La securite du cloud computing le temps d un cafe - Orange Business Services
1. la sécurité
du cloud
computing
le temps
d’un
café
2.
3. édito
Après quelques petites années, le cloud computing est
maintenant partout. Mais sans sécurité, pas de cloud
computing : pour une fois (!) le marché est unanime sur ce point.
Les questions et interrogations sont nombreuses : en quoi la
sécurité du cloud computing est-elle aussi “nouvelle” ? Quid de
la composante humaine de cette équation cloud et sécurité ?
Par où commencer et sur quels référentiels s’appuyer pour son
“projet cloud” ? Le livret que vous avez sous les yeux concentre
une sélection de billets qui, le temps d’un café, devraient vous
apporter un éclairage sur ce sujet qu’est “la sécurité du cloud
computing”.
Bonne lecture et à très bientôt sur nos blogs pour continuer
le voyage !
Jean-François Audenard
la sécurité du cloud computing le temps d’un café
5. sommaire
invasion de services cloud
en entreprise : que faire ? 6
comprendre la protection
des données dans le cloud 13
cloud iaas : 15 recommandations
pour des serveurs sécurisés 20
forrester : la sécurité des services cloud
dans le collimateur 25
5 documents de référence sur la sécurité
du cloud computing 29
la sécurité du cloud computing le temps d’un café 5
6. invasion de services cloud en entreprise : que faire?
invasion de services
cloud en entreprise :
que faire?
par Jean-François Audenard
Pour une entreprise, le cloud computing est une petite révolution
dans la façon de considérer l’informatique mais c’est aussi une
nouvelle source de soucis. Un peu comme les infections qui
se nichent entre les doigts de pieds : elles apparaissent, on les
soigne, on pense avoir gagné et peu temps après elles sont de
nouveau là...
Pour une entreprise, les applications en mode cloud computing
c’est peu ou prou la même chose que ces mycoses ou autres
champignons : les employés souscrivent d’eux-mêmes à des
services cloud, la direction sécurité n’étant pas mise dans la
boucle ; au contraire cette dernière est soigneusement oubliée :
Il ne faudrait pas qu’elle puisse fourrer son nez dans ce qui ne la
regarde pas.
Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est
nécessaire d’accompagner ce changement car il est trop tard
pour l’enrailler.
les motivations profondes :
rapidité de mise en oeuvre,
documentation et coûts
Pour les directions métiers, l’amélioration de leur productivité et
de leur agilité passe par une plus grande réactivité dans la mise
6 la sécurité du cloud computing le temps d’un café
7. invasion de services cloud en entreprise : que faire?
en oeuvre des moyens et systèmes nécessaires pour atteindre
leurs objectifs. Depuis plusieurs années (voire décennies) les
directions informatiques les assomment de
à savoir délais improbables allant de pair avec des coûts
souscrire à un service cloud dignent du meilleur escroc.
est facile et rapide : Une autre raison réside dans le fait que
il suffit d’un accès internet et des services de cloud externes n’ont pas
de sortir sa carte bancaire d’équivalents en interne ou encore que ceux-ci
corporate. sont tout simplement bien mieux documentés
et clairs que leurs versions internes. Car
oui, certains services en internes sont parfois bien mais la
documentation est souvent un peu trop basique, pas à jour voir
quasiment obsolète... et gare à celui qui osera dire tout haut ce
que tout le monde pense tout bas !
Avant le cloud, les directions métiers étaient ; excusez-moi de
l’expression ; “de la baise”. Avec le cloud computing elles ont
désormais le choix : les directions informatiques doivent donc
s’adapter et évoluer ; les directions sécurité aussi.
un état de fait, une tendance qu’il
n’est pas possible d’arrêter
Souscrire à un service cloud est facile et rapide : il suffit d’un
accès Internet et de sortir sa carte bancaire corporate. Les
services cloud qui sont les premiers sur la liste sont ceux
de type SaaS (Software as a Service), les PaaS (Platform as
a Service) ou même ceux de type IaaS (Infrastructure as a
Service).
A moins de couper les accès Internet (totalement irréaliste)
ou de filtrer l’accès à ceux-ci (à quand une catégorie “Cloud
Services providers” dans les systèmes de filtrage d’URL ?), la
tendance est à un élargissement du nombre de prestataires de
services informatiques. Les directions informatique et sécurité
sont donc tenues ; si elles veulent rester en place et continuer à
être reconnues ; de se mettre au goût du jour et d’accompagner
ce changement.
la sécurité du cloud computing le temps d’un café 7
8. invasion de services cloud en entreprise : que faire?
il est important
de s’assurer
que les données
tion
peuvent être
n
at te
effectivement
récupérées
sous un format
ré-utilisable.
