Your SlideShare is downloading. ×

L’urgence de repenser la sécurité via le Cloud

804
views

Published on

Le Cloud s’impose. En tant que ressource de stockage, vecteur d’activité et mécanisme de fourniture de services. Peu d’entreprises seraient capables de gérer l’impressionnant volume de données qui …

Le Cloud s’impose. En tant que ressource de stockage, vecteur d’activité et mécanisme de fourniture de services. Peu d’entreprises seraient capables de gérer l’impressionnant volume de données qui transite chaque jour sur leurs réseaux sans la souplesse ni l'élasticité fournies par le Cloud.

De plus, rares sont les éditeurs de logiciels de premier ordre qui ne fournissent que des applications sur mesure. Enfin, et c’est bien le plus étonnant, encore moins nombreuses sont les entreprises qui invoquent des questions de sécurité pour retarder la migration de leur infrastructure vers le Cloud.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
804
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. L I V R E B L A N CL’urgence derepenser la sécuritévia le CloudSommaireIntroductionLe paysage actuel de la sécuritéFaire migrer les investissements en sécurité versle CloudGérer la sécurité de l’information et la conformitédans le CloudGérer les menaces avancées via le CloudLa nouvelle dimension : la sécurité desapplications WebEn conclusionÀ propos de Qualys23358678
  • 2. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 2« L’intérêt pour le Cloud privéest important en raison de larapidité et de la souplesse qu’ilpromet. »Rachel Chalmers,Chargée de recherches en gestiond’infrastructure chez l’analyste 451Group« Bien qu’il soit nécessaired’être vigilant lors de lasélection de tels services, lesentreprises ne devraient plusconsidérer la sécurité commeun frein à l’utilisation desservices Cloud. »Fran Howarth,Analyste en chef chez BloorIntroductionLe Cloud s’impose. En tant que ressource de stockage, vecteurd’activité et mécanisme de fourniture de services. Peu d’entreprisesseraient capables de gérer l’impressionnant volume de données quitransite chaque jour sur leurs réseaux Sans la souplesse ni lélasticitéfournies par le Cloud. De plus, rares sont les éditeurs de logiciels depremier ordre qui ne fournissent que des applications sur mesure.Enfin, et c’est bien le plus étonnant, encore moins nombreuses sontles entreprises qui invoquent des questions de sécurité pourretarder la migration de leur infrastructure vers le Cloud.Mais cette migration vers le Cloud continue d’avoir de profondesimplications en termes de sécurité. Avec le Cloud computing, lesdonnées circulent et sont stockées via des infrastructures qui nesont pas entièrement sous le contrôle des entreprises qui restentresponsables de ces données. C’est bien là tout le paradoxe de laconformité à la norme PCI-DSS : vous ne contrôlez pas les personnesqui peuvent accéder aux données, mais vous êtes responsables desdommages qu’elles provoquent si elles tombent entre de mauvaisesmains. En outre, comme les budgets informatiques sont souspression et qu’attirer et fidéliser des spécialistes de la sécurité peuts’avérer une tâche ardue, peu d’entreprises ont les moyens de s’offrirun niveau de sécurité et de conformité adapté à leurs besoins.Comme le confirme d’ailleurs le nombre de plus en plus importantd’incidents de sécurité divulgués, même au sein d’entreprisesmajeures qui ont mis en place des mesures de sécurité réfléchies.La croissance rapide des ressources Cloud privées externes et internes indique cependantque la valeur prime sur d’autres critères. Ainsi, le cabinet d’analyse Gartner prévoit unchiffre d’affaires mondial de près de 150 milliards de dollars d’ici 2015 pour les servicesCloud.Les entreprises commencent à admettre que le Cloud computing offre des opportunités enmatière de sécurité. Abordé de la bonne manière et avec les précautions qui s’imposent, leCloud peut en fait devenir un facilitateur de la sécurité.
