   La France est pas super bonne sur le sujet de la dette, essayons d'être moins nul en cyber…   Et vous, vous pensez qu'à force de se prendre des amendes et des sanctions, les entreprises françaises vont enfin prendre ça au sérieux ?

Au même titre que des modèles mythiques de voitures, l'industrie informatique a ses incontournables.   Intéressons-nous aujourd'hui aux châssis de PC portable Thinkpad.   Aujourd'hui propriété de Lenovo, il a été en premier lieu développé par Richard Sapper pour IBM.   À l'époque, le Thinkpad est une révolution, c'est le premier écran TCM couleur. Et il intégrait un petit « bidule » rouge au milieu du clavier.   Ce petit machin n'était ni plus ni moins que la première souris intégrée à un PC portable. Le cahier des charges était à la base de rendre possible l'usage d'un PC portable sans avoir à brancher une souris.   Lenovo a racheté la filiale PC d'IBM en 2005 et a conservé le châssis tout en continuant de l'améliorer. C'est un châssis de plus de 30 ans.   Et le petit Bidule ? Et bien, il a permis à certaines forces armées sur la planète de pouvoir utiliser un PC portable avec les gants tactiques, garantissant ainsi des gains d'appel d'offre à de très hautes valeurs financières.   C'est assez rare sur un marché drogué à l'innovation de voir une invention perdurer pendant 30 ans et continuer de faire de vraies différences.   Les châssis Thinkpad se sont retrouvés dans l'espace, envoyés par la NASA pour participer à la réparation de Hubble en 1993, et aujourd'hui au bord des paddocks de formule 1.   Pour nous chez YüZKO, c'est notre Madelaine de Proust, chacun son truc 😅

L'hôpital Simone Veil de Cannes : infection par Ransomware qui paralyse les services, coute des millions. Le personnel retourne à une gestion papier pour maintenir les soins aux patients.   Groupe Ramsay Santé : 3 établissements de santé perturbés, le personnel revient à des méthodes manuelles pour assurer les soins.   France Travail : des milliers de données personnelles et professionnelles dérobées.    La Société Générale : Les clients ont été victimes de phishing dans la foulée.   Free : deux attaques en un an, des données personnelles de milliers de clients dans la nature.   La SNCF, Intersport, ENGIE, SFR… Bref, la liste est très longue et compliquée.   Si on analyse rapidement, on trouve deux types d'attaques.   Tout d'abord, les attaques trophées, comme les hôpitaux ou les villes. Pour les attaquants, cela permet de montrer qu'ils sont capables. Dans les faits, les données sont rarement volées, ce sont des services qui sont bloqués dans l'espoir de récupérer de l'argent.   Le second type d'attaque vise à récupérer des données utilisateurs. Parce que si Google fait 258 milliards de chiffres d'affaires en 2021, c'est en partie en vendant vos données.   En fonction du type de données volées, je peux vendre des bases de données pour de la prospection, vendre des numéros de téléphones pour faire du phishing…   Comprenez que la donnée a plus de valeur que l'or.   En parallèle, en France, 93 % des TPE/PME n'ont pas de budget dédié à la cybersécurité, alors qu'elles représentent 90 % des attaques. C'est plus simple de cambrioler un pavillon de banlieue que le 36 Quai des Orfèvres.   La CNIL a mis en place des normes de protection des données pour protéger les données clients.   Dans cette optique, l'État demande que les sociétés désignent un DPO, délégué à la protection des données.   Ces protecteurs de la donnée doivent être déclarés à la CNIL. À ce jour, en France, il y a 200 000 entreprises concernée. Et trop de service public pour les compter.   Et en face, on a 34 000 DPO déclarés…   Donc, en France, on ne met pas d'argent dans la cyber, on ne respecte pas la RGPD, et le nombre d'attaques augmente de 50 % par an.   C'est Albert Spaggiari qui aurait été content, des milliers de vols possibles sans arme ni haine ni violence…   Pour info, aux USA, terrain de jeu légèrement plus conséquent, le FBI indique une augmentation des attaques de 10 % en 2023 qui contraste avec une baisse de 5 % observée en 2022.   Chez Yüzko, on pense qu'une infrastructure IT doit être construite en prenant comme phare la cybersécurité. Et on vous fait quand même économiser de l'argent 😁  

