Cloud Computing: les impacts sur la sécurité réseau

Temps de lecture estimé : 17 minutes

Le recours au Cloud computing implique un renforcement de la sécurité, notamment en matière d’accès et d'infrastructure réseau. La problématique n'est pas simple car l'ouverture à la mobilité des collaborateurs, avec les appareils de leur choix, impose une ouverture et une certaine flexibilité.

01. Vers une « protection fine » des données
02. Cloud public ou privé : une approche différente
03. Classer la criticité des données

Une étude menée à l'occasion de la conférence Infosecurity à Londres, cet été, a confirmé que 85% d'entre eux avaient toujours des doutes sur la collecte et l'hébergement des données sur le Cloud. Le plus étonnant, rapportent les analystes de cette enquête, est que ces responsables constataient cet état de fait, avec résignation, comme par fatalisme, sans mentionner de solutions possibles, sans évoquer, ou à peine, les réponses apportées par les fournisseurs d'offres Cloud…

Ceci est d'autant plus surprenant que 91% de ces responsables SI ont précisé que leur organisation recueillait des données « sensibles ou très sensibles » - certaines de ces données étant soumises aux exigences PCI (confidentialité des cartes bancaires) ou PII (informations personnelles confidentielles).

Pour 74% des managers de sécurité interrogés, la collecte de ces données sensibles s'effectue via un navigateur Web et, pour 27%, à partir de la lecture des cartes bancaires. Enfin, pour 23%, à partir des appareils mobiles (plusieurs réponses étaient possibles).

S'agissant des données sensibles, on est un peu rassuré : presque la moitié des managers interrogés a déclaré qu'ils se fiaient à une approche “data centric” (centrée sur les données) s'appuyant sur du chiffrement et/ou de l'authentification forte. Et 55% ont déclaré recourir au chiffrement et seulement 3% sur une authentification forte.

01. Vers une « protection fine » des données

La tendance nouvelle, dans les déploiements de solutions Cloud, est effectivement de privilégier une « protection fine » des données elles-mêmes notamment grâce à un chiffrement à la source et à une authentification renforcée plutôt que de continuer à ériger des murs de protection à base de “firewalls”, qui risquent toujours d'être débordés, à mesure que l'on s'ouvre à l'extérieur. On voit ainsi se développer des plateformes de sécurité des accès au Cloud (ou Cloud Access Security Protection). Elles impliquent une nouvelle gouvernance et des dispositifs de protection renforcés.

Pour avancer et consolider l’existant, il est conseillé de surveiller les points suivants :

• Evaluation du contrôle et des risques sur le Cloud.
• Expertise sur la gestion des menaces et de la vulnérabilité.
• Solutions ou services sur la prévention des pertes de données, en s'orientant vers la proactivité.
• Expertise sur la gestion de la vulnérabilité.
• Expérience et bonnes pratiques sur les solutions et services d'authentification renforcée.

02. Cloud public ou privé : une approche différente

Par ailleurs, selon que l'on opte pour un Cloud privé, public ou hybride, les responsabilités en matière de sécurité sont différentes :

• Pour le Cloud Public, il appartient aux fournisseurs de donner des garanties et de s'engager sur les dispositifs de sécurité qu'ils ont mis en place. On observera que, selon les tarifs pratiqués, les engagements peuvent varier considérablement. Tous les prestataires d'offres Cloud ne sont pas en mesure de proposer des data centers construits à l’état de l’art, avec une très forte redondance du type ‘dual site’ en réplication actif/actif, à au moins 30 ou 50 km de distance… . La mutualisation des infrastructures de Cloud public continue également à soulever beaucoup de questions s'agissant de l'étanchéité entre les machines virtuelles fonctionnant sur les mêmes plateformes 'hardware'. Mais les préoccupations se sont plutôt déplacées vers la localisation géographique des données: dans quels pays, quelle région sont-elles hébergées ?

