Your SlideShare is downloading. ×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Qui est responsable de la securite du cloud fr

525
views

Published on

La fourniture via Internet de services de logiciel et d'infrastructure à la demande permet aux équipes informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des …

La fourniture via Internet de services de logiciel et d'infrastructure à la demande permet aux équipes informatiques de bénéficier d'avantages sans précédent sur le plan de l'efficacité, des réductions de coûts et de l'évolutivité. Toutefois, ces avantages impliquent rendent les approches traditionnelles de la sécurité caduques. C'est là le paradoxe du cloud computing: synonyme de simplification de l'informatique, de services facturés à l'utilisation et d'externalisation des tâches, il comporte également un grand nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des données. Ce livre blanc les passe en revue.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
525
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. A BraveQui est responsable de la sécurité du cloud ? Lopinion dun expert de Trend Micro Février 2011 Écrit par Dave Asprey, Vice-président, sécurité cloud
  • 2. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?I. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ? Le cloud computing, cest la technologie qui fait le buzz en ce moment. La fourniture via Internet de services de logiciel et dinfrastructure à la demande permet aux équipes informatiques de bénéficier davantages sans précédent sur le plan de lefficacité, des réductions de coûts et de lévolutivité. Toutefois, les avantages révolutionnaires du cloud computing impliquent de nouveaux défis qui rendent les approches traditionnelles de la sécurité caduques. Cest là le paradoxe de cette nouvelle technologie informatique : synonyme de simplification de linformatique, de services facturés à lutilisation et dexternalisation des tâches les plus lourdes, le cloud comporte également un grand nombre de nouveaux problèmes de conformité et pose des risques pour la sécurité des données. Que ce soit de leur propre initiative ou sous la pression du marché, les directeurs informatiques sont en train de réévaluer les options qui soffrent à eux dans lenvironnement informatique du XXIe siècle. Ils souhaitent connaître les risques impliqués et surtout savoir à qui en incombe la responsabilité. Nous allons tenter ici dexaminer ces problèmes dans le contexte de lInfrastructure en tant que service (ou IaaS pour Infrastructure as a Service), une technologie permettant aux responsables informatiques de louer des services de réseau, des espaces de stockage, des serveurs ainsi que dautres éléments opérationnels. LIaaS offre également aux entreprises une plus grande autonomie que les SaaS (logiciels en tant que service) pour la mise en place de contrôles de sécurité.II. POURQUOI LE CLOUD ? Les principaux avantages du cloud public sont lévolutivité et la possibilité de remplacer des dépenses en immobilisations par des dépenses dexploitation. Les clients du cloud computing évitent les investissements en matériel, logiciels et autres services dinfrastructure et préfèrent recourir aux services de fournisseurs selon leurs besoins. Lallocation de ressources à la demande permet également aux entreprises dêtre plus dynamiques et performantes en évoluant rapidement selon les besoins informatiques du moment. Pour ce qui est du cloud privé, les avantages résident dans la flexibilité et la réactivité face aux besoins des clients internes. Avec ce genre datouts, lengouement pour ce nouveau paradigme informatique na rien détonnant. Une étude de Cisco réalisée en décembre révèle par exemple que 52 % des professionnels de linformatique utilisent ou projettent dutiliser le cloud computing dans les trois prochaines années. Selon une enquête similaire de lorganisme de sécurité de lISACA réalisée en mars 2010, un tiers des entreprises européennes utilisent déjà des systèmes de cloud computing. Enfin, la société internationale de conseil Accenture déclarait en juillet 2010 que la moitié de ses clients exécutaient des applications critiques sur le cloud. 1 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
