Enjeux de sécurité relatifs au cloud                  v.1                            Novembre 2012 Tactika inc. •    cleme...
Contenu de la conférence   Marché, définitions et concepts   Évolution et implantation   Infonuagique et sécurité   Ri...
Le Cloud est-il incontournable ?• Le cloud computing / informatique en nuage /  infonuagique / informatique nuagière est u...
Le marché                                                                     http://www.marketsandmarkets.com/Market-Repo...
Qu’est-ce que le Cloud Computing ?           Le Cloud Computing est un modèle de prestation de services TI            dém...
Les bénéfices du Cloud     Coût       ►CTP (coût total de possession / TCO) réputé moindre que         le modèle traditio...
Le modèle du Cloud vs                       le modèle traditionnel     Modèle traditionnel                                ...
Différence entre le Cloud et                                              l’impartition                                   ...
Modèles de prestation de servicesIaaS                                   PaaS                              SaaSInfrastructu...
Évolution du modèle de prestation de                                       services• BPaas / Business Process as a Service...
Les modèles de déploiement        Cloud        privé                                           OrganisationCloud public   ...
Les acteurs dans le modèle de prestation                                          de services                             ...
Vue fournisseur : partagé,                                       multilocataire, virtualisation                           ...
«Chaîne» des tiers          Client                                        SaaS                                            ...
Popularité des modèles de                                             déploiementEnjeux de sécurité relatifs au Cloud     ...
Quel modèle de prestation de services ?•     Utilisation de l’infonuagique en 2012 selon Gartner       – Courriel électron...
Évolution du centre de données : de la                             virtualisation à l’infonuagique Virtualisation         ...
Nuage privé, hybride et public                                                             Virtualisation    Virtualisatio...
Infonuagique et la sécurité• Les trois principales préoccupations selon Gartner   – Sécurité, Protection de la vie privée,...
La perception du risque et le CloudEn affaires, le risque est perçu  En sécurité de l’information, le risquecomme une oppo...
Facteurs de risque• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un  facteur de risque       ...
Modèle générique du risque                        Surfaces d’attaqueProbabilité                                           ...
Principaux risques selon ENISA1.      Perte de la gouvernance2.      Verrouillage/«Lock in» avec le fournisseur3.      Per...
Principales menaces relatives au Cloud                            selon la Cloud Security Alliance• Utilisation abusive ou...
Surfaces d’attaque                                                                                 Humain                 ...
Aperçu des menaces                                                     Humain : ingénierie sociale, malveillance          ...
Principales vulnérabilités    Conformité          Aspects juridiques ►Multiples législations ► Géolocalisation des donné...
Les fonctions «basiques» de sécurité et                                           le cloud                                ...
Principales mesures de contrôle pour                                           la sécurité de l’infrastructure            ...
Autres mesures de contrôle• Définition dans l’entente de service/SLA des  éléments de sécurité       – Acceptation implici...
Impacts – Quelques cas réels           Disponibilité                  Avril 2011 / Panne majeure chez Amazon            ...
Ce qui vient …• La localisation des services est un enjeu qui est influencé par       –   L’infrastructure du fournisseur ...
Alice et Bob dans le nuage …                         Le chiffrement dans le nuage : Facile à dire … mais pas facile à     ...
Questions ?                                       Merci de votre attention !     Tactika inc.     •        clement.gagnon@...
Annexe                                       Pense-bête pour contrôler                                          les risque...
Annexe                                               Comment implanter l’infonuagique                                     ...