  • 3. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 3Le paysage actuel de la sécuritéAujourd’hui, les départements informatiques doivent sécuriser non seulement les ordinateurs portables et les réseaux, mais aussi lestablettes, les smartphones, les machines virtuelles, etc. L’augmentation massive des points de vulnérabilité, que le Jericho Forumappelle « dépérimétrisation du réseau », est un cauchemar sécuritaire qui prend des proportions considérables. La protectiontraditionnelle des points d’extrémité n’est plus une option pratique.La simple prolifération des équipements accroît les risques de manière exponentielle. Chaque professionnel de la sécurité est bienconscient que le maillon le plus faible dans la chaîne de la sécurité est d’origine humaine. Associez à cela la probabilité que, pourchaque équipement supplémentaire, ces humains prêtent moins d’attention à ce qu’ils voient et font sur ces équipements et vous avezune situation rêvée pour un cybercriminel. Un rêve encore plus accessible à l’heure où les téléphones mobiles se transforment enterminaux de paiement mobiles.Bien entendu, il y a des humains qui travaillent au sein du département informatique et l’équation doit également tenir compte desutilisateurs. Les erreurs de configuration sont une source majeure de vulnérabilités et une perte de temps pour les administrateursinformatiques. Si bien qu’il reste souvent peu de temps pour contrôler les configurations après chaque changement effectué ou pourfaire de la maintenance préventive, plus particulièrement au sein des entreprises qui manquent de ressources informatiques ou desécurité dédiées. Pour nombre d’entreprises, s’assurer que les évaluations et la remédiation des vulnérabilités seront bien exécutées, ouque les politiques destinées à des systèmes tels que des firewalls seront bien mises à jour dans les délais, implique tout simplement tropde contraintes si bien que les risques de sécurité se multiplient au fil du temps. Les incidents de sécurité deviennent plus fréquents etl’entreprise court le risque de ne pas passer avec succès les audits de conformité.D’un autre côté, le Cloud est administré et configuré de manière centralisée tout en restant une entité presque infiniment souple qui esten contact avec chaque point d’extrémité *et* qui reste sous le contrôle de l’équipe chargée de la sécurité de l’information (RSSI). Il esttemps que la sécurité fasse partie intégrante du Cloud.Faire migrer les investissements en sécurité vers le CloudL’une des spécificités majeures de la sécurité dansle Cloud est que l’équipe chargée de la sécuritén’est pas contrainte de déployer des équipementsou des logiciels à travers l’entreprise dans lamesure où c’est le fournisseur SaaS qui hébergeces ressources au sein de centres de donnéessécurisés. Il y a donc moins d’équipements àdéployer et de logiciels à installer pour profiterdes mêmes avantages. En outre, comme il n’estpas nécessaire d’acquérir des équipements, lecoût du Cloud computing est fondamentalementassocié au budget d’exploitation et non pas aubudget d’investissement.Coûts variables(OpEx)Coûts fixes(CapEx)Coûts variables(OpEx)Économie du Cloud computingCOÛTSInformatiquetraditionnelleUTILISATEURSCloud ComputingFigure 1 : l’économie du Cloud computing
  • 4. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 4Au niveau du déploiement concret, l’agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) a publié desrecommandations concernant le partage des responsabilités en matière de sécurité entre l’entreprise et le fournisseur SaaS.Client Fournisseur de services• Conformité aux lois sur la protectiondes données à caractère personnel• Maintenance et facilité d’administrationdu système de gestion des identités etde la plate-forme d’authentification• Sécurité et disponibilité del’infrastructure physique• Procédures de gestion des correctifs etde durcissement• Configuration sécurité de la plate-forme• Supervision des systèmes• Maintenance de la plate-forme desécurité• Collecte des journaux et supervision dela sécuritéFigure 2 : Partage des responsabilités pour les offres SaaSSource: ENISAL’enquête 2011 sur les perspectives du Cloud Computing réalisée par Cloud.com a révélé des avis partagés parmi les personnesinterrogées sur leur perception de la sécurité. Parmi 521 personnes interrogées, 32% d’entre elles ont déclaré que la sécurité est unfacteur qui influence leur choix de recourir au Cloud computing. De nombreuses années durant, les grandes entreprises ont utilisé desfournisseurs de services pour maintenir leurs actifs technologiques. Désormais, même la plus petite des entreprises a massivementrecours aux services dans le Cloud non seulement pour faire des économies mais aussi pour améliorer sa sécurité et ses ressources.Comme indiqué dans la Figure 2 ci-dessus, l’utilisation des services de Cloud computing fait que l’essentiel des responsabilités enmatière de sécurité incombe au fournisseur de services. Pour garantir la fiabilité des services qu’il offre ainsi que l’intégrité et laconfidentialité des informations, le fournisseur SaaS doit mettre en place une infrastructure IT durcie et fiable qui satisfait aux exigencesde conformité et autres normes requises pour les applications qu’il fournit. Ceci permet de réduire sensiblement les ressources et coûtsliés aux obligations de conformité tout en fournissant des rapports et des journaux d’audit qui démontrent l’efficacité du déploiement.Le Cloud est également une solution idéale pour les entreprises qui disposent de peu de ressources de sécurité de l’information eninterne. En effet, elles peuvent accéder à des services de sécurité plus évolués et garantir la sécurité et la disponibilité des données deleurs clients. Ces services comprennent notamment l’analyse et la supervision des codes malveillants et des vulnérabilités. Ils peuventégalement étendre l’analyse du flux de trafic et de la bande passante pour une défense automatisée contre les attaques par déni deservice distribué (DDoS).
