Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Informatique dans le nuage sécurisée (« Made in Suisse »)

février 2014 par Marc Jacob

Un fournisseur de service dans le nuage suisse assure des connexions sécurisées à l’aide de SecurAccess, en assurant ainsi pour ses clients une protection contre le vol d’identité et de données au moyen de la technologie d’identification forte.

Jusqu’à présent, l’informatique dans le nuage n’a connu qu’un succès partiel en Europe. L’un des obstacles auxquels elle est confrontée est le grand éventail de diverses règlementations et de lois en vigueur concernant la protection des données nationales. Les scandales liés aux données de l’année dernière ont également confirmé le scepticisme général engendré par le traitement négligent du problème de la protection des données. C’est dans ce contexte que Vito Critti et Sascha Carroccio ont voulu faire une différence et ont établi la société swiss cloud computing ag, basée à Cham dans le canton de Zug. L’objectif de la société est de combiner les attributs positifs de l’informatique dans le nuage aux normes de sécurité élevées européennes.

Infrastructure IT entièrement basée dans le nuage

La société suisse et son personnel proposent des solutions relatives au SaaS (modèle SaaS), IaaS (Infrastructure comme service), DaaS (Desktop as a Service) et la sauvegarde dans le nuage depuis ses centres de traitement de l’information à Zurich et Genève. Les petites et moyennes entreprises de Suisse et en fait de toute l’Europe peuvent stocker virtuellement leurs données et leurs applications ici, tout en pouvant également y accéder de manière flexible et en déplacement. La société a rapidement obtenu plusieurs clients importants et a configuré ses capacités afin d’accomplir une croissance suprarégionale considérable. Le modèle commercial de la société spécifie que les clients peuvent choisir entre un modèle d’application et un modèle de bureau. Qu’il s’agisse de graphiques jusqu’à Office ou même d’un serveur Windows complet ou d’une base de données SQL intégrale, les clients du fournisseur de service dans le nuage suisse peuvent se procurer leur IT depuis le nuage et ne payer que ce qu’ils utilisent réellement.

Le cybercrime version 2.0 nécessite une informatique dans le nuage sécurisée version 2.0

Le battage médiatique autour de l’informatique dans le nuage a été intensifié non seulement par l’affaire d’espionnage, mais aussi en raison de la croissance du cybercrime déclenché par des logiciels malveillants plus avancés. Les outils criminels qui ont vu leur popularité augmenter sont les soi-disant attaques de l’homme du milieu, les enregistreurs de frappe, le hameçonnage, les e-mails de hameçonnage ciblé, ainsi que le reniflage. Le vol d‘identité est particulièrement florissant sur Internet. Si les sociétés souhaitent utiliser les services dans le nuage et leurs employés accèdent à ces services à partir de réseaux sans fil non sécurisés, il existe un risque que les pirates informatiques puissent espionner les utilisateurs et copier leurs identifiants de connexion. Les pirates peuvent se connecter en même temps et voler ou manipuler les données téléchargées dans le nuage. Le souhait d’une sécurité renforcée a entraîné des directives stipulant que les mots de passe doivent être aussi longs que possible, doivent être composés de lettres, nombres et de caractères spéciaux et ne doivent pas ressembler aux cinq derniers mots de passe utilisés. Toutefois, ceci a pour conséquence l’inscription sur des notes post-it de mots de passe compliqués, qui deviennent ainsi librement accessibles. À ce titre, l’utilisation d’un deuxième jeton propose une méthode alternative d’identification.

Des exigences strictes concernant la sécurité et la flexibilité pour l’accès à distance

Sascha Carroccio, DPT et cofondateur de swiss cloud computing ag, s’est immédiatement mis à la recherche d’une solution de sécurité fournissant des connexions hautement sécurisées afin de satisfaire les besoins et la philosophie du fournisseur suisse de services dans le nuage. Vito Critti, PDG et également cofondateur de swiss cloud computing ag, résume la situation d’origine : « Nous souhaitions proposer à nos clients deux options d’accès ; un accès standard utilisant un mot de passe et un accès à sécurité maximum utilisant une méthode de connexion avancée avec un numéro d’identification supplémentaire par SMS. » Le besoin d’une connexion hautement sécurisée était une question importante dès le début. Un grand nombre des sociétés qui utilisent les services du fournisseur basé à Cham ne peuvent enregistrer les données dans le nuage que si le fournisseur répond à des politiques de conformité rigoureuses. De nombreuses banques et compagnies d’assurance doivent également se conformer aux exigences spécifiées par l’Autorité fédérale de surveillance des marchés financiers (FINMA), ainsi qu’à celles associées à la continuité des activités. Par conséquent, les deux cofondateurs voulaient une solution qui répondait aux normes de sécurité actuelles, pouvait faire face aux défis de l’avenir et se conformait à toute la législation pertinente en matière de protection des données en Suisse, ainsi que dans le reste de l’Europe. Il est rapidement devenu évident que l’authentification forte avec SMS représentait la solution idéale pour assurer un haut niveau de sécurité lors de la connexion dans le nuage. Toutefois, il n’y avait que quelques fournisseurs sur le marché qui étaient en mesure de répondre à des exigences aussi rigoureuses.

