Vingt ans d'évolution du téléphone portable

 

Le GSM est né il y a vingt-neuf ans. Mais ce n'est que neuf ans plus tard, en 1991, qu'il est devenu une réalité commerciale. Joyeux anniversaire !

 

Eddye Dibar 01net. le 01/07/11 à 14h11

 

Il y a vingt ans, le 1er juillet 1991, le premier appel GSM (Global System for Mobile) sur un réseau commercial était passé entre le premier ministre finlandais de l’époque, Harri Holkeri, et l’adjoint au maire de la ville de Tampaere, Kaarina Suoni.

Aujourd'hui, la pénétration du mobile dépasse les 90 % dans les pays développés, atteint plus de 65 % dans la région Asie-Pacifique, et enregistre un taux de progression record de plus de 20 % dans les pays d'Afrique.

 

 

Vingt ans d’évolution technologique chez Motorola

 

Un marché en perpétuelle évolution

A l’aube de la révolution mobile, Alcatel, Siemens ou encore Ericsson ont tous été constructeurs de téléphones portables. Aujourd'hui, plus aucun de ces géants des télécoms n’en commercialise : Alcatel-Lucent s’est recentré sur la fourniture d’équipements pour réseaux d’opérateurs, tout comme Ericsson, et Siemens s’est désengagé du domaine des télécoms.

Avec le temps, les cycles du marché se raccourcissent. Un constructeur en tête de peloton peut perdre son leadership en quelques mois. Motorola, et plus récemment Nokia et RIM sont les derniers exemples en date.

 

Quelques dates clés

• 1982 : le CEPT forme un groupe de travail baptisé Groupe Spécial Mobile (GSM). Objectif : développer un système public et paneuropéen pour les communications mobiles,
• 1987 : adoption de la norme Global System for Mobile (GSM) comme norme mobile européenne,
• 1989 : la gestion du GSM passe sous la responsabilité de l’Etsi (Institut européen de standardisation des télécommunications),
• 1991 : 1er appel GSM commercial,
• 2000 : lancement des premiers services et terminaux GPRS
• 2001 : lancements réseaux 3G (WCDMA)
• 2003 : premiers réseaux EDGE
• 2004 : plus de 2 milliards d’abonnés au GSM à travers le monde
• 2011 : plus de 5 milliards de connexions GSM et 3G (source : GSMA)

Attention aux techniques de hack

de la téléphonie sur IP !

 

Le monde de la téléphonie est plus que jamais en évolution ces dernières années. Après le passage de la téléphonie traditionnelle vers la VoIP/ToIP, un grand nombre de problématiques de sécurité émergent.

(23/03/2011)

 

La ToIP/VoIP souffre encore d'une mauvaise image d'un point de vue sécurité...En effet, les réseaux voix historiquement isolés, fusionnent de plus en plus avec les réseaux de données, ils sont donc plus sensibles aux attaques d'un piratage. Les impacts peuvent être variables, confidentialité, dysfonctionnements, usurpations, écoute, changements des annonces de l'IPBX, accès aux messageries vocales, contournement de la politique de sécurité DATA (backdoors), perte financière, etc. alors qu'il existe un ensemble de solutions qui permettent de maitriser la sécurité de son système de téléphonie sur IP.

Dans certaines actualités, beaucoup ont entendu parler des enregistrements de l'affaire « Bettencourt »... ou encore, ont lu avec stupéfaction que certains opérateurs étrangers n'hésitaient pas à pirater des entreprises d'autres pays afin de mettre en place des « peering » de masse leur permettant de revendre des milliers de minutes par mois pour l'usage de leurs clients...

D'autre part, moins présente en France, l'arnaque aux numéros surtaxés et à l'usurpation d'identité, le procédé est simple, il consiste à appeler une personne en modifiant le numéro d'appelant par celui de quelqu'un d'autre ; peu d'opérateurs contrôlent ce type d'exercice ? Et ce contrôle est rendu quasi impossible dans le cas d'une communication VoIP internet.

Une autre arnaque porte sur la modification de la synthèse vocale afin de se faire passer pour quelqu'un d'autre par le biais d'un simple outil de modulation de fréquence vocale, outil de plus en plus évolué et qui permet, par exemple, de transformer la voix d'une femme en celle d'un homme ! Les IPBX entreprise actuellement sur le marché ne sont pas équipés aujourd'hui de mécanisme de « contrôle de conformité » de la voix mais il est possible, dans le cadre d'affaires judiciaires, de vérifier si une voix a été ou non modifié dans un enregistrement.

A ce sujet d'ailleurs, seuls les opérateurs sont contraints, par commissions rogatoires délivrées par les services judiciaires, à mettre en place des écoutes téléphoniques. Certaines techniques « d'interception légale de trafic » se standardisent même au niveau international comme le « Lawful interception » de la Communications Assistance for Law Enforcement Act (CALEA ou ETSI).

Cependant, ne soyons pas alarmiste, ce type d'attaque nécessite une expertise et chacun, à son niveau, dispose de moyens plus ou moins évolués de se protéger avec des niveaux de sécurité très satisfaisants ou, au moins, équivalents à celui des anciens systèmes de téléphonie traditionnels !

Nous allons en détailler certains d'entre eux, en commençant par la sécurité de l'OS qui supporte votre IPBX, généralement sous noyau Linux, il existe deux écoles. Il y a ceux qui optimisent intégralement l'OS utilisé, technique très efficace et bénéficie d'avantages indéniables comme les performances, la sécurité optimale, la stabilité accrue... et répondent à des besoins spécifiques, voire industriels.

Cette technique nécessite des compétences avancées. En effet, partir d'un LFS « Linux from scratch » et compiler uniquement les modules, drivers et paquets nécessaires afin d'optimiser intégralement le noyau n'est pas donné à tous, cela reste manuel, long et complexe et, de plus, aucun suivi de version n'est applicable automatiquement. Il faut mettre en place sa propre gestion des dépendances...