Prochain SlideShare
Chargement dans…5
×

Enjeux de sécurité relatifs au cloud v1

1 850 vues

Publié le

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 850
Sur SlideShare
0
Issues des intégrations
0
Intégrations
52
Actions
Partages
0
Téléchargements
156
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Enjeux de sécurité relatifs au cloud v1

  1. 1. Enjeux de sécurité relatifs au cloud v.1 Novembre 2012 Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactika
  2. 2. Contenu de la conférence Marché, définitions et concepts Évolution et implantation Infonuagique et sécurité Risques et Facteurs de risque Mesures de contrôle La mention d’un produit ou d’un fournisseur ou fabriquant dans ce document et présentation ne doivent pas être interprétés comme étant une recommandation ou une promotion.Enjeux de sécurité relatifs au Cloud 2
  3. 3. Le Cloud est-il incontournable ?• Le cloud computing / informatique en nuage / infonuagique / informatique nuagière est un concept qui a dépassé le stade du «buzz word» pour devenir une réalité tangible et incontournable .• Les TI seront profondément transformées dans les années à venir … à vrai dire, c’est déjà commencé !Enjeux de sécurité relatifs au Cloud 3
  4. 4. Le marché http://www.marketsandmarkets.com/Market-Reports/cloud-computing-234.html clement.gagnon@tactika.comhttp://www.wordle.net/Construit avec http://savedelete.com/6-key-cloud-computing-players-of-year-2010.html Enjeux de sécurité relatifs au Cloud 4
  5. 5. Qu’est-ce que le Cloud Computing ?  Le Cloud Computing est un modèle de prestation de services TI dématérialisée qui repose sur les technologies Internet et la virtualisation.  Libre-service et sur demande  Élastique, extensible (scalable)  Accessible par un réseau de type TCP/IP (i*net)  Partagé, multilocataire (multi-tenant)  Utilisation mesurée ( éventuellement facturée )  Niveau de service déterminé (entente de service / SLA )  Analogie entre les TI et l’électrification  Les services TI deviennent une commoditéEnjeux de sécurité relatifs au Cloud 5
  6. 6. Les bénéfices du Cloud  Coût ►CTP (coût total de possession / TCO) réputé moindre que le modèle traditionnel  Retour sur l’investissement / ROI rapide et tangible ► Coût facturé uniquement sur l’utilisation, demande peu d’effort de mise en œuvre  Agilité et gestion simplifiée ► Mise en service rapide, disponible immédiatement  Élasticité, extensibilité ► Gestion simplifiée de la capacité : automatisation des montées en charge et du délestageEnjeux de sécurité relatifs au Cloud 6
  7. 7. Le modèle du Cloud vs le modèle traditionnel Modèle traditionnel clement.gagnon@tactika.com Cloud Organisation Organisation Organisation IndividuEnjeux de sécurité relatifs au Cloud 7
  8. 8. Différence entre le Cloud et l’impartition Impartition Non partagé, un locataire Une entente de service / SLA spécifique Fournisseur Client Cloud Partagé, multilocataire Même entente de service /SLA pour tousEnjeux de sécurité relatifs au Cloud 8
  9. 9. Modèles de prestation de servicesIaaS PaaS SaaSInfrastructure as a Service Platform as a Service Software as a Service Service as a ServiceService de traitement (CPU), de Service de plates-formes Service d’applications,stockage ou réseautique applicatives avec des fonctions Services horizontaux tel que la programmables, facturation , surveillance, paramétrables, configurables sécurité, etc.Ex. Système d’exploitationWindows Server 200X ou Linux, Ex. CRM (software),Espace de stockage Ex. Sharepoint, Typo3 anti-virus (service) Abstraction Software (Application) Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure IaaS PaaS SaaSEnjeux de sécurité relatifs au Cloud 9
  10. 10. Évolution du modèle de prestation de services• BPaas / Business Process as a Service – BPaaS cible les processus métiers : paye, paiement en ligne, gestion financière – Sous division de SaaS concerne les applications logicielles accessibles dans le nuage• Personnal Cloud – Ressources informatiques personnelles ou d’une PME accessible par Internet pour le partage de contenus (multimédia, document) avec diverses plates-formes (tablette, téléphone intelligent, ordinateur)Enjeux de sécurité relatifs au Cloud 10
