Livre blanc la+securisation+des+donnees

682 vues

Publié le

Livre blanc sur la sécurisation des données dans le cloud

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
682
Sur SlideShare
0
Issues des intégrations
0
Intégrations
59
Actions
Partages
0
Téléchargements
21
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Livre blanc la+securisation+des+donnees

  1. 1. L es services de Cloud Computing s’industrialisent, les fournisseurs sont techniquement prêts à répondre à la demande. De leur côté, les entreprises se montrent de plus en plus intéressées mais restent très prudentes avant de se lancer. En effet, elles mettent toujours en avant les freins liés à la sécurité des données et à la transférabilité de leurs données vers une autre plateforme (ou en interne dans leur système d’information) en cas de changement de fournisseur. Les sondages réalisés sur le Cloud Computing auprès des entreprises par les plus grands cabinets spécialisés (par exemple l’étude « Delivering on Cloud Expectations » menée par  Forrester Research ou les conférences du dernier Gartner Symposium/ITxpo 2013 à Barcelone) sont d’ailleurs unanimes en relevant cette inquiétude au premier plan. Toutefois, aujourd’hui, un certain nombre d’idées reçues, surtout d’ordre psychologiques, circulent peut-être à tort autour de la sécurité du Cloud Computing. D’autant que les efforts réalisés par les fournisseurs sont réels pour garantir l’intégrité et la protection des données. Ce livre blanc vous aidera donc à prendre connaissance et à prendre en compte les points clés de la sécurisation de l’infrastructure, des données et des applications lors de la signature avec un fournisseur de services Cloud. Cloud COmputing : la sécurisation des données Partie 1  P.02 Gare aux idées reçues ! Partie 2  P.03 L’importance de la localisation des données Partie 3 P.04 Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? Partie 4  P.08 La réversibilité des données  Sommaire
  2. 2. 2 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 1// Gare aux idées reçues ! FAUX. La perte de données est-elle réellement plus fréquente dans le cadre du Cloud Computing ? Non à cette idée reçue, le Cloud public peut même apporter plus de sécurité. En effet, les entreprises bénéficient, très souvent même, de meilleurs dispositifs et de services de sécurité (matériel plus performant, réplication des données, plan de reprise d’activité, etc) plus importants que ceux dont elles disposaient auparavant. Si l’entreprise combine des règles d’accès avec une gestion accrue des identités et des autorisations associées aux individus, elle bénéficie d’une protection plus granulaire, plus précise, plus transparente et plus facile à gérer. De plus, ces dispositifs et ces technologies sont mis à jour régulièrement. FAUX. Là encore, il est erroné de dire qu’en adoptant des services de Cloud Computing où les ressources, il est vrai, sont souvent partagées et mutualisées, l’entreprise n’a plus la maîtrise de ses données et de ses applications. Les fournisseurs de services Cloud, surtout français et européens, garantissent en général à 99,99 % la disponibilité et la fiabilité des données et l’accès aux applications. Ils mentionnent aussi contractuellement la localisation de toutes les informations et même pour certains clients, un service de cloisonnement des données est proposé. Les entreprises doivent être très attentives sur les niveaux de garanties proposés dans le contrat (dont la propriété exclusive de toutes les données stockées et donc sur les pénalités fixées). FAUX. Le contrat établi entre l’entreprise cliente et le fournisseur stipule que ce dernier s’engage sur la réversibilité et la transférabilité des données. En effet, contrairement à cette idée reçue, le client est libre de partir avec ses données. Les fournisseurs de services Cloud s’engagent sur ce point en mettant à la disposition de leurs clients leurs données dans un temps limité en cas de rupture de contrat. Les données ainsi récupérées par le client sont disponibles sous des formats standards et peuvent être facilement ré-exploitables dans leur système d’information ou chez un autre fournisseur. « Je risque de perdre mes données plus facilement dans un Cloud. » « Je ne suis plus maître de mes applications et de mes données. » « Je ne pourrais pas forcément récupérer mes données en cas de rupture de contrat. »
