Cloud Computing : la sécurité en 2011

Tandis que toujours plus d’entreprises adoptent le cloud computing, cinq domaines clés associés devraient faire l’actualité en 2011.

En 2010, le cloud computing a été sous les feux de l’actualité. Les avantages de l’informatique basée sur un modèle de service partagé commencent à se concrétiser et les fournisseurs offrent des solutions viables qui délivrent de véritables avantages. Désormais, les entreprises comprennent le concept de cloud computing et commencent à le transformer en réalité en faisant migrer leurs applications et leurs infrastructures informatiques vers le cloud. Malgré un taux d’adoption en augmentation, le cloud présente toujours un certain nombre de défis dont celui, majeur, de la sécurité. À l’aube de 2011 et tandis que toujours plus d’entreprises adoptent le cloud computing, cinq domaines clés devraient faire l’actualité.

1) La sécurité comme facteur de différenciation entre les solutions dans le cloud

Maintenant que les entreprises sont prêtes à adopter le cloud computing, les fournisseurs de cloud vont travailler dur pour démarquer leurs solutions. Il faut s'attendre à ce que la sécurité intégrée devienne un facteur de différenciation au moment où les fournisseurs cherchent à offrir davantage de valeur à leurs clients. Après tout, l'un des principaux avantages du cloud computing pour les entreprises est que le fournisseur de cloud offre des solutions simplifiées et performantes plutôt que complexes et coûteuses comme c'était auparavant le cas. Sachant que la sécurité est un problème sensible et que sécurité et conformité sont souvent des problèmes complexes et coûteux pour les entreprises, les fournisseurs vont ajouter la sécurité à leurs offres.


2) Cibler les équipements mobiles

Les pirates et consorts impliqués dans d'autres activités malveillantes s'appuieront toujours sur les tendances porteuses afin de trouver les moyens les plus commodes pour dérober des données ou prendre le contrôle d'actifs informatiques. C'est d'ailleurs ce qui s'est passé en 2010 avec l'augmentation du nombre et la sophistication des attaques malveillantes destinées à exploiter l'utilisation d'applications fournies via le Web.

Alors que de plus en plus de personnes utilisent des équipements mobiles pour accéder à des applications d'entreprise, les pirates cibleront ces équipements pour mener leurs attaques. Même s'il est prévisible que de nouvelles solutions de sécurité seront intégrées à des équipements mobiles, il faut s'attendre à ce qu'une faille de sécurité importante expose au grand jour les lacunes de la sécurité mobile avant que nous envisagions de trouver une solution.


Voici quelques scénarios possibles.


1) Une sauvegarde dans le cloud probablement non sécurisée et des données hautement confidentielles sur des équipements mobiles. Voilà une interdépendance intéressante liée à l'utilisation de nombreux services dans les nuages sur des équipements mobiles avec différents modèles de sécurité et hypothèses possibles. Mais un fournisseur de cloud piraté pourrait alors faciliter un accès massif à des données confidentielles stockées sur un équipement mobile lors de l'utilisation d'un équipement mobile dans le cloud par un collaborateur nomade.


2) La perte ou le vol d'équipements mobiles (événement hautement probable) pourrait fournir un accès racine aux services et données dans le cloud. Les applications mobiles fournissent souvent un accès direct et automatisé aux services et données dans le cloud. Le vol de l'équipement mobile d'un administrateur peut représenter une menace majeure pour des données hautement confidentielles, voire pour les services dans le cloud administrés par une telle personne depuis un équipement mobile non sécurisé. (Les équipements mobiles intègrent notamment des applications de prise de contrôle à distance.)

3) Le téléchargement d'applications mobiles infectées (avec une très large distribution possible sur une très importante base d'équipements mobiles). Nombreuses sont les menaces probables pour les données mobiles et pour l'accès aux services dans les nuages via des applications mobiles infectées.


