Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Repérimétrisation, consumérisation et cloud computing : trois tendances fortes qui poussent le marché de la sécurité

février 2011 par Emmanuelle Lamandé

A l’occasion des Microsoft TechDays, Cyril Voisin, Chef de programme Sécurité de Microsoft France, dresse un état des lieux du marché de la sécurité et de la stratégie Microsoft. Pour lui, trois tendances fortes agissent aujourd’hui sur la sécurité : la repérimétrisation, la consumérisation et le cloud computing.

Pour Cyril Voisin, toute la sécurisation doit aujourd’hui être concentrée au niveau du Data Center. Il faut sécuriser son réseau en le considérant comme hostile, et comme si chaque utilisateur se trouvait à l’extérieur. La politique de sécurité doit être basée sur les identités, donc sur l’utilisateur.

Il distingue quatre axes de travail pour la repérimétrisation :
- Les identités fédérées : se baser sur l’identité de l’utilisateur et réduire au maximum le nombre de « login/ password » utilisés
- Les communications sécurisées : authentification mutuelle des machines de bout en bout, séparation logique et dynamique du réseau
- La protection des terminaux : conformité, chiffrement du disque (NAP, IPsec, …)
- Enfin, la protection des données : on ne protège plus les données là où elles se trouvent, mais la donnée en tant que telle.

En ce qui concerne la consumérisation, nous assistons depuis quelques années à l’émergence de nouvelles technologies chez les particuliers (smartphones, tablettes, ordinateurs domestiques) qui se diffusent ensuite dans les entreprises. Cette convergence entre l’informatique en entreprise et le grand public pose inéluctablement de nouveaux enjeux en termes de sécurité.

C’est également le cas du cloud computing. En effet, malgré les intérêts indéniables qui poussent les entreprises à s’orienter de plus en plus vers les nuages, un certain nombre de nouvelles problématiques émergent pour les équipes sécurité :
- Les informations sont sous le contrôle de votre fournisseur de cloud computing.
- Avec le cloud computing, le système d’information ne peut pas être exploité de la même manière. Il nécessite donc un certain nombre de changements, y compris une réorganisation au sein de l’entreprise.
- Les données sont stockées de manière centralisée dans un Data Center et gérées de manière uniforme. Cet aspect soulève un certain nombre de problématiques, notamment en ce qui concerne le respect de la vie privée, la souveraineté, l’analyse post-mortem. Ces Data Centers deviennent également des cibles privilégiées pour les criminels. Les attaques risquent, en effet, de se focaliser en un point donné.

Avant de se lancer dans le cloud, il faut mettre d’équerre la partie identité au sein de son entreprise

Pour Cyril Voisin, le cloud computing nécessite donc quelques points de vigilance en termes de sécurité :
- La conformité et la gestion des risques restent votre devoir, en interne, et non celui de votre fournisseur. Une équipe doit donc y être dédiée.
- Le fournisseur doit être transparent. Toutefois, ce dernier ne pouvant pas être audité, il est donc préférable de se tourner vers des prestataires certifiés.
- En ce qui concerne la gestion des identités et des accès, il conseille de partir autour de « claims », c’est-à-dire de revendications.
- Pour assurer l’intégrité du service, il est essentiel d’avoir un aperçu de ce qui se passe dans le cloud, savoir quels ont été les incidents, …
- L’entreprise ne doit pas négliger la protection du terminal qui est en lien avec le cloud.
- Enfin, pour ce qui est de la protection de l’information, la classification des données représente un vrai défi pour l’entreprise.

Pour conclure, Cyril Voisin insiste sur la nécessité d’une sécurité en profondeur, avec pour noyau central l’identité. Les aspects Authentification-Autorisation-Audit (AAA) s’avèrent fondamentaux pour le cloud. Pour lui, avant de se lancer dans les nuages, il faut mettre d’équerre la partie identité au sein de son entreprise. L’entreprise doit s’assurer que son système de gestions des identités interne est prêt pour le cloud et que son système d’AD est sain.




Voir les articles précédents

    

Voir les articles suivants