Les visiteurs d’Infosecurity London doivent s’attendre à rencontrer tout le panel des offres de sécurisation du Cloud Computing avec en particulier de l’authentification forte, du chiffrement, de la compliance... Et à écouter le discours de l’ISF (Information Security Forum), il sera bien nécessaire de se tenir informé de ces possibilités car les entreprises, en particulier anglo-saxones, se jettent littéralement dans les « bras des providers de Cloud ».

En effet, selon Adrian Davis, Principal Research Analyst de l’ISF, les dirigeants d’entreprises et surtout leur DAF se sont focalisés sur les économies, la flexibilité, continuité de service et au final les gains de productivité qui sont des avantages indéniables du Cloud. Par contre, ils ont oublié les problèmes liés à la sécurité et la compliance. Il en a listé 7, à commencer par l’ignorance de l’existence du Cloud dans l’entreprise, en passant par les ambiguïtés contenues dans la plupart des contrats notamment en matière de SLA, le respect des réglementations en vigueur, les problématiques de compliance... Adrian Davis considère que « le Cloud est imposé par les directions et vu par elles comme un tout, en oubliant les aspects techniques ! ». En conclusion il a recommandé de traiter les providers de Cloud de la même manière qu’on le fait pour tout sous-traitant en étant très rigoureux sur les contrats, en procédant ou en demandant des rapport d’audits de sécurité… N’oubliez pas que les approches en termes de sécurité concernent les deux parties, a-t-il conclu son intervention.

Mushegh Hakhinian, Security Architect, IntraLinks

D’ailleurs, Mushegh Hakhinian, Security Architect, IntraLinks, un provider de Cloud, abonde dans son sens. Il a expliqué que le Cloud est beaucoup plus que le SI d’une entreprise à la condition d’appliquer une politique de sécurité adaptée. Pour cela, il est nécessaire de chiffrer les données, de déployer de l’authentification forte, de mettre en place un contrôle granulaire des accès des utilisateurs. Il faut aussi développer de façon sécurisée les applications web et sécuriser tous les déploiements. Les entreprises qui font le choix du Cloud doivent aussi vérifier la sécurité et les process de leur provider et son expertise en ce domaine. Ils doivent vérifier les rôles et habilitations des administrateurs, demander des rapports d’audit réguliers de leur provider avant même de s’engager. Durant le contrat, il est important qu’ils reçoivent régulièrement les rapports d’audit, qu’ils mettent en place un système d’alerte de vulnérabilités et qu’ils procèdent régulièrement à des scans de sécurité des applications web.

Rashmi Tarbatt, Chief Security Architect, RSA, The Security Division of EMC

Quelques solutions de sécurisation

Du côté des offreurs de solutions de sécurité, Rashmi Tarbatt, Chief Security Architect, RSA, The Security Division of EMC, conseille de mettre en place une architecture intégrant un « programme de Risk et Compliance ». Ainsi, elle recommande de déployer une politique d’IAM rigoureuse, de chiffrer les données et de vérifier sans cesse la conformité aux réglementations et législations qui se durcissent sans cesse. Selon elle, 20% des entreprises auraient des équipes qui travailleraient 4 jours par semaine pour vérifier les compliances. Ainsi, RSA propose la plateforme GRC : Governance, Risk Compliance qui permet de repérer de façon automatique toute violation à la politique de sécurité, mais aussi de faire de la collecte et de l’analyse de logs avec RSA EN Vision. Cette dernière solution contient une offre de DLP et de remédiation.

Jonathan Martin, Field Technical Director, EMEA, ArcSight, est persuadé que les attaques sur les sites de type SCADA vont se multiplier cette année. En 2010, il a repéré trois types d’attaques : les attaques ciblées sur des entreprises, des attaques qui paralysent des entreprises et/ou des administrations et des attaques d’envergure pour bloquer des pays. D’ailleurs, selon lui, l’OTAN lancerait régulièrement des alertes sur ce thème. Par contre, ces attaques sont assez difficiles à repérer car, souvent, elles se déroulent par une accumulation de petits événements qui semblent anodins. Il est donc nécessaire de mettre en place des solutions d’analyse et de corrélation de logs pour les repérer.

Jon Geater, Director Technical Strategy, Thales, a mis en exergue l’importance du chiffrement dans un schéma de conformité. En particulier, il a donné des conseils en matière de conservation et de gestion des clés de chiffrement. Pour lui, toute mise en conformité commence par une bonne politique de gestion et de stockage des clés.

Bien sûr, on pourra aussi rencontrer des solutions de sécurité plus traditionnelles avec Sipera System pour la sécurité de la VoIP, Anubis, la solution portugaise d’antispam hosté, MXI avec ses clés USB biométriques. Cette année encore, un pavillon français organisé par Ubifrance sera présent. Sans compter bien sûr, tous les ténors de la sécurité comme Sophos, Qualys...