  • 3. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?III. LA SÉCURITÉ DU PÉRIMÈTRE NEST PAS ENTERRÉE - DEUX APPROCHES DE LA SÉCURISATION DU CLOUD On a beaucoup entendu dire que le périmètre de sécurité traditionnel de lentreprise nexistait plus dans le cadre du cloud public. Les pare-feu, les systèmes de prévention des intrusions et dautres fonctions traditionnelles de sécurité seraient tout simplement inefficaces sur le cloud. Par conséquent, les entreprises doivent se fier à la sécurité du périmètre offerte par le fournisseur de services cloud, aussi basique soit-elle. Mais, vue sous un autre angle, la sécurité du périmètre est loin dêtre aussi obsolète. Au contraire, elle constitue un des éléments utiles dune architecture de sécurité efficace, mais un élément seulement. Lorsquil est question du cloud, les entreprises ont toujours la notion de périmètre. Elles peuvent décider détendre leur périmètre pour quil inclue le cloud, de laisser le cloud sétendre dans leur périmètre ou bien de combiner ces deux approches. Quel que soit leur choix, des couches de sécurité supplémentaires sont nécessaires, tout comme dans les environnements de sécurité dentreprise internes. Toutefois, ces deux scénarios présentent des inconvénients similaires concernant un manque potentiel de visibilité et de contrôle dû à lexternalisation de services vers le cloud. Les responsables de la sécurité des systèmes dinformation doivent être vigilants, conscients des risques impliqués et mettre en œuvre les procédures de vérification préalables nécessaires. 1) Le premier scénario, prévoyant lextension du périmètre au cloud, implique la mise en place dun tunnel IPSec de RPV vers les serveurs de votre fournisseur de cloud public, ainsi que linstallation dune sécurité dentreprise sur le serveur de cloud public, le plus souvent sous la forme de logiciels et appliances virtuelles de sécurité. Ce procédé présente lavantage de ne pas nécessiter de reconfiguration dActive Directory. De plus, la plupart des autres outils de gestion existants devraient fonctionner sur votre installation de cloud, vos serveurs en ligne se trouvant effectivement à lintérieur de votre « périmètre ». Cependant, lun des inconvénients réside dans le fait que, selon le niveau de sécurisation de votre serveur de cloud, il est possible que vous introduisiez dans votre architecture les risques associés au cloud [décrits ci-dessous]. Pour limiter ces risques, il est important de surveiller le lien entre le cloud et les serveurs internes, à laffût de tout trafic suspect. Les liens vers les serveurs critiques devraient dailleurs toujours être surveillés, quils soient sur un cloud ou non. Une autre option consiste à ajouter une zone démilitarisée (DMZ) et un pare-feu supplémentaires, bien que cela constitue alors un nouveau périmètre à sécuriser. De nombreuses entreprises oublient ou ignorent cette étape dans leur précipitation vers le cloud, notamment les petites entreprises ne disposant pas du temps et des ressources informatiques nécessaires pour ériger ces barrières de sécurité. Il est aussi indispensable dinstaller une sécurité suffisante sur ces serveurs cloud pour les protéger : IDS/IPS, pare-feu bidirectionnel, etc. 2 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
  • 4. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?RISQUESLes DSI doivent savoir que leurs serveurs cloud seront exposés à des menaces différentesde celles quils ont lhabitude de traiter en interne. Il est peu probable que les entreprises se voient confier les journaux daccès physique ou daccès administrateur de leur fournisseur de cloud. Et cest un problème majeur. Comment savoir si, par exemple, un administrateur informatique travaillant pour leur fournisseur de cloud public a eu accès à leurs données ? Les menaces venues de lintérieur peuvent être déjouées, dans une certaine mesure, en interne, à laide de journaux daccès. Mais en raison du manque de visibilité sur le cloud, les entreprises ont tout intérêt à généraliser le chiffrement des données. [En décembre, il est apparu que des données dentreprises appartenant à des clients de BPOS, une suite de services dentreprises hébergée de Microsoft, ont été consultées et téléchargées par dautres utilisateurs du logiciel, suite à une erreur de configuration. Bien que ce problème ait été rapidement réglé, il met en lumière les risques existants et montre à