8 la sécurité du cloud computing le temps d’un café
9. invasion de services cloud en entreprise : que faire?
accompagner pour préparer
l’avenir et anticiper
Une direction informatique, assistée de la direction sécurité, doit
donc faire la part des choses et guider son organisation afin de
l’accompagner vers cette transition vers le cloud computing.
Sans chercher à brosser dans le sens du poil, mon avis est que
les directions sécurité possèdent une plus grande pratique de
“l’accompagnement” des projets que les direction informatiques.
Oui, l’utilisation inconsidérée de services en mode cloud peut
être dangereux pour une entreprise. Illustration en deux points :
la conformité et la continuité.
données personnelles
Une entreprise française manipulant des données personnelles
est tenue d’assurer la sécurité de ces données et celles-ci
doivent rester dans le giron de l’espace européen (ou sur le sol
d’un pays reconnu comme étant “suffisamment protecteur”).
Tout le monde n’est pas au fait de ces aspects réglementaires
(directive Européenne 95/46/EC), une direction
à savoir sécurité est donc tout à fait légitime pour
la loi indique que le client guider le choix (sans s’y opposer ou forcément
final doit être informé que chercher à placer d’autres solutions) vers un
des données personnelles fournisseur en mesure de répondre à ce besoin
le concernant sont amenées de conserver les données dans une liste de
à quitter la zone Europe. pays pré-établie.
De la même façon, il conviendra de s’assurer
que les équipes de support technique du
prestataire sont bien localisées dans des pays connus. Car oui,
si les données doivent être localisées dans des datacenters
précis, les personnes accédant à distance à ces mêmes
données doivent aussi l’être.
Dans le cas contraire, la loi indique que le client final doit être
informé que des données personnelles le concernant sont
la sécurité du cloud computing le temps d’un café 9
10. invasion de services cloud en entreprise : que faire?
amenées à quitter la zone europe (ou un pays “reconnu”) et cela
doit être stipulé dans le contrat de service.
continuité
Utiliser des services comme le PaaS pour des applicatifs ou
exécuter des machines virtuelles dans le cloud est souvent
motivé par une rapidité de mise en place, répondre à une charge
ponctuelle ou encore accélérer les développements ou tests.
Dans chacun de ces contextes d’utilisation de services cloud, il
est critique d’assurer que ces activités peuvent être déplacées
vers un autre fournisseur que celui initialement choisi (par
exemple si celui-ci viendrait à cesser ses activités). De la même
façon, une société peut initier un projet grâce aux services cloud
d’un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé
ou communautaire.
réversibilité
Si ces questions relatives à la réversibilité n’ont pas été abordées
et instruites lors de la phase initiale de souscription du service le
retour en arrière pourrait être prohibitif voire même dans certains
cas impossible.
Dans tous les cas, il est important de s’assurer que les données
peuvent être effectivement récupérées sous un format ré-utilisable.
Pour de l’IaaS, cela passe via la possibilité de récupérer des
sauvegardes complètes de ses machines virtuelles (sous un format
spécifique à l’hyperviseur ou encore sous forme de fichiers OVF).
Dans le domaine du PaaS, le sujet n’est pas neuf, les récents
échanges de mots entre Google et Joyent (“Google Cloud
Services Criticized by Jason Hoffman”, 21 août 2011) au sujet de
Big-Table sont un bon exemple du besoin d’utiliser des techniques
standardisées (ou tout du moins non propriétaires) car sinon c’est
le “syndrome d’enfermement” assuré.
10 la sécurité du cloud computing le temps d’un café
11. invasion de services cloud en entreprise : que faire?
souplesse et accompagnement
La balle est dans le camp des directions informatiques et
sécurité : le cloud computing est là et sera de plus en plus
présent car elles trouvent dans ce modèle une agilité qui leur
est nécessaire. Le proverbe Japonais “la neige ne brise jamais
les branches du saule” illustre bien le comportement à adopter :
souplesse et accompagnement sont les clefs d’une transition
vers le cloud computing.
l’article en ligne
Invasion de services cloud
en entreprise : que faire ?
la sécurité du cloud computing le temps d’un café 11
13. comprendre la protection des données dans le cloud
comprendre la
protection des données
dans le cloud
par Jean-François Audenard
Les donneés stockées dans le cloud doivent être protégées
contre les accès et les modifications non-autorisées. Plus le
niveau de protection proposé sera élevé et complet, plus le
volume et la variété des données iront croissant.
