Tinba: Le plus petit logiciel malveillant a un gros sac à malice

iStock_000016524265_Medium-938x535

Les chercheurs d’IBM Security Trusteer ont découvert récemment une campagne d’infection utilisant une nouvelle variante du cheval de Troie Tinba visant les clients des banques Européennes. Cette dernière version possède de nouvelles fonctions qui améliorent significativement l’efficacité et la résilience de ce logiciel malveillant.

Petit et Gratuit

Tinba est une abréviation de “tiny banker”, découvert en 2012, était le plus petit cheval de Troie bancaire en circulation par sa taille.

La destinée de Tinba pris un tournant intéressant quand son code source a été rendu public en juillet 2011, probablement à la suite d’une dispute entre cybercriminels rivaux. Depuis cette fuite, plusieurs bandes ont été en mesure de retravailler ce code malveillant fonctionnel et gratuit.

En septembre de l’année dernière, le blog Security Intelligence faisait part de plusieurs campagnes utilisant des variations de Tinba tout autour de la planète avec souvent des améliorations dues à la prolifération du code source original.

Le dernier tour d’Europe

En mai 2015, les chercheurs d’IBM Security Trusteer ont détecté une campagne d’infection Tinba visant la Pologne, l’Italie, la Hollande et l’Allemagne. Presque la moitié des incidents étaient situés en Pologne, en fait 45% des événements tracés étaient issus de ce pays. L’Italie était second, loin derrière avec 21%.

Tinba

Vol d’identifiants et faux messages

Quand Tinba infecte un ordinateur et que l’utilisateur cherche à se connecter à une banque ciblée, Tinba lance ses « webinjects ». En fonction de la banque ciblée, les victimes reçoivent de faux messages et formulaires demandant des informations personnelles, mot de passe ou demandes de transfert de fonds. La notification cherche même parfois à convaincre que de l’argent a été ajouté accidentellement au compte de la victime et doit être rendu immédiatement.

Ci-dessous un exemple en anglais

Tinba_Fake_Message

White Paper: Winning the War on Cybercrime

Les mécanismes de protection de Tinba

L’auteur de cette variation de Tinba, lutte contre la recherche des chevaux de Troie et fait tout pour maintenir la résilience, éviter un détournement possible. Il a donc prévu plusieurs mécanismes de protection pour s’assurer que le botnet reste intact. Voici une liste non-exhaustive de ces mécanismes :

  • Signature par clés publiques pour s’assurer que les commandes du bot et les mises à jour proviennent bien du botmaster autorisé.
  • Authentification par le bot du serveur faisant la mise à jour avant d’autoriser une nouvelle configuration.
  • Une couche chiffrée dépendant de chaque machine pour empêcher les chercheurs en sécurité de mystifier les bots.
  • Les Bots communiquent aves des URLs codées en dur, et reviennent à des URLs fabriqués par DGA (Domain-Generation Algorithm) quand besoin est.

La globalisation des menaces

Cette dernière campagne Tinba n’est qu’une menace parmi beaucoup d’autres qui visent l’Europe après avoir visée les Banques Américaines. Les cybercriminels organisés comme le Dyre ont réussi à franchir les barrières linguistiques et adaptent leurs tactiques aux banques locales. Cette tendance est un défi pour les banques n’ayant pas encore renforcé leurs défenses. Ce délai est aussi une chance puisqu’elles peuvent s’appuyer sur ceux qui ont déjà combattu ce logiciel malveillant.

Merci à Ori BACH auteur du billet d’origine en Anglais

Rapport X-Force Q1 2015

L’équipe de recherche et développement IBM X-force vient de publier son rapport trimestriel sur son analyse des menaces avancées. Ce rapport dévoile qu’au moins 1 milliard de données personnelles identifiables (PII) ont été divulguées en 2014. Le rapport 2015, qui met également en évidence les résultats du dernier trimestre 2014, a recensé plus de 9 200 nouvelles failles de sécurité affectant plus de 2 600 fournisseurs, ce qui représente une augmentation de 9,8% par rapport à 2013 et constitue l’augmentation la plus importante en une seule année depuis que le rapport X-Force a été créé il y a 18 ans.