  • 5. Whitepaper: Cloud-Security: Warum Sicherheits-strategien dringend neu überdacht werden müssen page 5Étude de cas : Cisco est l’une despremières entreprises à avoiradopté la sécurité dans le Cloudpour trois raisons majeures :• Analyse et évaluation desvulnérabilités à la demande etdans le monde entier sous laforme d’un service fourni demanière centralisée• Niveaux garantis d’évolutivité etde performances• Possibilité de fonctionner demanière coopérative avec desappliances de sécurité pour uneanalyse locale et poussée« Pouvoir regrouper ethiérarchiser les vulnérabilitéspermet de réduire les donnéesà des métriques qui donnentlieu à une conversation sur leniveau de risque que notreinterlocuteur est prêt àaccepter sur son centre dedonnées et qui est lié aumontant qu’il doit investir dansla gestion des vulnérabilités. Ilpeut désormais connaître lesactifs impactés, la gravité desvulnérabilités détectées, lesgroupes concernés, etc. Nousn’avions pas la possibilité decollecter et d’analyser desdonnées d’évaluation de cettefaçon avant[de souscrire à desservices de sécurité dans leCloud] et certainement pasdans cette mesure. »Doug Dexter,Responsable d’équipe chez CiscoGérer la sécurité de l’information et la conformité dans le CloudOutre la facilité de déploiement, la disponibilité permanente et la maîtrise des coûtsvariables qu’offre le mode SaaS, la sécurité dans le Cloud procure des avantagesdirectement liés à la fourniture de services de sécurité de pointe basés sur l’inspection ducontenu ou des systèmes afin de contrer les menaces sophistiquées.Les raisons qui expliquent pourquoi les responsables de la sécurité du systèmed’information (RSSI) consacrent davantage de leur budget aux services dans le Cloud sontfaciles à comprendre :• Exploitation des toutes dernières informations disponibles sur les menaces.Identifier les vulnérabilités les plus récentes, les codes malveillants ou les sites Webnon conformes nécessite une équipe de chercheurs dédiée pour identifier la menaceet mettre à jour le processus d’inspection de la sécurité. Une offre de sécurité en modeSaaS épargne aux administrateurs informatiques la distribution coûteuse de mises àjour sur les équipements. L’approche dans le Cloud fournit les informations les plusrécentes chaque fois que l’entreprise sollicite le service.• Automatisation de la vérification de la conformité. Les solutions de sécurité dans leCloud peuvent corréler les informations collectées lors d’inspections système pourgénérer automatiquement des rapports sur les performances de la sécurité etconfronter ces résultats avec les exigences de conformité. En automatisant lavérification de la conformité, les RSSI économisent une énergie et un temps précieux,et de ce fait peuvent superviser en permanence les incidents de sécurité susceptiblesde se produire sur les systèmes critiques.• Accès à toute l’entreprise. Avec une solution de sécurité SaaS fournie dans le Cloud,les administrateurs informatiques ne sont pas contraints de consacrer toujours plus detemps et de ressources pour la mise à jour des serveurs, et autres sites distants.L’entreprise distribuée reçoit les mises à niveau directement du fournisseur de sécuritésans qu’il soit nécessaire de les planifier ni de les pousser dans toute l’entreprise.• Distribution et fourniture sécurisées des applications. Pour les entreprisesdisposant d’une équipe de sécurité et pour celles possédant une pléthore de sitesWeb, les solutions SaaS offrent une protection des applications Web permettant desécuriser des sites de n’importe quelle taille et de tout niveau de complexité contreune multitude de vecteurs d’attaques malveillantes, avec l’avantage supplémentaired’une fourniture applicative hautement disponible.
