Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Gérôme Billois, Solucom : Cloud computing, accélérateur ou frein pour la sécurité ?

décembre 2009 par Gérôme Billois – Manager Sécurité – Solucom

Contrairement au modèle IT classique où les applications sont hébergées et maintenues au sein de l’entreprise, le modèle de Cloud computing vise à mettre à disposition des systèmes et/ou applications accessibles via internet, mutualisés, hébergés et maintenus chez un prestataire de services, et facturés à l’utilisation.

Ce nouveau modèle suscite de nombreuses interrogations dans les grandes entreprises, à la fois sur sa viabilité mais aussi, et peut-être surtout, sur sa sécurité. Hormis pour quelques exceptions, lors de la souscription d’un service de Cloud computing, l’entreprise doit accepter trois principes :
- L’utilisation du Cloud requiert d’externaliser les traitements et informations concernés.
- La disponibilité du service dépend de la disponibilité d’Internet, qui ne peut être garantie par définition.
- Le positionnement de la DSI évolue de la fourniture d’un service à la fourniture de l’accès à un service tiers.

Ces pré-requis constituent une condition sine qua non à la mise en œuvre du Cloud computing. Il est évident que certaines entreprises ne sont pas prêtes à franchir ce pas, en tous cas pas pour toutes les applications. Mais dans certains contextes ces principes ne sont pas rédhibitoires et des projets sont déjà entamés.

Aujourd’hui, le Cloud peut faire peur du fait des indisponibilités, voir des pertes de données, très médiatisées ou encore des risques d’accès aux données par le fournisseur.

Cependant il est important de relativiser ces risques : la sécurité des informations est le cœur de métier des fournisseurs de Cloud, qui jouent leur chiffre d’affaire sur leur réputation. Il semble évident que les moyens mis en œuvre pour la sécurité sont plus importants chez un fournisseur réputé que dans la plupart des DSI. C’est dans ce sens que le Cloud peut même être un accélérateur de la sécurité !

Sur le volet de la confidentialité, les grandes entreprises recourent déjà fortement à l’externalisation et à la sous-traitance. Même si le Cloud industrialise ces pratiques et les rend plus distantes, il n’en reste pas moins qu’aujourd’hui les administrateurs et les exploitants de la plupart des applications chez les grands comptes sont déjà des prestataires externes, qui opèrent parfois depuis leurs locaux avec leur poste de travail. Ces risques connus sont finalement déjà acceptés par certaines entreprises ; il est donc aujourd’hui plus important d’identifier les nouveaux risques que le modèle de Cloud computing pose, en particulier sur la dépendance au fournisseur et sur la confidentialité lors de l’utilisation du service. En effet l’utilisation d’un service de Cloud augmente la dépendance du client vis-à-vis du fournisseur sur plusieurs points :

- Difficulté d’accès aux données brutes en raison du format, non interopérable : API spécifiques, format des données dans les applications métier, format bureautique propriétaire, etc. Ceci rend les opérations de migration et de réversibilité complexes et coûteuses.
- Évolutions du service souvent non maitrisables par le client : évolutions applicatives, administration, gestion des incidents, etc. Ceci peut avoir des impacts importants sur les interconnexions de systèmes ou encore sur la relation et la conduite du changement avec les utilisateurs.
- Non maitrise de la localisation des données exposant à des risques juridiques importants (en particulier sur le volet Informatique et Libertés), voire également à des risques d’écoutes gouvernementales.

Des mesures contractuelles permettant de pallier ces risques doivent être négociées avec le fournisseur : être informé en amont des évolutions applicatives, inclure des montants de pénalités... mais tous les fournisseurs ne sont pas en mesure d’y répondre aujourd’hui et le contrôle des mesures techniques souvent parfois difficile à réaliser, il faut faire confiance à des certificateurs externes (SAS 70, ISO 27001…).

Un autre risque est celui de l’accès non autorisé aux informations qui est fortement accru en raison de l’ouverture du service depuis Internet et de tout poste de travail. Une gestion des identités et des accès exemplaire devient donc indispensable. De nombreuses solutions existent aujourd’hui : authentification unifiée, authentification forte, réplication d’annuaire chez le fournisseur, utilisation de VPN… Cette diversité apparente ne cache néanmoins pas leur manque de maturité et les difficultés de conformité à la politique ou de raccordement aux systèmes de l’entreprise.

D’autre part les fournisseurs de Cloud sont rarement capables de contrôler les postes de travail ou de limiter les réseaux permettant d’accéder au service, ce qui augmente le risque de fuite d’information (utilisation de poste personnel non bloqué, vols de mot de passe…).

Certains travaillent au concept de Cloud privé, qui vise à dédier un certain nombre d’éléments pour un client particulier, mais ces solutions restent encore aujourd’hui tournées vers l’infrastructure Cloud (réseau, serveurs). Des contrôles sur le poste de travail qui accède sont rarement prévus. Finalement les coûts projet de mise en œuvre du service et de réversibilité, souvent omis par les fournisseurs lors des calculs de ROI, peuvent s’avérer élevés et ne doivent donc pas être oubliés.

Le Cloud computing pose ainsi de nouvelles questions sur la sécurité des informations. Le RSSI doit alors jouer son rôle : ne pas opposer immédiatement son veto à ces nouvelles solutions mais bien analyser les risques dans son contexte. Aujourd’hui le Cloud computing peut s’avérer être une alternative pertinente au modèle classique, en particulier pour des solutions d’infrastructure ou des applications verticales fortement partagées et ouvertes vers l’extérieur. Son utilisation à grande échelle est possible mais doit faire l’objet d’une étude amont poussée sans se laisser séduire par des coûts de fonctionnement alléchants mais pouvant être parfois trompeurs.




Voir les articles précédents

    

Voir les articles suivants