Figure5-Q1-2015
Voici les autres chiffres clés issus du rapport :

·        Le nombre total de failles enregistrées en 2014 était de près de 20% plus élevé qu’en 2013 (où l’on enregistrait 800 millions de données divulguées).

·        74,5% : c’est le nombre d’incidents enregistrés aux Etats-Unis, ce qui est beaucoup plus élevé que dans les autres pays.

·        Une majorité (40,2%) des types d’attaques les plus courants n’ont pas été identifiés. Les logiciels malveillants (malwares) et les DDoS (déni de service distribué) arrivent en seconde position avec un taux de 17,2% chacun.

·        La divulgation par l’US-CERT d’une classe de vulnérabilités affectant des milliers d’applications Android qui mettent à mal les certificats SSL représentent 15% du total pour l’année, portant peu à peu le décompte final à un nouveau sommet historique.

Les chercheurs attribuent largement ces chiffres croissants à l’augmentation de l’indifférence des développeurs en matière de sécurité. Ces derniers ont été lents à mettre en œuvre des « patches » en dépit des avertissements et de la sensibilisation accrue aux vulnérabilités. En fait, 10 des 17 (59%) applications bancaires utilisant Apache Cordova qui ont été initialement divulguées en octobre 2014 étaient encore vulnérables en janvier de cette année.

Le rapport montre également une augmentation des vulnérabilités de « conception », qui sont de plus en plus meurtrières, très reconnaissables, ayant des noms et logos accrocheurs (par exemple : Heartbleed et Shellshock) et qui devraient désormais être prises en compte dans la conception et le développement. Ces vulnérabilités ont révélé des failles facilement exploitables dans les systèmes de base et les bibliothèques sous-jacentes qui supportent presque toutes plateformes web et les systèmes de gestion de contenu habituels.

IBM X-Force lancera également le site IBM X-Force Interactive Security Incident en vue d’aider les utilisateurs à acquérir une compréhension en profondeur des failles de sécurité rendues publiques au fil du temps. Le site se trouve ici : http://ibm.co/1GARvPe

Vous pouvez découvrir le rapport trimestriel complet IBM X-Force Threat Intelligence ici :http://ibm.co/18HKUY1 ainsi qu’un post en anglais qui résume le rapport ici : http://ibm.co/1FZkqN4

Actualité des Cyberattaques dans la presse française en février 2015

CTB Locker (28 janvier 2015) http://www.itespresso.fr/securite-it-menace-ctb-locker-decline-87813.html

Ransomware ou Rançongiciel :

  • Chiffre le disque et demande une rançon (Curve-Tor-Bitcoin)
  • Evolution des Cryptolockers classiques présents depuis 2013, évolution fin janvier

CTB TrusteerApex

Vecteur d’infection :

  • email avec fausse facture compressé dans une archive « .zip » ou « .cab » archive file.
  • L’archive contient un binaire (Dalexis dropper, souvent « .scr » ) qui une fois ouvert, affiche un document leurre attend 5 minutes et lache la charge CTB Locker
  • Trouve son serveur de contrôle et demande une clé de chiffrement
  • Chiffre le disque

Spécificités:

  • Evite les machines virtuelles
  • Utilise Tor pour bypasser les défenses classiques de reconnaissance d’addresses de C&C connus
  • Variante spécifiquement déstinée à la France

Carbanak (16 fevrier 2015) 

http://www.lemondeinformatique.fr/actualites/lire-un-cybergang-vole-1-md$-a-100-etablissements-financiers-60257.html

­Le malware utilisé Carbanak est une variante de malwares anciens : Zbot, Carberp and Qadars

TrusteerApex

­Un gang cybercriminel a volé près d’1 milliard de dollars à de nombreuses banques dans au moins 25 pays sur les deux dernières années

–Espionnés pendant des mois (social engeneering) pour comprendre le fonctionnement

–Les ordinateurs des banques ont pu être infectés avec un malware au travers d’attaques spear-phishing impliquant l’envoi de courriels ciblés contenant des pièces jointes ou des liens malveillants.

