la sécurité   du cloud  computing  le temps d’uncafé
édito                    Après quelques petites années, le cloud computing est                    maintenant partout. Mais...
la sécurité du cloud computing le temps d’un café
sommaire                    invasion de services cloud                    en entreprise : que faire ?                 6   ...
invasion de services cloud en entreprise : que faire?    invasion de services    cloud en entreprise :    que faire?    pa...
invasion de services cloud en entreprise : que faire?                  en oeuvre des moyens et systèmes nécessaires pour a...
invasion de services cloud en entreprise : que faire?il est importantde s’assurerque les données              tionpeuvent ...
invasion de services cloud en entreprise : que faire?                     accompagner pour préparer                     l’...
invasion de services cloud en entreprise : que faire?     amenées à quitter la zone europe (ou un pays “reconnu”) et cela ...
invasion de services cloud en entreprise : que faire?                     souplesse et accompagnement                     ...
la sécurité du cloud computing le temps d’un café
comprendre la protection des données dans le cloud                    comprendre la                    protection des donn...
comprendre la protection des données dans le cloud     d’accès et le chiffrement. Je n’évoquerai que rapidement la     pre...
comprendre la protection des données dans le cloud                stockées. En l’absence de standards reconnus la mise en ...
comprendre la protection des données dans le cloud  sélectionner  en priorité  un fournisseur  en qui vous  avez confiance...
comprendre la protection des données dans le cloud                    attaquant pourrait donc, s’il arrive à récupérer ces...
comprendre la protection des données dans le cloud                     les fournisseurs de service, la confiance dans son ...
la sécurité du cloud computing le temps d’un café
cloud iaas : 15 recommandations pour des serveurs sécurisés                cloud iaas :                15 recommandations ...
cloud iaas : 15 recommandations pour des serveurs sécurisésne stockez pasvos clefs dedéchiffrement                        ...
cloud iaas : 15 recommandations pour des serveurs sécurisés     Je vous donne 15 recommandations pour sécuriser une     in...
cloud iaas : 15 recommandations pour des serveurs sécurisés                     Normalement, pour devriez commencer par id...
la sécurité du cloud computing le temps d’un café
forrester : la sécurité des services cloud dans le collimateur                     forrester : la sécurité                ...
forrester : la sécurité des services cloud dans le collimateurpour certainsservices “cloud”     at ten              tionon...
forrester : la sécurité des services cloud dans le collimateur                     J’aurai tendance à rejoindre leur analy...
la sécurité du cloud computing le temps d’un café
5 documents de référence sur la sécurité du cloud computing                    5 documents de                    référence...
5 documents de référence sur la sécurité du cloud computing     #2     Syntec Numérique Livre Blanc     sécurité du Cloud ...
5 documents de référence sur la sécurité du cloud computing                    Alliance propose bien d’autres documents. M...
5 documents de référence sur la sécurité du cloud computing                     Virtualization Guidelines” explicite de fa...
la sécurité du cloud computing le temps d’un café
l’auteurJean-FrançoisAudenardAu sein d’Orange Business Services, je suisen charge d’intégrer la sécurité au cœur denos off...
Document téléchargeable à :http://livres-blancs.orange-business.com/Édité par Orange Business Services30.03.2012la sécurit...
