Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Jean-Marc Gremy, Cabestan Consultants : Et si les questions de sécurité du Cloud Computing n’étaient pas encore dans les nuages ... mais bien toujours sur terre ?

septembre 2010 par Marc Jacob

Depuis maintenant plusieurs mois, nous entendons parler de Cloud Computing et de sécurité. Au-delà des effets de mode portés par ce nouveau concept, et des opportunités qu’il a fait naître tant pour les offreurs historiques de ressources informatiques que pour les acteurs de la SSI, le Cloud Computing semble bien parti pour s’imposer comme un « nouveau quelque chose » pour nos entreprises, institutions et collectivités. Ce « quelque chose » reste à définir, je ne me risquerai donc pas à le décrire dans ces quelques lignes mais juste à me poser en observateur, curieux, du phénomène. Ce « bidule » comme aurait dit notre général, semble s’imposer à nombre d’entreprises et organismes comme étant l’étape suivante dans l’évolution de leur SI. A voir le marché évoluer, celui de la virtualisation des serveurs et des postes de travail comme des services, on peut même se demander si demain, nos DSI auront encore des investissements à faire dans le hardware tellement les offreurs de technologies (logicielles et matérielles) tendent vers les offres de Cloud Computing. N’y aurait il pas là une transformation du modèle économique des équipementiers qui ferait que l’adoption du Cloud Computing ne sera plus une question de choix à termes ?

Fermons cette introduction sur une présentation du ou des Clouds, et revenons à une préoccupation bien légitime pour le moment : celle de la sécurité des informations hébergées, confiées, stockées donc « cloudisées ». De nombreux ouvrages traitent de la sécurité dans le Cloud : la Cloud Security Alliance, l’ENISA, les constructeurs, les offreurs de service et d’excellentes publications de mes pairs. L’association Cloud Security Alliance a même créé une certification professionnelle pour la sécurité basée sur un corpus de connaissance issue de ses publications et celles de notre chère agence européenne pour la SSI, l’ENISA. Mon propos n’est donc pas de traiter dans ces quelques lignes des risques pesant sur les données cloudisées, sur les infrastructures gérées, sur les problématiques de législations internationales posées, mais d’aborder un point qui est trop rarement évoqué ou laissé à l’abandon par d’autres préoccupations : la question de la résilience du média d’accès aux informations cloudisées, je veux parler de l’Internet !

Bien sûr ce point est évoqué lorsque nous abordons avec nos clients le besoin de sécurité en termes de Disponibilité du FAI, en considérant que cette question ne se pose pas pour le fournisseur de Cloud ; un des axiomes du Cloud Computing est bien que les ressources sont toujours accessibles.

Dans l’esprit de chacun l’Internet, devenu un peu partie de l’éther avec les réseaux ambiants, est une ressource toujours disponible, omniprésente. Jamais dans l’histoire de l’humanité un tel sentiment n’a existé, l’immortalité d’un « être » enfin atteint, le mouvement perpétuel enfin trouvé.

Mais regardons la réalité de plus près de l’Internet. Qu’est ce réseau ? Comment est-il gouverné ? Comment parcourrons nous le « chemin » depuis notre poste de travail vers un serveur web ou celui hébergeant nos données cloudisées ?

A bien y regarder cela n’est pas si simple. Evacuons tout de suite le cas du client qui a un accès Internet chez un opérateur X avec ses données/applications/services « cloudisées » chez ce même opérateur X, opérateur devenu offreur de services de Cloud Computing par ailleurs. Pas de souci ! Un vrai contrat avec des SLA, des engagements et des pénalités et le tour est joué. Non, intéressons nous au cas de la société/organisme ayant décidé de cloudiser son SI vers un opérateur de services de Cloud de classe mondiale. Le contrat prévoit des SLA, des exigences de sécurité, une clause de réversibilité et la prise en compte des contraintes réglementaires et juridiques inhérents au pays. Mais quid du moyen d’accès ? Entre l’opérateur Internet et celui de l’opérateur du service de Cloud ? Quelle idée de la garantie de la disponibilité de ce réseau ? La réponse aujourd’hui : aucune !

les remèdes aux problèmes techniques peuvent être trouvés, par contre, il n’en est pas de même pour l’organisation et la gouvernance de l‘Internet

La résilience du réseau Internet repose sur quels éléments ? Plongeons nous dans ses entrailles et son histoire proche, sous ses dimensions techniques et organisationnelles.

 Technique : l’interconnexion entre opérateurs se fait pas le biais d’accords spécifiques ou par le biais de point de peering internet, les Internet eXchange Point . Par qui et comment sont gérés ces services techniques ? Comment ses services vont évoluer avec les choix, ou les non choix de migration, d’intégration d’IPv6 ? La gestion de l’Internet est techniquement confiée à plusieurs entités, de gouvernements différents, souvent des opérateurs télécoms historiques et des carriers IP. Alors souvenons-nous du cas de « l’erreur » de configuration BGP par Pakistan Telecom et son impact sur le trafic pour les services YouTube™ début 2008 . Imaginons la même « erreur » pour votre service de Cloud Computing préféré ? Votre PCA/PRA intègre t’il ce scénario ? Avez-vous un Datatcenter dupliquant vos données/applications/services au fond de la cave ? Plus récemment, fin août 2010, le cas du bug dans le système d’exploitation de l’équipementier de routeurs CISCO™ mis en évidence par des chercheurs lors de tests BGP du RIPE NCC, accidentels ... Les routeurs, ces dispositifs plus qu’au cœur de l’Internet : ce sont là la fois le système nerveux central, le système cardio-vasculaire, le squelette, le système respiratoire et musculaire de l’Internet. Leur compromission ou indisponibilité ébranlent l’usage du réseau. Il en est de même pour les mécanismes DNS pour la résolution des noms et leur conversion en adresses IP : L’architecture DNS doit être disponible et les informations cohérentes pour accéder à mes services de Cloud Computing, mais voilà l’architecture DNS qui représente peut-être les yeux de l’Internet n’est pas indemne de toutes vulnérabilités et menaces .