–Les fonds ont été transférés en utilisant une banque en ligne ou un système d’e-paiement vers les comptes du gang ou bien d’autres banques aux États-Unis et en Chine. Dans d’autres cas, les attaquants ont pris le contrôle des systèmes comptables des banques en gonflant les soldes afin de masquer les vols, par exemple en portant à 10 000 dollars un compte qui n’en comptait que 1 000 pour réaliser un virement de 9 000. Des distributeurs automatiques de billets ont par ailleurs été également visés

Quelques autres evènements notables en Février

Une solution : IBM Trusteer Apex

TrusteerApex

Une solution disruptive pour contrer efficacement les attaques persistantes avancées (APTs et zéro days)

Trusteer APEX casse la chaine d’exploitation en empêchant l’infiltration du malware ou sa communication vers ses serveurs de contrôle.
Trusteer APEX est construit sur des techniques innovantes, dont la surveillance de l’état des applications qui permet d’être efficace y compris sur les attaques type 0-day.

Avec l’aimable participation de  Eric.Soyez@fr.ibm.com et Olivier.Palyart@fr.ibm.com qui sont, avec moi-même, à votre disposition pour en savoir plus.

FoncTrusteer

Pourquoi doit-on être rapidement conforme ?

Nous sommes habités par nos habitudes. Nous faisons les choses d’une certaine manière parce que nous l’avons toujours fait ainsi, et nous continuerons tant que l’on ne nous montre pas une meilleure approche.

Historiquement, l’évaluation de la sécurité informatique et la mise en conformité sont deux processus indépendants. Le groupe sécurité informatique remonte les écarts de conformité, et l’équipe opération prend les mesures nécessaires pour diminuer les risques.Internet ComputerOù est le problème ? Aujourd’hui, les cybercriminels réagissent vite et ont pléthore d’outils à leur disposition. Ils sont mieux financés et ne sont pas entravés par les cycles de mise à jour ou des ressources informatiques limitées. En conséquence, un nombre croissant d’organisations qui ont été attaquées admettent publiquement connaitre les failles mais ne pas avoir les outils et les processus pour faire les corrections rapidement sur tous les terminaux, qu’ils soient sur le réseau interne ou externe. Ce délai pour être remis en conformité affecte négativement de plus en plus d’organisations : profit, image et valeur de la marque.

Les menaces “zero-day” nécessitent de répondre à l’incident en temps réel.

Avoir plusieurs outils complique et donc allonge la durée de mise en œuvre des correctifs, alors que face à une attaque il faut aller vite. Avoir des milliers de terminaux dans et hors de ses locaux à mettre à jour laisse une fenêtre de tir importante aux attaquants. Cela peut prendre des jours, voir des semaines pour les mettre à jour et donc vous exposer à des pertes importantes.

Afin de minimiser les conséquences d’une attaque, les organisations ont besoin d’un outil permettant une conformité continue aux règles de sécurité capable de déployer des correctifs effectifs en minutes ou en heures et non en jours ou en semaines.

Il est impossible de gérer ce qui n’est pas visible

De nombreux audits ont un résultat négatif car l’état des terminaux n’est pas visible : correctifs installés ? configuration respectée ? Mises à jour des versions ? logiciels installés ? Une approche en silos offre une mauvaise visibilité de l’ensemble, la consolidation des informations est coûteuse et ne permet une visibilité que sur un passé plus ou moins récent : comment prendre les bonnes décisions avec une telle organisation ?

Avec un personnel de plus en plus mobile, de plus en plus connecté, l’organisation se doit d’avoir une vue en temps réel tant globale que détaillée des terminaux qu’ils soient fixes ou itinérants afin de pouvoir effectuer immédiatement les corrections nécessaires.

La conformité en continu : un incontournable?