  • 6. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 6Étude de cas : ManulifeFinancial pratique l’analyse desvulnérabilités sur site depuis uncertain temps déjà, mais lastructure hautement distribuéede l’entreprise fournit desrésultats à la fois incohérents etincomplets à l’équipe chargée dela sécurité de l’information. Lamigration vers un service Cloud anon seulement permis demaintenir les budgets souscontrôle, mais elle a égalementoffert des avantagessupplémentaires en termes desécurité au-delà des équipementsréseau, notamment l’analyse desapplications Web.Le point sur les menacespersistantes avancéesCes dernières années, lesmenaces persistantes avancées(APT) ont été accusées d’êtreresponsables de presque toutesles compromissions de donnéesqui ont fait la une des médias. Enréalité, la plupart des attaquesclassées comme menaces APTsont dues à des erreurs humaines: des individus trompés par uneattaque de phishing intelligenteou pas si futée que cela.Le Cloud peut s’avérer très utilepour gérer les APT (ou les erreurshumaines). Si vous faites migrerau moins quelques éléments devotre infrastructure de sécuritévers le Cloud, votre entrepriseprofitera de configurationslocales moins sensibles auxvulnérabilités dans la mesure oùle fournisseur de services Cloudse chargera des configurations desécurité et des activités deprotection proactive.Avec une solution en mode SaaS de gestion des risques de sécurité et de la conformité à la foisperformante et bien intégrée, les entreprises peuvent :• Définir des politiques pour établir une infrastructure informatique fiable et conforme à labonne gouvernance et aux meilleures pratiques.• Automatiser les évaluations de sécurité permanentes et gérer efficacement les risquesde vulnérabilités sur les systèmes et les applications.• Atténuer les risques et éliminer les menaces grâce à une gestion des vulnérabilitésgranulaire.• Surveiller et mesurer la conformité de son infrastructure depuis une console unifiée pourgagner du temps et réduire les coûts.• Distribuer des rapports de sécurité et de conformité sur mesure pour répondre auxbesoins uniques des RSSI, des dirigeants, des auditeurs et autres professionnels de lasécurité.Gérer les menaces avancées via le CloudLe paysage actuel des menaces est si complexe et sophistiqué que, pour bon nombred’entreprises, il n’est tout simplement pas rentable de tenter de gérer la sécurité ens’appuyant sur leurs seules ressources internes. De nouvelles menaces apparaissent dans leCloud, sont fournies via le Cloud et achetées et vendues sur le Cloud. Il est donc justifié de tirerparti de la plate-forme infiniment évolutive fournie par le Cloud pour gérer ces menacesefficacement et soulager l’entreprise d’une tâche à la fois fastidieuse et complexe.Dans la mesure où les vulnérabilités connues sont relativement peu nombreuses par rapportaux codes malveillants identifiés, il est raisonnable de donner la priorité à la découverte et à lacorrection des vulnérabilités plutôt qu’à la lutte contre chaque exploit potentiel ou codemalveillant récemment développé. Si votre entreprise envisage de faire migrer ses opérationsde sécurité vers le Cloud, tenez compte de ce qui suit lorsque vous rédigez votre cahier descharges et que vous commencez à communiquer avec des éditeurs et des fournisseurs desolutions.À propos des compétences du fournisseur de services :• Offre-t-il une visibilité globale de l’état de la sécurité informatique et de la conformité del’entreprise ?• Facilite-t-il l’innovation métier sans une infrastructure métier contraignante ?• Garantit-il la conformité et la détection des codes malveillants sur les nouveauxenvironnements d’exploitation et les nouvelles applications ?• Réduit-il les dépenses de sécurité en facturant uniquement ce que l’entreprise utilise ?• Prend-il en charge les changements fréquents au sein des environnementsinformatiques suite aux opérations de fusion-acquisition et aux nouvelles applicationsutilisées ?• Offre-t-il un outil stratégique pour créer des programmes de gestion des risques desécurité informatique et de la conformité ?