La securite du cloud computing le temps d un cafe - Orange Business Services
La securite du cloud computing le temps d un cafe - Orange Business Services
Prochain SlideShare
Chargement dans…5
×

La securite du cloud computing le temps d un cafe - Orange Business Services

2 564 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 564
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
227
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

La securite du cloud computing le temps d un cafe - Orange Business Services

  1. 1. la sécurité du cloud computing le temps d’uncafé
  2. 2. édito Après quelques petites années, le cloud computing est maintenant partout. Mais sans sécurité, pas de cloud computing : pour une fois (!) le marché est unanime sur ce point. Les questions et interrogations sont nombreuses : en quoi la sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de la composante humaine de cette équation cloud et sécurité ? Par où commencer et sur quels référentiels s’appuyer pour son “projet cloud” ? Le livret que vous avez sous les yeux concentre une sélection de billets qui, le temps d’un café, devraient vous apporter un éclairage sur ce sujet qu’est “la sécurité du cloud computing”. Bonne lecture et à très bientôt sur nos blogs pour continuer le voyage ! Jean-François Audenard la sécurité du cloud computing le temps d’un café
  3. 3. la sécurité du cloud computing le temps d’un café
  4. 4. sommaire invasion de services cloud en entreprise : que faire ? 6 comprendre la protection des données dans le cloud 13 cloud iaas : 15 recommandations pour des serveurs sécurisés 20 forrester : la sécurité des services cloud dans le collimateur 25 5 documents de référence sur la sécurité du cloud computing 29la sécurité du cloud computing le temps d’un café 5
  5. 5. invasion de services cloud en entreprise : que faire? invasion de services cloud en entreprise : que faire? par Jean-François Audenard Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l’informatique mais c’est aussi une nouvelle source de soucis. Un peu comme les infections qui se nichent entre les doigts de pieds : elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là... Pour une entreprise, les applications en mode cloud computing c’est peu ou prou la même chose que ces mycoses ou autres champignons : les employés souscrivent d’eux-mêmes à des services cloud, la direction sécurité n’étant pas mise dans la boucle ; au contraire cette dernière est soigneusement oubliée : Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la regarde pas. Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d’accompagner ce changement car il est trop tard pour l’enrailler. les motivations profondes : rapidité de mise en oeuvre, documentation et coûts Pour les directions métiers, l’amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise6 la sécurité du cloud computing le temps d’un café
  6. 6. invasion de services cloud en entreprise : que faire? en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs. Depuis plusieurs années (voire décennies) les directions informatiques les assomment de à savoir délais improbables allant de pair avec des coûtssouscrire à un service cloud dignent du meilleur escroc.est facile et rapide : Une autre raison réside dans le fait queil suffit d’un accès internet et des services de cloud externes n’ont pasde sortir sa carte bancaire d’équivalents en interne ou encore que ceux-cicorporate. sont tout simplement bien mieux documentés et clairs que leurs versions internes. Car oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète... et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas ! Avant le cloud, les directions métiers étaient ; excusez-moi de l’expression ; “de la baise”. Avec le cloud computing elles ont désormais le choix : les directions informatiques doivent donc s’adapter et évoluer ; les directions sécurité aussi. un état de fait, une tendance qu’il n’est pas possible d’arrêter Souscrire à un service cloud est facile et rapide : il suffit d’un accès Internet et de sortir sa carte bancaire corporate. Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS (Software as a Service), les PaaS (Platform as a Service) ou même ceux de type IaaS (Infrastructure as a Service). A moins de couper les accès Internet (totalement irréaliste) ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud Services providers” dans les systèmes de filtrage d’URL ?), la tendance est à un élargissement du nombre de prestataires de services informatiques. Les directions informatique et sécurité sont donc tenues ; si elles veulent rester en place et continuer à être reconnues ; de se mettre au goût du jour et d’accompagner ce changement.la sécurité du cloud computing le temps d’un café 7
  7. 7. invasion de services cloud en entreprise : que faire?il est importantde s’assurerque les données tionpeuvent être n at teeffectivementrécupéréessous un formatré-utilisable.8 la sécurité du cloud computing le temps d’un café