De l'autre côté, il y a ceux qui souhaitent mettre en place simplement et rapidement un système de base (Debian, CentOs, Red Hate...) ou, mieux, utilisent des variantes comme le mode « Hardened » (HLFS) afin de renforcer nettement le niveau de sécurité. Ce mode intègre nativement des mécanismes de sécurité sur la pile IP de l'OS, limite l'exécution des binaires, des scripts et autres attaques et n'utilise que les drivers nécessaires... couplés uniquement aux services activés par l'administrateur et utiles à la ToIP. En résumé, la plupart des personnes concernées utilisent simplement un système de base et se dirigent vers un « Hardened » lorsqu'elles sont sensibles à la sécurité. Le LSF est généralement réservé au « Geek », aux constructeurs et/ou éditeurs.

D'autre part, le mode d'authentification des téléphones IP reste somme toute assez basique, puisque certains flux sont en clairs et puisque le challenge est réalisé avec un hash simple en « MD5 » et pas de chiffrement... Ce qui renforce l'importance de la politique de mot de passe.

Pour finir, les nouvelles releases en test bénéficient déjà de certaines réponses (V1.6.2) et d'avancées en matière de sécurité comme le support TLS pour le SRTP, le renforcement de certains mécanismes de sécurité ou encore le support du T140 pour les messages texte, le support du SS7 dans DAHDI, l'amélioration des CDR, de la gestion du Dial Plan, du « MeetMe », des files d'attente, des nouvelles fonctions SIP et bien d'autres...

 

Les problèmes protocolaires

La ToIP est maintenant une partie intégrante des réseaux LAN (voir la rubrique sites web), elle est donc soumise à un ensemble de problématiques purement réseau dont voici quelques exemples quelques soit les constructeurs...

-     Le Déni de service (DoS) sur VoIP qui consiste à lancer une multitude de requêtes, « flooding SIP », « TCP syn » ou « UDP », (par exemple, demandes d'enregistrement et d'appels...) jusqu'à saturation des services VoIP. Ces types d'attaques ciblent souvent les serveurs, les passerelles, les proxy ou encore les téléphones IP qui voient leurs ressources sont rapidement épuisées par ces requêtes dont l'objectif est de perturber voire mettre hors service le système ciblé. Une autre attaque également répandue consiste à envoyer des commandes « BYE » au téléphone afin de mettre fin à la conversation en cours...

-     La manipulation du contenu multimédia et des signaux est une attaque qui permet d'injecter un fichier son dans un flux RTP par le biais d'une attaque « RTP Insertsound ».

-     Attaque par « relecture » ou « Détournement d'enregistrement » de sessions autorisées obtenues grâce à une analyse de trame par un « sniffer » sur le réseau ou par interception de trafic. Cette attaque se déroule au niveau du protocole SIP, elle utilise la commande « Register » qui sert à localiser un utilisateur par rapport à son adresse IP. Le pirate peut alors rejouer ces sessions de « register » valide en modifiant uniquement l'adresse IP de destination en sa faveur...Cette attaque est due au fait que le protocole SIP transite une partie des informations en clair, il est donc possible de mettre en place du SIPS qui intègre les mécanismes d'authentification et assure l'intégrité des données.

-     Le « Man in the Middle » (figure 3 : exemple d'échange protocolaire) (MITM) est une des attaques les plus connues ; elle permet à l'assaillant de se positionner entre le client et le serveur afin d'intercepter les flux ciblés qui sont échangés. Le pirate usurpe alors l'adresse MAC (spoof MAC) de ces 2 parties par l'empoisonnement du cache ARP des switches (ex: Ettercap + plugin « chk_poisoning ») afin d'être transparent dans ces échanges. Les données transitent alors au travers du système pirate. Dans le cas de la ToIP cette technique est utilisée pour « l'Eavesdropping » (« Oreille indiscrète ») lui permettant ainsi d'écouter et d'enregistrer les conversations entre les interlocuteurs mais aussi de récupérer un ensemble d'informations confidentielles. cette technique est aussi utilisée pour d'autres protocoles (SSL, DNS, SSH...).

-     Le « switch jamming » (figure 4 : ARP spoofing attaques) est une attaque qui consiste à saturer le plus rapidement possible les tables de commutation d'un commutateur avec des milliers de paquets contenant de fausses adresses MAC (flooding MAC) dans le but de le transformer en « mode répéteur » (HUB) afin que toutes les trames soient en diffusion (broadcast) continue sur tous les ports. Nb : cette attaque ne fonctionne pas avec tous les commutateurs et elle est généralement peu discrète...

-     La déviation par un paquet ICMP consiste à utiliser un générateur de paquet du type « frameip.exe » (disponible sur internet) et à forger ses propres paquets ICMP de déviation (type 5) à destination du client afin de lui indiquer que la route utilisée n'est pas optimale et lui communiquer par la même occasion la nouvelle route qui permettra de rediriger les flux vers un hôte pirate qui ferait office de passerelle. L'objectif de cette attaque est multiple : écoute, enregistrement (comme pour MITM), DoS... Il est important de noter que cette attaque ne permet pas de rediriger le trafic d'une connexion entre deux machines du même réseau local (même plan adresse IP) puisque le trafic échangé ne passe pas par une passerelle.

-     « VLAN Hopping » consiste à découvrir le N° de VLAN attribué à la ToIP (en récupérant la VLAN Database, utilisation d'un snifer...) dans un environnement LAN et de marquer des trames Ethernet directement dans ce VLAN en forgeant ses propres trames. Cette technique permet de s'affranchir d'une partie de la sécurité associée aux VLANs... (label spoofing).

-     Dans certains cas, un simple « brute force » sur le serveur TFTP « officiel » permet de télécharger la configuration complète d'un équipement et d'apprendre un certain nombre d'éléments...

-     En SIP, les équipements bénéficient d'une réelle intelligence embarquée contrairement aux MGCP par exemple... il est donc possible de demander à un téléphone « d'afficher » lors d'un appel à son destinataire un numéro de téléphone différent du sien. En interne, cela n'a que peu d'effet. Pourtant, une personne pourrait prétendre appeler depuis le centre de sécurité ou le bureau du directeur... et demander l'exécution d'actions particulières par exemple. De l'extérieur, être discret, se faire passer pour quelqu'un autre, ou encore afficher systématiquement pour tous les appels sortants, un numéro tiers pirate (modification sur passerelle ou IPBX). Lorsque les destinataires tenteront de recontacter leurs collègues et/ou partenaires en faisant « BIS » ou rappeler dans l'historique des appels, ils tomberont systématiquement sur le numéro (payant) qui était affiché (ex : 1,4€ par appel).

