La sécurité dans le Cloud: une approche fournisseur fondée sur les risques
Le transfert de l’IT dans le ‘Cloud’ entraine-t-il de nouveaux défis dans la sécurisation des données critiques de l’entreprise ? Pas vraiment. Mais, cela demande une très grande vigilance et une mise en place minutieuse.
De nombreuses entreprises
hésitent à transférer leurs données, leurs applications et/ou
processus dans le Cloud du fait des cas de pannes de réseaux et
d’infractions de systèmes qui ont récemment fait la une. Il y a
quelques mois, le réseau Amazon EC2 est tombé en panne, causant
l’indisponibilité durant 3 jours d’un grand nombre de sites
Internet.
Au même moment, Sony Corporation était contraint de
fermer ses services cloud après avoir révélé publiquement qu’un
hacker avait eu accès aux informations privées de plus de 77
millions d’utilisateurs du PlayStation Network en ligne.
Ces incidents poussent à
la fois les experts et les clients à se demander si la sécurité
représente un problème plus important dans le cloud computing
que dans une autre forme d’hébergement. Pas vraiment. Et ce,
même si les différents modèles de services et les technologies
appliquées pour permettre les services cloud introduisent
effectivement de nouveaux risques. Pour une entreprise, opter
pour le cloud computing signifie perdre le contrôle de son
environnement IT, tout en conservant la responsabilité de
celui-ci, même si la responsabilité des opérations est confiée à
un tiers.
En ce qui concerne les
risques, les services cloud ne sont pas plus difficiles à gérer
que les applications traditionnelles dans les centres de données
privés de l’entreprise. Dans les deux cas, le niveau de
protection est identique aux mesures de sécurité prises en
fonction de l’analyse des risques. Cela comprend les mesures
prises pour la sécurité physique, du réseau, du système et de
l’information. Cela peut également entrainer des mesures
supplémentaires, telles que les politiques d’accès et les règles
de conduite des employés et des processus.
La question la plus
importante que toute organisation devrait se poser avant d’opter
pour le Cloud est: "Est-ce que mon fournisseur de cloud est
capable d’égaler ou de proposer bien plus que mon niveau de
protection actuel?"
La rentabilité résultant de l’évolutivité,
l’uniformité et la standardisation, est l’un des avantages les
plus attractifs du cloud computing. Cependant, les fournisseurs
de cloud doivent également offrir des services suffisamment
flexibles pour répondre à la plus vaste clientèle possible, et
par conséquent, les mesures de sécurité sont considérées comme
des contraintes dans l’atteinte d’une telle flexibilité. C’est
la principale raison pour laquelle les fournisseurs de cloud
sont souvent incapables d’offrir le même niveau de sécurité que
celui proposé dans les environnements informatiques
traditionnels.
Si les fournisseurs de
cloud ne peuvent pas offrir des mesures de sécurité fiables, de
solides accords doivent donc être convenus en matière de
responsabilité. Dans les environnements SaaS (Software as a Service),
les mesures de sécurité et leurs champs d’action sont formulés
au travers de contrats. Dans les modèles IaaS (Infrastructure as a Service),
la sécurité de l’infrastructure sous-jacente ainsi que les
couches supérieures, sont sous la responsabilité du fournisseur
IaaS. Le reste de la chaine, tels que les systèmes
d’exploitation, les applications et les données ayant recours à
l’infrastructure, sont sous la responsabilité du client. Le
modèle PaaS (Platform as
a Service) est situé quelque part entre le SaaS et PaaS.
La sécurité de la plateforme fait partie des responsabilités du
fournisseur PaaS; cependant, le client est responsable de la
protection des applications développées sur cette plateforme.
Il est important
d’attribuer des responsabilités en cas d’incidents ou de
catastrophes, comme nous avons pu le constater lors des pannes
du réseau Amazon EC2. Dans ce cas, il n’y avait pas de serveurs
de sauvegarde redondant sur site distant pour maintenir les
opérations. Il n’y avait pas non plus de système de basculement
(fail-over) pour
transférer temporairement les services vers un autre fournisseur
cloud. L’exemple d’Amazon montre qu’il est important de se
prémunir contre tous types de risques. Bien sûr, cela ne
s’applique pas seulement aux fournisseurs de cloud, mais aussi
aux entreprises, qui devraient prévoir de tels risques.