  8. 8. invasion de services cloud en entreprise : que faire? accompagner pour préparer l’avenir et anticiper Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l’accompagner vers cette transition vers le cloud computing. Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de “l’accompagnement” des projets que les direction informatiques. Oui, l’utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise. Illustration en deux points : la conformité et la continuité. données personnelles Une entreprise française manipulant des données personnelles est tenue d’assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l’espace européen (ou sur le sol d’un pays reconnu comme étant “suffisamment protecteur”). Tout le monde n’est pas au fait de ces aspects réglementaires (directive Européenne 95/46/EC), une direction à savoir sécurité est donc tout à fait légitime pourla loi indique que le client guider le choix (sans s’y opposer ou forcémentfinal doit être informé que chercher à placer d’autres solutions) vers undes données personnelles fournisseur en mesure de répondre à ce besoinle concernant sont amenées de conserver les données dans une liste deà quitter la zone Europe. pays pré-établie. De la même façon, il conviendra de s’assurer que les équipes de support technique du prestataire sont bien localisées dans des pays connus. Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l’être. Dans le cas contraire, la loi indique que le client final doit être informé que des données personnelles le concernant sontla sécurité du cloud computing le temps d’un café 9
  9. 9. invasion de services cloud en entreprise : que faire? amenées à quitter la zone europe (ou un pays “reconnu”) et cela doit être stipulé dans le contrat de service. continuité Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivé par une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests. Dans chacun de ces contextes d’utilisation de services cloud, il est critique d’assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi (par exemple si celui-ci viendrait à cesser ses activités). De la même façon, une société peut initier un projet grâce aux services cloud d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire. réversibilité Si ces questions relatives à la réversibilité n’ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait être prohibitif voire même dans certains cas impossible. Dans tous les cas, il est important de s’assurer que les données peuvent être effectivement récupérées sous un format ré-utilisable. Pour de l’IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles (sous un format spécifique à l’hyperviseur ou encore sous forme de fichiers OVF). Dans le domaine du PaaS, le sujet n’est pas neuf, les récents échanges de mots entre Google et Joyent (“Google Cloud Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de Big-Table sont un bon exemple du besoin d’utiliser des techniques standardisées (ou tout du moins non propriétaires) car sinon c’est le “syndrome d’enfermement” assuré.10 la sécurité du cloud computing le temps d’un café
  10. 10. invasion de services cloud en entreprise : que faire? souplesse et accompagnement La balle est dans le camp des directions informatiques et sécurité : le cloud computing est là et sera de plus en plus présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire. Le proverbe Japonais “la neige ne brise jamais les branches du saule” illustre bien le comportement à adopter  : souplesse et accompagnement sont les clefs d’une transition vers le cloud computing.l’article en ligneInvasion de services clouden entreprise : que faire ?la sécurité du cloud computing le temps d’un café 11
  11. 11. la sécurité du cloud computing le temps d’un café
  12. 12. comprendre la protection des données dans le cloud comprendre la protection des données dans le cloud par Jean-François Audenard Les donneés stockées dans le cloud doivent être protégées contre les accès et les modifications non-autorisées. Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données iront croissant. La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire. Je vous propose de partager avec vous quelques idées sur ce thème. Comme nous le verrons, le cycle de vie des données est une constante qui sera un outil particulièrement utile et qui est applicable quelque soit le type de service cloud concerné. Par contre, au niveau de certaines phases de ce cycle de vie les choses se compliqueront en fonction du type de service  : on ne sécurise pas de la même façon des données dans un contexte de service de type IaaS (Infrastructure as a Service), BaaS (Backup as a Service) ou encore SaaS (Software as a Service). cycle de vie de la donnée  : modèle de référence Le cycle de vie des données dans le Cloud est décomposable en 5 grandes étapes. Les données sont transférées dans le Cloud, elles y sont stockées, utilisées, récupérées et éventuellement détruites. A chaque étape de ce cycle de vie, différentes mesures peuvent être mises en oeuvre pour assurer la sécurité des données. Les mesures de protection sont de deux types  : le contrôlela sécurité du cloud computing le temps d’un café 13