 

Ports généralement utilisés en ToIP

 TFTP - UDP 69

MGCP - UDP 2427

 LDAP - TCP 389

Backhaul (MGCP) - UDP 2428

 Tapi/Jtapi - TCP 2748

 http - TCP 8080/80

 SSL - TCP 443

 SCCP - TCP 3224

 Skinny - TCP 2000-2002

 SNMP - UDP 161

 SNMP - Trap UDP 162

 DNS - UDP 53

 SIP - TCP 5060

 SIP/TLS - TCP 5061

 H.323 RAS - TCP 1719

 H.323 H.225 - TCP 1720

 H.323 H.245 - TCP 11000-11999

 H.323 Gatekeeper Discovery - UDP 1718

 RTP - 16384-32767

 NTP - UDP 123

 

 

Ensuite, au niveau des applications

-   Après avoir amélioré la sécurité sur vos réseaux et vos protocoles, il reste néanmoins d'autres points noirs comme les interfaces graphiques des IPBX, l'usage du mode HTTPS n'est pas forcé, voire non activé !

-   De plus, au niveau des stations de travail, l'authentification aux pages d'administrations de l'IPBX et/ou des interfaces utilisateurs peut être couplée à des cookies ou du NTLM qui ne sont pas forcement un gage de sécurité... et encore moins quand l'utilisateur demande à son navigateur de garder les mots de passe en mémoire...

-   D'autre part, il existe un nombre de failles et/ou de vulnérabilités non négligeable directement sur les interfaces des IPBX, exécution forcée de script comme le « cross site scripting » ou autres, la falsification des requêtes inter-sites, injections de données...

-   Plus simplement, par défaut, les équipements ToIP bénéficient de services standard activés (ex : Telnet ouvert, port SNMP et read/write avec community name par défaut, interface Web de configuration de l'équipement permettant la modification de la configuration en http, récupération d'informations directes, statistiques, reboot à distance, port de troubleshooting, authentification basique, Services echo et time ouverts...). Toutes ces inattentions sur les équipements facilitent souvent les actions d'une personne mal intentionnée...

 

Quelques techniques utilisées par les pirates

Généralement, un simple « Snifer » sur votre LAN permettra à un pirate de récupérer une multitude d'informations telles que les protocoles utilisés sur votre réseau, (CDP, STP, DNS, DHCP, LDAP, MAPI...) et d'obtenir des renseignements sur votre plan adressage IP, vos VLANs, codecs utilisés, utilisateurs, login, mot de passe, découverte de vos infrastructures, de la topologie, la marque des équipements, les IOS, vos serveurs, leurs OS et versions, version des applications...

-   Le « fuzzing » est une méthode permettant de tester les logiciels et de mettre en évidence des dysfonctionnements potentiels, afin de constater la réaction du système lorsqu'il reçoit de fausses informations. Cette méthode utilise un certain nombre d'outils de sécurité utilisés notamment lors d'audits, mais certaines personnes mal intentionnées s'en servent dans le but de trouver et exploiter des failles (compte administrateur, augmentation des délais, DOS, écoute...).

-   Spam VoIP ou SPIT (Spam Over Internet Telephony) - le SPIT est, comme son nom l'indique, un SPAM dont l'objectif est la diffusion d'un message publicitaire en initiant et/ou relayant un maximum d'appels à l'aide de « Bots » à destination de millions d'utilisateurs VoIP depuis le système compromis. Cette technique a de multiples conséquences, comme la saturation du système, des MEVO, des communications simultanées... Une utilisation détournée du SPIT consiste aussi à initier un maximum d'appels à destination de N° surtaxés dans le but d'enrichir des organisations malveillantes...

-   Vishing (Voice Phishing) - Cette technique est comparable au « phishing » traditionnel, dans le but d'inciter des utilisateurs à divulguer des données confidentielles, voire sensibles (par exemple : noms d'utilisateur, mots de passe et ou numéros de compte, N° de sécurité sociale, code bancaire, adresses, coordonnées...). Dans notre cas, c'est un SPIT qui diffuse un message demandant aux utilisateurs d'appeler un numéro spécifique pour vérifier les informations en questions et il ne reste plus qu'à attendre que le téléphone sonne ? Après avoir récupéré ces données, le pirate les utilise ou les vend à des tiers !

-   Vol d'adresses électroniques - L'usage du « Voicemail » se multipliant, chaque utilisateur ou presque bénéficie d'une adresse de messagerie électronique associée, cette attaque consiste à bombarder le serveur de « voicemail » du domaine ToIP avec des milliers d'adresses mail de test (ex : nom.prenom@client.fr / nomprenom@client.fr / nom@client.com...). Chaque adresse non valide est retournée, pour le reste, l'attaquant peut ainsi en déduire un certain nombre d'adresses mail valides qu'il pourra alors utiliser à sa guise pour d'autres attaques (SPIT, Vishing, SPAM mail...).

-   Détournement de trafic ou « Phreaking », est une méthode historique dès les débuts de la téléphonie, elle consiste à ne pas payer les communications et à rester anonyme. En ToIP, ce détournement s'effectue après récupération d'un couple login/pass valide ou après accès physique d'un utilisateur non autorisé à un téléphone. Les pionniers du « Phreaking » (Cf. photo historique - figure 5). Imaginons maintenant que le pirate ait réussi (par différents moyens) à obtenir un login aux droits suffisants pour modifier la configuration de votre IPBX. Il peut alors paramétrer un « Trunck » à destination d'un autre IPBX et organiser la revente de minutes par dizaines de milliers dans un autre pays... en utilisant le même concept.