quel point il est important de disposer de visibilité au niveau des systèmes du fournisseur de cloud pour sassurer que ceux-ci répondent à vos exigences et sont conformes à la réglementation.] Le stockage partagé constitue également un risque. En effet, certaines entreprises sinquiètent pour la sécurité de leurs données, dès lors que celles-ci sont stockées à proximité des données dun concurrent, sur un même disque en ligne. Certains fournisseurs de cloud public ne sont tout simplement pas aussi à cheval sur la sécurité, ou aussi transparents sur leurs activités, quils devraient lêtre. Avant toute chose, si vous comptez stocker des données critiques en ligne, assurez-vous que le fournisseur respecte rigoureusement les meilleures pratiques de sécurité, notamment les normes ISO 27001 et SAS70 II. Examinez aussi en détail son contrat de niveau de service ainsi que sa stratégie de sécurité. Il existe un autre risque, directement lié au risque décrit ci-dessus : en cas de violation, même si les fournisseurs de cloud sont fautifs, ils ne rembourseront le plus souvent que le coût du service quils ont fourni. Le client devra seul supporter les coûts liés à latteinte à sa réputation, aux amendes et aux pertes financières, lesquels peuvent se chiffrer en millions.2) Le second scénario, lextension du cloud dans lentreprise, consiste à permettre au clouddaccéder à votre périmètre. Pour ce faire, il est nécessaire dautoriser un fournisseur decloud public IaaS ou un fournisseur de services de sécurité gérés à installer un nœud decloud sur site.3 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
  • 5. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?Lavantage de cette approche, de plus en plus courante parmi les grandes entreprises, estquil sagit dun modèle relativement bien compris. Parmi les entreprises ayant adopté cemodèle, on peut citer Akamai, qui depuis plus de dix ans gère des serveurs situés dans lepérimètre de sécurité de ses clients, Integralis, un fournisseur de services de sécurité gérésoffrant depuis des années des services de gestion de pare-feu à distance « depuis lecloud », ou encore Trend Micro, qui relie via Trend Micro Smart Protection Network lesserveurs de sécurité à lintérieur du réseau dune entreprise à un réseau de sécurité demilliers de serveurs sur le cloud.Disposer dans son centre de données ou dans les locaux de lentreprise dun tel nœud decloud, géré ou mis à jour par le fournisseur de cloud de manière centralisée, est certes ungage de simplicité. Mais cela présente également des inconvénients : il sagit toujourspour lessentiel dun service cloud. Aussi, le responsable informatique doit faire face à laplupart des risques liés au premier scénario. Les risques dus au manque de visibilité des journaux daccès physique ou daccès administrateur demeurent. En cas de négligence entraînant une perte de données critiques, le fournisseur de cloud ne remboursera jamais plus que le coût de ses services. Bien que votre réseau puisse être activé et désactivé, lorsquil est activé, le fournisseur de cloud peut accéder à votre réseau et à vos données dapplication. Celui-ci doit donc être sécurisé. Si le fournisseur est rigoureux en matière de sécurité et transparent dans son contrat de niveau de service, il ny pas de raison de sinquiéter outre mesure. Toutefois, comme nous lavons déjà évoqué, la plupart des fournisseurs de cloud généralistes ne placent pas la sécurité au cœur de leurs préoccupations. Il est donc primordial de distinguer une sécurité « correcte » dune sécurité « optimale ». Un service de messagerie basé sur le cloud installé à lintérieur de votre périmètre par un fournisseur de services de sécurité sera probablement plus sûr quun même service installé par un fournisseur de cloud public classique.4 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