  11. 11. Les modèles de déploiement Cloud privé OrganisationCloud public Cloud privé Organisation clement.gagnon@tactika.com Cloud public Cloud privé Cloud de communautéEnjeux de sécurité relatifs au Cloud 11
  12. 12. Les acteurs dans le modèle de prestation de services Client / utilisateur Client / opérateurInterfacede gestion Objet du client Software (Application) Objet du client clement.gagnon@tactika.com Plate-forme Plate-forme Infrastructure Infrastructure Infrastructure Fournisseur IaaS PaaS SaaS Opérateur Enjeux de sécurité relatifs au Cloud 12
  13. 13. Vue fournisseur : partagé, multilocataire, virtualisation Fournisseur clement.gagnon@tactika.com OpérateurEnjeux de sécurité relatifs au Cloud 13
  14. 14. «Chaîne» des tiers Client SaaS clement.gagnon@tactika.com Software (Application) Fournisseur Client Plate-forme Infrastructure IaaSFournisseur How Amazon Controls Ecommerce (Slides) http://techcrunch.com/2011/05/11/how-amazon-controls-ecommerce-slides/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Techcrunch+%28TechCrunch%29 Enjeux de sécurité relatifs au Cloud 14
  15. 15. Popularité des modèles de déploiementEnjeux de sécurité relatifs au Cloud 15
  16. 16. Quel modèle de prestation de services ?• Utilisation de l’infonuagique en 2012 selon Gartner – Courriel électronique (50%), Stockage (45%), Copie de sécurité /data backup (37%),Hébergement web (34%) http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions• Selon KPMG TendanceEnjeux de sécurité relatifs au Cloud 16
  17. 17. Évolution du centre de données : de la virtualisation à l’infonuagique Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public des serveurs distribuée Nuage privé Consolidation  Flexibilité  Libre-service  Montée en  Élimination du Capex  Agilité  Normalisation charge Capex  Métrique  Grande flexiblitéEnjeux de sécurité relatifs au Cloud 17
  18. 18. Nuage privé, hybride et public Virtualisation Virtualisation Nuage privée Nuage hybride Nuage public Nuage public des serveurs distribuée Nuage privé Nuage privé • Consolidation • Capex • Flexibilité • Agilité • Libre-service • Normalisation • Montée en charge • Élimination du Capex • Métrique • Grande flexiblité Organisation Nuage privé clement.gagnon@tactika.com Nuage public Nuage privéEnjeux de sécurité relatifs au Cloud 18
  19. 19. Infonuagique et la sécurité• Les trois principales préoccupations selon Gartner – Sécurité, Protection de la vie privée, Souveraineté des données http://www.itincanada.ca/component/kunena/50-it-bulletin-insights-for-smbs/3055-gartners-2012-cloud-predictions• Selon KPMG Enjeux de sécurité relatifs au Cloud 19
  20. 20. La perception du risque et le CloudEn affaires, le risque est perçu En sécurité de l’information, le risquecomme une opportunité ou comme un est perçu comme une menace quiévénement négatif. exploite une vulnérabilité.Les bénéfices du Cloud sont une Les problèmes du Cloud :opportunité. Une organisation peut  Les risques d’un tiers peuventdémontrer un appétit et une tolérance devenir mes risques ...aux risques dans sa recherche  Si plusieurs tiers sont impliqués,d’opportunités. les risques des tiers sont «chainés». Enjeux de sécurité relatifs au Cloud 20
  21. 21. Facteurs de risque• Selon son degré d’intégration dans les services TI, le Cloud peut devenir un facteur de risque Gouvernance, risque et conformité Processus de gestion Contrôle et opération• Le degré d’intégration désigne l’envergure, l’étendue et la criticité du service Cloud.  Exemple :  Service de mesure de disponibilité de sites Web (intégration faible, impact léger)  Service Web en arrière-boutique (intégration élevée, impact important)Enjeux de sécurité relatifs au Cloud 21
  22. 22. Modèle générique du risque Surfaces d’attaqueProbabilité Mesure(s) Menace(s) de contrôle Vulnérabilité(s) RISQUE clement.gagnon@tactika.com Impact(s) Disponibilité Intégrité Confidentialité Enjeux de sécurité relatifs au Cloud 22
  23. 23. Principaux risques selon ENISA1. Perte de la gouvernance2. Verrouillage/«Lock in» avec le fournisseur3. Perte de l’isolation «virtuelle»4. Problème de non-conformité5. Perte de protection des données6. Destruction non sécuritaire des données7. Le fournisseur «à risque»BENEFITS, RISKS AND RECOMMENDATIONS FOR INFORMATION SECURITY , European Network and Information Security Agency (ENISA) 2009Enjeux de sécurité relatifs au Cloud 23