 

Exemple de quelques outils

SIPtap, Wireshark, VOMIT (Voice Over Misconfigured Internet Telephones), VoIPong, NESUS, nmap, troyens divers, UCSniff (ARP Saver, VLAN Hopping), Digitask pour skype, SIVUS, Teardown, Cain, Backtrack, Dsniff, YLTI, scapy, SIPcrack...

 

Quelques exemples de bonnes pratiques et de solutions

Rassurez-vous, il existe un ensemble de techniques pour contrer ces attaques. Cependant, il est conseillé de faire appel à des experts qui vous accompagneront dans cette démarche et seront pédagogues. Le risque ZERO n'existe pas, généralement, en matière de sécurité, il est assez simple de mettre en place un niveau de sécurité de l'ordre de « 70% à 80% » de protection contre les attaques, qui représente le premier palier de sécurité bien suffisant pour une entreprise lambda. Toujours simple, mais cette fois-ci, cela nécessite un investissement afin d'atteindre les « 85% à 90% » de sécurité pour une entreprise. Ensuite, dépasser les 90% à 95% devient plus compliqué et nécessite une expertise et des investissements lourds. Pourtant, ce niveau de sécurité est primordial pour une banque, une assurance, ou encore, les grandes industries dont le chiffre d'affaires dépend en majorité de la stabilité de leurs systèmes d'informations, de téléphonies (centre d'appel...).

Il existe enfin un niveau ultime de sécurité, aux niveaux gouvernemental, aérospatial, renseignements, services spéciaux, armées...qui doit atteindre au minimum les 99%. Non seulement ce niveau requiert des infrastructures conséquentes mais également une réelle expertise 24/7.

Pour en revenir à notre focus sur la sécurité de la téléphonie sur IP, il est important de mener la réflexion sécurité en amont en phase de design de l'architecture de ToIP. L'amélioration des niveaux de sécurité passe, entre autres, par le respect de bonnes pratiques et l'application de solutions efficaces dont en voici quelques exemples :

-   Mettre en place une réelle politique de Mot de passe déjà difficilement gérée pour les comptes des stations de travail et encore moins pour les comptes de téléphonie sur IP (complexité, durée de validité, longueur mini...).

-   Mettre en place des VLAN et/ou VRF dédiée ainsi qu'une solution de supervision/monitoring de vos infrastructures LAN/WAN et Voix afin de cloisonner vos réseaux et de bénéficier d'indicateurs spécifiques à Intégrer aux tableaux de bord sécurité des systèmes d'informations (TBSSI).

-   Des solutions existent en matière de détection d'attaque (IDS/IPS) et/ou de modification suspicieuse sur le protocole ARP avec « Arpwatch » ou « snort », ou mécanisme basique dans le monde du switching comme le « port security » qui limite le nombre d'adresses MAC utilisables par port, ou encore du « 802.1x »...

-   Implémenter des pare-feux Statefull « nouvelle génération » avec une reconnaissance protocolaire plus avancée (ADN applicatif...).

-   Sécurisation des protocoles SIP et RTP par l'utilisation de PKI (Public Key Infrastructure) et la mise en place du « SIPS », « SRTP », « SRTCP » utilisant le « DTLS » RFC 4347...

-   Limiter les accès aux personnes non autorisées (contrôle d'accès), ne pas autoriser les prestataires à se connecter au LAN, ni WIFI (hors guets), toujours être présent en salle serveurs lors d'intervention et tracer les accès aux zones critiques.

-   Suppression des anciens comptes et/ou inutiles, suppression des logiciels ou modules inutiles sur l'IPBX et les stations de travail.

-   Maîtrise et limitation des « softphones »...

-   Mettre en pratique la surveillance et l'exploitation des logs d'infrastructures...

-   D'autre part, l'architecture physique ou logique du réseau LAN est très importante. Certains ont pour philosophie de maintenir deux réseaux physiquement séparés, d'autres sont partisans d'une plus grande flexibilité de mise en place de VLAN...

-   Côté WAN, ne jamais exposer son IPBX par une IP Public même « natée », ni en DMZ publique et/ou directement à l'extérieur même un module spécifique à cet usage est proposé, privilégier le mode VPN SSL ou IPSEC par le biais du firewall.

-   Si nécessaire, envisager l'ajout de boîtier de chiffrement matériel.

-   Etc.

 

David Huré

Project Department Manager, FrameIP

 

La réussite d'un projet de ToIP passe aussi par une bonne administration © Alcatel-Lucent

 

2 / Cerner les processus d'administration de la ToIP

"Dans l'idéal, l'administration de la ToIP doit couvrir les processus suivants : le support aux utilisateurs par le biais d'un guichet unique, la gestion des incidents/problèmes, la supervision et gestion de la disponibilité, la gestion des configurations, la gestion des versions logicielles, la gestions des changements, la gestion de la capacité, la gestion des engagements et le reporting.", fait savoir Yann Jolivet, manager du pôle d'excellence Télécom chez Devoteam Consulting.

 

3 / Penser à l'opportunité ou pas d'externaliser l'administration

Lorsque l'entreprise à décidé de se lancer dans un projet de ToIP, elle doit se demander si il vaut mieux pour elle d'en internaliser la gestion ou bien de la confier à un prestataire externe. Si l'aspect clé en mains de cette seconde solution permet - en général - de rassurer les DSI en termes de prévisibilité des coûts, la première peut s'envisager lorsque l'entreprise dispose de compétences internes sur lesquelles s'appuyer. Dans ce cas, une mise à niveau peut être nécessaire dans certains cas.

"Les montées de version d'une solution d'administration de ToIP sont en général simples à appréhender mais tout se complique quand l'entreprise décide de changer de solution. Cela nécessite une formation plus lourde des administrateurs qui varie entre 3 et 5 jours", indique Mickaël Bellegou, business development manager chez NextiraOne.

 

Les équipes téléphonie et systèmes doivent s'entendre

 

4 / Faire son choix entre les différentes solutions du marché

Après avoir bien délimité son projet de ToIP, reste maintenant à sélectionner la solution d'administration qui convient le mieux à l'organisation. Le premier réflexe pourra être de se tourner vers son fournisseur de postes de téléphonie IP. Parmi les principaux acteurs sur ce segment proposant des systèmes d'administration, on trouve Alcatel-Lucent (Omnivista 4760), Cisco (Unified Communications Management) ou Avaya (Data Solutions Management).