Les solutions pour assurer la conformité sont réactives, c’est-à-dire qu’elles anticipent un audit ou font suite à celui-ci, elles ne fonctionnent pas en continu. En conséquence, le niveau de conformité est souvent lié au rythme des audits. Cette approche est le résultat de la séparation des deux fonctions qui favorise des fenêtres plus ou moins importantes de vulnérabilité pour l’organisation.

Une vision en temps réel et continue de chaque terminal permet d’avoir une conformité quasiment en continu des terminaux et ce indépendamment de sa connexion et du type de terminal concerné.

Le contenu est important

Une organisation typique a entre 100 et 5.000 points de contrôle pour s’assurer que les règles de sécurité sont bien respectées. Les plus larges et les plus complexes – typiquement celles devant faire des rapports aux régulateurs – peuvent en avoir encore plus.

Avec des ressources et un budget limité, elles ont besoin d’une solution qui conduira ces vérifications et produira automatiquement ces rapports. Ce qui les aidera à avoir le niveau de conformité requit pour leur industrie et leur modèle économique sans augmenter les coûts.

Rapports de conformité et évaluation des risques

L’approche traditionnelle qui consiste à scanner le parc informatique pour déterminer le niveau de conformité peut prendre des jours, voir des semaines. Durant cette période, des terminaux peuvent devenir non-conformes, l’organisation fournit donc un rapport qui n’est pas fiable et peux donc mettre l’organisation dans une situation de risque de sécurité sans qu’elle ne le sache.

Ce dont l’organisation a besoin, c’est d’une vision en temps réel de la conformité de tous les terminaux, qu’ils soient fixes, mobiles ou à distance. L’organisation pourra ainsi savoir si elle est réellement en conformité, limiter les risques et éviter les amandes.

Les ressources systèmes restent coûteuses.

Scanner via le réseau peut affecter la performance de celui-ci et la vérification manuelle est coûteuse et affecte la productivité. De plus, le terminal pouvant être mobile et à distance, il faut plusieurs relais et couvrir tous les emplacements et les ressources associées. Multiplier les agents sur les terminaux dégradera la performance de ceux-ci.

Augmentation des coûts d’infrastructure

Avoir plusieurs outils à gérer augmente les coûts de l’infrastructure et de sa gestion. De plus cela implique une variété de compétences qui gèrent les terminaux au lieu de travailler sur des projets à valeur ajoutée pour l’entreprise.

Comment mettre en œuvre une conformité continue

C’est exactement la façon dont les entreprises les plus performantes utilisent IBM Endpoint Manager™ Ils ont ainsi avec le même outil, les fonctions de vérification, de correction et de validation, comblant ainsi le fossé entre la sécurité informatique et les opérations grâce à des outils communs.

IBM Endpoint Manager est très évolutif, en effet, un seul serveur supporte plus de 250.000 terminaux, où qu’ils se trouvent. Cette solution intégrée qui automatise les actions ne perturbe pas l’infrastructure grâce à un agent intelligent qui nécessite moins de 2 pourcents de la CPU et de 10 à 15 MB de RAM.

Quand il s’agit d’identifier et corriger des failles, la rapidité est la clef. IBM Endpoint Manager est un outil reconnu et fiable qui offre un rapport coût/efficacité important dans la mise en œuvre d’une conformité en continu de tous les terminaux.

Ne vous laissez pas submerger par la protection des données

Les données sont partout! Des bases de données de plus en plus importantes, des machines virtuelles (VM), des courriels, des ERP, et la liste est longue. Comment une organisation peut-elle conserver tour cela? La première étape est de reconnaître que les données ont une valeur et doivent être sauvegardées et protégées. Ensuite, vous devez protéger les données de manière à ce que puissiez les utiliser pour faire progresser l’entreprise et les gérer de manière efficace sur le plan opérationnel.

dont-panic-294x300

IBM a récemment publié la nouvelle version de son produit phare de protection des données, Tivoli Storage Manager (TSM), cette version apporte encore plus de valeur à votre entreprise et vous permet d’éliminer les problèmes rencontrés dans vos opérations quotidiennes sur les données.