  24. 24. Principales menaces relatives au Cloud selon la Cloud Security Alliance• Utilisation abusive ou malicieuse du Cloud• Interfaces & API non sécuritaires• Opérateurs malicieux• Exploitations des vulnérabilités des plateformes partagées• Fuite ou perte de données• Hijacking d’un compte ou du service• Exposition inconnue aux risques du fournisseurTop Threats to Cloud Computing V1.0, Cloud Security Alliance, March 2010Enjeux de sécurité relatifs au Cloud 24
  25. 25. Surfaces d’attaque Humain Plate-forme matérielle / poste de travail Lien de communication Point d’accès Clients SaaS : couche applicative / logiciel PaaS : couche plate-forme applicative / logicielFournisseur IaaS : couche système d’exploitation / logiciel clement.gagnon@tactika.com Infrastructure de virtualisation et arrière-boutique Humain Plate-forme matérielle / poste de travail Enjeux de sécurité relatifs au Cloud 25
  26. 26. Aperçu des menaces Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Panne, désastre, Interception (MITM), déni de service BOF, Injection SQL, Déni de service, Attaque brute Clients sur l’authentification clement.gagnon@tactika.com Changement non annoncé ou non planifié Code malveillant, Attaque brute surFournisseur l’authentification, Attaque sur l’hyperviseur, Déni de service Panne, désastre, injection de code, mauvaise paramétrisation Humain : ingénierie sociale, malveillance Client Web : Code malveillant, XSS (cross site scripting), Phishing, DNS poisoning Enjeux de sécurité relatifs au Cloud 26
  27. 27. Principales vulnérabilités Conformité  Aspects juridiques ►Multiples législations ► Géolocalisation des données Maturité des acteurs  Gouvernance absente ou relâchée, état du SMSI Entente de service/SLA  Mal définie, incomplète Votre infrastructure  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.) Infrastructure du tiers  Des composants et de la gestion de ces composants (bogue, mauvaise configuration, dysfonctionnement, etc.)  Format propriétaire et/ou lié à l’infrastructure du fournisseur (Verrouillage/lock-in) Dysfonctionnement de la communication entre les SMSI (le votre et celui du tiers)  Gestion des changements, gestion des incidents Maturité du tiers  Gouvernance, état de son SMSI, appétit aux risques (affaires, TCO)Enjeux de sécurité relatifs au Cloud 27
  28. 28. Les fonctions «basiques» de sécurité et le cloud Comment ces fonctions Détection des de sécurité sont-elles Contrôle d’accès intrusions mises en œuvre dans le Authentification Détection Réseau Prévention cloud ? Réparation Gestion des identités et Gestion des des vulnérabilités habilitationsEnjeux de sécurité relatifs au Cloud 28
  29. 29. Principales mesures de contrôle pour la sécurité de l’infrastructure Antivirus, anti-logiciel espion, correctif Chiffrement, lien sécurisé Relève, redondance Contrôle d’accès authentification (forte), réseau Clients clement.gagnon@tactika.com Détection des intrusions Contrôle d’accès physique de l’infrastructure Contrôle d’accès authentification (forte), réseauFournisseur Signature et chiffrement Contrôle des vulnérabilités : correctifs Relève, redondance Journalisation, antivirus, anti logiciel-espion, IDS/IPS Contrôle d’accès : authentification (forte) & réseau Détection des intrusions, journalisation Antivirus, anti-logiciel espion, correctifs Enjeux de sécurité relatifs au Cloud 29
  30. 30. Autres mesures de contrôle• Définition dans l’entente de service/SLA des éléments de sécurité – Acceptation implicite des risques !• Sensibilisation et formation des utilisateurs• Audit (vous et le fournisseur/tiers)• Test d’intrusion (limité par le SLA et le modèle de prestation)• Relève, redondance (vous versus le tiers)• Surveillance (monitoring)Enjeux de sécurité relatifs au Cloud 30