Bien que - le plus souvent - pertinentes, ce ne sont pas les seules solutions qui se présentent aux entreprises. Certaines technologies d'administration sont fournies par des SSII comme Niji (Nates), ou bien des éditeurs (Service Pilot, Spektrum ou encore Openview...). Elles pourront également s'avérer intéressantes pour leur caractère agnostique. Mais permettront également d'administrer d'autres briques de son système de téléphonie dans le cadre d'un projet plus global de communications unifiées. Il pourra également être utile de s'intéresser aux alternatives Open Source comme Asterisk par exemple.

"Les profils de configuration par famille permettent des modifications à grande échelle" (Mickaël Bellegou - NextiraOne)

 

5 / Bien configurer son système d'administration de la ToIP

Étape cruciale mais néanmoins délicate s'il en est, la configuration de son système ToIP peut dès le départ être optimisée afin de générer par la suite de précieux gains de temps et donc de productivité et de coûts.

"En interne, il est essentiel de savoir configurer son système de base. Cela passe par la création de profils et le verrouillage des droits que je veux donner aux utilisateurs. En attribuant des profils de configuration par famille, par exemple les commerciaux, cela permet de les réutiliser pour tous les collaborateurs, se caler dessus pour les nouveaux arrivants et réaliser des modifications à grande échelle sans reprendre les droits utilisateurs un à un", explique Mickaël Bellegou (NextiraOne). 

 

6 / Répartir intelligemment les rôles entre les équipes téléphonie et systèmes

"Si historiquement il y avait des équipes internes téléphonie et réseaux distinctes, il n'est pas nécessaire à tout prix de vouloir fusionner ces équipes, mais il est alors indispensable de faciliter les échanges entre eux à travers des processus partagés. Si à l'inverse il existe déjà un environnement ToIP, il vaut mieux adapter l'organisation existante que de tout vouloir bouleverser sur un modèle théorique. Il est très important de tester et valider la chaîne d'exploitation et de maintenance pendant la phase pilote du projet.", note Yann Jolivet (Devoteam Consulting).

 

Ouvrir son système à un prestataire avec des VPN

 

7 / Surveiller les montées de versions des logiciels d'administration

Pour éviter les mauvaises surprises comme par exemple l'arrêt de la prise en charge du support chez le fournisseur pour sa solution d'administration, mieux vaut veiller à être à jour dans ses versions. A ce titre, il est conseillé de vérifier - ou de faire inscrire - dans le contrat signé avec l'éditeur (ou le constructeur) une période minimale de support afin de ne pas être pris au dépourvu quand viendra l'heure de la montée de version.

En outre, en restant sur des anciennes versions, le risque est grand de rencontrer des problème d'interopérabilité avec d'autres briques applicatives de son système d'information. "Même si cela implique un coût de maintenance récurrent, mieux vaut réaliser toutes les montées de versions préconisées par son fournisseur car attendre la montée de version critique et obligatoire pourra faire grimper la note", fait savoir Mickaël Bellegou.

 

 

Panneau de contrôle de la solution d'administration ToIP de Service Pilot © Service Pilot

 

8 / Confier l'administration de sa ToIP à un prestataire externe : attention au support de niveau 1

Pour plus de tranquillité et de prévisibilité des coûts, l'entreprise peut choisir de confier la gestion de sa ToIP à un prestataire spécialisé (SSII, intégrateur...). Mais tout ne va pas de soi et certains points de vigilance mériteront d'être posés. Pour une entreprise qui se lance pour la première fois dans un projet de ToIP, il faudra par exemple créer un point d'accès entre le prestataire et son système de téléphonie. En mettant en place un ou plusieurs tunnels VPN chiffrés dont les caractéristiques devront être bien mises à plat en amorce du projet. Mais ce n'est pas tout.

"A distance, il ne sera pas possible pour le prestataire d'accéder physiquement aux terminaux et matériels du réseau de téléphonie de l'entreprise. Aussi, il faudra bien veiller à prévoir qu'une personne de l'équipe administrative dotée d'un minimum de compétences informatiques puisse être en mesure de faire le relais et pré-traiter les différentes demandes d'assistance si une hotline n'a pas été mise en place", prévient le business developement manager chez NextiraOne.

 

	Exemple de configuration pour la mise en place d'une solution d'administration ToIP
		Serveur milieu de gamme (jusqu'à 5 000 utilisateurs)	Serveur haut de gamme (plus de 5 000 utilisateurs)
	Lecteur DVD interne ou externe	Requis	Requis
	Mémoire graphique	128 Mo de mémoire graphique	128 Mo de mémoire graphique
	Ports V24	2	2
	Carte réseau Ethernet 10/100 BaseT	Requis	Requis
	Processeur	2,4 Ghz	3 Ghz
	RAM	1 Go	2 Go
	Disque Dur	40 Go	72 Go
	Contrôleur RAID	NA	Requis (512 Mo de mémoire cache)
	Source : Alcatel-Lucent

 

En savoir plus

 

"Pour des petits projets, inférieurs à 2 000 utilisateurs, la solution d'administration du constructeurs est toujours retenue hormis si des besoins de forte réactivité (par exemple pour une activité de centre d'appels) ont été exprimés. Les grands comptes ont une approche plus globale privilégiant un outil multiconstructeur et gérant le réseau également, ce qui est souvent une deuxième étape après la mise en place de la ToIP", précise Yann Jolivet, manager du pôle d'excellence télécom - Devoteam Consutling.

 

Réalisé par Dominique FILIPPONE, Journal du Net

Publié le 11/04/2011

 

 

Collaboration 2.0 :

des solutions pour développer l'esprit collectif

L'entreprise se met à l'heure du web 2.0 pour susciter et développer le travail collaboratif. Les nouveaux outils, tels que les réseaux sociaux, les blogs ou la messagerie instantanée cassent les anciens espaces collaboratifs pour en créer de nouveaux, plus performants.