Des améliorations notables ont été spécifiquement conçues pour aider votre entreprise à croître, et libérer du temps pour votre personnel qui est déjà trop chargé. En clair, c’est la solution qui vous permet de conduire l’innovation et la croissance de votre entreprise tout en bénéficiant d’un meilleur coût total de possession (TCO).

 Les machines virtuelles sont l’un des plus importants vecteurs de croissance du volume des données. Un avantage clé de TSM est que les administrateurs VMware et Microsoft peuvent désormais facilement administrer le stockage. Avec un accès à des fonctions telles que la protection de l’environnement virtuel simplifié, la sécurité avancée et l’amélioration des capacités de capture instantanée, les administrateurs ont maintenant une plus grande flexibilité et un contrôle sur leur environnement de stockage.

Voici une sélection de quelques nouvelles fonctionnalités :

  • la réplication à distance, basée sur des règles, permet la reprise après sinistre à moindre coût et simplifié le respect de la conformité pour la conservation à long terme.
  • Tivoli Storage Manager Operations Center offre de nouvelles capacités de contrôle et d’automatisation qui réduisent la nécessité de scripts et de l’expertise TSM.
  • Tivoli Storage Manager for Virtual Environments réduit les exigences d’espace de sauvegarde Microsoft Hyper-V jusqu’à 95% avec l’approche « incremental Forever » (mise à jour par différence) et la déduplication. Ils rétablissent également les fichiers VMWare avec jusqu’à 70% d’étapes en moins.
  • La Gestion visuelle du calendrier prévoit un aperçu global et peut éliminer le besoin de feuille de calcul et/ou d’analyse manuelle.

Steve Wojtowecz a récemment participé à un webcast parrainé et animé par « Information Week », où il a présenté le « Top Three Data Protection Trends Shaping 2015 » et il croit sincèrement que TSM propose des « incontournables » pour permettre à votre entreprise de maintenir un avantage concurrentiel.

Voici un petit résumé sur ces trois tendances:

Tendance 1: « Disaster Recovery as a Service » peut entraîner une baisse des coûts

La plupart de nos clients sont désireux de s’engager sur un modèle de cloud hybride, dont une étape essentielle devrait inclure Disaster Recovery as a Service (DRaaS). En effet, DR permet la continuité nécessaire des affaires, une priorité pour toutes les entreprises, et DRaaS permet de l’effectuer avec une meilleure efficacité budgétaire.

Tendance 2: Protéger les données dans le Cloud ​​et dans les périphériques distants

Vos données critiques ne sont plus regroupées en un seul endroit. Vous avez des données dans votre Datacenter, dans des bureaux distants, dans le Cloud et sur ​​des terminaux mobiles, pour n’en nommer que quelques-uns. Cette variété de type de donnée et de lieu de stockage constitue un défi pour la protection, où qu’elles soient. TSM offre la tranquillité d’esprit et protège facilement les données, peu importe où elles résident.

Tendance 3: Le stockage en mode Cloud améliore la collaboration pour de meilleurs résultats

Le stockage en mode Cloud vous aide à déployer rapidement des ressources à travers une variété de plates-formes, d’appareils et d’infrastructures pour placer les données au bon endroit et au bon moment en fonction des habitudes d’utilisation. Cela garanti la disponibilité des actifs critiques de l’entreprise en cas de besoin, et les données peuvent être déplacées rapidement et de manière transparente, ​​sur site ou hors site, afin de permettre une meilleure collaboration à tout moment.

Ainsi, si vous considérez que ces trois tendances qui façonnent 2015 sont toutes alignées à la protection et la récupération de vos données, la vrai question est la suivante : comment vous assurer que la solution que vous choisissez est fiable, éprouvée et rentable? La réponse – s’associer avec un fournisseur qui a des décennies d’expériences réussies avec plus de 10.000 clients. Nous pouvons démontrer où nous l’avons déjà fait, donc à vous de jouer pour vous mettre sur ​​la bonne voie et anticiper l’avenir.