  • 7. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 7La nouvelle dimension : la sécurité des applications WebLes applications Web deviennent les nouvelles cibles d’attaques informatiques dans les entreprises modernes qui étendent leurprésence en ligne pour mieux servir leurs clients. Pourquoi ? Parce que les applications dans le Cloud sont tout aussi peu sécurisées queles applications traditionnelles installées sur les postes de travail. Parfois appelés pare-feux pour applications Web, les moniteursd’applications Web sont en passe de devenir un composant « indispensable » de l’architecture de sécurité des entreprises basées dans leCloud dans la mesure où ils permettent de protéger ces applications en temps réel contre des cyber attaques qui ne cessent d’évoluer.Pourquoi les applications Web sont-elles si vulnérables :• Le génie logiciel reste une science immature. Les développeurs ont encore beaucoup de chemin à parcourir avant de savoirbâtir de puissants logiciels de manière prévisible et répétable. Des progrès sont réalisés en matière de meilleures pratiques, maisbeaucoup de développeurs continuent de batailler.• La technologie évolue à grands pas. L’innovation fait avancer les entreprises. Mais les nouvelles fonctionnalités sont souventprioritaires au détriment de la sécurité qui est reléguée au second plan. Nous tentons sans cesse de rattraper le temps perdu. Passeulement avec les tiers malveillants, mais aussi avec nous-mêmes.• Les entreprises doivent être souples. La sécurité ne joue qu’un rôle relativement mineur dans le développement d’uneentreprise, beaucoup d’autres facteurs ont une influence bien plus grande. Il existe un savant équilibre entre sécurité, utilisabilitéet commercialisation. En affaires, le dernier facteur l’emporte généralement sur le premier.• Les applications sont propriétaires. Non seulement l’entreprise typique possède un gros parc d’applications, mais en raison durythme du développement très rapide, les nouvelles applications sont désuètes dès leur déploiement ou presque.Les pare-feux pour applications Web (WAF - Web Application Firewalls) peuvent assister les équipes chargées de la sécurité aux niveauxsuivants :• Conformité• Correctifs virtuels (généralement pour les applications sur mesure)• Protection contre les exploits connus (généralement pour les applications bien connues)• Durcissement des applications (pour relever le niveau)• Supervision de la sécurité des applications en temps réel (parfois dénommée connaissance de l’environnement)• Évaluation des vulnérabilités de manière passive et permanenteLes firewalls pour applications Web dans le Cloud serviront de fondement à de nombreux et nouveaux développements passionnantsen matière de sécurité d’entreprise, notamment la détection passive et permanente des vulnérabilités, l’analyse scientifique,l’optimisation des performances dynamiques, la supervision de l’expérience utilisateur, le suivi des nouvelles menaces et ledurcissement de la sécurité des applications.
  • 8. Livre blanc : l’urgence de repenser la sécurité via le Cloud page 8En conclusionLa sécurité pilotée depuis le Cloud est une sécurité disponible à la demande qui permet de relever tous les défis posés par les pirates.Pas d’encombrement des pare-feux, pas de latence, pas de déploiement excessif, pas d’attente de nouveaux déploiements designatures. Grâce à cette approche à la demande de la gestion des risques de sécurité informatique et de la conformité, les entreprisesde toute taille peuvent renforcer leurs initiatives de sécurité et de conformité de manière cohérente et plus rapidement, tout enréduisant leurs coûts et en rationalisant leur fonctionnement.A propos de QualysQualys, Inc . (NASDAQ : QLYS), principal fournisseur de solutions de sécurité et de conformité dans le Cloud, propose des solutionséprouvées et évolutives à plus de 6000 entreprises dans 100 pays, dont une majorité des sociétés présentes aux classements Fortune100 et Forbes Global 100. QualysGuard Cloud Platform et sa suite de solutions intégrées de sécurité et de conformité aident lesentreprises à simplifier leurs opérations de sécurité et à réduire le coût de la conformité. Cette plate-forme délivre des services deSecurity Intelligence à la demande et automatise laudit, la mise en conformité et la protection des systèmes dinformation et desapplications Web. Fondée en 1999, Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance et descabinets de conseil de premier ordre tels que Accuvant, BT, Dell SecureWorks, Fujitsu, NTT, Symantec, Verizon et Wipro. Qualys a co-fondé la Cloud Security Alliance (CSA). Pour plus dinformations, consultez www.qualys.com.© Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc. Tous les autres produits ou noms sont la propriété de leurs détenteurs respectifs. 9/12Qualys, Inc. – Siège social Qualys est une société d’envergure mondiale avec des représentations1600 Bridge Parkway dans le monde entier. Pour connaître le bureau le plus proche deRedwood Shores, CA 94065 chez vous, rendez-vous sur http://www.qualys.comÉtats-UnisT: 1 (800) 745 4355

×