 

La rédaction - 01 Informatique

le 19/07/2010 à 15h48

 

L'union fait la force. Pour être plus performante, l'entreprise n'a de cesse d'élargir son écosystème en renforçant la communication entre ses collaborateurs, avec ses partenaires, mais aussi avec ses clients. Tout le monde doit participer. A cette échelle toutefois, les outils de groupware ne sont plus de mise : place à la réunion virtuelle et aux réseaux sociaux !

 

 

Collaboration 2.0 : interaction – De l’échange spontané à la création de contenu

Les réseaux sociaux cassent le formalisme des espaces collaboratifs traditionnels tout en favorisant la production de contenu, y compris à plusieurs. Le partage de documents classique, qui a pris un coup de vieux, doit évoluer vers ce système de coproduction.

La collaboration vit un drôle de paradoxe. D'un côté, elle est de moins en moins centrée sur le document et, sous l'impulsion des réseaux sociaux d'entreprise, se tourne davantage vers les personnes. De l'autre, comme le révèle la dernière étude du cabinet Markess sur la collaboration, la majorité des entreprises attendent des solutions collaboratives qu'elles les aident à créer des docu­ments, et plus généralement des contenus. Pour Arnaud Rayrole, associé fondateur du cabinet de conseil Useo, cette contradiction apparente n'en est pas une : « Les réseaux sociaux d'entreprise font de l'échange et de la discussion entre individus la priorité absolue. Cela peut être mis à profit pour coproduire des contenus, par le biais de commentaires ou d'annotations, par exemple. Résultat, dans les nouveaux environnements de collaboration, les notions d'interaction entre indi­vidus et celles de production documentaire n'ont jamais été aussi imbriquées. »

 

Les espaces collaboratifs traditionnels n'accordent qu'une place minime aux individus. Ceux d'e­Room, de Sharepoint ou de Lotus sont historiquement centrés sur le document. Ils portent en eux la notion de projet et restent de ce fait structurants. Ils exigent de soumettre des autorisations d'ouverture d'espaces collaboratifs, de créer un groupe, d'inviter des participants, de définir des profils et, bien sûr, de respecter les règles édictées par le responsable de l'espace avec, au besoin, des procédures intégrées dans des workflows.

 

Loin de ce formalisme, les plates-formes conversationnelles ciblent les échanges ponctuels, spontanés, impliquant une communauté indéfinie et mouvante. En ce sens, ils ont vocation à se substituer aux courriels dans le cadre de microprojets. « Contrairement aux espaces collaboratifs, où chacun remplit un rôle bien défini, les réseaux sociaux fonctionnent sur des contributions plus instinctives, moins explicites. On déclare sur quoi on travaille, ses goûts, son expertise et les actions réalisées. Et c'est sur cette base que du contenu peut être produit, quelle que soit sa forme : blog, wiki, forum... », indique Jean-François Milasseau, responsable avant-vente chez Open Text, un acteur historique de la colla­boration récemment converti aux réseaux sociaux.

 

Associer réseaux sociaux et espaces collaboratifs

Doit-on pour autant opposer espaces collaboratifs et réseaux sociaux ? Non, car ils se complètent. Ainsi, des échanges déstructurés au sein de blogs ou de wikis peuvent se traduire dans un second temps par une production documentaire plus ordonnée dans un espace collaboratif.

 

Certains éditeurs, comme Jalios, s'essaient même à fusionner les deux mondes, l'idée étant de favoriser les allers-retours entre les phases conversationnelles et les étapes plus rigides de spécification de docu­ments. Dans les faits, l'éditeur français a cherché à recentrer ses espaces collaboratifs sur l'individu : « Là où auparavant seules les dernières modifications sur le document étaient visibles, l'espace affiche aujourd'hui le profil et l'activité des membres de l'espace. En indiquant ceux qui ont effectué une action, initié une discussion, consulté un document, déposé un commen­taire ou une annotation », détaille Vincent Bouthors, PDG de Jalios. Microsoft, lui aussi, veut rapprocher, au sein de la collaboration, document et individu. L'une des avancées de Sharepoint 2010 tient à l'adjonction, au sein de son réseau social (My Site), des tags « social » et « expert ». Le premier décrit des contenus, le second explicite les caractéristiques et les travaux des individus.

 

Au-delà de la vision dite orientée personne, insuf­flée par les réseaux d'entreprise, l'autre avancée de la collaboration documentaire tient à la notion de coproduction de contenu. L'écriture à plusieurs mains est au cœur des wikis. Et on la retrouve désormais au niveau des documents bureautiques. « Dans les espaces collaboratifs, le partage d'un document impose le verrouillage de ce dernier plusieurs heures, le temps qu'une personne effectue ses modifications, rappelle Arnaud Rayrole. A l'inverse, les solutions de coproduction les plus abouties permettent à chacun, en quasi temps réel, d'annoter le document, de l'enrichir avec un Post-it ou un dessin, et dans le cas d'un tableur, de modifier des cellules sur la même feuille de calcul. »

 

Sur le terrain des offres, tous les éditeurs proposent le partage de documents. Une fonction qui n'est plus discriminante. Et c'est logiquement autour de la coproduction de contenus que se cristallise la ligne de front entre les nouveaux entrants de la collaboration et leurs aînés. « Les jeunes éditeurs, comme Socialtext, Zoho ou même Google, conservent une longueur d'avance sur les acteurs historiques, dont l'offre n'est traditionnellement pas hébergée et doit s'adapter à des infrastructures variées », poursuit Arnaud Rayrole. D'un côté donc, on trouve les offres très pointues et facilement déployables de spécialistes. Elles restent aujourd'hui exclusi­vement sur le nuage mais évoluent progressivement vers des approches hybrides (hébergé-déconnec­té). De l'autre côté, se trouvent des fonctions de coproduction documentaire, assurées aujourd'hui par des serveurs d'entreprise (Sharepoint ou Quickr, notamment), mais que les éditeurs veulent rendre accessibles en mode hébergé, à l'instar d'Office 2010, que Microsoft lance en ce moment même.