  3. 3. 3 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 2// L’importance de la localisation des données C onnaître le lieu de stockage des données pour une entreprise utilisatrice de services Cloud est fortement recommandé. De ce fait, le choix du prestataire est primordial. Il est donc conseillé pour une entreprise de s’orienter vers un acteur reconnu et bien implanté, car l’entreprise qui confie ses données et ses applications à un opérateur tiers doit être certaine que ce service sera hébergé et opéré en France ou en Europe (leurs données informatiques sont hébergées dans les datacenters du fournisseur) et qu’il dépendra, de ce fait, des législations françaises et européennes sur les données. En effet, le prestataire se doit de respecter, d’un point de vue juridique, les normes imposées par la France et l’Europe sur la sécurité et le stockage des données. Selon le droit français, et a fortiori européen, les données confiées à un tiers restent ainsi la propriété du client et la loi interdit au prestataire de les divulguer. Le Patriot Act américain, un risque non négligeable pour les entreprises Cette localisation des données pour les entreprises est d’autant plus importante qu’elle fait suite à l’actualité brulante et récente de l’affaire Prism sur les écoutes et la cybersurveillance opérées par la NSA (Agence de la sécurité nationale des Etats-Unis) sur toute l’Europe. En effet, le gouvernement américain a eu, entre autres, accès à des données sur les serveurs installés dans des datacenters de grandes entreprises américaines. Il faut savoir que suite aux attentats du 11 septembre 2001 à New York, les Etats-Unis ont mis en place une loi « anti-terroriste » baptisée le Patriot Act, qui permet à l’administration américaine de consulter et d’accéder à tout moment aux données des hébergeurs et des opérateurs de services Cloud. Ainsi, dès lors que les contenus d’un datacenter sont situés sur le sol américain ou opérés par une entreprise américaine, c’est la législation des Etats-Unis (dont le Patriot Act) qui s’applique. On le voit bien, le choix du Cloud est certes la bonne solution mais les données dépendent aussi de la garantie offerte par le fournisseur et du lieu où elles se trouvent. Résultat, de nombreuses entreprises s’orientent, de plus en plus, vers des datacenters nationaux et locaux de proximité.
  4. 4. 4 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES 3// Des outils et des services pour garantir l’intégrité des données, pourquoi faire confiance à ces technologies ? S i les entreprises sont de plus en plus nombreuses à se tourner vers des prestataires de services Cloud, c’est aussi qu’elles ne maîtrisent plus forcément la sécurité de leur propre système d’information. En effet, les entreprises font face maintenant à la multiplication des nouveaux services et usages, ce qu’on appelle aujourd’hui, la consumérisation de l’IT. Toutes les entreprises sont effectivement confrontées à des salariés qui utilisent régulièrement leurs propres équipements informatiques et leurs propres applications (smartphones, PC portables, réseaux sociaux, collaboratifs, bureautiques, etc) à des fins professionnelles. Résultat : la consumérisation IT augmente la menace interne, et les entreprises doivent faire face à de nouvelles questions de sécurité liées à davantage de liberté du côté de l’utilisateur. En se tournant vers des prestataires de service Cloud, ces mêmes entreprises espèrent réduire toutes ces menaces mais restent en parallèle très méfiantes sur les outils de sécurité mis en place par leur prestataire pour garantir l’intégrité et la protection de leurs données. Cette méfiance est clairement due à un manque de confiance envers les fournisseurs sur le déploiement de ce type d’outils. Il faut bien dire que tous ces outils montrent une réelle efficacité si une gouvernance autour de la sécurité est menée pour avoir une vue globale du datacenter. D’autre part, l’efficacité est aussi valable si ces dits outils sont parfaitement paramétrés. Voici donc les approches que devraient mettre en place les fournisseurs de services Cloud pour garantir la sécurisation physique de l’infrastructure et logique des données et des applications : Classification des datacenters Les fournisseurs de services Cloud disposent soit de leur propre datacenter ou signent des accords avec des partenaires hébergeurs ou opérateurs de datacenters. Il faut savoir que les datacenters sont classés par un organisme (Uptime Institute) suivant la disponibilité et la sécurisation des données. Cette classification permet donc aux entreprises clientes de mesurer le niveau de sécurité mis en place par le fournisseur. Datacenter certifié Tier I. Ce faible niveau de sécurisation et de fiabilité indique que ce datacenter ne dispose pas d’infrastructure et de climatisation redondante. De plus, une seule alimentation électrique subsiste.