• Pour le Cloud Privé : l'entreprise en assume l'entière responsabilité en matière de sécurité ; mais beaucoup de prestataires sécurité peuvent intervenir, y compris en proposant des services managés, ou en effectuant des audits de sécurité, à la fois sur le réseau, le data center et les plateformes de virtualisation. On veillera aussi à simplifier l'exploitation grâce à des outils d'orchestration et d'automatisation efficaces.
• Dans le cas du Cloud Hybride, la sécurité s'avère un dossier important, voir le plus délicat puisque, par définition, il s'agit d'une architecture qui mixe les modèles de Cloud privé et public et qui permet aux applications, et donc aux données, de passer d'un Cloud à l'autre.

03. Classer la criticité des données

Il est donc clair que c'est le niveau de criticité des applications qui est déterminant. On considère généralement que le niveau de criticité repose sur deux facteurs clés : l'impact financier que pourraient avoir tels ou tels sinistres ou incidents sérieux, d'une part, et le degré de probabilité que ces incidents ou sinistres surviennent, d'autre part. Il est donc recommandé de classer les applications sur une échelle de criticité, la plus objective possible, et de partager ces évaluations avec des spécialistes. Ce qui permet alors de déterminer les niveaux de services ou SLA (service level agreements). On en profite aussi pour valider les différents modes d’utilisation en fonction des charges de travail (workloads) et le niveau d'intégration des applications aux diverses autres fonctions de l’entreprise.

En fonction des niveaux de risques ainsi établis, il faut alors proposer des niveaux de sécurité appropriés, donc différents, selon les usages. C'est la bonne voie pour trouver l'équilibre entre une sécurisation indispensable de certaines données et une nécessaire ouverture qu’offre une solution Cloud, notamment pour les appareils mobiles.

Les principales questions à se poser sont donc :

• Où sont hébergées les données ? Comment sont-elles protégées et qui en a la responsabilité ? À noter que, juridiquement et donc contractuellement la responsabilité s'applique nécessairement en cascade si plusieurs prestataires interviennent dans les processus.
• Qui a accès aux données ? Comment sont gérés les privilèges d'accès des administrateurs ? Les autres questions clés concernent la conformité avec les réglementations et les niveaux de services SLA.

Auprès de son fournisseur Cloud, plusieurs points sont à vérifier, et en priorité :

• Quelles sont les règles de sécurité qui s'appliquent ? Quels sont les groupes et les rôles définis parmi les intervenants, avec quelles procédures de contrôle d'accès ? Quelles solutions de chiffrement sont en vigueur et à quelles étapes l’encryptage intervient-il ?
• Le prestataire permet-il d'exporter facilement les applications et les données ? Les procédures pour ces exportations sont-elles écrites dans ses protocoles, ainsi que la réimportation en sens inverse ?
• Comment le fournisseur protège-t-il ses data centers ? Sont-ils certifiés (cf. les normes ISO 27001 et SAS 70 type II) ? Quel est son niveau d'expertise ?
• Comment s'effectue le contrôle d'accès aux serveurs et aux plateformes virtualisées ? Qui a accès ? Avec quels outils ?
• Quelle est l'architecture Cloud mise en place : quelles sont l'infrastructure réseau et ses redondances, comment sont architecturées et sécurisées les plateformes de stockage des données ?

Pour résumer, on retiendra que, quel que soit le soin mis dans la rédaction des clauses contractuelles avec son fournisseur, la responsabilité légale (et pénale) en matière de sécurisation des données revient toujours au donneur d'ordres, donc au chef d'entreprise.

Avec les équipes en place, dont la DSI et la DRH, il revient donc à la direction générale de connaître les lois et réglementations qui s'appliquent, notamment en matière de confidentialité et de localisation de ces données (dans ou hors de l'Union européenne), en matière de sécurisation des paiements électroniques et enfin en matière de droit d'accès par les autorités judiciaires. On reboucle ainsi avec la responsabilité sociale de l’entreprise.

Source : zdnet.fr

Un projet de passage au cloud ? N'hésitez pas à consulter notre page dédiée ou à télécharger notre guide : "Cloud privé, cloud public : quelle solution pour votre entreprise ?"