Qui connait un Knowledge Manager ?   Qui a déjà travaillé dans une société qui avait dans ses effectifs un Knowledge manager ?   Ceux qui répondent parce qu'ils ont travaillé aux USA ou au Canada, sachez que nous considérons que c'est de la triche.   Sortons du suspens, le Knowledge Manager est celui qui regroupe l'ensemble des connaissances d'une entreprise de manière claire et accessible à l'ensemble des salariés.   Et il y a autant d'offres pour ce poste en France que dans la seule ville de Montréal.   Alors c'est probablement culturel, mais chez YUZKO, on a décidé de militer pour avoir de la « DOC ».   Parce qu'avoir un service non documenté, c'est comme avoir Ray Charles comme chauffeur Uber. La musique sera bonne et le voyage peut bien se passer… S'il n'y a pas de virages.   Et vous avez tout à y gagner.   Un audit sécurité incendie Aucun problème, voici l'ensemble des documents : Plan du bâtiment, compte rendu des 10 dernières années.   Et la logique marche pour n'importe quel audit.   À partir du moment où la réponse à « comment avoir l'info » est « il faut demander à », c'est qu'il y a une dépendance à un individu sur un sujet.   Parce que le jour où la personne détient le savoir, il le détient sur son PC. Et son PC, c'est son espace à lui. Le jour où ce salarié s'en va, vous perdez tout…   Et quand c'est un cœur de réseau qui tombe et qu'il n'y a aucune DOC, je vous garantis que vous allez perdre de l'argent et qu'il faudra en dépenser davantage pour tout remonter.   Au-delà de la perte d'argent possible, c'est valoriser le travail de vos équipes. Un service correctement documenté c'est un service qui peut se permettre de construire.   Et du point de vue du dirigeant, c'est la seule façon d'avoir une vision claire de son entreprise.   Chez Yüzko, le paiement de notre accompagnement est sous conditions de la fourniture d'un ensemble documentaire. Et la fourniture de DOC est primordiale dans notre sélection des fournisseurs.

En stratégie d'achat il est vitale de ne pas mettre tous ses œufs dans le même panier, et de ne pas partager le panier avec les voisins... Connaissez-vous la société Hon Nai Technology Group ? De ce côté de la planète, on l'appelle plutôt Foxconn, ça vous dit quelque chose ?   Pourtant ça devrait, je pense que je peux trouver des objets fabriqués par cette société dans chacune des pièces de votre maison ou dans votre bureau ou dans votre voiture… Dans leur pays, Taiwan, ils pèsent environ 20% du PIB. En termes de chiffres d'affaires, c'est 50,20 milliard de dollars. Juste pour le troisième trimestre 2024. Sur l'année 2023, on avoisine les 200 milliards de dollars.   Foxconn, c'est presque 1 million de salariés (et pas mal de scandales liés aux conditions de travail).   Si je suis sûr que vous êtes clients, c'est parce qu'ils sont fabriquant ou sous-traitant pour Apple, Samsung, Intel, Sharp, Asus, Amazon, Cisco, Dell, Google, HP, Microsoft, MSI, OPPO, Sony, Texas Instrument, Toshiba, Xiaomi et plein d'autres.   La marque Belkin, la première et l'une des seules marques non Apple à être vendue en Apple Store, appartient à 100 % à Foxconn. Leur usine de Zhengzhou abrite 200 000 salariés et fabrique 70% des téléphones d'Apple. Si vous ouvrez un PC portable vous avez 80% de chance de tomber sur un composant fabriqué par Foxconn et 75% de chance que ce soit la carte mère. Même les GAFA sont dépendants de Foxconn pour une partie non négligeable de leur chiffre d'affaire.   Vous l'aurez compris, pour la bonne santé de tous, il est important que cette entreprise continue de prospérer, étant donné que, pour le moment, personne n'a de plan B…   Mais si jusqu'à aujourd'hui Foxconn a tenu tête aux tentatives d'intimidations, l'État chinois a arrêté 4 salariés de Foxconn la semaine dernière.   L'entreprise ne leur reproche rien. Taiwan ne leur reproche rien. Mais la Chine les accuse d'« abus de confiance ».   Ça n'a l'air de rien, mais si la Chine intègre Foxconn dans son conflit avec Taiwan, les répercussions sur le marché hardware global peuvent être colossales.

À tous les pros qui ont, créent ou pilotent des sites Web, connaissez vous le RGAA ?   Pourtant, ne pas le respecter, c'est exactement comme interdire l'accès d'un magasin aux individus en fauteuils roulants.   En effet, lorsque l'une des références en marketing digital nous a expliqué l'importance de cette norme, on a cherché et trouvé BEAUCOUP trop de sites pas aux normes.   Alors trêve de suspens, le RGAA, ou référentiel général d'amélioration de l'accessibilité, vise à rendre les contenus et services numériques compréhensibles et utilisables par les personnes en situation de handicap.   Deux éléments à savoir : - Il y a de vraies solutions pour permettre de faire le maximum dans l'inclusion. - Il y a de vraies sanctions parce que, malheureusement, c'est nécessaire. Jusqu'à 25 000 € renouvelables tous les 6 mois, par site.   Pour l'instant, ce sont uniquement les sites publics et les entreprises générant plus de 250 millions de CA qui sont menacés par les sanctions.   Mais à notre avis, il faut le voir de manière plus large.   Chez Yüzko on va attaquer un audit avec l'un de nos partenaires pour se mettre aux normes (même si on ne risque rien).