  5. 5. 5 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Datacenter certifié Tier II Dans ce niveau, le datacenter dispose de certains éléments et de composants redondants mais bénéficie toujours d’un seul circuit électrique pour l’énergie et pour la distribution de refroidissement. Datacenter Tier III Ce niveau signifie que tous les éléments de l’infrastructure sont redondants et en double alimentation. Toutefois, une seule alimentation électrique fonctionne en mode actif. Datacenter Tier IV Dans ce cas de figure, le datacenter offre un taux de disponibilité de 99,995 %, les infrastructures sont redondantes, les alimentations électriques et les climatisations sont doublées et fonctionnent en actif/actif. Pour plus de sécurité, certaines entreprises portent même leur choix sur un fournisseur dont le datacenter est certifié ISO 27001, une norme internationale de système de gestion de la sécurité de l’information. Cette norme décrit les exigences de sécurité afin d’assurer la protection des biens sensibles d’une entreprise sur un périmètre défini. Virtualisation Certes, la virtualisation permet de réduire les coûts en masquant la nature physique des ressources aux systèmes qui les consomment. Elle améliore aussi la disponibilité des systèmes et l’évolution vers une infrastructure dynamique qui alloue en temps réel les ressources matérielles nécessaires à l’exécution des applications. Toutefois, la virtualisation comporte aussi des risques comme la simple erreur humaine, la malveillance ou encore le manque d’étanchéité entre les machines virtuelles. Ainsi, l’entreprise qui choisit un prestataire de service Cloud doit s’assurer que ce dernier respecte certaines règles dont l’analyse des risques pour chaque application et chaque service concerné, et prendre en compte l‘interdépendance avec l’infrastructure existante. Il lui faut aussi mesurer l’impact d’un dysfonctionnement ou de l’arrêt du serveur hôte. Il doit par ailleurs mettre en place un contrôle des accès et une gestion des droits afin de diminuer au maximum ces risques. Des outils permettant une automatisation et une orchestration des environnements physiques et virtuels sont devenus indispensables pour limiter les risques. Cloisonnement des clients et séparation des espaces clients A la demande de certaines entreprises, très exigeantes en termes de sécurisation des données, certains fournisseurs de Cloud Computing n’hésitent pas à proposer des zones de cloisonnement privées. Ce sont le plus souvent des espaces grillagés privatifs qui renferment les serveurs, les baies, les commutateurs et même des systèmes d’alimentations et de refroidissements personnalisés, et qui comprennent également un contrôle d’accès additionnel. Dans cette zone protégée, les entreprises bénéficient non seulement de configurations sur mesure mais aussi de possibilité d’extension de la surface d’hébergement à mesure que les besoins de celles- ci augmentent ou évoluent. D’autre part, dans certains datacenters, des mesures assurant la séparation des espaces clients telles que l’anti-spoofing de l’adresse IP, la segmentation et
  6. 6. 6 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES l’isolation des domaines de broadcast, l’anti-flooding des adresses MAC, garantissent aussi l’imperméabilité de votre environnement IT vis-à-vis de celui des autres clients. Détection des attaques en temps réel Bien sûr, à l’instar du système d’information d’une entreprise, les infrastructures dans les datacenters sont potentiellement soumises aux menaces externes (virus, malware, intrusion, déni de service par saturation, etc). Il faut dire qu’avec le développement des offres Cloud, les centres de calcul deviennent des pièces maîtresses et suscitent l’intérêt des cybercriminels. Pour faire face à ces attaques, une multitude d’outils sont déployés pour garantir la sécurisation des données, qui vont des firewalls aux systèmes de détection d’intrusion logicielle en passant par des solutions d’automatisation et de surveillance du réseau. Chiffrement L’un des aspects de la protection des données est bien sûr la confidentialité des données et surtout la protection de la vie privée. Pour renforcer ces deux critères, les entreprises se tournent naturellement vers des prestataires capables de proposer des solutions de chiffrement de données. Mais, le chiffrement seul ne suffit plus. En effet, une communication chiffrée ne permet pas, par exemple, de masquer l’identité des parties qui communiquent. L’idée est donc d’enrichir l’architecture de sécurité par l’ajout de redondances intelligentes en utilisant des codes correcteurs linéaires (code de Reed-Muller). Pour