  13. 13. comprendre la protection des données dans le cloud d’accès et le chiffrement. Je n’évoquerai que rapidement la première pour me focaliser sur le chiffrement. première brique essentielle : le contrôle d’accès Contrôler l’accès aux données s’appuie sur des mécanismes d’authentification : une personne (ou un système, un programme) doit montrer patte blanche afin de pouvoir accéder aux données. L’ensemble des techniques, systèmes et moyens de contrôle d’accès sont regroupés sous l’acronyme IAM (Identity and Access Management). Comme il s’agit d’un sujet très large je vous propose de le mettre de coté pour le moment. phase de transit des données : c’est maîtrisé ! Les phases liées à l’envoi des données depuis les systèmes internes d’une entreprise vers le cloud ou à leur rapatriement sont les plus matures. Ou les données peuvent être chiffrées en internes par l’entreprise et ensuite envoyées, ou alors on utilise une couche de transport intégrant cette fonction de chiffrement. Dans cette seconde catégorie, les protocoles standards que sont IPSEC et SSL sont très répandus. En liaison avec une authentification basée sur des clefs asymétriques (certificats à clef publique par exemple), ces protocoles permettent de transmettre des données en toute sécurité vers ou depuis le cloud. Nous sommes en pleine zone de confort, les standards existent, les systèmes sont fiables et faciles à utiliser. phase de stockage des données : ça se gâte Une fois les données arrivées dans le Cloud, celles-ci y sont14 la sécurité du cloud computing le temps d’un café
  14. 14. comprendre la protection des données dans le cloud stockées. En l’absence de standards reconnus la mise en oeuvre des fonctions de chiffrement est dépendante du fournisseur de service. Certains d’entre-eux vont proposer des systèmes dont le fonctionnement n’est peut-être pas toujours très clair. Dans le cas où les données sont déposées dans le cloud afin d’assurer leur disponibilité (cas par exemple d’un service à savoir de type Baas - Backup as a Service), le mieuxen l’absence de standards est de chiffrer les données avant de les envoyer :reconnus la mise en cette tâche incombera au client du cloud quioeuvre des fonctions de réalisera ce traitement lui-même (ou via deschiffrement est dépendante outils mis à sa disposition par son fournisseur).du fournisseur du service Evidemment, dans le cas d’un service de typecorporate. SaaS (Software as a Service) le chiffrement ne pourra être réalisé que par le fournisseur : le client final ayant un rôle quasi inexistant (et donc une maîtrise) dans cette étape de chiffrement. Ici le contrôle d’accès (IAM) aura un rôle encore plus important que dans le cas d’un service de type BaaS ou le chiffrement peut être effectué à la source. Même si la situation n’est pas toute rose, il y a donc quelques solutions de disponibles pour les données “at rest” ou “stockées”. La situation se complique encore plus pour les données présentes dans le cloud et devant être utilisées dans ce même cloud. données utilisées dans le cloud : absence de standards Pour ce qui concerne les données présentes dans le cloud et qui doivent être utilisées depuis le cloud, il n’existe actuellement pas de solution. Afin d’illustrer mon propos, prenons l’exemple d’une machine virtuelle déployée sur un Cloud de type IaaS (Infrastructure as a Service). Cette VM (Virtual Machine) utilise un système de fichier pour stocker le système d’exploitation, les applicatifs et les données des applications. Même si on chiffre le système de fichier, les clefs de déchiffrement doivent être présentes dans la VM pour que celle-ci puisse fonctionner.... Unla sécurité du cloud computing le temps d’un café 15
  15. 15. comprendre la protection des données dans le cloud sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes.at t en tio n 16 la sécurité du cloud computing le temps d’un café
  16. 16. comprendre la protection des données dans le cloud attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder aux données présentes sur le disque de la VM. Dans ce cas précis, la sécurité des données va reposer sur les mesures de contrôle d’accès mises en place pour accéder aux données : cela tant pour les accès externes que pour les accès des administrateurs et exploitants du Cloud. Avoir confiance en son fournisseur est donc peut-être encore plus important quand on lui confie des VM. Idem pour une application positionnée dans le cloud (webmail, application de CRM, gestion documentaire, etc...) et la destruction des données ? le chiffrement est un allié Une fois que des données ont été récupérées depuis un cloud, il est important de s’assurer qu’elles en disparaissent bien. Outre le fait qu’il convient de demander quels sont les engagements, moyens et procédures mis en oeuvre par un fournisseur pour effacer toute trace de vos données ; un doute peut ultimement subsister. C’est ici que le chiffrement peut nous donner un coup de main. En effet, sans la clef pour les déchiffrer, des données préalablement chiffrées sont totalement inutilisables : donc pour détruire des données, il suffit de jeter la clef de chiffrement ! C’est ce concept qui permet de s’assurer que des données sont bien inaccessibles même dans le cas extrême où un fournisseur de cloud vient de mettre la clef sous la porte sans prévenir. un fournisseur de confiance est essentiel A part la phase de transfert des données depuis ou vers le cloud, les moyens pour sécuriser ses données lorsqu’elles sont dans le cloud restent encore à améliorer. En attendant que les standards se développent et qu’ils soient intégrés parla sécurité du cloud computing le temps d’un café 17