Merci à Steve pour la matière première de ce billet, vous pouvez le contacter en Anglais sur twitter @steve_woj ou me contacter en Français pour tout commentaire ou question.

Analyse prédictive : changer la façon dont nous pilotons l’infrastructure

image61-1024x676

N’avez vous jamais tenté de prévenir un problème en imaginant les types d’incidents possible? Et si vous pouviez prévoir un incident dans votre infrastructure avant même qu’il ne devienne un problème?
Durant la validation de faisabilité (déploiement du proof of concept POC) de IBM SmartCloud Analytics – Predictive Insights (US), un client n’a pas cru qu’une alarme soumise par Predictive Insight était un problème réel. La raison de cette alarme était en fait une attaque par dénie de services, soit un problème que le client aurait réellement du traiter.
Ce billet donne une rapide vision sur comment l’analyse prédictive (US)  a changé la manière d’aborder le pilotage de l’infrastructure (system monitoring) et comment une technologie proactive nécessite de changer d’état d’esprit.
Réagir aux symptômes
Passer d’un pilotage conventionnel (comme utiliser des seuils statiques) à un pilotage basé sur l’analyse prédictive modifie la manière dont vous identifiiez un problème. Ce qui est arrivé durant le POC est un exemple de résultat positif car détecté très tôt. Le client n’a juste pas l’habitude de voir une attaque par déni de service à son commencement.
Une utilisation adéquate de l’analyse prédictive signifie que vous n’attendez plus l’apparition de symptômes et leurs analyses pour agir sur un problème. Quand l’analyse prédictive vous alerte sur un incident vous ne vous attendez pas à voir des symptômes; Pourquoi? Parce que vous anticipez et ils ne sont pas encore là tout simplement. Découvrir le problème bien plus tôt que vous l’auriez découvert avec un pilotage traditionnel signifie que la situation n’a pas encore empiré au point  que les problèmes soient visibles des utilisateurs.
Est-ce une alerte anticipée ou un faux positif?
Parfois SmartCloud Analytics – Predictive Insights notifie un client d’un possible problème, mais cela ne signifie pas forcément que l’impact sera une interruption de service. Il y a une limite entre signaler un incident tôt et signaler un faux positif.
Si vous avez des enfants et que l’un d’eux pose son coude juste à côté de son verre de jus d’orange posé au bord de la table, vous voudrez déplacer le verre avant qu’il ne soit renversé. Cela dit d’un point de vue cartésien il n’est pas renversé donc pourquoi s’en soucier et agir?
L’analyse prédictive fonctionne parce qu’elle a une approche proactive dans le but d’éviter un impact sur vos services, comme vous auriez évité que le verre ne se renverse. Bien sûr à ce stade, le jus d’orange ne s’est pas répandu par terre et nous pouvons imaginer que l’enfant ne le renversera pas ou même qu’il va déplacer le verre de lui-même. Néanmoins, sachant qu’un coude « actif » est posé à côté d’un verre en position instable, cela signifie que vous avez une opportunité d’agir.
Adopter une démarche proactive
En adoptant une démarche proactive, vous pouvez ramener le verre au centre de la table et donc loin du coude. De même, vous pouvez arrêter un problème dans votre infrastructure avant que des effets négatifs n’affectent votre entreprise. L’analyse prédictive signifie que vous n’avez plus besoin d’attendre les symptômes pour avoir confirmation qu’il y a un problème. Mieux que cela, cela veut dire que vous ne réagissez pas uniquement à ce que vous (ou vos utilisateurs) constatez. Vous pouvez maintenant vous baser sur l’analytique pour savoir où votre infrastructure pourrait avoir mal et commencer à optimiser avant même l’apparition de symptômes ou pire d’un arrêt.
Parce que SmartCloud Analytics – Predictive Insights a lancé une alerte pendant le POC, nous avons été en mesure de déterminer que le problème venait d’un nouveau matériel lié au réseau. Le trafic vers le lien était toujours acceptable par l’infrastructure mais était deux fois plus important que d’habitude et continuait à croître. Contacté, le fournisseur de ce matériel, a confirmé qu’il y avait un problème lié à une mauvaise configuration du matériel. Celui-ci envoyait un flot de messages inutiles générant ainsi une attaque par déni de services. Sans analyse prédictive, le trafic aurait été considéré à ce stade comme normal.
Vous pouvez regarder cette vidéo US pour voir l’analyse prédictive en action et en apprendre plus sur les attaques par déni de services