résumer, dans un contexte Cloud, il faut repenser la gestion de l’identité en utilisant des outils de cryptographie basés sur l’identité. Très médiatisés depuis deux ans, des groupes organisés mènent des attaques de grande ampleur sur le système d’information des entreprises dont l’objectif final est bien souvent financier : vendre des informations stratégiques ou des secrets professionnels à des tiers. La particularité de ces groupes est qu’ils attaquent de manière ciblée une entreprise ou une organisation le plus discrètement possible contrairement aux menaces classiques (virus, dénis de service, phishing...) dont la cible est très large. Ces attaques ont été baptisées par les spécialistes « menaces persistantes avancées » ou APT («Advanced Persistent Threat «) en anglais. Persistantes, car le pirate va essayer de manière répétée d›atteindre son objectif, et avancées car il exploite des vulnérabilités et des technologies sophistiquées. Pour contrer ce type de menaces, les fournisseurs de services Cloud n’hésitent plus à adopter des outils et des compétences pointues (le plus souvent une plateforme de surveillance de la sécurité supervisée par une équipe d’experts) qui agissent comme une cellule de veille. Cette plateforme permet donc de centraliser des informations provenant d’une multitude d’équipements, qui contribuent à une base de réputation et à la mise à jour des règles de sécurité. Cette plateforme devient donc l’élément proactif (à travers une action de centralisation des alertes) capable de réagir et d’arrêter des attaques en cours de réalisation (détection et arrête des attaques signaux forts, détection et arrêt des attaques signaux faibles et détection et arrêt des comportements anormaux et des atypies). Cyber-défense : se prémunir des menaces persistantes avancées
  7. 7. 7 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES Les services d’exploitation Pour les entreprises utilisatrices, la sécurité des données doit aussi tenir compte d’un certain nombre de services d’exploitations (PRA, duplication, administration, extension de ressources, etc.) que proposent les fournisseurs de services Cloud. Voici les principaux : Plan de reprise d’activité Parmi les multiples services d’exploitation, le PRA (Plan de reprise d’activité) offre une véritable garantie supplémentaire en termes de sécurité. En effet, pouvoir relancer rapidement le fonctionnement du système en cas de sinistre majeur sur l’infrastructure principale est essentiel pour une entreprise. Pour garantir ce PRA, les fournisseurs de services Cloud disposent de plusieurs datacenters interconnectés qui leur permettent de basculer rapidement l’infrastructure de leur client depuis un site distant en cas de crash. Déduplication des données La déduplication reste essentiellement exploitée lors des opérations de sauvegarde. C’est une fonction majeure dans la sécurisation des données car elle permet de sauvegarder les données de manière optimale, c’est-à-dire d’éliminer les doublons dans un système de fichiers. Et plus l’analyse est granulaire, plus les chances de détecter et d’éliminer les informations en double sont élevées. Point important : en cas de rupture de contrat avec le prestataire, les clients devront aussi se poser la question de l’effacement des données stockées sur les serveurs Cloud. Administration des ressources Pour l’entreprise cliente, il est primordial de garder le contrôle et donc la maîtrise du cycle de vie de ses applications et de ses données. Il ne faut pas oublier que ce sont les applications qui pilotent, via des outils d’orchestration et d’automatisation, les ressources comme les systèmes virtuels, le stockage et la mémoire, pas l’inverse. Ainsi, un certain nombre de fournisseurs de services Cloud mettent à la disposition de leurs clients des outils permettant de superviser les ressources en temps réel, de paramétrer les alertes, de suivre leur consommation de bande passante, de visualiser l’activité des machines virtuelles et des capacités de stockage et de faciliter la supervision du trafic. Agilité dans la mutualisation des ressources Dans l’utilisation d’un Cloud, l’entreprise doit pouvoir bénéficier, en cas de montée en charge, de ressources technologiques supplémentaires puis de les libérer une fois la charge ramenée à la normale. En accordant des ressources de cette manière, les fournisseurs diminuent d’environ 50 % la durée et la planification des processus et des tâches. Aujourd’hui, cette agilité doit se faire par un portail libre-service. Le client peut ainsi configurer, gérer et ajuster automatiquement ses propres ressources en fonction de ses besoins.