  17. 17. comprendre la protection des données dans le cloud les fournisseurs de service, la confiance dans son fournisseur est un élément fondamental. La confiance vient dans le temps et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma recommandation serait de sélectionner en priorité un fournisseur en qui vous avez confiance et qui connait vos besoins et contraintes. Néanmoins, pas de confiance aveugle : un contrat bien ficelé et une analyse fine et approfondie de ses pratiques de sécurité sont des points de passage obligés.l’article en ligneComprendre la protectiondes données dans le cloud18 la sécurité du cloud computing le temps d’un café
  18. 18. la sécurité du cloud computing le temps d’un café
  19. 19. cloud iaas : 15 recommandations pour des serveurs sécurisés cloud iaas : 15 recommandations pour des serveurs sécurisés par Jean-François Audenard Les services cloud de type IaaS (Infrastructure as a Service) sont peut-être ceux qui viennent le plus naturellement à l’esprit des personnes. Cela est peut-être dû au fait que ce niveau de service bénéficie du “halo” de la virtualisation... à savoir Vous devriez commencer Dans une offre de type IaaS, le client souscrit par identifier vos besoins à un service d’hébergement d’un système sécurité pour ensuite d’exploitation tournant dans un environnement sélectionner votre virtualisé. Une fois le système livré par le fournisseur et ajouter prestataire c’est au client de sécuriser son vous-même ce qu’il ne système. L’étendue de ce travail de sécurisation propose pas dépendra des besoins du client et ce qui est fournit ou non par le prestataire. Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d’entrée de gamme. A vous de remonter vos manches et de renforcer la sécurité au niveau adéquat.20 la sécurité du cloud computing le temps d’un café
  20. 20. cloud iaas : 15 recommandations pour des serveurs sécurisésne stockez pasvos clefs dedéchiffrement at te n tionsur l’instance :celles-ci nedoivent y entrerque durant leprocessus dedéchiffrement.la sécurité du cloud computing le temps d’un café 21
  21. 21. cloud iaas : 15 recommandations pour des serveurs sécurisés Je vous donne 15 recommandations pour sécuriser une instance d’une machine virtuelle localisée en Cloud IaaS. 1. Cryptez tout le trafic réseau 2. Limitez à un le nombre de services supportés par une instance (*) 3. Renforcez la sécurité de votre système d’exploitation (Microsoft MBSA, Bastille Linux, ...) 4. Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc 5. Cryptez toutes les données déposées sur les espaces de stockage (SAN, NAS, ...) 6. Ne stockez pas vos clefs de décryptage sur l’instance : celles-ci ne doivent y entrer que durant le processus de décryptage. 7. N’ouvrez que le minimum de ports réseau requis sur chacune des instances 8. Déployez régulièrement les correctifs de sécurité (Patchs) tant pour le système d’exploitation que les applicatifs 9. Faites des scans de détection de vulnérabilités récurrents 10. Hormis pour les services publics comme HTTP/HTTPS, limitez les adresses IP sources autorisées à se connecter 11. N’utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients 12. Effectuez régulièrement des sauvegardes pour ensuite les rapatrier et les stocker en lieu sûr 13. Installez un système de détection d’intrusion au niveau du système d’exploitation (par exemple OSSEC, CISCO CSA, ...) 14. Si vous suspectez une intrusion, faites un snaphost de l’instance et stoppez-là. (*) 15. Développez vos applications de façon sécurisée (OWASP).22 la sécurité du cloud computing le temps d’un café
  22. 22. cloud iaas : 15 recommandations pour des serveurs sécurisés Normalement, pour devriez commencer par identifier vos besoins sécurité pour ensuite sélectionner votre (ou vos) fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt) pas que ce soit dans le niveau de service standard ou dans le cadre d’options. Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez similaire à un serveur dédié hébergé chez un prestataire ; enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu. Sur les 15 recommandations, seules deux (*) requièrent des techniques liées à la virtualisation. PS : rien de bien magique pour un administrateur système/ sécurité expérimenté. Surtout qu’avec la virtualisation le copy/ paste d’instances virtuelles offre un niveau d’industrialisation que l’on ne connait pas dans les serveurs dédiés. Bon cloud !l’article en lignecloud IaaS : 15 recommandationspour des serveurs sécurisésla sécurité du cloud computing le temps d’un café 23