La littérature sur le sujet est abondante mais parfois un peu
confuse et souvent parcellaire. Je vous propose de partager
avec vous quelques idées sur ce thème.
Comme nous le verrons, le cycle de vie des données est une
constante qui sera un outil particulièrement utile et qui est
applicable quelque soit le type de service cloud concerné. Par
contre, au niveau de certaines phases de ce cycle de vie les
choses se compliqueront en fonction du type de service : on ne
sécurise pas de la même façon des données dans un contexte
de service de type IaaS (Infrastructure as a Service), BaaS
(Backup as a Service) ou encore SaaS (Software as a Service).
cycle de vie de la donnée : modèle
de référence
Le cycle de vie des données dans le Cloud est décomposable en
5 grandes étapes. Les données sont transférées dans le Cloud,
elles y sont stockées, utilisées, récupérées et éventuellement
détruites. A chaque étape de ce cycle de vie, différentes
mesures peuvent être mises en oeuvre pour assurer la sécurité
des données.
Les mesures de protection sont de deux types : le contrôle
la sécurité du cloud computing le temps d’un café 13
14. comprendre la protection des données dans le cloud
d’accès et le chiffrement. Je n’évoquerai que rapidement la
première pour me focaliser sur le chiffrement.
première brique essentielle : le
contrôle d’accès
Contrôler l’accès aux données s’appuie sur des mécanismes
d’authentification : une personne (ou un système, un programme)
doit montrer patte blanche afin de pouvoir accéder aux données.
L’ensemble des techniques, systèmes et moyens de contrôle
d’accès sont regroupés sous l’acronyme IAM (Identity and
Access Management). Comme il s’agit d’un sujet très large je
vous propose de le mettre de coté pour le moment.
phase de transit des données :
c’est maîtrisé !
Les phases liées à l’envoi des données depuis les systèmes
internes d’une entreprise vers le cloud ou à leur rapatriement
sont les plus matures. Ou les données peuvent être chiffrées en
internes par l’entreprise et ensuite envoyées, ou alors on utilise
une couche de transport intégrant cette fonction de chiffrement.
Dans cette seconde catégorie, les protocoles standards que
sont IPSEC et SSL sont très répandus. En liaison avec une
authentification basée sur des clefs asymétriques (certificats
à clef publique par exemple), ces protocoles permettent de
transmettre des données en toute sécurité vers ou depuis le
cloud. Nous sommes en pleine zone de confort, les standards
existent, les systèmes sont fiables et faciles à utiliser.
phase de stockage des données :
ça se gâte
Une fois les données arrivées dans le Cloud, celles-ci y sont
14 la sécurité du cloud computing le temps d’un café
15. comprendre la protection des données dans le cloud
stockées. En l’absence de standards reconnus la mise en oeuvre
des fonctions de chiffrement est dépendante du fournisseur de
service. Certains d’entre-eux vont proposer des systèmes dont
le fonctionnement n’est peut-être pas toujours très clair. Dans le
cas où les données sont déposées dans le cloud afin d’assurer
leur disponibilité (cas par exemple d’un service
à savoir de type Baas - Backup as a Service), le mieux
en l’absence de standards est de chiffrer les données avant de les envoyer :
reconnus la mise en cette tâche incombera au client du cloud qui
oeuvre des fonctions de réalisera ce traitement lui-même (ou via des
chiffrement est dépendante outils mis à sa disposition par son fournisseur).
du fournisseur du service Evidemment, dans le cas d’un service de type
corporate. SaaS (Software as a Service) le chiffrement ne
pourra être réalisé que par le fournisseur : le
client final ayant un rôle quasi inexistant (et donc une maîtrise)
dans cette étape de chiffrement. Ici le contrôle d’accès (IAM)
aura un rôle encore plus important que dans le cas d’un service
de type BaaS ou le chiffrement peut être effectué à la source.