  8. 8. 8 CLOUD COMPUTING LA SÉCURISATION DES DONNÉES P our l’entreprise, cela va de soi qu’elle doit pouvoir récupérer ses données et ses applications en toute simplicité en cas de rupture de contrat avec son fournisseur. Quant aux formats de données récupérées, ils doivent être lisibles et exploitables chez un autre fournisseur ou directement en interne dans le système d’information de l’entreprise. Pour cela, deux points importants sont listés lors de l’établissement du contrat ; d’une part, la prévision de la clause de réversibilité et d’autre part, cette clause doit être, de préférence, accompagnée d’un plan de réversibilité détaillé dans l’une des annexes du contrat. Ces contrats Cloud sont importants pour les futurs clients. Ils permettent surtout d’étudier le degré de maturité de l’offre, des problématiques analysées par les prestataires et des réponses apportées. Car, dans les faits, les garanties de la réversibilité ne sont pas toujours très claires. La question de l’interopérabilité des solutions techniques… A leur décharge, les fournisseurs de services Cloud relèvent, à juste titre, le manque d’interopérabilité des solutions techniques. Par exemple, bouger des machines virtuelles en exploitation d’un hyperviseur à un autre reste une tâche compliquée voire impossible dans certains cas, même si des outils agnostiques permettent d’échanger entre les principaux hyperviseurs du marché. Toutefois, au niveau de l’IaaS (Infrastructure as a service), les fournisseurs adoptent de plus en plus de solutions basées sur des standards ouverts comme OpenStack, par exemple, qui se veut une alternative aux IaaS propriétaires. La technologie OpenStack, en s’adaptant aux standards, donne aux entreprises clientes les moyens de déplacer des charges de travail d’un prestataire de services Cloud à un autre sans être verrouillées. …surtout au niveau du Saas et du Paas Ce manque d’interopérabilité est surtout visible pour les environnements Saas (Software as a service) et Paas (Platform as a service). En effet, les services Paas sont basés essentiellement sur des frameworks spécifiques propres à chaque fournisseur. Quant aux Saas, les formats de fichiers sont le plus souvent prioritaires. De plus, de nombreuses applications Saas ne disposent pas d’API, c’est d’ailleurs souvent des applications spécifiques que l’on retrouve dans les petites et moyennes entreprises qui répondent, il est vrai, à leurs besoins. Dans ce cas, on est bloqué. On le voit, ce manque de standardisation pénalise indirectement la transférabilité des données d’une plateforme à une autre. Et donc, les surcoûts engendrés par cette ré-exploitation des données en interne ou sur une autre plateforme peuvent être conséquents. Les choses avancent néanmoins au niveau des interfaces pour la gestion des identités. En effet, l’industrie s’oriente, de plus en plus, vers l’adoption de protocoles d’identification et d’authentification (SAML v2, OpenID/oAuth). 4// La réversibilité des données

×