La phase pilote a levé les doutes restants

« En tant que fournisseur de service dans l’environnement du nuage, nous avons recherché une solution flexible et à l’épreuve de l’avenir qui assurait des connexions hautement sécurisées, » explique Sascha Carroccio, DPT de swiss cloud computing ag. Les critères additionnels comprenaient l’indépendance de carte SIM relative au périphérique et au serveur. Lors de l’événement World Hosting Days 2013 à l’Europapark de Rust, Carroccio a rencontré Erich Kronfuss, directeur de la filiale autrichienne de ProSoft Software Vertriebs GmbH, pour parler des possibilités offertes par la solution d’authentification forte de SecurAccess élaborée par SecurEnvoy. Le logiciel de gestion d’identité a fait une première impression excellente. Suite à des discussions intenses avec M. Kronfuss et une phase pilote réussie, la société suisse a donc opté pour SecurAccess. La solution propose un éventail de canaux de transmission pour l’identification numérique à six chiffres, telle que l’identification par SMS, l’application de jeton virtuel ou l’identification par e-mail. En outre, pour le DPT, le fait que ProSoft ait fourni un service et une assistance de qualité pendant toute la période d’évaluation, par exemple concernant l’intégration du portail SMS, a représenté un facteur important. « Sur la base de nos expériences, il est clairement apparu dès le début que la transmission par SMS serait le canal de choix pour nous, parce qu’il s’agit de la méthode de communication la plus pratique et la plus familière. Nos clients utilisent nos services parce que nous sommes en mesure de répondre à leur souhait de flexibilité et de mobilité. L’acquisition de matériel coûteux supplémentaire pour générer les numéros d’identification n’était donc pas une option possible. L’authentification forte utilisant les SMS est déployable, présente un modèle de tarification concurrentiel, assure la continuité de l’activité et convient parfaitement à notre mission de qualité, de transparence et de sécurité », explique Sascha Carroccio.

Le meilleur du nuage et du BYOD (« apportez vos appareils personnels ») se combine pour fournir une gestion sécurisée de l’identité

Outre l’installation simple et rapide, une fonction impressionnante de la solution d’authentification forte est le fait qu’elle fonctionne avec tous les appareils et toutes les cartes SIM. Ceci a conclu l’affaire pour swiss cloud computing ag et a décidé la société à se procurer ses premières licences et à débuter le déploiement en septembre. La méthode d’authentification fonctionne ainsi : les utilisateurs des sociétés qui utilisent la méthode d’accès hautement sécurisée reçoivent des soi-disant mots de passe à usage unique (« OTP – one time password »), qui sont envoyés par SMS sur leur téléphone mobile à fonction Internet ou smartphone. À ce titre, peu importe quel fournisseur procure le contrat de téléphone mobile ou auprès de quel fabriquant l’appareil a été acheté. Avec ce mot de passe à usage unique, qui est transmis à l’aide d’un cryptage AES 256-bits, le personnel peut se connecter sur la plateforme dans le nuage. La sécurité de la solution vient du fait que les mots de passe ne sont valides que pendant une session, c.-à-d. une action de connexion et doivent être remplacés par un nouveau mot de passe pour chaque session ultérieure. « L’utilisation de numéros d’identification pré-générés est une méthode permettant de gagner du temps. Toutefois, notre expérience nous a révélé que seuls quelques clients souhaitent procéder ainsi et beaucoup d’entre eux jugent ceci trop difficile, » déclare Sascha Carroccio.

Nouvelles technologies pour une nouvelle génération

15 sociétés sont désormais prêtes à utiliser la procédure de connexion hautement sécurisée sur la base de la solution d’authentification forte sans jeton. Sascha Carroccio veut par conséquent poursuivre l’utilisation de cette approche. « Nous sommes très satisfaits des premiers mois d’opération et le retour de nos clients est également très positif ; par conséquent, nous achèterons d’autres licences très bientôt. » Il est également possible que la nouvelle méthode « One Swipe » proposée par SecurAccess soit introduite si les clients demandent à utiliser cette technologie. Avec cette approche, un code QR peut être utilisé pour l’authentification afin de fournir une connexion sécurisée et sans heurts, même si l’utilisateur est hors ligne, c.-à-d. n’a pas de connexion Internet. « La solution d’authentification forte nous a vraiment impressionnés en termes de sécurité et de flexibilité et a entièrement répondu à nos attentes dès le début ; par conséquent, nous poursuivrons nos investissements dans cette technologie au cours des années à venir », déclare Sascha Carroccio à propos du futur.

Le meilleur de l’informatique dans le nuage et du BYOD

Depuis ses centres de traitement des données à Zurich et Genève, proposant des services SaaS, IaaS, DaaS et de sauvegarde dans le nuage, la société swiss cloud computing ag, basée à Cham en Suisse, assure la déployabilité et la sécurité des investissements de l’infrastructure IT. Les entreprises suisses des secteurs bancaires, de l’assurance et pharmaceutiques figurent déjà parmi les clients dont les employés utilisent quotidiennement les applications de l’environnement dans le nuage de ce fournisseur de service dans le nuage. Pour les clients avec des exigences de sécurité spéciales, le fournisseur a mis en œuvre la solution d’authentification forte SecurAccess afin d’assurer des procédures de connexion sécurisées.




Voir les articles précédents

    

Voir les articles suivants