 

Vieille école contre nouvelle vague

Plus généralement, qu'il s'agisse de coproduction documentaire ou d'espaces collaboratifs agrémentés d'une fibre sociale, les acteurs de la collaboration « old school » opposent à la nouvelle vague d'éditeurs des arguments d'infrastructure. « Lorsque la collaboration est un véritable projet d'entreprise, les contenus générés sont volumineux. Ils méritent alors de s'appuyer sur une base documentaire éprouvée pour être hébergés, puis gérés », explique Denis Garet, directeur chez Avantias, intégrateur, notamment, de la plate-forme documentaire d'EMC Documentum, un éditeur qui vient lui aussi de « socialiser » son offre collaborative. Les spécialistes de la gestion documentaire cherchent ainsi à compenser la jeunesse de leurs réseaux sociaux par leur capacité à référencer et à gérer le cycle de vie des documents issus de la collaboration.

 

L’avis de l’utilisateur : la collaboration d'entreprise souffre de la comparaison avec les réseaux sociaux

Monsieur X, responsable de la gestion de la connaissance et des solutions collaboratives d'une grande entreprise française :

 

« En 2006, mon groupe a enrichi sa GED d'un module de gestion de communautés. L'idée : garantir le partage de documents afin de valoriser des pratiques ou des projets et capitaliser sur le savoir-faire des équipes. Un an plus tard, pour encadrer les bonnes pratiques, certains espaces ont été soumis à des procédures de contrôle par le biais de workflows. Cette phase achevée, le cadre collaboratif a dû être assoupli. Depuis l'année dernière, nous poussons l'usage des forums et des wikis à l'intérieur des communautés, notamment pour la résolution de problèmes sur le terrain. Mais les utilisateurs sont réticents à exploiter ces outils, qui souffrent de la comparaison avec leurs équivalents grand public : la recherche de contenu n'est pas aussi satisfaisante que celle effectuée sur le web et la complexité, ainsi que la rigidité de l'interface, les rebute. Prochaine étape : évoluer vers une collaboration temps réel, multi­canal et sociale afin d'accélérer l'adoption de l'outil, en accentuant le lien entre contenus et individus, et en rendant l'interface plus conviviale. Mais il restera toujours à concilier la liberté de naviguer et les procédures de sécurité nécessaires à la protection des contenus sensibles au cœur de la collaboration. Seule crainte : voir la collaboration professionnelle utiliser les réseaux sociaux publics.
 

Rien de tel pour perdre le contrôle de ses contenus. »

 

Les nouvelles offres de la collaboration documentaire

Usages	Editeurs	Caractéristique
Coédition bureautique en ligne (partage, coédition, suivi de versions de documents bureautique en ligne)	Acrobat.com	D’abord outil de partage, propose également l’édition en ligne collaborative.
	Google Docs	Partage et coédition en temps réel de documents texte, tableurs et diaporamas. Docverse, racheté par Google, permet de réaliser cette coédition en temps réel et de commenter depuis Microsoft Office.
	Zoho Docs	Favorise la création de groupes de travail collaboratif pour la coédition de documents bureautiques, de manière asynchrone.
Coproduction de contenu (wikis évolués centrés sur le contenu, structuré ou non)	Atlassian Confluence	Outil collaboratif et social, visant à remplacer l’intranet de l’entreprise grâce à ses capacités d’édition et de coédition.
	Socialtext	Historiquement outil de wiki, devenu un véritable réseau social d’entreprise proposant des espaces de travail centrés sur la coédition.
	Xwiki	Plate-forme collaborative de gestion de contenu.
Concertation sur le document (annotation sans modification de documents en ligne)	Colaab.com	Propose des espaces de partage et des fils de discussion directement dans la visualisation du document (bureautique ou image).
	Getbackboard.com	Muni d’une interface intuitive, il permet de faire remonter des annotations (commentaires et dessins) sur un document directement en ligne.
Collaboration douce (échanges en amont de la formalisation d’un document)	Bluekiwi	Plate-forme de réseau social servant à développer des usages collaboratifs centrés sur la conversation.
	Seemy	Réseau social alliant, notamment, partage documentaire et conversations.

   

 

 

Ces solutions de nouvelle génération se rajoutent aux espaces collaboratifs plus traditionnels, parmi lesquels Sharepoint (Microsoft), eRoom (EMC), Beehive (Oracle), Quickr (IBM), Teaming (Novell), Nuxeo DM (Nuxeo), Alfresco Share (Alfresco), Social Collaborative Suite (Jalios).  

 

 

 

Collaboration 2.0 : compétences, trouver le bon expert

Blogs, wikis, réseaux sociaux… les outils du web 2.0 facilitent la recherche d’experts. Au-delà d’une liste de compétences, ils apportent des indicateurs de crédibilité, de capacité à communiquer, à collaborer.

 

Pour collaborer autour d'un projet, il faut d'abord trouver les bons partenaires et, surtout, les bons experts. Toute entreprise en compte en interne, souvent sans savoir qu'ils existent. Ainsi, des problèmes peuvent rester en suspens et des idées géniales se voir inexploitées.

 

Aujourd'hui, la plupart des systèmes de référencement des compétences sont conçus de manière centralisée. Or il est difficile de maintenir un annuaire à jour. D'une part, l'entreprise change de manière dynamique, et peu de personnes sont en mesure de suivre ces évolutions.

 

D'autre part, celles qui cherchent un expert via ces systèmes centralisés ont besoin d'un peu plus que de s'enquérir de « qui sait quoi ». Il serait intéressant, par exemple, de pouvoir évaluer des qualités peu tangibles telles que la crédibilité, la capacité à communiquer, la bonne volonté à aider les autres, etc., ce qu'on ne trouve pas sur un annuaire d'entreprise. La solution : les outils web 2.0. Les activités, les partages, les interactions que fournissent les blogs, les wikis et les réseaux sociaux sont autant de repères pour les systèmes de recherche d'experts.

