La sécurité du Cloud : mieux vaut s’y préparer que de se laisser surprendre !

Exposition des données sur Internet, fuite d’information sur des infrastructures partagées, intrusion avec effets collatéraux… Le manque de préparation affaiblit la sécurité du cloud, qu’il soit privé ou public.

Les bénéfices du cloud computing d’un point de vue opérationnel et économique sont nombreux : évolutivité et flexibilité, rapidité de mise en œuvre, faibles coûts d’investissement, service à la demande, paiement à l’usage… Mais quand vient la question de la sécurité, un certain nombre d’interrogations sont soulevées. Les risques encourus par l’entreprise sont-ils bien maîtrisés et en rapport avec les bénéfices attendus ? Exposition des données sur Internet, fuite d’information sur des infrastructures partagées, intrusion avec effets collatéraux… ces risques dépendent du type de cloud computing choisi mais une chose est sûre : le manque de préparation affaiblit la sécurité du cloud, qu’il soit privé ou public.

Des questions à se poser et plusieurs choix possibles
Selon le Gartner, outre la viabilité du fournisseur et la maturité des offres, la sécurité est le principal frein du passage au cloud computing. Toutefois, même si les failles de sécurité liées au cloud sont bien réelles, elles ne sont pas une fatalité ! Mais avant de se lancer,  il est essentiel de se poser les bonnes questions : quelle politique et quelles règles de sécurité sont applicables à "mon" cloud ? Quels sont les moyens dont je dispose pour assurer la disponibilité des ressources ? Qui garde le contrôle ? Quelles sont les garanties de protection de la plate-forme exposée ? La sécurité de mes données est-elle optionnelle ou incluse dans le prix ?...

Le cloud computing n'est pas monolithique : on distingue traditionnellement le SaaS ([1]), le PaaS ([2]) et l'IaaS ([3]). Dans chacun des cas, le niveau de contrôle conservé par le client est différent, laissant ainsi un choix parmi les modèles de service.  De plus, qu'il s'agisse d'un cloud privé (dédié à une seule entreprise), public (mis à disposition de plusieurs clients) ou encore communautaire (infrastructure partagée entre entités dont l'objectif est le même), là encore, un choix se présente. Restent encore le choix des informations et services éligibles ou non au cloud computing, le choix des mesures de sécurité additionnelles à mettre en œuvre, le choix du fournisseur entre spécialiste du cloud computing et éditeur ayant transformé son offre...
Et maintenant, je fais quoi ? Le cloud computing tiendra ses promesses si et seulement si les étapes dédiées à appréhender la sécurité du cloud sont respectées.

Appréhender la sécurité dans un projet de cloud computing : une nécessité !
Quatre étapes sont à considérer pour assurer la prise en compte de la sécurité dans un tel projet :

1. Une vision et une stratégie basée sur les risques
Dès les premières réflexions de cadrage, il est capital de mener une analyse de risques qui permettra d'orienter les décisions relatives au périmètre et au type de service de cloud computing. Il s'agit d'identifier les enjeux en partant du métier de l'entreprise, de classifier les informations concernées, d'analyser le cycle de vie de ces informations, d'identifier les mesures de sécurité et d'en déduire le risque résiduel en termes de probabilité et d'impact. Sur cette base, il sera possible d'intégrer les coûts de la sécurité dans le business case global, d'objectiver les choix en lien avec l'appétit de l'entreprise pour la prise de risque et finalement de retenir le périmètre pour lequel l'équilibre entre les coûts et la valeur est optimisé.