  • 6. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?IV. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ET OÙ SE SITUENT LES RISQUES ? La vérité est désagréable à entendre, mais si vous comptez sur laide dun fournisseur de cloud, attendez-vous à être déçu. Le manque de visibilité au niveau des journaux daccès et les termes obscurs employés par ces fournisseurs pour décrire leurs stratégies de sécurité risquent même de vous compliquer la tâche.  Vous devez sécuriser vos serveurs cloud comme vous sécurisez vos serveurs internes, au moyen notamment de lIDS/IPS, doutils de prévention des fuites de données, de pare-feu bidirectionnels et du chiffrement.  Vous risquez de rencontrer des problèmes de sécurité du réseau dans un environnement de cloud, car peu de fournisseurs de cloud public vous laisseront surveiller le trafic réseau aussi étroitement que vous le souhaiteriez. Dans votre réseau, la configuration du routeur/commutateur et les journaux sont libres. Vous pouvez donc surveiller le trafic réseau à votre guise. Mais sur le cloud, cest impossible. Recourir au cloud pourrait alors être exclu pour des raisons de conformité. Cest pourquoi il est essentiel de savoir dans quelle mesure le fournisseur vous laissera surveiller le réseau et y accéder.  Le chiffrement des données stockées et en transit est essentiel en raison du manque de visibilité au niveau du trafic réseau et des journaux daccès administrateur de votre fournisseur.  De nombreux fournisseurs de cloud assurent également bien trop peu de contrôles daccès à base de rôles au niveau administrateur. Avec Amazon EC2, par exemple, un compte client contrôle toutes les machines virtuelles. Un membre de lentreprise disposant des droits daccès a donc la possibilité de faire tout ce quil veut et peut ajouter ou supprimer des machines virtuelles à sa guise.  Dans le cloud privé, le contrôle de la sécurité par le seul service informatique est remis en question en raison de la vitesse à laquelle un serveur peut être créé. Léquilibre naturel entre le service informatique, qui met à disposition les serveurs, et lentreprise, qui a besoin de ces serveurs, est de plus en plus menacé, à mesure que ce processus saccélère. Tout ce dont une entreprise a besoin aujourdhui, cest de savoir si elle peut supporter le coût dune licence. Dans un environnement de cloud privé, une unité commerciale peut alors mettre sur pied un serveur en deux jours tout ou plus, là où auparavant six semaines étaient nécessaires. Cependant, toute demande de nouveau serveur doit être attentivement examinée, car les risques augmentent proportionnellement au nombre de machines virtuelles à gérer. Les responsables informatiques doivent mettre en place un processus central de délivrance dautorisations pour sassurer que les demandes des entreprises sont traitées en premier lieu par le service informatique. 5 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?
  • 7. QUI EST RESPONSABLE DE LA SÉCURITÉ DU CLOUD ?V. APPEL À LACTION Entreprises Chiffrez les données stockées et en cours de transfert et veillez à conserver les clés de chiffrement dans un lieu différent de celui où se trouvent les données, qui ne soit pas facilement accessible au fournisseur de cloud. Déployez dans le cloud les mêmes outils de sécurité que vous déployez pour vos serveurs physiques : la sécurité du système dexploitation offert par les fournisseurs de cloud nest tout simplement pas suffisante. Fournisseurs de cloud Soyez plus ouverts et transparents en matière de stratégies et de procédures de sécurité concernant les contrôles daccès et le trafic réseau. Les clients doivent être autorisés à consulter les journaux daccès pour savoir quelles personnes accèdent au réseau, ce quelles y font et quand elles le font. Clarifiez les contrats de niveau de service pour que les clients comprennent clairement les dispositifs de sécurité que vous leur offrez et sachent quelles mesures prendre pour assurer la sécurité de leurs données conformément à leurs propres normes et à la réglementation. Environnements de cloud privé Si un processus central de délivrance dautorisations nexiste pas, créez-en un pour traiter toutes les demandes de serveur cloud de lentreprise. Les questions suivantes devront être posées : pourquoi un serveur est-il nécessaire, quelles applications y seront exécutées, combien de temps existera-t-il, quel sera le volume du trafic sur ce serveur ? Et vous devrez aussi contrôler régulièrement ces exigences. Soyez prêts... Les services informatiques sont contraints daccélérer leur vitesse de travail. Pour le bien de lentreprise, vous devez être prêts à répondre à ces exigences dans les plus brefs délais sans compromettre la sécurité. 6 | Lopinion dun expert de Trend Micro™ | Qui est responsable de la sécurité du cloud ?