 Organisationnel : finalement les problèmes techniques ont peut-être l’avantage d’être de « vrais problèmes » tangibles, identifiables, commentés, documentés et corrigés. Mais qu’en est-il de la gouvernance de l’Internet ? A bien y regarder, le problème évoqué précédemment de la révélation du bug BGP, si sa conséquence a été technique par l’exploitation accidentelle d’une vulnérabilité de l’Os, la menace était bien quant à elle d’origine humaine. Pour mémoire le RIPE NCC est une instance de gouvernance de l’Internet en Europe. La réflexion menée à ce jour sur la neutralité des réseaux apportera t’elle des réponses ? La prise en compte de ce point lors du colloque de l’ARCEP en Juillet 2010 tendrait à le prouver. Les enjeux sont, semble t’il, bien plus importants que nous l’imaginons. La partie immergée de l’iceberg. Bien sûr dans l’économie actuelle du cyber-terrorisme et de la cyber-criminalité la résilience du réseau est une nécessité pour ces « utilisateurs ». Pour échanger, fomenter et pilier, le réseau doit être disponible et performant. Mais demain, quand une grande industrie, un état, un organisme ayant cloudisé sont SI, quelles seront les motivations des cyber-criminels, cyber-espions et autres cyber-guerriers ? Déstabiliser, désinformer, interrompre les moyens de communications, ceux-là même que nos entreprises et organismes utilisent pour accéder aux plateformes de Cloud Computing. Dans la presse internationale dernièrement, la description de scénarios catastrophiques à un niveau international laisse dubitatif. Les tests de réponse à une crise majeure réalisés en France en juin 2010 lors de l’exercice PIRANET 2010 évoquent bien cette prise de conscience nationale, tout comme l’identification des opérateurs d’importance vitale (OIV). Comme pour une pandémie, quelles seront nos –entreprises, opérateurs, états- capacités de résistance et de réaction ?

Quelles solutions pour une résilience maîtrisée et prédictible de l’Internet ? Aucune pour le moment, ni du côté de la technologie ni du côté des offreurs de services de Cloud Computing ! Si ce n’est qu’une prise de conscience de cette situation, qui ne trouvera pas de réponse dans la technique fusse t’elle la plus évoluée technologiquement parlant. Les gouvernements, les opérateurs globaux (les carriers IP), les offreurs de services de Cloud travaillent certainement à nous apporter des éléments de réponse à cette question...

L’enjeu majeur de la SSI sera « la confiance numérique ! »

Cette observation nous renvoie finalement à un des enjeux majeurs de la SSI en 2010 et pour les années à venir : la confiance dans le numérique ! L’accès et l’usage des TIC dans nos sociétés modernes ne peut pas être garantie que par la seule réponse technique, il faudra que le politique s’investisse encore davantage pour qu’au fronton de nos mairies nous gravions l’idée de Sécurité, et la confiance qu’elle apporte, à coté des valeurs fondamentales de la République que sont la Liberté, la Fraternité et l’Egalité. Mais cela est sans doute un autre débat...


1 Reste encore à s’entendre sur les définitions des termes SaaS, IaaS, PaaS, private Cloud, public Cloud...
2 CCSK, voir http://www.cloudsecurityalliance.org/certifyme.html
3 http://www.bortzmeyer.org/5963.htmlwww.nic.fr
4 http://www.bortzmeyer.org/pakistan-pirate-youtube.html
5 https://labs.ripe.net/Members/erik/ripe-ncc-and-duke-university-bgp-experiment
6 http://www.globalsecuritymag.fr/HSC-Probleme-d-empoisonnement-de,20080709,3974.html
7 http://www.forumatena.org/?q=node/255
8 http://www.arcep.fr/index.php?id=8652
9 Courrier International du 26 août 2010, Cyber-Guerre la menace qui vient du Net
10 http://www.ssi.gouv.fr/site_article248.html


Biographie de l’auteur :

Après une formation initiale militaire dans la Marine Nationale, Jean-Marc GREMY débute sa carrière civile au sein de la R&D d’Alcatel Business Systems puis se tourne rapidement vers les Systèmes d’Information et de télécommunication au sein d’Alcatel puis du Groupe Synthélabo.

En 1997, Il participe à l’éclosion de Cyber-Networks et en devient le Directeur Technique. En 2002, il co-fonde la société Ipelium, intégrateur de solutions de mobilité d’entreprise et sécurisation. Il y dirige la stratégie technique ainsi que les activités de conseil. Fort de cette expérience réussie de 18 années dans la technologie, le management et l’entreprenariat, Jean-Marc GREMY créé en 2007 le cabinet de conseil CABESTAN CONSULTANTS. Résolument tourné vers le conseil et la formation, pour laquelle il est instructeur européen pour le cursus CISSP® et Conférencier pour le Centre de Formation de l’ANSSI (le CFSSI).


Voir les articles précédents

    

Voir les articles suivants