Si vous avez des questions, n’hésitez pas à me contacter sur twitter @NicolasAtger ou en Anglais, Nathan Cullen que je remercie pour le contenu

Identifier les problèmes réseaux affectant vos applications critiques

Un de vos clients vient juste de poster un message sur Twitter. Il ne peut terminer sa transaction à partir de son smartphone et pensant que les serveurs sont tombés, il demande si d’autres utilisateurs ont le même problème? Et il commence à avoir quelques réponses, …
En tant que responsable de l’application, vous commencez à vous sentir mal. La course pour isoler l’origine du problème et le résoudre vient de commencer, ce avant que le flux de messages et son impact ne soient trop important.

panic-400x300

Vous entrez en action. Vos yeux ne quittent plus le flux du tableau de bord de votre application de gestion de la performance. Vous constatez un volume anormalement bas de transaction sur Paris, les autres départements ayant un volume normal. Vous regardez l’état des événements générés par votre infrastructure durant le dernier quart d’heure et constatez que vous avez eu une alerte de baisse de réseau à 9h45. Vous vérifiez la vue globale de votre réseau, pas de lumière rouge ou orange, … Les interfaces de votre réseaux sont bonnes. Vous pensez que quelque chose est pourtant arrivé à votre réseau!
Incapable d’avoir rapidement la moindre idée sur le problème à partir du tableau de bord, vous lancez une recherche sur le mot « réseau » dans les quatre dernières heures de logs. Vous trouvez quelques messages. Vous constatez une inadéquation avec les règles concernant le switch PAR1234 basé à Paris. Vous lancez une nouvelle recherche dans les logs sur « PAR1234 » et constatez qu’une modification de configuration réseau s’est déroulée à 9h40. Vous contactez la responsable réseau et elle remet la configuration précédente en place. Vous patientez et constatez que le nombre de transactions sur Paris remonte. 10h30, il est temps de prendre une pause café!
La gestion de la performance avec une visibilité sur le réseau intégrée, voilà qui vous aurait simplifié la vie!

DowloadServiceEngage

Si vous souhaitez avoir une vision précise sur votre application et son fonctionnement, être plus agile dans l’anticipation des problèmes et minimiser les arrêts qui impactent votre revenu, … il est temps de visiter  https://www.ibmserviceengage.com/
Vous y trouverez, documentations, livres blancs, vidéos, démonstrations, … et vous pourrez même tester l’application en mode SaaS, libre à vous par la suite de l’acheter en mode SaaS ou en mode licence.

Roland Garros

Il y a un an j’écrivais un billet de Blog sur ma visite à Roland Garros http://www.lasecuriteintelligente.fr/story/ma-visite-des-coulisses-de-roland-garros

Mais quoi de neuf cette année? Et bien :

1/ Sécurité

QRadar est maintenant complètement déployé avec donc de nouvelles fonctionnalités par rapport à l’année dernière et les IPS sont toujours aussi précieux

2/ Cloud

Le cloud de Roland Garros est maintenant orchestré par Smart Cloud Orchestrator, ce qui permet plus de souplesse pour le provisioning ou la mise en place de nouvelles applications. Pour prévoir les pics de charge, ils utilisent Watson Enterprise pour anticiper le nombre de connections en fonction du calendrier des matchs et de la popularité des joueurs (twitter, …)

Voici une capture d’écran montrant le nombre de tweets pour Nadal le matin avant la finale, il dépassait le million
IMG_1748

et bien d’autres nouveautés, notamment dans le domaine de l’analytique.

En bonus, une vue du camion de retransmission, toutes images partaient de là

IMG_1751