Même si la situation n’est pas toute rose, il y a donc quelques
solutions de disponibles pour les données “at rest” ou
“stockées”. La situation se complique encore plus pour les
données présentes dans le cloud et devant être utilisées dans ce
même cloud.
données utilisées dans le cloud :
absence de standards
Pour ce qui concerne les données présentes dans le cloud et
qui doivent être utilisées depuis le cloud, il n’existe actuellement
pas de solution. Afin d’illustrer mon propos, prenons l’exemple
d’une machine virtuelle déployée sur un Cloud de type IaaS
(Infrastructure as a Service). Cette VM (Virtual Machine) utilise
un système de fichier pour stocker le système d’exploitation, les
applicatifs et les données des applications. Même si on chiffre
le système de fichier, les clefs de déchiffrement doivent être
présentes dans la VM pour que celle-ci puisse fonctionner.... Un
la sécurité du cloud computing le temps d’un café 15
16. comprendre la protection des données dans le cloud
sélectionner
en priorité
un fournisseur
en qui vous
avez confiance
et qui connait
vos besoins
et contraintes.
at t
en
tio
n
16 la sécurité du cloud computing le temps d’un café
17. comprendre la protection des données dans le cloud
attaquant pourrait donc, s’il arrive à récupérer ces clefs, accéder
aux données présentes sur le disque de la VM.
Dans ce cas précis, la sécurité des données va reposer sur les
mesures de contrôle d’accès mises en place pour accéder aux
données : cela tant pour les accès externes que pour les accès
des administrateurs et exploitants du Cloud. Avoir confiance
en son fournisseur est donc peut-être encore plus important
quand on lui confie des VM. Idem pour une application
positionnée dans le cloud (webmail, application de CRM, gestion
documentaire, etc...)
et la destruction des données ?
le chiffrement est un allié
Une fois que des données ont été récupérées depuis un cloud, il
est important de s’assurer qu’elles en disparaissent bien. Outre
le fait qu’il convient de demander quels sont les engagements,
moyens et procédures mis en oeuvre par un fournisseur pour
effacer toute trace de vos données ; un doute peut ultimement
subsister. C’est ici que le chiffrement peut nous donner un coup
de main.
En effet, sans la clef pour les déchiffrer, des données
préalablement chiffrées sont totalement inutilisables : donc pour
détruire des données, il suffit de jeter la clef de chiffrement !
C’est ce concept qui permet de s’assurer que des données sont
bien inaccessibles même dans le cas extrême où un fournisseur
de cloud vient de mettre la clef sous la porte sans prévenir.
un fournisseur de confiance
est essentiel
A part la phase de transfert des données depuis ou vers le
cloud, les moyens pour sécuriser ses données lorsqu’elles
sont dans le cloud restent encore à améliorer. En attendant
que les standards se développent et qu’ils soient intégrés par
la sécurité du cloud computing le temps d’un café 17
18. comprendre la protection des données dans le cloud
les fournisseurs de service, la confiance dans son fournisseur
est un élément fondamental. La confiance vient dans le temps
et elle s’entretien : plutôt qu’un grand saut dans l’inconnu, ma
recommandation serait de sélectionner en priorité un fournisseur
en qui vous avez confiance et qui connait vos besoins et
contraintes. Néanmoins, pas de confiance aveugle : un contrat
bien ficelé et une analyse fine et approfondie de ses pratiques
de sécurité sont des points de passage obligés.
l’article en ligne
Comprendre la protection
des données dans le cloud
18 la sécurité du cloud computing le temps d’un café
20. cloud iaas : 15 recommandations pour des serveurs sécurisés
cloud iaas :
15 recommandations
pour des serveurs
sécurisés
par Jean-François Audenard
Les services cloud de type IaaS (Infrastructure as a Service)
sont peut-être ceux qui viennent le plus naturellement à l’esprit
des personnes. Cela est peut-être dû au fait que ce niveau de
service bénéficie du “halo” de la virtualisation...
à savoir
Vous devriez commencer Dans une offre de type IaaS, le client souscrit
par identifier vos besoins à un service d’hébergement d’un système
sécurité pour ensuite d’exploitation tournant dans un environnement
sélectionner votre virtualisé. Une fois le système livré par le
fournisseur et ajouter prestataire c’est au client de sécuriser son
vous-même ce qu’il ne système. L’étendue de ce travail de sécurisation
propose pas dépendra des besoins du client et ce qui est
fournit ou non par le prestataire.
Partons sur le principe que le niveau de service du service IaaS
auquel vous venez de souscrire est celui d’entrée de gamme.
