Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Edouard Jeanson, Sogeti : « Cloud computing », vers une refonte des principes de sécurité ?

avril 2009 par Edouard Jeanson, Directeur Centre de Compétences Sécurité, Sogeti

L’année 2008 a vu l’émergence du terme « Cloud Computing » (ou « informatique dans les nuages ») dans les journaux spécialisés, et les annonces de nouvelles solutions chez tous les grands acteurs de l’informatique : Microsoft, Google, Amazon, IBM, Dell, Oracle ….

Dans l’effervescence accompagnant toute grande nouveauté dans le monde de l’informatique, le Cloud Computing est apparu pour certains comme une révolution et pour d’autres comme un simple terme Marketing servant à rassembler des services et des technologies connus depuis longtemps.

Au travers de cet article nous souhaitons préciser les risques en termes de sécurité du Cloud Computing.

En août 2008, IDC relevait que la sécurité est vécue comme une question déterminante pour 74,6 % des entreprises nord-américaines s’intéressant au Cloud Computing.

En effet, Cette technologie soulève de nombreuses questions en termes de sécurité à commencer par :

 la confidentialité : qui dispose des accès administrateur ? Quel recours en cas de faille de sécurité ?
 l’intégrité : les données peuvent-elles être altérées ?
 la disponibilité.

Et s’ajoutent à cela les aspects réglementations et les contraintes légales relatives aux données personnelles : « les prestataires sont-ils assujettis aux lois de la République si les systèmes sont à l’étranger ? »[1] Comment faire appliquer les politiques de sécurité internes ? Que faire si le prestataire ferme (exemple la fermeture de Coghead après son rachat par SAP) ? le Cloud est-il auditable ? Les données peuvent-elles être tracées dans le nuage ? Et que se passe-t-il en cas de réversibilité ?
Pour répondre à ces questions, il est recommandé d’ « élaborer des contrats exhaustifs avec le prestataire qui prennent en compte toutes les contraintes » [1]. Mais cette problématique est similaire à celle rencontrée avec l’outsourcing. En effet, les risques sont identiques qu’il s’agisse de la continuité de services, de la capacité à récupérer et consolider les données, patrimoine de l’entreprise. La sécurité des informations constitue également un point fondamental dans un contrat de prestations de services. Ces items sont bien connus des DSI, habitués aux contrats d’hébergement, d’outsourcing ou de délégations. De même, les contrats peuvent être par exemple assortis de clauses de traçabilité. De plus, certains prestataires comme Google affirment que leurs clients peuvent exiger que les solutions soient toujours hébergées en France.

Sur le plan juridique, « c’est le propriétaire des données qui reste responsable en cas d’infraction à la législation »[3]. Parmi les points d’attention, il faut rappeler que dans une infrastructure mondiale, les données relèvent du régime juridique du pays dans lesquelles elles sont détenues. D’autre part, le contrat initial doit contenir toutes les garanties en cas de restitution de l’infrastructure, par exemple lors du rachat de la société informatique. Mais il n’est pas interdit au client du service de Cloud Computing de vérifier que les données sont récupérables, exploitables et de vérifier les possibilités de chiffrement de celles-ci.
En effet par définition, « le Cloud Computing rime avec partage des ressources »[3]. Cela engendre une menace sur la confidentialité des données. Il faut s’assurer de leur cryptage correct et qu’il est possible de les isoler. Ce point est crucial. Un cryptage qui ne respecte pas les régles de l’art peut déboucher sur une perte irréversible. De même, ignorer où se trouvent ses données ne veut pas dire que l’on ne puisse pas avoir l’assurance des moyens mis en place pour leur sauvegarde en cas de problème. La réplication sur plusieurs sites distants est un impératif. Une restauration complète dans des délais contractuels l’est aussi. Le contrat doit aussi contenir une description précise de la restitution des données (conditions, délais, formats) en cas de défaillance du fournisseur.

Le Cloud Computing fonctionne en utilisant des machines virtuelles. Mais la virtualisation rajoute un niveau de complexité supplémentaire. En effet « le serveur virtuel peut passer d’une machine physique à une autre et, dans le même temps, d’un périmètre de protection à un autre » [2]. Pour contourner ce risque, il est donc nécessaire de ramener la sécurité au niveau du serveur ou de la machine virtuelle. Il faut donc prévoir un système de détection et de prévention d’intrusion ou de recherche de vulnérabilités, de surveillance de l’intégrité des fichiers, d’inspection des rapports d’activité ou encore de validation des configurations afin d’accroître la sécurité et d’avoir une meilleure visibilité des activités malveillantes prenant les machines virtuelles pour cible.

Conclusion :

Pour Gartner Group, l’ampleur de l’impact du Cloud Computing sur la direction informatique aura une magnitude similaire à celle qu’a le commerce électronique.

L’idée d’une informatique distribuée n’est pas nouvelle, mais, poussée par l’augmentation de la bande passante et l’avènement de la virtualisation et du SaaS, elle prend désormais réellement forme. Mais qu’englobe vraiment la notion de Cloud Computing ?
Les avantages qui rendent le SaaS aussi intéressant, à savoir le logiciel à la demande, les mises à jour en permanence et l’hébergement tierce partie, n’obligent ils pas les utilisateurs à s’assurer de disposer d’un niveau suffisant de sécurisation du réseau et de chiffrement des données, avant même de s’y intéresser ?

Le Cloud Computing et plus particulièrement le concept SaaS changent très largement les paradigmes actuels de l’informatique. La question n’est plus de savoir si l’approche actuelle de la sécurité va bloquer le Cloud Computing, mais de comprendre comment il impose inéluctablement une refonte des principes de la sécurité des SI …

Sources :

[1] http://www.itrmanager.com/articles/87453/cercle-securite-interroge-cloud-computing.html
[2] http://www.lemagit.fr/article/securite-virtualisation-saas-cloud-computing-infosecurity/2581/1/cloud-computing-inquietude-grandit-autour-securite
[3] http://www.april.org/fr/node/12179


Voir les articles précédents

    

Voir les articles suivants