  23. 23. la sécurité du cloud computing le temps d’un café
  24. 24. forrester : la sécurité des services cloud dans le collimateur forrester : la sécurité des services cloud dans le collimateur par Jean-François Audenard Dans l’une des dernières études de Forrester intitulée “Status, Challenges, And Near-Term Tactics For Cloud Services In Enter- prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents. Avant que les entreprises fassent massivement à savoir le “grand saut” vers les services cloud, des Vous devriez commencer réponses à 7 grandes interrogations devront par identifier vos besoins être apportées par les fournisseurs de services sécurité pour ensuite dans le nuage. Le premier d’entre-eux est la sélectionner votre sécurité : “Even so, perceptions and genuine fournisseur et ajouter technical hurdles put security as one of the vous-même ce qu’il ne biggest challenges to broader enterprise cloud propose pas services adoption”. La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes. Certains affirment que la sécurité dans le nuage est impos- sible alors que d’autres défendent becs et ongles le contraire : le cloud peut être mieux sécurisé que des infrastructures dédiées. Ces messages contradictoires pourraient s’expliquer par le fait que le niveau des technologies et processus mis en œuvre dans les plateformes de type cloud ne sont pas aussi matures que pour d’autres domaines. D’un autre coté, pour certains ser- vices “cloud” on peut dire que leur niveau de sécurité est arrivé à maturité.la sécurité du cloud computing le temps d’un café 25
  25. 25. forrester : la sécurité des services cloud dans le collimateurpour certainsservices “cloud” at ten tionon peut direque le niveaude sécurité estarrivé à maturité.26 la sécurité du cloud computing le temps d’un café
  26. 26. forrester : la sécurité des services cloud dans le collimateur J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder les services de mail. De grandes entreprises sous-traitent (en totalité ou en partie) leurs communications électroniques à des prestataires de services. Cela fonctionne plutôt bien d’ailleurs. Pour faire un parallèle : dans le cloud on peut retrouver des termes comme “private cloud”, “public cloud” ou encore “community cloud”. Mettez en face de chacun “une plateforme de mail dédiée hebergée”, “Gmail” ou encore des “services de messagerie electroniques pour le segment des entreprises” (suivez mon regard). Pour chacun de ces services “cloud” on sait faire dans le sé- curisé... bien sûr au niveau de fonctionnalité et au prix attendu par chacun. Quelle est la recommandation de Forrester ? Plutôt simple : “intégrez la sécurité dans les choix stratégiques et dans le pro- cessus de sélection”. Ce n’est pas une surprise : les entreprises ne pouvant “out- sourcer” leurs risques (à la limite les transférer, mais à un coût) elles doivent donc s’appuyer sur leurs experts sécurité pour évaluer objectivement les déclarations sécuritaires de leurs fournisseurs de services cloud. “Il faut intégrer la sécurité dès le début du projet” : rien de bien nouveau ici, que du classique... Est-ce fait systématiquement ? A chacun de s’en assurer. PS: J’ai délibérément omis de parler de tout ce qui n’était pas en relation avec la sécurité. Ce document de Forrester n’étant pas focalisé uniquement sur la sécurité.l’article en ligneForrester : la sécurité des servicescloud dans le collimateurla sécurité du cloud computing le temps d’un café 27
  27. 27. la sécurité du cloud computing le temps d’un café
  28. 28. 5 documents de référence sur la sécurité du cloud computing 5 documents de référence sur la sécurité du cloud computing par Jean-François Audenard Voici 5 documents que je considère comme des “références” dans le domaine de la sécurité du cloud computing (ou plus généralement dans le contexte de l’externalisation des systèmes d’information). Dans cette sélection, les documents en langue française ne sont pas légion mais sont de qualité. Pour ceux que l’anglais ne rebute pas, il y a du lourd avec notamment le guide de la Cloud Security Alliance. #1 ANSSI Maîtriser les risques de l’infogérance (En français - 56 pages) Le premier c’est le “Guide de l’externalisation : externalisation et sécurité des systèmes d’information : maîtriser les risques” de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui nous propose un document très didactique. L’approche prise est clairement d’accompagner le lecteur/ lectrice vers une démarche de prise en compte de la sécurité dans un projet d’externalisation d’un système d’information. A noter une section relative à la définition d’un PAS (Plan d’Assurance Sécurité) et comment contractualiser des engagements de sécurité.la sécurité du cloud computing le temps d’un café 29