A vous de remonter vos manches et de renforcer la sécurité au
niveau adéquat.
20 la sécurité du cloud computing le temps d’un café
21. cloud iaas : 15 recommandations pour des serveurs sécurisés
ne stockez pas
vos clefs de
déchiffrement at te
n tion
sur l’instance :
celles-ci ne
doivent y entrer
que durant le
processus de
déchiffrement.
la sécurité du cloud computing le temps d’un café 21
22. cloud iaas : 15 recommandations pour des serveurs sécurisés
Je vous donne 15 recommandations pour sécuriser une
instance d’une machine virtuelle localisée en Cloud IaaS.
1. Cryptez tout le trafic réseau
2. Limitez à un le nombre de services supportés par une
instance (*)
3. Renforcez la sécurité de votre système d’exploitation
(Microsoft MBSA, Bastille Linux, ...)
4. Activez les fonctions de cryptage intégrées aux systèmes de
fichiers ou des périphériques en mode bloc
5. Cryptez toutes les données déposées sur les espaces de
stockage (SAN, NAS, ...)
6. Ne stockez pas vos clefs de décryptage sur l’instance :
celles-ci ne doivent y entrer que durant le processus de
décryptage.
7. N’ouvrez que le minimum de ports réseau requis sur
chacune des instances
8. Déployez régulièrement les correctifs de sécurité (Patchs)
tant pour le système d’exploitation que les applicatifs
9. Faites des scans de détection de vulnérabilités récurrents
10. Hormis pour les services publics comme HTTP/HTTPS,
limitez les adresses IP sources autorisées à se connecter
11. N’utilisez pas de mots de passe pour les accès en mode
console, préférez plutôt les clefs RSA ou certificats SSL
clients
12. Effectuez régulièrement des sauvegardes pour ensuite les
rapatrier et les stocker en lieu sûr
13. Installez un système de détection d’intrusion au niveau du
système d’exploitation (par exemple OSSEC, CISCO CSA, ...)
14. Si vous suspectez une intrusion, faites un snaphost de
l’instance et stoppez-là. (*)
15. Développez vos applications de façon sécurisée (OWASP).
22 la sécurité du cloud computing le temps d’un café
23. cloud iaas : 15 recommandations pour des serveurs sécurisés
Normalement, pour devriez commencer par identifier vos
besoins sécurité pour ensuite sélectionner votre (ou vos)
fournisseur(s) et ajouter vous-même ce qu’il(s) ne propose(nt)
pas que ce soit dans le niveau de service standard ou dans le
cadre d’options.
Je n’ai pas été réinventer la roue : un serveur IaaS c’est assez
similaire à un serveur dédié hébergé chez un prestataire ;
enlevez la couche de virtualisation et grosso-modo vous
retombez dans un monde connu. Sur les 15 recommandations,
seules deux (*) requièrent des techniques liées à la virtualisation.
PS : rien de bien magique pour un administrateur système/
sécurité expérimenté. Surtout qu’avec la virtualisation le copy/
paste d’instances virtuelles offre un niveau d’industrialisation
que l’on ne connait pas dans les serveurs dédiés. Bon cloud !
l’article en ligne
cloud IaaS : 15 recommandations
pour des serveurs sécurisés
la sécurité du cloud computing le temps d’un café 23
25. forrester : la sécurité des services cloud dans le collimateur
forrester : la sécurité
des services cloud
dans le collimateur
par Jean-François Audenard
Dans l’une des dernières études de Forrester intitulée “Status,
Challenges, And Near-Term Tactics For Cloud Services In Enter-
prise Outsourcing Deals” (Paul Roehrig, November 18, 2009), les
enjeux liés à la sécurité des services cloud sont bien présents.
Avant que les entreprises fassent massivement
à savoir le “grand saut” vers les services cloud, des
Vous devriez commencer réponses à 7 grandes interrogations devront
par identifier vos besoins être apportées par les fournisseurs de services
sécurité pour ensuite dans le nuage. Le premier d’entre-eux est la
sélectionner votre sécurité : “Even so, perceptions and genuine
fournisseur et ajouter technical hurdles put security as one of the
vous-même ce qu’il ne biggest challenges to broader enterprise cloud
propose pas services adoption”.
La sécurité des services cloud est en effet pointée comme une
question récurrente sur laquelle les positions sont clairement
dissonantes.