2. Une architecture et une intégration de la sécurité
Ensuite, les solutions techniques adaptées à l'environnement de cloud computing doivent être étudiées pour réduire les risques identifiés et intégrer ces solutions au reste du système d'information. Les mécanismes de sécurité doivent être cohérents entre l'environnement dédié à l'entreprise et celui du cloud. Idéalement, ils devraient être gérés globalement. A ce jour, l'interopérabilité des offres du cloud reste à établir. Une chose est sûre, l'architecture de sécurité doit aborder au moins les sujets suivants :

- La gestion des identités, des habilitations et des accès,
- Le cloisonnement des services et le nettoyage des supports (destruction des données),
- Le contrôle d'intégrité des configurations,
- La confidentialité et l'intégrité des données avec la gestion des clés de chiffrement éventuelles,
- L'archivage,
- La haute disponibilité et le secours informatique,
- L'imputabilité des actions et l'administration des preuves.

3. Une gestion du changement sous contrôle
Une fois les risques jugés à un niveau acceptable, le changement doit être accompagné pour s'assurer que la sécurité est bien prise en compte notamment dans le contrat avec le fournisseur. Dans un projet de cloud computing, il est crucial de bien définir les rôles et responsabilités de chacun tant au niveau du fournisseur que du client, de s'entendre sur des niveaux de service sans oublier les aspects de sécurité et de s'assurer que les moyens d'assistance seront bien disponibles en cas de crise. Les contrats doivent permettre la mise en place d'une gouvernance efficace et identifier clairement les moyens de recours pour notamment assurer la réversibilité et ce, même en cas de défaillance du fournisseur.

4. Une gouvernance et une assurance sécurité
Enfin, l'assurance de la sécurité doit être adressée de manière permanente tout au long de la vie du service. Même si une entreprise confie certaines activités à un fournisseur de services cloud, elle reste responsable de la sécurité de ces activités vis-à-vis des organismes de régulation, de ses lignes métier, de ses actionnaires, de ses clients et de ses partenaires.

La surveillance opérationnelle de la sécurité, la gestion des événements et incidents de sécurité, le reporting périodique sur la base de métriques définies doivent permettre de développer la confiance nécessaire entre le fournisseur et son client. L'efficacité des mesures de sécurité doit être contrôlée et des garanties doivent être obtenues sur la manière dont l'environnement est nettoyé avant réutilisation et dont les données sont détruites. La certification du système de gestion de la sécurité de l'information - ISO 27001 - du fournisseur n'est pas la réponse à tous les besoins d'assurance mais elle offre la garantie d'une certaine dynamique autour de la sécurité.

Améliorer la sécurité de mes données grâce au cloud computing... C'est pour demain ?
Et si le cloud computing permettait aussi d'améliorer la sécurité ? Et si les attraits du cloud computing devenaient un plus pour la sécurité ? Qui n'a jamais rêvé de projets de sécurité menés à terme tels qu'une authentification forte généralisée qui protège le poste de travail, permette les accès distants, n'expire pas sans raison, dispose d'une solution de secours, évite des appels au helpdesk... ?

Et si la solution était "Security as a Service" ? On peut s'attendre à voir fleurir des offres en matière de sécurité hébergées dans le cloud, par exemple :
- "Identity as a service" : provisioning automatique des identités puis authentification unique en ligne pour accéder à différents services.
-  "Log as a service" : collecte et analyse de logs en ligne par des outils et équipes spécialisées.
- "Signature as a service" : signature de documents en ligne avec horodatage et éventuellement notarisation ; contrôle de signature.
-  "Secure storage as a service" : stockage en ligne avec garantie de redondance et moteur de chiffrement en ligne.

Certes, le stockage sur Internet de secrets d'état n'est probablement pas pour demain mais la flexibilité apportée par le cloud computing ne tardera pas à séduire les directions informatiques, les lignes métier à la recherche de réactivité ou même les directions générales avides de réduire leurs capitaux immobilisés. Le Gartner prévoyait fin 2009 ([4]) que, d'ici 2012, 20 % des entreprises ne posséderaient plus d'équipement informatique !


[1] Software as a Service
[2] Platform as a Service
[3] Infrastructure as a Service
[4]. Gartner's top predictions for IT organizations and users and beyond : a new balance, Gartner, Inc., Daryl C. Plummer, 29 décembre 2009