4) Vers/botnet mobile (menaces de type preuve de concept sur téléphones Symbian, iPhone et Android) permettant même de refuser certains services dans les nuages. Par exemple http://downloadsquad.switched.com/2010/03/11/8000-iphone-and-android-devices-hacked-to-form-a-botnet/



3) Nouvelles normes et exigences de sécurité
 

La demande des clients et les contraintes réglementaires obligeront les fournisseurs de cloud à modifier les normes de reporting destinées aux clients. Au fur et à mesure, ces mêmes fournisseurs reconnaîtront l'intérêt de migrer vers un reporting normalisé. Cependant, en attendant que ces normes soient définies, les fournisseurs de cloud continueront de s'appuyer sur les rapports SAS-70 et les certifications ISO.


Dans la mesure où les entreprises évalueront la sécurité au moment de choisir des services dans le cloud, les normes les aideront beaucoup à évaluer le niveau de sécurité du stockage de leurs données. Les utilisateurs du cloud continueront de s'appuyer sur leurs processus existants pour évaluer la conformité des fournisseurs dans le cloud en matière de sécurité. Mais ils commenceront aussi à s'intéresser à certains organismes majeurs qui élaborent des recommandations et des normes, notamment, mais pas seulement, la Cloud Security Alliance (CSA), ENISA, Common Assurance Maturity Model (CAMM) et FEDRAMP.


Les fournisseurs de cloud verront l'intérêt d'adopter une approche normalisée du reporting. Mais en attendant que ces normes soient définies, ces mêmes fournisseurs continueront de s'appuyer sur les rapports SAS-70 et les certifications ISO.La demande des clients et les contraintes réglementaires obligeront ces fournisseurs à modifier le mode de reporting pour les clients.



4) Certifications et outils d'évaluation

Aujourd'hui, des normes et des recommandations sont en cours de définition, notamment via la CSA et davantage d'intérêt sera porté aux certifications en 2011.Un certain nombre de discussions verront le jour concernant la nécessité de certifier les fournisseurs dans le cloud.


En 2011, les entreprises commenceront également à évaluer plus activement la sécurité de leurs fournisseurs dans le cloud. Même si certains outils existent déjà, il est probable que davantage d'outils seront disponibles pour les utilisateurs du cloud. Aujourd'hui, certains outils permettent à ces utilisateurs de remplacer les tableurs existants pour dresser une liste de questions destinées à leurs fournisseurs dans le cloud. D'autres outils permettent d'évaluer la conformité de la sécurité réseau d'un fournisseur. En outre, les utilisateurs du cloud adopteront des outils pour rationaliser leurs processus existants et auditer en permanence leurs fournisseurs dans le cloud tout en consolidant les informations pour avoir une vue globale des risques liés à leurs fournisseurs.


5) Communication proactive en matière de sécurité

Sur le marché de la sécurité, la question de la gestion de la sécurité implique généralement des personnes, des processus et de la technologie. Comme indiqué plus haut, certains fournisseurs travailleront certainement avec des entreprises pour résoudre des problèmes spécifiques au Cloud, sachant que les personnes et les processus auront besoin d'aide.


Ceci s'avère particulièrement vrai pour la consumérisation de l'informatique, les personnes souhaitant utiliser leurs propres équipements mobiles pour accéder aux données de l'entreprise via le Cloud. Même si les avantages liés à ce choix semblent infinis en matière de productivité, une communication proactive avec les employés s'imposera pour protéger le réseau de l'entreprise dans son ensemble. Cette communication pourrait notamment intégrer une procédure proactive à suivre en cas de perte d'un smartphone, de vol d'un ordinateur portable ou pour actualiser un navigateur afin de réduire les risques d'infection malveillante.


Tout compte fait, 2011 promet d'être une année riche en défis pour l'adoption du cloud computing. Je pense qu'avec le soutien de l'industrie, la sécurité évoluera l'année prochaine et permettra d'utiliser ces nouvelles technologies passionnantes en toute sécurité.