  29. 29. 5 documents de référence sur la sécurité du cloud computing #2 Syntec Numérique Livre Blanc sécurité du Cloud Computing (En français - 24 pages) Le second c’est celui du Syntec Numérique “Livre Blanc sécurité du Cloud Computing - Analyse des risques, réponses et bonnes pratiques”. Après une analyse des risques mettant le focus sur les 9 risques principaux identifiés autour du cloud, l’approche du Syntec Numérique prend le parti de détailler les mesures de sécurité selon trois axes : sécurité physique, sécurité logique et enfin sécurité des données. Le document est d’une lecture aisée car il évite un formalisme trop guindé, c’est peut-être le plus accessible des 5 documents pour celui ou celle souhaitant appréhender le sujet. #3 Cloud Security Alliance Security Guidance for Critical Areas of Cloud Computing v3.0 (En anglais - 177 pages) Le troisième document publié par la Cloud Security Alliance est LE POIDS LOURD de cette sélection. Le guide “Security Guidance for Critical Areas of Cloud Computing Version 3.0” est une “référence-de-référence” pour tout professionel du domaine. Ce document contient les informations de dernière main dans le domaine de la sécurité du cloud computing. Mon petit reproche? Certaines mesures de sécurité détaillées dans ce document sont parfois un peu décalées du terrain car trop complexes, elles restent néanmoins applicables mais pas pour tous. Ce n’est que la partie hébergée de l’iceberg : la Cloud Security30 la sécurité du cloud computing le temps d’un café
  30. 30. 5 documents de référence sur la sécurité du cloud computing Alliance propose bien d’autres documents. Mon conseil  : allez fouiller sur leur site, vous ne serez pas déçu(e) ! #4 ENISA, Cloud Computing Risk Assessment (En anglais - 125 pages) Le 4ième document est celui de l’ENISA, agence Européenne spécialisée dans la sécurité des systèmes d’information. Dans leur document “Cloud Computing, Benefits, risks and recommendations for information security”, l’ENISA nous propose une vision axée sur les risques liés aux cloud computing. C’est le document le plus complet de tous sur l’approche “risques”. Chacun des risques est passé en revue et les mesures de sécurité de réduction présentées. Chaque risque est présenté sous une forme identique et les informations données sont synthétiques, ce qui facilite grandement la tâche. Pour vous faire une idée de par où commencer, ce document est fait pour vous : foncez en page 24 pour identifier les 8 risques considérés comme les plus importants. #5 PCI DSS Virtualization Guidelines v2.0 (En anglais - 39 pages) Le Payment Card Industry Data Security Standard (PCI DSS) fixe les règles du jeu concernant la sécurité des informations des cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est que les règles (ou “objectifs de sécurité”) sont précis et connus d’avance. Le niveau d’exigence est clairement fort. Le guide “PCI-DSS - Information Supplement: PCI DSSla sécurité du cloud computing le temps d’un café 31
  31. 31. 5 documents de référence sur la sécurité du cloud computing Virtualization Guidelines” explicite de façon claire et précise ce qu’il convient de mettre en place au niveau d’une couche de virtualisation. Pour savoir que faire pour sécuriser votre hyperviseur c’est le document qu’il vous faut : cela couvre tant les aspects techniques mais aussi organisationnels. mes deux préférés Sur ces 5 documents de référence, mes deux préférés sont celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide de la Cloud Security Alliance concentre “l’état de l’art” dans le domaine de la sécurité du cloud computing ; celui de l’ANSSI donnant quant à lui les clefs pour intégrer la sécurité dans le coeur d’un service de cloud computing. et ce n’est pas fini : quels sont vos documents de prédilection ? J’ai volontairement passé sous silence les guides spécifiques à une technologie spécifique ou encore d’autres comme les documents du NIST, ceux de la NSA et j’en passe.... Quels sont les documents que vous considérez comme “de référence” ? C’est le moment de montrer les joyaux cachés au fond de vos disques durs et autres espaces de partage en ligne.l’article en ligne5 documents de référencesur la sécurité du cloud computing32 la sécurité du cloud computing le temps d’un café
  32. 32. la sécurité du cloud computing le temps d’un café
  33. 33. l’auteurJean-FrançoisAudenardAu sein d’Orange Business Services, je suisen charge d’intégrer la sécurité au cœur denos offres et services de cloud computing.Je suis un passionné et ne considère leschoses que de façon entière et engagée :pas de mi-figue/mi-raisin avec moi. Bloggeurengagé et engageant, j’aime aller au delà deschantiers battus et faire “bouger les codes”. Lafranchise est ma “touche” et l’optimisme et levolontarisme mes deux moteurs. la sécurité du cloud computing le temps d’un café
  34. 34. Document téléchargeable à :http://livres-blancs.orange-business.com/Édité par Orange Business Services30.03.2012la sécurité du cloud computing le temps d’un café

×