La sécurité réseau
Si la sécurité de l’IT
dans les centres de données privés exige des règles et des
mesures strictes, il en va de même pour le Cloud. Les réductions
de coûts d’une application SaaS sont sans valeur si les données
et la réputation de l’entreprise sont compromises. Le
fournisseur de cloud doit garantir la sécurité du Cloud, mais
également celle du réseau et de l’environnement physique. Il est
donc important de choisir un fournisseur de cloud ayant des
antécédents professionnels et une expertise solides, mais
également, proposant les meilleures solutions en matière de
sécurité réseau et de sécurité du système d’exploitation.
Celui-ci devrait également être en mesure de démontrer que tous
les risques de sécurité ont été évalués et jugés acceptables,
que la protection du système a été testée, et que les menaces
peuvent être contrôlées ou évitées. En outre, il est important
d’évaluer comment le fournisseur de cloud réagit face aux
incidents. Par exemple, y a-t-il un centre des opérations de
sécurité (SOC) mis en place?
Enfin, la sécurité réseau
devrait protéger tous les points d’accès virtuels du cloud. Les
fournisseurs de cloud doivent employer des règles et procédures
de sécurité bien managées pour bloquer les attaques. Ils
devraient également être en mesure de rechercher et d’arrêter
les menaces émergentes avant que celles-ci ne représentent un
véritable danger.
La sécurité physique
En informatique
virtuelle, il n’est plus possible d’envisager des mesures de
sécurité physiques. Toutefois, si un fournisseur de services
offre un support externe via des services de centres de données,
des services gérés ou un service cloud, il est impératif
d’évaluer quelles sont les mesures de sécurité physiques prises
au sein du site où les données sont hébergées. Y a-t-il des
portes d’accès installées, y a-t-il une surveillance mise en
place ? Il est également recommandé de choisir un fournisseur de
cloud qui assure des mesures de sécurité physiques selon les
certifications SAS 70 ou ISO 9000.
L’ingénierie sociale est
en hausse, car il s’agit là d’un moyen parfait pour accéder aux
périmètres de sécurité physiques ou réseaux. Des individus
tentent d’obtenir la confiance des employés par téléphone ou en
personne pour accéder aux centres de données ou en persuadant
les employés de partager les informations qu’ils pourront
ensuite utiliser pour pirater les systèmes de données.
Par
conséquent, en plus des mesures techniques, le fournisseur de
cloud doit définir et faire mettre en application des règles de
conduite et des directives de comportement pour les employés. Un
excellent moyen de tester la conformité de ces règles est
d’embaucher un ‘hacker éthique’, qui tentera d’accéder à des
environnements physiques et numériques pour le compte du client.
Lorsque l’on pense à la
sécurité physique, il est également conseillé d’examiner les
solutions spécifiques que le fournisseur de cloud a mis en place
pour la récupération des données dans le cas d’un sinistre. Où
les données sont-elles stockées quand elles ne sont pas
utilisées ? Est-ce que les données sont encryptées et disponibles
sur un site distant redondant ?
La zone d’ombre
L’une des
caractéristiques du cloud computing est que plusieurs
utilisateurs tirent profit de la même application ou matériel.
Cet environnement dit ‘mutualisé’ implique que les informations
de plusieurs entreprises sont contenues dans un seul système
physique. Il est donc essentiel de s’assurer que les systèmes
soient segmentés correctement et que leurs données et
applications soient bien séparées les unes des autres.
Cependant, les environnements virtuels fonctionnent différemment
des serveurs traditionnels. Ces derniers surveillent tout le
trafic sur le champ, par le biais d’un commutateur ou d’un
routeur Ethernet physique. Dans un environnement virtuel, les
données sont transmises par le biais d’un adaptateur virtuel,
sans jamais passer par un appareil physique. Cela crée une zone
d’ombre dans la communication entre le centre de données et
l’utilisateur final, et par conséquent un problème de sécurité
potentiel.
La mise en place d’une appliance de sécurité physique
ou virtuelle entre le fournisseur de cloud et l’entreprise
privée peut s’avérer être une solution intelligente, car cela
permettra de fournir la bonne combinaison de performances et de
contrôle à travers les flux du trafic.
En conclusion, il y a de
nombreuses façons d’aborder le Cloud: via les modèles de
services SPI (Software-as-a-Service, Platform-as-a-Service, of
Infrastructure-as-a-Service), le cloud public versus privé,
l’hébergement interne versus externe, ainsi qu’un grand nombre
de solutions hybrides. Compte tenu du nombre d’options, il n’y a
pas de liste standard de mesures de sécurité qui couvre tous les
événements possibles de façon exhaustive.
Donc, avant de s’engager dans le Cloud, les entreprises devraient adopter une
approche basée sur les risques et être sûres que les mesures de
sécurité nécessaires n’entravent pas l’efficacité et la
rentabilité attendues des solutions de cloud.