Certains affirment que la sécurité dans le nuage est impos-
sible alors que d’autres défendent becs et ongles le contraire : le
cloud peut être mieux sécurisé que des infrastructures dédiées.
Ces messages contradictoires pourraient s’expliquer par le fait
que le niveau des technologies et processus mis en œuvre dans
les plateformes de type cloud ne sont pas aussi matures que
pour d’autres domaines. D’un autre coté, pour certains ser-
vices “cloud” on peut dire que leur niveau de sécurité est
arrivé à maturité.
la sécurité du cloud computing le temps d’un café 25
26. forrester : la sécurité des services cloud dans le collimateur
pour certains
services “cloud”
at ten
tion
on peut dire
que le niveau
de sécurité est
arrivé à maturité.
26 la sécurité du cloud computing le temps d’un café
27. forrester : la sécurité des services cloud dans le collimateur
J’aurai tendance à rejoindre leur analyse: il n’y a qu’à regarder
les services de mail. De grandes entreprises sous-traitent (en
totalité ou en partie) leurs communications électroniques à des
prestataires de services. Cela fonctionne plutôt bien d’ailleurs.
Pour faire un parallèle : dans le cloud on peut retrouver des
termes comme “private cloud”, “public cloud” ou encore
“community cloud”. Mettez en face de chacun “une plateforme
de mail dédiée hebergée”, “Gmail” ou encore des “services de
messagerie electroniques pour le segment des entreprises”
(suivez mon regard).
Pour chacun de ces services “cloud” on sait faire dans le sé-
curisé... bien sûr au niveau de fonctionnalité et au prix attendu
par chacun.
Quelle est la recommandation de Forrester ? Plutôt simple :
“intégrez la sécurité dans les choix stratégiques et dans le pro-
cessus de sélection”.
Ce n’est pas une surprise : les entreprises ne pouvant “out-
sourcer” leurs risques (à la limite les transférer, mais à un coût)
elles doivent donc s’appuyer sur leurs experts sécurité pour
évaluer objectivement les déclarations sécuritaires de leurs
fournisseurs de services cloud.
“Il faut intégrer la sécurité dès le début du projet” : rien de bien
nouveau ici, que du classique... Est-ce fait systématiquement ?
A chacun de s’en assurer.
PS: J’ai délibérément omis de parler de tout ce qui n’était pas
en relation avec la sécurité. Ce document de Forrester n’étant
pas focalisé uniquement sur la sécurité.
l’article en ligne
Forrester : la sécurité des services
cloud dans le collimateur
la sécurité du cloud computing le temps d’un café 27
29. 5 documents de référence sur la sécurité du cloud computing
5 documents de
référence sur la sécurité
du cloud computing
par Jean-François Audenard
Voici 5 documents que je considère comme des “références”
dans le domaine de la sécurité du cloud computing (ou plus
généralement dans le contexte de l’externalisation des systèmes
d’information).
Dans cette sélection, les documents en langue française ne
sont pas légion mais sont de qualité. Pour ceux que l’anglais ne
rebute pas, il y a du lourd avec notamment le guide de la Cloud
Security Alliance.
#1
ANSSI Maîtriser
les risques de l’infogérance
(En français - 56 pages)
Le premier c’est le “Guide de l’externalisation : externalisation
et sécurité des systèmes d’information : maîtriser les risques”
de l’ANSSI (Agence Nationale de la Sécurité des Systèmes
d’Information) qui nous propose un document très didactique.
L’approche prise est clairement d’accompagner le lecteur/
lectrice vers une démarche de prise en compte de la sécurité
dans un projet d’externalisation d’un système d’information.
A noter une section relative à la définition d’un PAS (Plan
d’Assurance Sécurité) et comment contractualiser des
engagements de sécurité.
la sécurité du cloud computing le temps d’un café 29
30. 5 documents de référence sur la sécurité du cloud computing
#2
Syntec Numérique Livre Blanc
sécurité du Cloud Computing
(En français - 24 pages)
Le second c’est celui du Syntec Numérique “Livre Blanc
sécurité du Cloud Computing - Analyse des risques, réponses
et bonnes pratiques”.
Après une analyse des risques mettant le focus sur les 9 risques
principaux identifiés autour du cloud, l’approche du Syntec
Numérique prend le parti de détailler les mesures de sécurité
selon trois axes : sécurité physique, sécurité logique et enfin
sécurité des données.
