Spécial sécurité : ordinateurs portables, après deux ans, rien ne va plus

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, décortiquent une récente étude sur la fiabilité des ordinateurs portables. Ou comment la course au prix bas pousse les constructeurs à rogner sur les moindres composants, réduisant d'autant la durée de vie des machines. Egalement au menu : les conseils de l'organisme de certification et de formation Sans sur les priorités absolues du RSSI.

Sommaire

1 - Ordinateurs portables : après deux ans, rien ne va plus

2 - Un serveur sain dans un réseau sain

1) Ordinateurs portables : après deux ans, rien ne va plus

Déprimante étude que celle du britannique SquareTrade. Spécialiste des assurances en « extension de garantie », ce prestataire de services s’est penché sur quelques 30 000 dossiers de sinistres concernant des ordinateurs portables tombés en panne. Après 3 ans d’usage, un tiers des machines étaient défectueuses. Sur ces 30 %, 20 % des systèmes ont succombé à une panne matérielle et seulement 10 % à un dommage accidentel. En d’autres termes, le premier ennemi de l’ordinateur-jetable, c’est lui-même, autrement dit le manque de fiabilité de son électronique.

En examinant les statistiques des pannes, la première constatation qui s’impose, c’est que le taux de panne suit une progression linéaire avec le temps. 7 % la première année, 20 % la seconde, 30 % la troisième… passé 5 ans, les ordinateurs portables de nouvelle génération ont autant de chances de tomber en marche que de demeurer muet. Hors, 5 ans, c’est à peine la durée d’amortissement d’une machine dans le grand public, au sein des TPE/PME et auprès des professions libérales.

Ventilés par constructeur, les résultats montrent que tous les portables ne naissent pas égaux. Champion du bug toutes catégories, HP/Compaq est classé bon dernier, avec 25,6 % de taux de panne sur 3 ans. Le premier du classement, avec « seulement » 15,6 % de taux de mauvais fonctionnement, s’appelle Asus. Asus dont la fiabilité des machines a souvent fait l’objet de remarques désobligeantes de la part de ses concurrents. Second à 0,1 % d’écart, Toshiba, seigneur et maître du domaine et quasi inventeur du portable tel qu’on le connaît. Sony, Apple et Dell occupent les positions suivantes, chaque place accusant en moyenne 1 % de taux de panne en plus. Un important écart de fiabilité sépare ce peloton de tête des autres marques, Lenovo, Acer et Gateway.

Si l’on peut qualifier de lapalissade les métriques prouvant que les portables « haut de gamme » ont un MTBF meilleur que celui des machines d’entrée de gamme, on ne sera pas surpris d’apprendre que la nouvelle vague des netbooks est plus fragile encore.

L’étude ne détaille pas l’origine de ces mauvais fonctionnements, mais un simple coup d’œil sur les stocks des ateliers de maintenance fournit des indications limpides. Souvent, c’est l’alimentation, ou plus exactement la prise mâle ou la prise châssis qui succombent par arrachement. Contre les crocs en jambe traîtreusement tendus par les fils, seuls Microsoft, en équipant les cordons des manettes de ses Xbox de connecteurs d’arrachement, et Apple, avec ses prises magnétiques, semblent avoir trouvé une parade. Pourquoi n’en trouve-t-on pas sur les fils d’alimentation ? Les ventilateurs de CPU et leurs échangeurs sont également des candidats au trépas rapide. Soit par panne du moteur (l’on dirait que les constructeurs recherchent en guise de fournisseurs les OEM les moins chers du continent asiatique) soit par encrassement et obstruction des évents de ventilation, souvent mal conçus. Mauvaise qualité également au niveau des connecteurs internes et des nappes en circuit imprimé souple. Les inverseurs nécessaires au bon fonctionnement du rétro éclairage viennent ensuite ajouter leur lot de malheurs et de pannes thermiques. Combien de portables ont fini dans une décharge parce qu’une pièce de moins de 50 euros trépassait en exhalant une âcre fumée bleuâtre ? A cette liste, on doit ajouter les pannes de disque dur, et enfin le mauvais contact sournoisement camouflé dans les contacts de matriçage de l’écran LCD. Une dalle dont le prix, après deux ans de fonctionnement dépasse généralement la valeur résiduelle de l’ordinateur.

D’un point de vue purement électronique, la majorité de ces pannes pourraient être évitées à moindre frais. Principalement en utilisant de meilleurs connecteurs, en repensant les évacuations thermiques, en ajoutant quelques centimes de silent-blocks. Mais il est vrai que, depuis ces 5 dernières années, le « green IT » est un luxe réservé à une infime minorité de machines (les serveurs), lois de la consommation obligent.

2) Un serveur sain dans un réseau sain

Le Sans publie l’édition 2.3 des « Vingt points de sécurité critiques à contrôler absolument ». Une liste qui change des statistiques alarmistes que les éditeurs émettent à qui mieux-mieux en cette fin d’année. Les « vingt points » du Sans sont un résumé méthodologique qui règlent le « gai informatiser », et dont les points d’entrée évoluent avec les menaces et les changements technologiques. A lire et à respecter, car l’on frise là une approche normative de la protection des SI. Comme chaque année, certains fondamentaux ne changent pas et conservent une place importante. Notamment les deux premiers points de contrôle que sont l’inventaire des matériels et logiciels approuvés ou non dans un parc, suivi immédiatement de la bonne configuration desdits équipements autrement dit, du passage en revue des « configurations par défaut » si dangereuses dans bien des cas. Monitoring, contrôle des accès, restriction des privilèges élevés, ce sont avant tout des conseils portant sur l’administration générale du parc qui forment le socle de cette check-list. Les point les plus à la mode (défense périmétrique, DLP, antimalwares, surveillance des équipements sans fil, tests de pénétration…) ne sont rangés que dans la seconde moitié du classement. De la méthode avant toute chose, et défense sans conscience n’est que ruine du SI.

Pour approfondir sur Administration de systèmes