 

Les blogs internes d'entreprise regorgent d'informations et de questions sur les travaux en cours. Ils fournissent ainsi des indications pour identifier les experts dans un domaine particulier. Comme les wikis qui, de par leur nature collaborative, aident aussi à évaluer les capacités d'une personne, à partager ses connaissances et à travailler avec les autres. Les réseaux sociaux, enfin, grâce aux liens de confiance qu'ils tissent et au pouvoir de recommandation, facilitent la découverte d'experts, sur lesquels ils donnent des indications de réputation et de crédibilité.

 

Identifier les bons blogs

Que demande-t-on à un expert ? Les Dr. Nevo, Benbasat et Wand (professeurs aux Etats-Unis) ont sondé les utilisateurs de systèmes de recherche d'experts.

 

Quels sont les critères de recherche d'un expert ? Selon une étude réalisée aux Etats-Unis par les professeurs Nevo, Benbasat et Wand, on trouve, par ordre d'importance, l'étendue des connaissances, la crédibilité, les aptitudes à communiquer, la volonté d'aider, les années d'expérience, le coût de l'expertise et la sensibilisation à d'autres ressources. Un collaborateur qui tient un blog documente et organise son travail, communique directement avec les autres en interne ou à l'extérieur de l'entreprise. Les messages et les échanges postés servent non seulement à évaluer une réputation, mais aussi les capacités de communication. Les collègues intéressés par le sujet postent à leur tour des commen­taires, formant une communauté.

 

S’informer sur les wikis

Ces pages web, éditables par plusieurs utilisateurs, sont devenues très utilisées pour le partage de la connaissance. Dans l'industrie du logiciel, par exemple, les wikis servent d'outil de gestion et de documentation du projet. Mais leur usage va beaucoup plus loin : ils sont une excellente source d'identification d'experts au sein d'une équipe. Le profil d'un membre fournit l'historique des réponses aux questions et aux requêtes. Ainsi, on peut évaluer son expertise, sa pertinence, sa capacité à aider les autres et à communiquer, en un mot, à collaborer. Comme pour le blog, c'est à chacun de se faire sa propre opinion. Inconvénient : ce jugement ne peut se forger qu'en passant beaucoup de temps à explorer les blogs et les wikis et il reste une appréciation personnelle.

 

S’intéresser aux réseaux sociaux

 

Véritable phénomène du web 2.0, les réseaux sociaux donnent la possibilité à leurs membres de rentrer puis de rester en contact avec d'autres personnes via des liens (professionnels, d'intérêts partagés, d'amitié, familiaux...). Ce sont ces liens qui font la valeur de cet outil. Un membre se déclarant expert d'un domaine ne le sera que s'il est reconnu par d'autres experts ou par des personnes qui lui font confiance. Le lien agit comme une recommandation et apporte la crédibilité. Par ailleurs, les réseaux sociaux publics (Viadeo, Linkedin...) servent aussi de CV en ligne. De fait, ils sont de plus en plus utilisés pour le recrutement.
 

La présence de forums, enfin, facilite l'identification d'experts. La dynamique collaborative s'avère la même que dans les blogs, mais elle opère au-delà de la société. Dans la mesure où leur utilisation provient d'initiatives personnelles et non d'une démarche de l'entreprise, trouver une compétence interne via ces outils est plutôt hasardeux. Mais des talents cachés peuvent ainsi émerger parmi ses collègues.

 

Profiter des réseaux sociaux d’entreprise

Reprenant les grands principes du web 2.0, les réseaux sociaux d'entreprise (ou RSE) combinent la gestion de contenu des blogs, la collaboration documentaire des wikis, la mise en relation et le conversationnel des réseaux sociaux et du microblogging. Le RSE est porté par l'entreprise à destination de ses collaborateurs, partenaires et clients, voire au-delà. C'est en quelque sorte un réseau social en extranet. Ces RSE constituent une nouvelle génération d'outils collaboratifs qui définissent des processus d'entreprise issus des réseaux sociaux.

 

Parmi ces processus, le Social KM (pour Knowledge Management, ou gestion des connaissances) et le Social Networking (réseautage) permettent d'identifier des experts. Ici, la gestion des connaissances n'est plus fondée sur la constitution d'une bibliothèque des savoirs, mais sur celle d'un réseau de spécialistes. L'activité d'un membre et son graphe social aident à évaluer son savoir-faire. Le réseautage s'appuie sur l'identité numérique de chaque membre. Celle-ci qui peut devenir réputation, si le membre crée une audience autour de ses activités et de son expertise. Un référentiel étudiant les principales solutions de RSE du marché est proposé par Useo.

 

Le web 2.0, contributif et participatif, centré sur les communautés, entre progressivement dans l'entreprise. C'est sans aucun doute dans les pratiques et les outils collaboratifs que son influence sera la plus bénéfique, notamment pour la recherche d'experts.
 

Ou alors il vous reste l'antique solution du mail à toute l'entreprise : « Qui s'y connaît en [insérer ici le domaine ? Contactez-moi rapidement ! » Bonne chance !

 

 

 

Collaboration 2.0 : découvrez la suite du dossier

 

Les autres sujets traités dans ce dossier Collaboration 2.0 sont :

• Communication – Le virtuel prend le pas sur les réunions physiques

La messagerie instantanée et les conférences audio, web et vidéo sont très appréciées par les collaborateurs distants. La 3D fait son apparition. Un environnement collaboratif ludique à la Second Life devrait séduire les plus récalcitrants.

 

• Productivité – La fièvre web 2.0 gagne les applications métier

Les utilisateurs, rompus aux concepts et aux outils collaboratifs grand public, jugent de plus en plus durement les logiciels métier que l'entreprise met à leur disposition. Les éditeurs d'ERP et de progiciels métier multiplient les développements internes ou les accords pour se mettre à niveau.

 

• Ouverture – Le collaboratif, un ciment pour l'entreprise étendue

En le faisant participer à ses processus, l'entreprise est amenée
à interagir davantage avec son écosystème. L'ouverture touche aussi les clients et les prospects. L'instantanéité et la transparence de la relation sont des plus.

 

 

Nous vous invitons à retrouver le dossier complet dans le numéro 2040 de 01 Informatique en version numérique sur le Kiosque 01.