Le document est d’une lecture aisée car il évite un formalisme
trop guindé, c’est peut-être le plus accessible des 5 documents
pour celui ou celle souhaitant appréhender le sujet.
#3
Cloud Security Alliance
Security Guidance for Critical
Areas of Cloud Computing v3.0
(En anglais - 177 pages)
Le troisième document publié par la Cloud Security Alliance
est LE POIDS LOURD de cette sélection. Le guide “Security
Guidance for Critical Areas of Cloud Computing Version 3.0” est
une “référence-de-référence” pour tout professionel du domaine.
Ce document contient les informations de dernière main dans le
domaine de la sécurité du cloud computing. Mon petit reproche?
Certaines mesures de sécurité détaillées dans ce document
sont parfois un peu décalées du terrain car trop complexes, elles
restent néanmoins applicables mais pas pour tous.
Ce n’est que la partie hébergée de l’iceberg : la Cloud Security
30 la sécurité du cloud computing le temps d’un café
31. 5 documents de référence sur la sécurité du cloud computing
Alliance propose bien d’autres documents. Mon conseil : allez
fouiller sur leur site, vous ne serez pas déçu(e) !
#4
ENISA, Cloud Computing Risk
Assessment
(En anglais - 125 pages)
Le 4ième document est celui de l’ENISA, agence Européenne
spécialisée dans la sécurité des systèmes d’information.
Dans leur document “Cloud Computing, Benefits, risks
and recommendations for information security”, l’ENISA
nous propose une vision axée sur les risques liés aux cloud
computing. C’est le document le plus complet de tous sur
l’approche “risques”. Chacun des risques est passé en revue et
les mesures de sécurité de réduction présentées.
Chaque risque est présenté sous une forme identique et
les informations données sont synthétiques, ce qui facilite
grandement la tâche. Pour vous faire une idée de par où
commencer, ce document est fait pour vous : foncez en page
24 pour identifier les 8 risques considérés comme les plus
importants.
#5
PCI DSS
Virtualization Guidelines v2.0
(En anglais - 39 pages)
Le Payment Card Industry Data Security Standard (PCI DSS) fixe
les règles du jeu concernant la sécurité des informations des
cartes bancaires. Ce qui est intéressant avec le PCI-DSS c’est
que les règles (ou “objectifs de sécurité”) sont précis et connus
d’avance. Le niveau d’exigence est clairement fort.
Le guide “PCI-DSS - Information Supplement: PCI DSS
la sécurité du cloud computing le temps d’un café 31
32. 5 documents de référence sur la sécurité du cloud computing
Virtualization Guidelines” explicite de façon claire et précise
ce qu’il convient de mettre en place au niveau d’une couche
de virtualisation. Pour savoir que faire pour sécuriser votre
hyperviseur c’est le document qu’il vous faut : cela couvre tant
les aspects techniques mais aussi organisationnels.
mes deux préférés
Sur ces 5 documents de référence, mes deux préférés sont
celui de la Cloud Security Alliance et celui de l’ANSSI. Le guide
de la Cloud Security Alliance concentre “l’état de l’art” dans le
domaine de la sécurité du cloud computing ; celui de l’ANSSI
donnant quant à lui les clefs pour intégrer la sécurité dans le
coeur d’un service de cloud computing.
et ce n’est pas fini : quels sont vos
documents de prédilection ?
J’ai volontairement passé sous silence les guides spécifiques
à une technologie spécifique ou encore d’autres comme les
documents du NIST, ceux de la NSA et j’en passe....
Quels sont les documents que vous considérez comme “de
référence” ? C’est le moment de montrer les joyaux cachés au
fond de vos disques durs et autres espaces de partage en ligne.
l’article en ligne
5 documents de référence
sur la sécurité du cloud computing
32 la sécurité du cloud computing le temps d’un café
34. l’auteur
Jean-François
Audenard
Au sein d’Orange Business Services, je suis
en charge d’intégrer la sécurité au cœur de
nos offres et services de cloud computing.
Je suis un passionné et ne considère les
choses que de façon entière et engagée :
pas de mi-figue/mi-raisin avec moi. Bloggeur
engagé et engageant, j’aime aller au delà des
chantiers battus et faire “bouger les codes”. La
franchise est ma “touche” et l’optimisme et le
volontarisme mes deux moteurs.
la sécurité du cloud computing le temps d’un café