  31. 31. Impacts – Quelques cas réels  Disponibilité  Avril 2011 / Panne majeure chez Amazon  Août 2011 / Panne mineure Amazon, plusieurs sites importants tels que Foursquare, Reddit, etc. subissent des pertes de disponibilité de plusieurs heures http://www.pcworld.com/businesscenter/article/237588/amazon_web_services_reports_outage_in_the_us_late_monday.html  Juin 2012 / Deux pannes majeures avec les services EC2 causés par des pannes électriques dans un centre de données de Virginie : Netflix, Pintetrest, Instagram, Heroku sont affectés. http://venturebeat.com/2012/06/29/amazon-outage-netflix-instagram-pinterest/  Confidentialité  Mars 2011 / Lors d’une vérification, GoGrid découvre une intrusion dans sa base de données client (arrière- boutique, carte de crédit). Elle avise les institutions financières et ses clients et elle offre un service de surveillance de crédit. http://mikepuchol.com/2011/03/30/gogrid-security-breach-why-virtual-credit-cards-should-rule-the-web/  Juin 2012 / 6.5 millions de «hashings» de mot de passe di site Linkedin sont publiés http://thenextweb.com/socialmedia/2012/06/06/bad-day-for-linkedin-6-5-million-hashed-passwords-reportedly-leaked-change-yours-now/  Août 2012 / Une attaque d’ingénierie sociale ayant pour cible un employé de DropBox permet le vol d’une liste de nom de compte et de mot de passe http://www.dailymail.co.uk/sciencetech/article-2182229/Dropbox-Storage-service-admits-security-breach-fears-grow-storing-information-online.html  Intégrité  Février 2010 / 52 sites web du congrès étasunien ont subi une défiguration. Ils étaient hébergés dans le Cloud par un contractant. http://www.theaeonsolution.com/security/?p=207 – Octobre 2012 / La banque NatWest suspend son application mobile Get Cash après une fraude de 1500$ contre un client http://www.bbc.co.uk/news/business-19857243Enjeux de sécurité relatifs au Cloud 31
  32. 32. Ce qui vient …• La localisation des services est un enjeu qui est influencé par – L’infrastructure du fournisseur – Les besoins du consommateur – Les pressions budgétaires (réduire le CAPEX et OPEX) – Exigences de conformité et juridiques• Pour préserver la confidentialité et l’intégrité, la solution est le chiffrement dans le nuage – Complexité – Expertise – Intégration – Fiabilité – RécupérationEnjeux de sécurité relatifs au Cloud 32
  33. 33. Alice et Bob dans le nuage … Le chiffrement dans le nuage : Facile à dire … mais pas facile à faire !• Le chiffrement des échanges, pas de problème ! SSL/TLS, VPN• Nombreux problèmes avec le traitement et le stockage des données – Complexité : • Quoi et comment «le» chiffrer • Type de chiffrement : symétrique, asymétrique, etc. • Choix et robustesse de l’algorithme et des clés • Cycle de vie des clés : création, déploiement, modification, répudiation, conservation, destruction – Implantation dans les services : Iaas, PaaS, SaaS – Gestion des clés : Qui les détient et comment ? – Performance !Enjeux de sécurité relatifs au Cloud 33
  34. 34. Questions ? Merci de votre attention ! Tactika inc. • clement.gagnon@tactika.com • www.tactika.com • @tactika • http://ca.linkedin.com/in/tactikaEnjeux de sécurité relatifs au Cloud 34
  35. 35. Annexe Pense-bête pour contrôler les risques du Cloud Appliquer les bonnes pratiques selon votre contexte !!! Mettre à jour votre cadre de sécurité pour inclure le Cloud Déterminer vos besoins Déterminer un niveau de service Analyser les aspects légaux ► PRP, localisation des données (autre pays ?) ► Cycle de vie des données ► Destruction des données Catégoriser vos données, évaluer la criticité du service Analyser les risques et déterminer le traitement de ceux qui sont non-acceptées ! Choisir le fournisseur ► comprendre l’entente de service/SLA, pérennité, état de son SMSI Vérifier la stratégie de continuité/relève du fournisseur ( et la vôtre !) ► Tenir compte de la localisation du désastre …  Avez-vous une copie de vos données qui sont chez le fournisseur ? Surveiller et journaliser ► Audit Assurer la détection et le suivi des incidents de sécurité ► communication, collecte de preuve, enquête Documenter l’architecture(s) ► Documenter … documenter … documenterEnjeux de sécurité relatifs au Cloud 35
  36. 36. Annexe Comment implanter l’infonuagique Évaluation des besoins Étude d’opportunuité Analyse de risques Évaluation des impacts Évaluation de la maturité de l’organisation Analyse préliminaire Mode de Prestation de Architecture de la solution du MO service ? Implantation Intégration Mode de déploiement ? Nuage public Nuage hybride Nuage privé IaaS PaaS SaaS Stratégie d’implantation Acquisition Implantation Processus de gestion Exploitation TI Opération Ententes contractuellesEnjeux de sécurité relatifs au Cloud 36

×